(来自https://www.gdv.de/ 德国保险协会)
为了更好地应对 IT 风险,欧盟制定了一套新规则,即《数字运营弹性法案》(DORA)。GDV (德国保险协会)解释了背景情况和 2025 年初实施的新要求。
数字技术对保险公司起着关键作用。为了加强公司的 IT 安全,欧盟于 2022 年 11 月通过了一项关于数字运营复原力(DORA)的法规,几乎所有金融机构都必须从 2025 年 1 月起实施该法规。DORA 的重点是与业务相关的信息和通信技术(ICT)系统,例如,维护保险产品缔结的系统。DORA 旨在确保公司在受到网络攻击或其他严重业务中断时仍能保持稳定运营。
该法规不仅影响保险公司和银行等传统金融公司,也影响其第三方 ICT 服务提供商,包括云服务提供商和数据中心。欧洲要求直接适用,企业必须执行。金融市场数字化法案》(FinmadiG)中还将规定其他特殊的国家法规,如作为年度审计一部分的 DORA 合规性年度审计要求。
需要全面的 ICT 风险管理
为了确保金融组织的运作能力,它们必须有效地管理信息和通信技术风险。为此,相关公司必须引入全面的 ICT 风险管理系统。这也意味着必须界定新的责任和接口。除其他事项外,公司应制定恢复战略,记录信息安全和业务连续性准则,并保持信息和通信技术系统的响应和恢复计划。为了实事求是地评估保险公司,内部和外部专家必须定期进行审计和测试。公司不仅要保护自己免受外部攻击,还要克服非犯罪意图造成的严重信息技术问题。
报告 ICT 事故的严格要求
如果信息和通信技术事故严重,必须最迟在 24 小时内向监管机构报告,并附上详细说明。立法者规定的分类标准非常广泛,涉及公司的不同领域。其中包括可能受影响的客户数量和可能造成的财务影响。此外,初次报告、中期报告和最终报告的内容必须在全公司范围内进行整理和记录。
越来越多地使用第三方服务提供商带来的风险
需要大量人力和财力资源来确保遵守所有要求。DORA 对公司提出了广泛的要求,特别是在第三方风险管理方面,例如来自服务提供商的要求。根据最终责任原则,金融公司必须更加密切地处理内部风险,同时也要处理委托和分包第三方供应商所产生的风险。新引入的监控框架也将 ICT 第三方供应商本身置于监管控制的重点。作为所谓的关键 ICT 第三方服务供应商,它们今后可能会受到欧洲监管当局的检查和措施的制约。此类服务提供商的标准包括系统相关性或金融公司在功能上对 ICT 第三方服务提供商的依赖性等。
实施期限紧迫
随着 DORA 的推出,欧洲立法者希望开创一个 IT 安全和运营弹性的新时代。尽管德国联邦金融管理局之前发布的 VAIT 通告中已经对德国保险公司提出了许多要求,但实施起来仍需付出相当大的努力。人力资源有限的中小型保险公司尤其面临重大挑战。尽管 DORA 包含相称性原则,但要求的详细程度往往使定制化实施的空间很小。自 2022 年通过以来,已陆续制定并传达了相关细节。因此,2025 年 1 月 17 日之前的实施期限非常紧迫。
保险集团可能承担多重报告义务
DORA 专门针对金融行业的网络安全进行监管,而 NIS2 指令和即将出台的国家 NIS2 实施法案则涵盖所有行业的所谓关键基础设施。因此,欧盟 NIS2 指令也定义了欧盟范围内的 IT 安全最低标准,这些标准必须在 2024 年 10 月之前转化为德国法律。由于这两项法规在内容上存在重叠,属于 DORA 范围内的金融公司基本上不受 NIS2 的约束。不过,它们之间也有间接的相互影响。例如,集团内部的 IT 服务提供商仍属于 NIS2 的管辖范围。
相反,NIS2 法规也可能与保险集团相关: 例如,根据 DORA,IT 事件必须通过保险公司或所有受影响的集团公司向 BaFin 报告。而保险集团的 IT 子公司则必须根据 NIS2 向联邦信息安全办公室报告。目前,报告的内容、程序和形式并不完全相同,因此,同一事件必须以不同方式多次报告。