Rozporządzenie DORA w ubezpieczeniach – co oznacza?

PrzezInsly Aktualności w branży

Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza fundamentalne zmiany w podejściu do cyberbezpieczeństwa i odporności operacyjnej w sektorze ubezpieczeniowym. Od 17 stycznia 2025 roku, kiedy DORA weszło w życie, firmy ubezpieczeniowe muszą sprostać nowym wymaganiom regulacyjnym, które mają na celu wzmocnienie odporności cyfrowej całego sektora finansowego.

Spis treści
1. Czym jest rozporządzenie DORA?
2. Jaki wpływ ma DORA na sektor ubezpieczeniowy?
3. Jakie wymagania stawia DORA sektorowi ubezpieczeniowemu?
4. DORA a kolejne kroki – co jeszcze przed nami?

Czym jest rozporządzenie DORA?

DORA to kompleksowe ramy regulacyjne wprowadzone przez Unię Europejską w celu zwiększenia cyfrowej odporności operacyjnej sektora finansowego, w tym ubezpieczeniowego. 

Rozporządzenie to:

  • Adresuje krytyczną lukę w dotychczasowych regulacjach UE dotyczących zarządzania ryzykiem operacyjnym
  • Wprowadza jednolite standardy zarządzania ryzykiem ICT dla całego sektora finansowego
  • Wymaga od instytucji finansowych wdrożenia rygorystycznych środków ochrony przed incydentami związanymi z ICT
  • Obejmuje nie tylko tradycyjne instytucje finansowe, ale również dostawców usług ICT dla sektora

DORA uznaje, że incydenty ICT i brak odporności operacyjnej mogą zagrozić stabilności całego systemu finansowego, nawet gdy „odpowiedni” kapitał jest alokowany na tradycyjne kategorie ryzyka.

Jaki wpływ ma DORA na sektor ubezpieczeniowy?

DORA ma znaczący wpływ na sektor ubezpieczeniowy, wprowadzając szereg nowych wymagań i zmieniając podejście do zarządzania ryzykiem cyfrowym:

  1. Wzmocnione zarządzanie ryzykiem ICT – firmy ubezpieczeniowe muszą wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, obejmujące identyfikację, ochronę i łagodzenie ryzyk.
  2. Raportowanie incydentów – ubezpieczyciele są zobowiązani do klasyfikowania i raportowania znaczących incydentów ICT organom regulacyjnym.
  3. Testowanie odporności operacyjnej – regularne testowanie systemów ICT staje się obowiązkowe, w tym coroczne oceny podatności i testy penetracyjne.
  4. Zarządzanie ryzykiem związanym z dostawcami zewnętrznymi – firmy muszą zarządzać ryzykiem związanym z zewnętrznymi dostawcami usług ICT, przeprowadzając dokładne oceny i utrzymując rejestr wszystkich umów.
  5. Nowe możliwości dla insurtech – DORA stwarza okazje dla firm insurtech do oferowania rozwiązań pomagających tradycyjnym ubezpieczycielom spełnić wymogi regulacyjne.

Jakie wymagania stawia DORA sektorowi ubezpieczeniowemu?

DORA wprowadza szereg konkretnych wymagań dla sektora ubezpieczeniowego:

  • Wdrożenie kompleksowych ram zarządzania ryzykiem ICT
  • Ustanowienie systemów klasyfikacji i raportowania incydentów ICT
  • Regularne testowanie odporności operacyjnej, w tym coroczne oceny podatności
  • Zarządzanie ryzykiem związanym z zewnętrznymi dostawcami usług ICT
  • Bezpośrednia odpowiedzialność kadry kierowniczej za nadzór nad wdrażaniem zgodności z DORA
  • Zachęcanie do dzielenia się informacjami o zagrożeniach cybernetycznych między podmiotami finansowymi

DORA a kolejne kroki – co jeszcze przed nami?

Wdrożenie DORA to proces ciągły, który będzie ewoluował w najbliższych latach:

  1. Dostosowanie do nowych standardów – firmy ubezpieczeniowe muszą systematycznie identyfikować i zamykać luki w swoich systemach i procesach, aby spełnić wymagania DORA.
  2. Ciągłe monitorowanie i dostosowywanie – DORA wymaga ciągłego monitorowania, regularnych korekt i konserwacji systemów IT i procesów.
  3. Potencjalne zmiany w ubezpieczeniach cybernetycznych – ubezpieczyciele mogą wprowadzić zmiany w procesie underwritingu i rozważyć ograniczenia w zakresie ochrony ubezpieczeniowej w odpowiedzi na nowe wymogi regulacyjne.
  4. Możliwe zachęty dla zgodnych organizacji – firmy ubezpieczeniowe, które wykażą zgodność z DORA, mogą w przyszłości korzystać z uproszczonych procesów underwritingu i potencjalnie lepszych warunków ubezpieczenia.
  5. Integracja DORA z szerszymi strategiami transformacji cyfrowej – ubezpieczyciele powinni traktować DORA jako okazję do zintegrowania inicjatyw cyfrowych na poziomie zarządzania, co może przyspieszyć adopcję technologii cyfrowych w całej organizacji.

Podsumowując, DORA stanowi znaczące wyzwanie dla sektora ubezpieczeniowego, ale jednocześnie stwarza okazję do wzmocnienia odporności cyfrowej i modernizacji operacji. Firmy, które skutecznie wdrożą wymagania DORA, nie tylko spełnią wymogi regulacyjne, ale także zyskają przewagę konkurencyjną w coraz bardziej cyfrowym świecie ubezpieczeń.

Inne ciekawe artykuły: