IT-infrastructuur
Regelgevend kader
- Solvabiliteit II-wet: Art. 42, § 1, 7° (beveiliging) en 9° (continuïteit)
- Gedelegeerde Verordening 2015/35: Art. 258, lid 1, i) (registratie van de werkzaamheden), j) (IT-veiligheid) en lid 3 (continuïteit)
- Onderliggende thematische NBB-circulaire:
- circulaire NBB_2020_018 van 5 mei 2020 over de aanbevelingen van de Bank inzake uitbesteding van clouddiensten
- circulaire NBB_2009_17 van 7 april 2009 over IT-veiligheid
- mededeling NBB_2012_11 van 9 oktober 2012 over cloudcomputing
- circulaire NBB_2015_32 over de continuïteit en
- Guidelines EIOPA : /
De Solvabiliteit II-wet en Gedelegeerde Verordening 2015/35 hebben het bestaand regelgevend kader voor IT-infrastructuur niet gewijzigd. Derhalve worden hieronder in grote lijnen de reglementaire vereisten op het gebied van IT-veiligheid, bedrijfscontinuïteit en cloudcomputing geschetst. Voor meer details wordt verwezen naar de onderliggende circulaires.
10.1. IT-veiligheid (Inclusief cyberveiligheid)
De verzekeringsondernemingen dienen te beschikken over een goed functionerend IT-systeem (waarmee de werkzaamheden kunnen worden bijgehouden) en over passende controle- en beveiligingsmaatregelen op informaticagebied. Naast domeinen zoals uitbesteding en bedrijfscontinuïteit, die elders in deze circulaire aan bod komen, geldt dit ook voor verzekeringsdiensten die via het internet worden aangeboden. Zie in dit verband circulaire NBB_2009_17 over IT-veiligheid en circulaire NBB_2015_32 over de continuïteit (de Bank raadt alle significante ondernemingen en groepen aan deze oorspronkelijk bedoeld was voor de systeemrelevante ondernemingen, na te leven).
Daarnaast benadrukt de Bank het belang van cyberveiligheid. Zo verwacht ze dat verzekeringsondernemingen in het kader van hun hierboven bedoelde IT-veiligheidssysteem de nodige maatregelen nemen om cyberrisico’s te beheren. Deze maatregelen dienen regelmatig te worden herzien en bijgewerkt om er de meest recente technieken en best practices in te kunnen integreren.
10.2. Cloudcomputing
De verzekeringsonderneming bepaalt of een met een aanbieder van clouddiensten gesloten regeling valt onder de definitie van uitbesteding overeenkomstig de Solvabiliteit II-wet. Zo ja moet de onderneming, naast de in Hoofdstuk 7 van deze circulaire opgenomen algemene vereisten inzake uitbesteding, ook voldoen aan de specifieke aanbevelingen voor cloud outsourcing die nader worden toegelicht in mededeling NBB_2012_11 alsook, vanaf 1 januari 2021, de aanbevelingen van circulaire NBB_2020_018.