Kybernetická odolnost je klíčovým úkolem dneška (Insurance Europe)

V tomto článku bude objasněn postoj Insurance Europe k problematice kybernetické odolnosti, kterou ve výroční zprávě prezentuje Florence Lustman, prezidentka francouzské federace pojistitelů.

Legislativa ke kybernetické bezpečnosti

Rostoucí digitalizace ekonomiky vyvolala obavy politiků, podnikatelů, občanů a celých odvětví, jelikož tento trend také zvyšuje hrozbu kybernetického rizika. Přijetím směrnice Evropského parlamentu a Rady (EU) o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii byly poprvé stanoveny požadavky na kybernetickou bezpečnost a podávání zpráv, a to pro provozovatele základních služeb a poskytovatele digitálních služeb v celé EU. Tato směrnice sehrála podle Florence Lustman významnou roli v posílení kybernetické bezpečnosti a odolnosti v EU. Nicméně vytvořila v pojišťovacím sektoru nerovné podmínky, jelikož některé členské státy zahrnuly při transpozici směrnice pojišťovny do její působnosti (například Francie) a jiné státy nikoli.

Když Evropská komise předložila v září 2020 návrh na revizi směrnice 2016/1148/EU, tak současně prezentovala návrh právního aktu o digitální provozní odolnosti (Digital Operational Resilience Act - DORA), vymezujícího rámec pro kybernetickou odolnost ve finančním sektoru. Tento akt DORA byl přijat v prosinci 2022 ve formě nařízení Evropského parlamentu a Rady (EU). Florence Lustman vnímá pozitivní přijetí pojistiteli, protože harmonizuje postupy všech evropských pojistitelů a vede sektor směrem ke společné vysoké úrovni kybernetické bezpečnosti založené na rámci, který byl specificky projektován pro finanční sektor. To v praxi znamená, že směrnice 2016/1148/EU se neaplikuje na pojistitele a místo ní nastupuje DORA. Jen v několika členských státech EU bylo rozhodnuto využít opci a požadovat po určitém počtu pojistitelů, aby vyhověli požadavkům směrnice 2016/1148/EU. Nařízení DORA tudíž přináší pozitivní vývoj.

Opatření na úrovni 2

Legislativní proces však není v žádném případě ukončen, protože evropské orgány dohledu nyní finalizují opatření úrovně 2, jež sestávají z řady regulačních technických norem a prováděcích technických norem. Na základě tohoto rámce a vzhledem k aktuálnímu vysokému riziku kybernetických útoků věnoval pojišťovací sektor od roku 2023 značné zdroje a energii na zajištění souladu s nařízením DORA tím, že prováděl analýzy možných mezer a stanovoval postupy. Většina pojistitelů byla schopna částečně navázat na stávající praxi, protože navrhovaná opatření úrovně 2 berou v úvahu již existující evropské a mezinárodní standardy, což byl mimo jiné silný požadavek trhu. Nicméně docílení souladu s nařízením DORA do ledna 2025 (tj. právní požadavek) stále představuje velkou výzvu, a to jak z hlediska technických aspektů a s IT spojených aspektů požadavků, tak z hlediska smluvních aspektů a otázek souvisejících s řízením rizik.

Pojišťovnictví podle Florence Lustman přispívalo k práci evropských orgánů dohledu při přípravě opatření úrovně 2 a oceňuje kvalitu práce, jež byla těmito orgány vykonána, a také značné úsilí, jež bylo z jejich strany věnováno navázání dialogu s pojišťovnictvím a vysvětlování důvodů pro návrh příslušných právních textů, a to v průběhu vysoce informativních veřejných setkání. K tomuto dialogu docházelo taktéž na národní úrovni, neboť mnohé federace/asociace pojišťoven i společnosti měly příležitost diskutovat návrhy regulačních technických norem a prováděcích technických norem s příslušnými národními orgány dohledu. Všechny tyto výměny názorů byly plodné a podpořily úsilí oboru o docílení souladu s tímto novým komplexním a robustním rámcem.

