Norma ASF nr. 25/2021 privind guvernanţa şi securitatea sistemelor de tehnologia informaţiilor şi a comunicaţiilor utilizate de către societăţile de asigurare şi de reasigurare

În M. Of. nr. 877 din 13 septembrie 2021 s-a publicat Norma Autorității de Supraveghere Financiară (ASF) nr. 25/2021 privind guvernanța și securitatea sistemelor de tehnologia informațiilor și a comunicațiilor utilizate de către societățile de asigurare și de reasigurare. 

Vă prezentăm, în continuare, cele mai importante dispoziții din respectiva normă.

Art. 2: Responsabilitatea conducerii

„(1) Conducerea stabilește și aprobă, în cadrul strategiei generale de afaceri, strategia TIC și în cadrul politicii generale privind continuitatea activității, politica privind continuitatea activității TIC; de asemenea, conducerea aprobă politica privind securitatea cibernetică și raportul de management al riscului TIC.

(2) Conducerea este responsabilă pentru:

a) asigurarea comunicării în timp util către personalul relevant și furnizorii de servicii TIC a strategiei TIC și a politicii privind continuitatea activității TIC;

b) asigurarea supervizării aplicării în practică a strategiei TIC și a politicii privind continuitatea activității TIC;

c) managementul efectiv și adecvat al riscului TIC în cadrul sistemului de guvernanță;

d) alocarea de resurse suficiente și adecvate pentru asigurarea guvernanței și securității sistemelor TIC.

(3) Conducerea asigură aplicarea unor programe de instruire periodică cu scopul ca personalul să dețină în permanență pregătirea necesară pentru aplicarea strategiei TIC și pentru desfășurarea eficientă a operațiunilor TIC și a proceselor de management al riscului TIC”.

Art. 4: Procesul de management al riscului TIC

„(1) În cadrul procesului de management al riscului TIC, societățile determină nivelul toleranței la risc, în concordanță cu strategia generală de risc adoptată.

(2) Procesul de management al riscului TIC derulat de societăți are în vedere cel puțin următoarele:

a) cartarea periodică a elementelor TIC pentru a stabili interdependența dintre acestea și riscurile TIC;

b) identificarea și evaluarea riscurilor TIC pe baza unor criterii stabilite în funcție de nivelul de semnificație al elementelor TIC, vulnerabilitățile cunoscute și incidentele anterioare;

c) clasificarea elementelor TIC expuse la riscurile TIC în funcție de pragul de semnificație stabilit și de nivelul de protecție a acestora din punctul de vedere al confidențialității, integrității și disponibilității;

d) identificarea proprietarilor de active TIC pentru a se realiza clasificarea prevăzută la lit. c);

e) metodele utilizate pentru determinarea pragului de semnificație și a nivelului de protecție prevăzute la lit. c) pentru a se asigura o abordare unitară și consecventă;

f) evaluarea și documentarea periodic a riscurilor TIC;

g) evaluarea și documentarea riscurilor TIC înainte de realizarea unor modificări semnificative ale infrastructurii și ale procedurilor care au impact asupra elementelor TIC;

h) stabilirea metodelor și a măsurilor pentru gestionarea, monitorizarea și raportarea riscurilor identificate;

i) stabilirea metodelor și a măsurilor pentru protejarea activelor TIC în funcție de clasificarea acestora;

j) stabilirea metodelor și a măsurilor pentru gestionarea, monitorizarea și raportarea riscurilor reziduale.

(3) Raportul periodic de management al riscului prezentat conducerii include și rezultatele procesului de management al riscului TIC”.

Art. 6: Prevederi generale referitoare la securitatea cibernetică

„(1) În vederea implementării strategiei TIC stabilite și aprobate de conducere conform art. 2 alin. (1), societățile instituie politici privind securitatea cibernetică în care stabilesc principii și reguli pentru a se asigura respectarea confidențialității, integrității și disponibilității activelor TIC.

(2) În politicile prevăzute la alin. (1), societățile au în vedere cel puțin:

a) alocarea clară a atribuțiilor și răspunderii pentru managementul securității cibernetice;

b) criteriile avute în vedere la derularea proceselor și achiziționarea echipamentelor tehnologice;

c) cerințele specifice pentru tot personalul în funcție de nivelul ierarhic.

