Seguradores e Mediadores já têm prazo limite para reportar fornecedores de TIC críticas

Seguradoras, corretores e agentes de seguros têm até 30 de abril de 2025 para informar a ASF, entidade supervisora do setor, sobre quais são os seus prestadores de serviços de tecnologia de comunicação e informação (TIC), ao abrigo do regulamento Digital Operational Resilience Act (DORA), alertou esta quinta-feira a ASF.

A regulação DORA, que entrará em vigor no próximo dia 17 de janeiro, exige que essas entidades adotem medidas rigorosas para garantir a resiliência operacional digital, especialmente em relação a riscos tecnológicos, que possam afetar a continuidade dos serviços e a segurança de dados.

Nesta sequência, as ESA, autoridades europeias de supervisão financeira, que são a EBA para os bancos, a EIOPA para os seguros e a ESMA para os mercados de capitais, publicaram, no passado dia 15 de novembro de 2024, uma decisão sobre a informação que as autoridades competentes devem reportar àquelas autoridades para a designação de terceiros prestadores de serviços de TIC críticos, ao abrigo do Regulamento DORA.

A decisão determina o reporte pelas autoridades competentes, até 30 de abril de 2025, dos registos de informações sobre os acordos contratuais das entidades financeiras com terceiros prestadores de serviços de TIC. Para o efeito, as autoridades competentes, ASF nos seguros em Portugal, deverão solicitar os registos de informações às entidades supervisionadas, seguradores e distribuidores de seguros, antes dessa data.

Aos mediadores de seguros, de resseguros e de seguros a título acessório residentes ou com sede em Portugal, que empreguem, no mínimo, 250 pessoas ou cujo volume de negócios anual é superior a 50 milhões de euros e o balanço total anual é superior a 43 milhões de euros, com exceção dos mediadores de seguros que também sejam instituições de crédito. A manter-se este limite apenas a MDS e a Sabseg, que em 2023 superavam o limite de número de trabalhadores e a MDS também de valor de ativo, logo seriam as únicas distribuidoras abrangidas diretamente. De qualquer forma, de forma indireta, as distribuidoras que se relacionam digitalmente com seguradoras serão abrangidas.

Sem estar ainda estabelecido pelas autoridades a informação concreta a reportar, ECOseguros indica quais os possíveis TIC críticos. Podem envolver qualquer tecnologia que tenha um impacto significativo no funcionamento diário das empresas, especialmente se falhas ou interrupções nos sistemas comprometerem sua funcionalidade ou a confiança dos consumidores.

Como exemplo apontam-se:

• Infraestrutura de TI essencial como serviços em nuvem, incluindo plataformas de armazenamento e processamento de dados essenciais; Sistemas de gestão de dados como bases de dados que contêm informações críticas sobre clientes, apólices de seguros e transações financeiras e Plataformas de pagamento em sistemas que processam pagamentos de prémios de seguros, resgates ou sinistros;
• Plataformas de comunicação como Sistemas de comunicação internos e externos: que asseguram a interação entre a seguradora, seus clientes e seus fornecedores;
• Tecnologias de segurança cibernética como firewalls, sistemas de deteção de intrusões e antivírus, usados para proteger dados sensíveis e prevenir ataques cibernéticos que possam afetar a confidencialidade e a integridade dos sistemas;
• Sistemas de recuperação de desastres e backup como Infraestruturas e processos que garantem a continuidade dos serviços após incidentes como falhas de servidores, desastres naturais ou ataques cibernéticos;
• Ferramentas de autenticação e gestão de identidade, como sistemas de autenticação multifatorial e gestão de identidade, para garantir o acesso seguro às plataformas digitais da seguradora.

Assim os fornecedores externos de serviços críticos tratam de:

• Infraestrutura de TI: como servidores, armazenamento de dados e redes;
• Desenvolvimento de software: incluindo o design, implementação e manutenção de sistemas personalizados;
• Suporte técnico e helpdesk: serviços de assistência e resolução de problemas para sistemas de TI;
• Consultoria em TI: aconselhamento sobre estratégias e soluções tecnológicas para otimizar processos de negócios;
• Serviços em nuvem: como armazenamento e computação em nuvem;
• Segurança cibernética: proteção de sistemas e dados contra ameaças e ataques.

Até ao próximo dia 30 de abril, as seguradoras e intermediários de seguros precisam de cumprir as obrigações de relatório sobre as relações com fornecedores externos, particularmente quando esses fornecedores desempenham um papel crítico nos serviços que a seguradora oferece. A regulação exige que as seguradoras:

• Identifiquem e divulguem os fornecedores de TIC com os quais trabalham;
• Avaliem a solidez e a segurança cibernética dos seus prestadores de serviços;
• Tenham controlo adequado para mitigar os riscos associados a terceiros, como segurança de dados e continuidade dos serviços.

Ficam ainda obrigadas para o futuro a notificar a Autoridade de Supervisão de Seguros sobre qualquer mudança significativa nesses fornecedores, como a contratação de novos prestadores de serviços críticos.