Vad innebär de nya IKT- och säkerhetsriktlinjerna för försäkringsföretag?

I oktober 2020 publicerade EIOPA riktlinjer för säkerhet och företagsstyrning avseende informations- och kommunikationsteknik (IKT). I fredags meddelade FI att de avser tillämpa riktlinjerna som träder i kraft den 1 juli 2021. I riktlinjerna, som i Sverige kommer tillämpas som allmänna råd, möter försäkrings- och återförsäkringsföretag en mer omfattande och komplex kravbild avseende styrning av IKT och säkerhet.

EIOPA:s riktlinjer syftar till att tydliggöra myndigheternas minimikrav på IKT-styrning och informations- och cybersäkerhet och genom detta undvika eventuellt regelarbitrage och åstadkomma tillsynskonvergens. För försäkringbolag är det kraven på företagsstyrning och riskhantering i Solvens II-direktivet och Solvens 2-förordningens som nu kompletteras med nya riktlinjer.

Ökande risker och komplexa affärsmodeller som drivkraft för de nya kraven

Riktlinjerna är bland annat baserade på EU-kommissionens så kallade ”FinTech Action plan” och på samarbetet mellan de tre EU-tillsynsmyndigheterna för bank, försäkring och värdepapper. Myndigheterna anser att komplexiteten i IKT- och säkerhetsrisker har ökat och därmed även frekvensen av incidenter, inte minst cyberincidenter. Nya innovativa affärsmodeller där man i högre grad än tidigare förlitar sig på IKT och externa parter för att tillhandahålla försäkringstjänster ökar sårbarheten för säkerhetsincidenter och cyberrisker. Detta leder till s.k. systemrisker där incidenter hos en aktör kan få konsekvenser för andra aktörer.

Harmonisering av krav över finansbranschen

FCG anser att riktlinjerna på övergripande nivå är balanserade och skapar en likvärdig konkurrensnivå för alla aktörer. Vi ser fördelar med att liknande riktlinjer gäller för både försäkringsbranschen och för bank- och värdepappersbranschen i och med EBAs riktlinjer för hantering av IKT-risker och säkerhetsrisker som trädde i kraft förra året. Kraven baseras på ett modernt synsätt inom riskhantering och är fokuserade på operationella men även mer strategiska frågor. IKT-styrning är ett relativt nytt område i de nordiska länderna, men ett område där det finns mycket erfarenhet och praxis att hämta från Europa och som potentiellt leder till både insyn och kontroll av IKT från ett lednings- och styrelseperspektiv.

25 detaljerade riktlinjer att implementera i verksamheten

De nya IKT-riktlinjerna är ovanligt detaljerade och innehåller krav på bland annat att ta fram en IKT-strategi som är godkänd av styrelsen och som löpande följs upp. Dessutom ska IKT- och säkerhetsrisker byggas in i riskhanteringssystemet. De ska precis som andra risker löpande identifieras, mätas, styras, kontrolleras och rapporteras till styrelsen. Det görs bland annat genom krav på risktoleranser.

Vidare ska styrning och hantering av IKT- och säkerhetsrisker ingå i internrevisionens granskningsområden, vilket kan innebära att IR-funktionen behöver stärkas upp med ny kompetens eller att sådana granskningar läggs ut på en extern part.

EIOPA:s IKT- och säkerhetsriktlinjer innehåller krav på en styrelsegodkänd informationssäkerhetspolicy och en oberoende informationssäkerhetsfunktion med specifika arbetsuppgifter. Bolagen ska ha väl fungerande processer för logisk, fysisk och operationell säkerhet för tjänster och system baserade på IKT. Riktlinjerna beskriver hur granskning, kontroller, incidenthantering och utbildning av all personal bör ske. Slutligen finns även rekommendationer om upphandling av system, ändringshantering, kontinuitetsplanering- och hantering, konsekvensanalys, återställningsplaner, outsourcing o.s.v. Riktlinjer omfattar därmed de flesta områden inom informationssäkerhet, med fokus på IT-system och dess skydd.

Implementering enligt proportionalitetsprincipen

EIOPA:s riktlinjer är att jämställa med Finansinspektionens allmänna råd, för vilka principen ”följa eller förklara” brukar användas. I och med Solvens II-regelverket finns det angivet att EIOPA:s riktlinjer ska följas ”med alla tillgängliga medel”. Samtidigt finns visst utrymme att anpassa åtgärderna efter verksamhetens omfattning, risk och komplexitet genom proportionalitetsprincipen som är inbyggd i riktlinjerna. Vi ser framför oss att Finansinspektionen kommer att genomföra både temaundersökningar och platsbesök relaterat till hantering av IKT och säkerhet när riktlinjerna har trätt i kraft. Under hösten 2021 skickade FI ut en enkät till vissa bolag med frågor om hur riktlinjerna skulle implementeras och för några banker har platsundersökningar redan genomförts.

Har ni frågor kring de föreslagna riktlinjerna eller vill diskutera operativa riskfrågor kopplade till IT- och informationssäkerhet är ni varmt välkomna att höra av er. FCG har ett team som leds av Fredrik Ohlsson och som är specialiserat på operativa risker samt IKT och säkerhet.

FCG har lång och gedigen erfarenhet av att stötta kunder inom finanssektorn i att bygga ut styrning av IKT- och säkerhetsområdet och därmed utöka kontroll över IKT-och säkerhetsrisker.  Vi tar gärna ett möte för att diskutera hur FCG kan stötta er i att möta de nya riktlinjerna och balansera dem mot interna behov och förutsättningar.”