Digitalna transformacija osiguranja – novi standardi operativne otpornosti

Posted by Aleksandra Višekruna on

Proces digitalne transformacije u finansijskom sektoru se znatno ubrzao poslednjih godina i postao je ključan za opstanak društava koja posluju na finansijskom tržištu. Pandemija izazvana globalnim širenjem virusa kovid 19 i njen efekat na poslovanje društava bili su katalizatori za ubrzanje digitalizacije. Kao rezultat te transformacije, osiguravajuća društva, budući da su deo finansijskog sektora, postaju potpuno zavisna od svoje tehnologije, koja više nije samo instrument za lakše i brže poslovanje, već i diferencijalni i konkurentski faktor. S druge strane, osim prednosti, visok stepen digitalizacije povećava rizik od sajber incidenata.

Takođe, važno je napomenuti da kako bi sprovela procese digitalne transformacije i imala pristup tehnološkim inovacijama koje najbolje mogu doprineti njihovom poslovanju, osiguravajuća društva dopunjuju svoje kapacitete pribavljanjem eksternih usluga i kupovinom proizvoda trećih strana. Iz tih razloga je otpornost i sajber bezbednost tih trećih strana, pogotovo provajdera, postala značajna koliko i otpornost samih društava.1 Dodatni problem predstavlja činjenica da sajber pretnje često nisu ograničene na pojedinačne jurisdikcije, već imaju prekogranični efekat što dovodi do njihovog međunarodnog uticaja. Imajući to u vidu, Evropska unija postaje sve aktivnija u donošenju pravne regulative u tom pogledu, radi stvaranja digitalne operativne efikasnosti kompanija.2 Među najznačajnijim izdvaja se Direktiva NIS 2,3 a zatim i Uredba o digitalnoj operativnoj efikasnosti (DORA),4 koja predstavlja lex specialis i koju od 2025. godine moraju da implementiraju društva koja posluju u finansijskom sektoru.

U EU, DORA omogućava harmonizaciju u regulisanju digitalne operativne otpornosti.5 Glavni cilj je otpornost finansijskog sektora, među ostalim i u operativnom smislu, kako bi se osigurala njegova tehnološka sigurnost i dobro funkcionisanje, brz oporavak od povreda i incidenata na području informaciono-komunikacionih tehnologija (IKT), a time obezbedilo delotvorno i neometano pružanje finansijskih usluga u celoj EU, uz očuvanje poverenja potrošača u tržište. Na taj način omogućava se konsolidacija i unapređenje zahteva u pogledu IKT rizika, kao i popunjavanje pravnih praznina i uklanjanje nedoslednosti u nekim prethodnim pravnim aktima. DORA izričito definiše IKT rizik, upravljanje IKT rizicima, izveštavanje o incidentima, testiranje operativne otpornosti i praćenje IKT rizika povezanog s trećim stranama. Na taj način podiže se i svest o ovim rizicima i ukazuje se na činjenicu da IKT incidenti i neadekvatna operativna otpornost mogu ugroziti stabilnost finansijskih subjekata. Posebno značajne su odredbe koje se odnose na obavezno izveštavanje o značajnim IKT incidentima, dobrovoljno obaveštavanje o ozbiljnim sajber pretnjama, kao i razmenu informacija i dobrih praksi što omogućava preventivno delovanje, odnosno pružanje mogućnosti drugim društvima da se na vreme pripreme za slične napade. Osim navedenog, postoji tendencija za centralizaciju izveštavanja uspostavljanjem jedinstvenog centra za izveštavanje o značajnim IKT incidentima. Takođe od društava se očekuje da redovno sprovode testiranje digitalne operativne efikasnosti. Izuzev zahteva da se na nivou samog društva preduzmu sve mere za prevazilaženje IKT rizika, naročito je značajno što Uredba uspostavlja i zahteve koji se odnose na ugovorne aranžmane sklopljene s trećim licima koja pružaju IKT usluge, kao i pravila za saradnju između nadležnih tela i nadzor i izveštavanje koji sprovode. Kao posledica toga, od trećih lica koja pružaju IKT usluge će se zahtevati da ponovo prilagode svoje standardne ugovorne uslove i usluge u skladu sa zahtevima koje postavlja DORA ukoliko žele da zadrže ili čak prošire svoju bazu klijenata. Ovo je važno, jer osiguravajuća društva moraju pratiti rizike kojima mogu biti izložena od treće strane koja društvu pruža IKT usluge. To je značajno radi očuvanja digitalne otpornosti društva koja je direktno zavisna od stabilnosti, funkcionalnosti, dostupnosti i sigurnosti IKT usluga koje prima.

