Infrastructure informatique
Cadre règlementaire
- Loi Solvabilité II : Art. 42, § 1er, 7° (sécurité) et 9° (continuité)
- Règlement délégué 2015/35 : Art. 258, paragraphe 1er, i) (enregistrement des activités), j) (sécurité IT) et paragraphe 3 (continuité)
- Circulaires BNB thématique sous-jacentes :
- la circulaire NBB_2020_18 du 5 mai 2020 concernant les recommandations de la Banque relatives à la sous-traitance de service en nuage,
- la circulaire NBB_2009_17 du 7 avril 2009 concernant la sécurité IT,
- la communication NBB_2012_11 du 9 octobre 2012 concernant le Cloud computing,
- la circulaire NBB_2015_32 concernant la continuité,
- Guidelines EIOPA: /
La loi Solvabilité II et le Règlement délégué 2015/35 n’ont pas modifié le cadre règlementaire applicable en matière d’infrastructure ICT. Dès lors, sont rappelés ci-dessous les grands axes des exigences réglementaires en matière de sécurité informatique, de continuité des activités et de Cloud Computing. Pour plus de détails, il est renvoyé aux circulaires sous-jacentes.
10.1. Sécurité informatique (y compris la cybersécurité)
Les entreprises d’assurance doivent avoir un système informatique performant (permettant un enregistrement des activités) et disposer de mécanismes de contrôle et de sécurité appropriés dans le domaine informatique. Cela vaut non seulement pour des domaines tels que l'externalisation et la continuité des activités, qui sont abordés ailleurs dans cette circulaire, mais également pour les services d’assurance offerts via internet. Voyez à ce propos la circulaire NBB_2009_17 concernant la sécurité IT et la circulaire NBB_2015_32 concernant la continuité (circulaires initiellement destinées aux entreprises systémiques et dont la Banque recommande à l’ensemble des entreprises et groupes d’importance significative de s’y conformer).
Par ailleurs, la Banque insiste sur l’importance de la cybersécurité. Ainsi, elle s’attend à ce que dorénavant les entreprises d’assurance adoptent, dans le cadre de leur dispositif de sécurité informatique visé ci-dessus, les mesures nécessaires pour gérer les cyberrisques. Ces mesures sont à réévaluer et mettre à jour régulièrement afin d’y intégrer les techniques et meilleures pratiques les plus récentes.
10.2. Cloud Outsourcing
L’entreprise d’assurance détermine si un dispositif conclu avec un prestataire de service en nuage (« cloud ») relève de la définition de sous-traitance conformément à la Loi Solvabilité II. Si c’est le cas, en complément des exigences générales en matière de sous-traitance reprises dans le chapitre 7 de la présente circulaire, l’entreprise doit également respecter les recommandations spécifiques pour le cloud outsourcing précisées dans la communication NBB_2012_11 et, à partir du 1er janvier 2021, celles de la circulaire NBB 2020_018 .