(3) Societățile elaborează proceduri în vederea punerii în practică a politicilor prevăzute la alin. (1) având drept scop dezvoltarea de procese prin care să minimizeze riscurile TIC.

(4) Societățile desemnează persoanele cărora le alocă atribuțiile funcției de securitate cibernetică care este independentă de funcțiile operaționale și de cele de dezvoltare a sistemelor TIC, pentru a putea asigura în mod obiectiv securitatea cibernetică.

(5) Prin excepție de la prevederile alin. (4), societățile pot aloca atribuțiile funcției de securitate cibernetică unor persoane care dețin funcții operaționale, cu respectarea principiului documentării, numai dacă sunt îndeplinite cumulativ următoarele condiții:

a) cumularea funcțiilor este necesară date fiind natura, amploarea și complexitatea riscurilor inerente activității;

b) nu apar conflicte de interese pentru persoanele care exercită funcția de securitate cibernetică;

c) costurile pentru menținerea în funcția de securitate cibernetică a unor persoane care nu exercită alte funcții ar genera pentru societăți costuri disproporționate în raport cu totalul cheltuielilor administrative.

(6) Funcția instituită conform alin. (4) are cel puțin următoarele atribuții:

a) consiliază conducerea în vederea stabilirii politicii privind securitatea cibernetică;

b) asigură cunoașterea de către toți furnizorii de servicii TIC și de către toți angajații care au acces la date și la sistemele TIC a politicii privind securitatea cibernetică prin organizarea unor sesiuni de informare și de instruire;

c) supervizează aplicarea și respectarea procedurilor prevăzute la alin. (3) de către furnizorii de servicii TIC și de către toți angajații care au acces la date și la sistemele TIC;

d) coordonează procesul de verificare a producerii incidentelor de securitate;

e) transmite un raport către conducere, periodic sau ad-hoc, referitor la stadiul elementelor menționate la lit. a) – d)”.

Art. 8: Planurile pentru asigurarea continuității activității

„(1) Societățile instituie planuri pentru asigurarea continuității activității în care prevăd cel puțin:

a) obligația de identificare a riscurilor care pot afecta sistemele TIC și serviciile TIC;

b) măsuri pentru a proteja sau a restabili confidențialitatea, integritatea și disponibilitatea elementelor TIC;

c) perioadele maxime de restabilire a funcționalității sistemelor TIC în situațiile în care se înregistrează incidente;

d) perioadele maxime în care datele pot fi pierdute în cazul în care se produc incidente la anumite niveluri ale serviciilor TIC;

e) realizarea unui număr suficient de teste și de scenarii de disfuncționalitate a sistemelor TIC;

f) realizarea de scenarii de atac cibernetic controlat asupra sistemelor TIC pentru verificarea rezilienței cibernetice a acestora, prin tehnici, tactici și proceduri cunoscute de efectuare a unui atac cibernetic, care are în vedere zone de date, procese, tehnologii și angajați care nu sunt avertizați și fără ca simularea respectivă să aibă efecte negative asupra operațiunilor în desfășurare;

g) realizarea de analize în urma testelor și scenariilor pentru determinarea nivelului de asigurare a securității cibernetice;

h) măsurile pentru comunicarea eficientă și în timp util atât intern, cât și cu factori externi în caz de urgență sau de funcționare defectuoasă a sistemelor TIC;

i) actualizarea periodică a planurilor în funcție de rezultatele testelor efectuate, de evenimentele înregistrate și de modificarea obiectivelor și a activității.

(2) În vederea elaborării planurilor pentru asigurarea continuității activității, societățile colaborează cu toți factorii externi și interni adecvați.

(3) În cadrul planurilor pentru asigurarea continuității activității, societățile prevăd realizarea unor analize de impact pe bază de scenarii pentru a evalua efectele cantitative și calitative ale unor disfuncționalități severe, având în vedere cel puțin:

a) datele interne și externe;

b) clasificarea elementelor TIC în funcție de nivelul de semnificație;

c) interdependențele dintre elementele TIC.