U skladu sa odredbama DORA-e osiguravajuća društva koja nisu mikropreduzeća biće dužna da uspostave nezavisnu kontrolnu funkciju za upravljanje IKT rizicima i obezbede nadzor nad sprovođenjem ove funkcije, koja će biti odvojena od ostalih kontrolnih funkcija i funkcije unutrašnje revizije u skladu s modelom „tri linije odbrane“ ili internim modelom upravljanja rizicima i kontrole nad njima. Na ovaj način promene će se dešavati i u pogledu sistema upravljanja društvom, a poseban pritisak se očekuje u odnosu na funkciju upravljanja rizicima i funkciju praćenja usklađenosti poslovanja.

Od društava se očekuje sprovođenje u delo sveobuhvatnog okvira za upravljanje IKT rizicima kao deo celokupnog sistema upravljanja rizicima, uključujući strategije, politike, smernice, procedure, protokole i aplikacije neophodne za adekvatnu zaštitu svih informacionih i IKT resursa od štetnih uticaja svake vrste. Kako bi bila u mogućnosti da prevaziđu te rizike, društva će morati da uspostave interne procese za otkrivanje, upravljanje i obaveštavanje o incidentima vezanim za IKT, kao i programe za pregled sopstvene digitalne operativne stabilnosti. Stoga, osiguravajuća društva biće u obavezi da uspostave mere procene rizika i bezbednosti, kao i da usvoje strategija za upravljanje IKT rizicima kako bi bila u mogućnosti da odgovore na izazove digitalnog okruženja u kome danas posluju.6

Osiguravajuća društva koja uspešno integrišu digitalne tehnologije u svoje poslovanje imaju potencijal da značajno unaprede svoju konkurentnost na tržištu, te da pruže kvalitetnije i efikasnije usluge svojim klijentima. Digitalno okruženje ne samo da transformiše način na koji posluju već i otvara nove prilike za inovacije i rast u delatnosti osiguranja. U tom aspektu, postojanje detaljne regulative za obezbeđivanje digitalne operativne otpornosti biće im od posebnog značaja.

1 S. Senabre, I. Soto, J. Munera, „Strengthening the Cyber Resilience of the Financial Sector – Developments and Trends“, Financial Stability Review, 2021, 89-90.

2 P. Pelc, „The Role of Cybersecurity in the Public Sphere – The European Dimension. Financial Institutions“, in: The Role of Cybersecurity in the Public Sphere – The European Dimension (eds. K. C. Jentkiewicz, I. Hoffman), Maribor, 2022, 60.

3 Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148, Official Journal of the European Union L333/80 – NIS 2 Directive.

4 Regulation (EU) 2022/2554 of the European Parliament And of The Council Of 14 December 2022 on Digital Operational Resilience For The Financial Sector And Amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011, Official Journal of the European Union L333/1 – DORA.

5 J. R. Martínez Resano, „Digital Resilience and Financial Stability – The Quest For Policy Tools in The Financial Sector“, Revista de Estabilidad Financiera, 2022, 77.

6 T. Ammann, I. Syed, V. Sanchez, „Exploring Operational Resilience in Financial Services – the Effects of DORA on Risk and Regulation in Top 3 Financial Markets“, Computer Law Review International, 2/2023, 44.

Više o uticaju nove regulative na rad osiguravajućih društava možete čitati u članku:

I. Tošić, „Poslovanje osiguravajućih društava u digitalnom okruženju – šta nam donosi DORA?“ objavljenog u časopisu Tokovi osiguranja, br. 1/2025 na sledećem linku.

Iva Tošić

Dr Iva Tošić je docent Pravnog fakulteta Univerziteta UNION u Beogradu. Oblasti njenog interesovanja su trgovinsko pravo, kompanijsko pravo, pravo osiguranja.

Kontakt
Lična stranica
Bibliografija

Podelite