EBA publicerade nya riktlinjer om IKT-risker (IKT står för Information Kommunikation och Teknik, Information and Communication and Technology, ICT) den 28 november 2019. Riktlinjerna började tillämpas den 30 juni 2020 och ersätter EBA:s äldre IKT-riktlinjer från 2017.
EIOPA publicerade ett förslag på motsvarande riktlinjer i december 2019 och ursprungligen skulle riktlinjerna börja tillämpas 1 juli 2020. EIOPA har dock skjutit upp tidsplanen och nu är tanken att EIOPA kommer att publicera riktlinjerna ”direkt efter sommaren”. Enligt uppgifter från EIOPA ska riktlinjerna börja gälla fr.o.m. mitten av 2021.
Syftet med riktlinjerna är att försäkringsföretag ska hantera operativa risker och säkerhetsrisker. IKT-risker definieras som risker för förlust som beror på sekretessbrott, på att integriteten hos system och data inte fungerar, på att system och data är olämpliga eller otillgängliga, eller på oförmåga att ändra på det inom rimlig tid och till rimliga kostnader när miljö- eller verksamhetskraven förändras (dvs. smidighet). Detta inkluderar säkerhetsrisker till följd av otillräckliga eller icke-funktionella interna processer eller externa händelser, bl.a. IT-attacker, eller otillräcklig fysisk säkerhet. I korthet kan sägas att informationssäkerhet och cybersäkerhet måste hanteras.
Riktlinjerna anger på en övergripande nivå att det är styrelsen som ansvarar för IKT-risker och att hantering av IKT-risker ska integreras i företagsstyrningssystemet. Vidare innehåller riktlinjerna regler avseende bland annat följande områden:
- Företag bör ha en IKT-strategi.
- Företag bör beakta IKT-risker inom riskhanteringssystemet.
- Internrevisionen bör omfatta IKT-risker.
- Företag bör ha en informationssäkerhetspolicy.
- Företag bör ha en informationssäkerhetsfunktion, som har många likheter med övriga centrala funktioner inom Solvens II.
- Uppföljning, monitorering, utvärdering och test av IKT-frågor.
- Utbildning och medvetenhet avseende IKT-risker.
- Hantering av IKT-incidenter.
- Företag bör beakta IKT-risker i beredskapsplanen.
- Outsourcing av IKT relaterade tjänster (en koppling kan göras till EIOPA:s riktlinjer om outsourcing till molntjänstleverantörer som innehåller upprepade hänvisar till IKT-risker).
Med ca ett år kvar till att de nya riktlinjerna om IKT-risker börjar gälla finns anledning att redan nu se över hur man bör förhålla sig till IKT-riktlinjerna vid t.ex. planering av kommande arbete inom IT-avdelningen, riskhantering och internrevision. Det bör också övervägas hur en funktion för informationssäkerhet kan införlivas i verksamheten, och påbörja arbetet med att ta fram eller revidera en IKT-strategi, informationssäkerhetspolicy och andra relevanta dokument.