(4) În funcție de analizele de impact realizate conform alin. (3), societățile configurează sistemele și serviciile TIC astfel încât să prevină disfuncționalitățile cauzate de evenimentele care afectează componentele-cheie.

(5) Pe baza analizelor de impact realizate conform alin. (3), societățile elaborează planuri privind modalitatea de reacție și de recuperare a sistemelor TIC și serviciilor TIC astfel încât să se minimizeze efectele negative asupra activității, în care prevăd cel puțin:

a) obiectivele procesului de recuperare;

b) situațiile care determină activarea planurilor respective;

c) alocarea în mod clar a responsabilităților și atribuțiilor;

d) măsurile pentru asigurarea integrității, disponibilității și recuperării în principal a celor mai importante active TIC, activități și servicii TIC;

e) măsurile pentru situațiile în care recuperarea nu este posibilă într-un termen scurt și factorii care pot afecta recuperarea;

f) măsurile pentru asigurarea continuității în cazul în care furnizorii de servicii TIC înregistrează disfuncționalități, având în vedere politica privind sistemul de guvernanță și, în special, politica privind externalizarea;

g) măsuri pentru situațiile în care sunt activate clauzele de reziliere a contractelor de externalizare;

h) condițiile care necesită actualizarea planurilor respective.

(6) Societățile actualizează planurile prevăzute la alin. (5) în funcție de incidentele înregistrate anterior, de rezultatele testelor efectuate, de noile riscuri identificate, de modificarea obiectivelor privind procesul de recuperare, de modificarea priorităților și de alte elemente pe care le consideră necesare.

(7) Planurile prevăzute la alin. (5) sunt documentate, sunt accesibile personalului adecvat și departamentelor-suport în caz de urgență și au în vedere măsuri pe termen scurt și pe termen lung”.

Art. 10: Dezvoltarea internă a sistemelor TIC sau achiziționarea acestora

„(1) Societățile instituie politici bazate pe risc referitoare la dezvoltarea internă a sistemelor TIC sau la achiziționarea acestora, care au drept scop menținerea sistemelor respective astfel încât să se respecte cerințele de securitate cibernetică privind confidențialitatea, integritatea și disponibilitatea datelor.

(2) Societățile stabilesc în mod clar obiectivele tehnice, cerințele operaționale și neoperaționale, regulile de securitate cibernetică înainte de achiziționarea sau dezvoltarea internă a sistemelor TIC.

(3) Societățile stabilesc proceduri pentru prevenirea unor modificări neintenționate sau intenționate ale sistemelor TIC în timpul dezvoltării interne a acestora și se asigură că furnizorii de servicii TIC au instituite proceduri similare.

(4) Societățile stabilesc proceduri pentru asigurarea integrității codurilor-sursă ale sistemelor TIC și pentru documentarea întregului proces de dezvoltare a sistemelor TIC astfel încât să reducă dependența de experți.

(5) Societățile includ în procedurile referitoare la achiziționarea sau dezvoltarea internă a sistemelor TIC măsuri pentru utilizatorii finali ai aplicațiilor; de asemenea, mențin un registru al aplicațiilor critice pentru activitate”.

Art. 11: Prevederi finale și intrarea în vigoare

„(1) În cadrul sistemului de guvernanță, societățile pun în aplicare toate procedurile și politicile elaborate conform prevederilor prezentei norme, în vederea asigurării guvernanței și securității sistemelor TIC.

(2) Nerespectarea prevederilor prezentei norme se sancționează de către Autoritatea de Supraveghere Financiară conform prevederilor art. 163 din Legea nr. 237/2015, cu modificările și completările ulterioare.

(3) Prezenta normă se publică în Monitorul Oficial al României, Partea I, și intră în vigoare la data publicării acesteia.

(4) Pentru a efectua modificările necesare în vederea conformării cu prevederile prezentei norme, societățile revizuiesc sistemul de guvernanță instituit, politicile și procedurile până la data de 30 iunie 2022 și revizuiesc contractele de externalizare până la data de 31 decembrie 2022”.