Zatím byly zveřejněny dvě samostatné sady opatření úrovně 2 týkající se několika klíčových bodů. První sada je zaměřena na nástroje řízení rizik, metody, procesy, klasifikaci závažných incidentů, registr informací o smluvních dohodách s poskytovateli a politiku ohledně využívání služeb v oblasti informačních a komunikačních technologií (ICT) , jež podporují kritické nebo důležité funkce. Druhá sada je zaměřena na podmínky subdodávek ICT služeb podporujících kritické nebo důležité funkce, definování časového vymezení a zpráv o notifikaci závažných incidentů a vytvoření rámce pro penetrační testování na základě hrozeb.

S ohledem na dopad navrhovaných opatření pojišťovací sektor doporučoval evropským orgánům dohledu, aby do textu opatření úrovně 2 integrovaly více proporcionality a zajistily širší přístup založený na rizicích, aby všechny entity různých velikostí na všech trzích byly schopny docílit soulad s nařízením. Dalším zásadním bodem, který byl prezentován, byla potřeba vyhnutí se nadměrné komplexitě a potřeba respektovat mandát (zmocnění) vymezený v textu nařízení DORA.

Hlavní výzvy pro pojišťovnictví

Pokud jde o podávání zpráv o závažných incidentech, tak Lustman zdůrazňuje, že musí být nalezena rovnováha mezi zajištěním účinné notifikace vůči příslušným orgánům a umožněním dané entitě alokovat dostatečné zdroje k řešení incidentu. Jeví se totiž jako důležité, aby entity nebyly během krize administrativně neúměrně zatěžovány, jelikož by to mohlo poškodit jejich kapacitu zvládnout incident. Z tohoto důvodu pojišťovnictví doporučilo jednodušší strukturu kritérií pro klasifikaci závažného incidentu, stejně jako zvládnutelné časové limity, přizpůsobené potřebám každého finančního sektoru, je-li to případné. I když evropské orgány dohledu akceptovaly doporučení zřídit jednodušší systém, tak navrhovaný proces podávání zpráv o incidentu bude ještě vyžadovat shromáždění, analýzu a zařazení (evidenci) značného množství údajů pro příslušné orgány, a to ve velmi krátkém časovém období.

Některá opatření úrovně 2 budou mít přímý dopad na smluvní vztah mezi pojistiteli a třetími stranami – poskytovateli služeb – a jejich subdodavatelským řetězcem. Opatření původně předpokládaná evropskými orgány dohledu byla značně ambiciózní a v tomto ohledu pojišťovnictví doporučilo přijetí úměrnějšího přístupu. Bez ohledu na přesné znění finálního textu je jasné, že před finančními společnostmi vyvstává období komplikovaných vyjednávání s třetími stranami – poskytovateli služeb. Pojišťovnictví hodlá zajistit, aby tato jednání byla plodná a doufá, že nově zřízené fórum pro dohled („Oversight Forum“), v němž budou působit předsedové evropských orgánů dohledu a vysocí představitelé národních kompetentních orgánů, a standardní smluvní doložky, připravené evropskými orgány dohledu, podpoří toto úsilí.

Florence Lustman dále uvedla, že rámec pro penetrační testování na základě hrozeb byl definován jako součást navržených opatření úrovně 2. Přijatý přístup, který je v souladu s právním textem úrovně 1 a velmi blízko rámci používanému ECB (TIBER EU), nebyl překvapením a obecně je vítán. Nicméně zbývají ještě dva problémy, které vzbuzují obavy. Za prvé, působnost musí být striktně omezena na entity s dostatečnou mírou zralosti a dílčím systémovým charakterem, a to s ohledem na náklady a riziko spojené s penetračním testováním na základě hrozeb. Za druhé, navrhovaná kritéria pro interní a externí poskytovatele testů se jeví jako velmi restriktivní na trhu s nedostatkem dostupného (odborného) profilu. To by mohlo vést k problémům v praxi v případě, že entity nebudou vhodně zacíleny, nebo nebudou schopny připravit či najít vhodné zdroje.

Závěrem Florence Lustman uvedla, že pojišťovny jsou si vědomy rizik, která jsou spojena s kybernetickými hrozbami ve finančním sektoru a ve společnosti jako celku. Považují za svůj závazek plně přispívat k řešení této výzvy zlepšením své kybernetické odolnosti. Nařízení DORA je krok správným směrem a sektor bude pokračovat ve svém zapojení, aby se toto nařízení stalo úspěchem. Učiní vše k tomu, aby byl plně připraven, když nařízení nabude v lednu 2025 účinnost.