Acest ghid este destinat liderilor IT și responsabililor de conformitate din sectorul asigurărilor din România. Veți afla obligațiile specifice pentru protejarea datelor asiguraților și sistemelor critice de prelucrare a cererilor de despagubire, precum și cum să implementați măsuri de securitate conform Legii 362/2022.
Companii de asigurări licențiate de Autoritatea de Supraveghere Financiară (ASF), brokeri de asigurări autorizați, reasigurători și administratori de date de asigurări care procesează informații privind polițele și despagubirile. Entitățile din acest sector care desfășoară activități care ar putea avea impact semnificativ asupra continuității serviciilor de asigurări la nivel național sunt clasificate ca entități importante conform Anexei II a NIS2.
Trebuie să implementați controale de acces strict (autentificare multi-factor) pe toate portalurile de brokeri și platformele de management al polițelor care stochează date personale ale asiguraților și calcule actuariale. Implementați criptografia end-to-end pentru transferul datelor și realizați evaluări de vulnerabilitate trimestriale specifice acestor sisteme. Datele actuariale și informațiile asiguraților trebuie izolate pe segmente de rețea dedicate cu monitorizare continuă a accesului.
Platformele de gestionare a cererilor de despagubiri trebuie să dispună de planuri documentate de continuitate operațională cu RTO (Recovery Time Objective) de maxim 4 ore și RPO (Recovery Point Objective) de maxim 1 oră. Realizați teste anuale ale planurilor de recuperare cu participanța tuturor departamentelor relevante și documentați rezultatele pentru auditori. Sistemele backup trebuie stocate la o locație geografică distinctă cu acces restricționat și criptare completă.
Evaluați formal toți furnizorii SaaS de subscriere și management al riscurilor la minimum anual, cu audit al măsurilor de securitate implementate. Includeți clauze contractuale obligatorii referitoare la notificarea incidentelor în termen de 24 de ore, dreptul de audit și cerințe de conformitate cu NIS2. Mențineți un registru centralizat cu datele de contact ale furnizorilor critici, versiunile software utilizate și datele ultimelor evaluări de securitate.
Realizați evaluări de risc semestriale pe toate canalele digitale de distribuție (site-uri web, aplicații mobile, platforme de vânzare online). Evaluările trebuie să inclудă teste de penetrare, analiză de vulnerabilități și verificare a controlelor de autentificare și autorizare. Documentați constatările și implementați remedieri pentru riscurile critice în termen de 30 de zile calendaristice cu raportare către conducerea superioară.
Implementați o procedură formalizată de raportare a incidentelor de securitate către Direcția Națională de Securitate Cibernetică (DNSC) în termen de 24 de ore de la detectare. Incidentele care pot afecta continuitatea serviciilor de asigurări sau implică pierderea datelor asiguraților trebuie notificate imediat și Autorității de Supraveghere Financiare. Mențineți un registru complet al incidentelor cu analiza cauzelor și acțiuni corective implementate.
Entitățile importante din sectorul asigurărilor trebuie să fie în conformitate cu obligațiile NIS2 din Legea 362/2022 până la 17 octombrie 2024, cu o perioadă de grație până la 17 octombrie 2026 pentru unele controale. DNSC va verifica conformitatea prin auditul și inspuneri anunțate cu prioritate pentru entitățile care procesează volume mari de date ale asiguraților.
Nerespectarea obligațiilor NIS2 poate atrage amenzi de până la 2.000.000 de euro sau 4% din venituri globale anuale pentru entitățile importante, cumulat cu avertismente formale și măsuri de restricție a activității digitale. ASF poate fi informată de DNSC și poate aplica sancțiuni suplimentare referitoare la licența de operare în sectorul asigurărilor.
Da, MFA este obligatoriu conform NIS2 și trebuie implementat pe toate punctele de acces la sistemele care procesează date ale asiguraților, inclusiv portalurile de broker și interfețele administratorului. Recomandarea specifică pentru asigurări este MFA bazat pe certificat digital sau aplicație de autentificare, cu sincronizare cu sistemele SSO corporative pentru monitorizare centralizată.