Foi publicado em 3 de maio de 2021 o Edital de Consulta Pública nº 15 SUSEP, que disponibiliza para participação da sociedade o texto de Circular dispondo sobre requisitos de segurança cibernética a serem observados pelas sociedades seguradoras, entidades abertas de previdência complementar (EAPC), sociedades de capitalização e resseguradores locais.
O crescente número de ataques cibernéticos identificados recentemente no Brasil e no resto do mundo foi um dos motivos expostos pela SUSEP para que as entidades supervisionadas passem a cumprir com requisitos mínimos de segurança cibernética. A nova regra tem por objetivo minimizar as vulnerabilidades dos sistemas utilizados pelas entidades supervisionadas e garantir maior segurança aos segurados, tomadores e beneficiários.
A minuta proposta garante que o mercado de seguros esteja em linha com os princípios e foco regulatórios já abordados por outros órgãos supervisores do Sistema Financeiro Nacional, como o Conselho Monetário Nacional e a Comissão de Valores Mobiliários, e às melhores práticas internacionais.
Nesse contexto, a minuta estabelece que a gestão do risco cibernético deve ser inserida no contexto do Sistema de Controles Internos e da Estrutura de Gestão de Risco e deve (i) estar alinhada a uma política de segurança cibernética, (ii) criar procedimentos relativos à prevenção e resposta a incidentes e (iii) obedecer a critérios mínimos quando da terceirização de serviços de processamento e armazenamento de dados.
Estabeleceu-se a data de vigência da norma em 3 de janeiro de 2022, data compatível com o início esperado do projeto do open insurance, com previsão de prazos para que o mercado se adapte à nova regulamentação.
A consulta pública ficará aberta pelo prazo de 30 dias, a contar de sua publicação, e pode ser acessada em https://www.in.gov.br/en/web/dou/-/edital-de-consulta-publica-n-15/2021/susep-317401618.
Susep opens for public consultation a draft regulation on cyber security compliance requirements for supervised entities
On 3 May 2021, the Superintendence of Private Insurance (“SUSEP”) published a Draft Regulation for Public Consultation No. 015, which opens for public consultation a Circular that provides the cyber security requirements that must be observed by the insurance companies, open private pension entities (EAPC), capitalization companies and local reinsurers.
SUSEP has argued that this new rule takes into consideration the rise of cyber-attacks that were recently identified in Brazil and in the rest of the world. This increase has raised concerns among regulators over basic standards of cyber security that must be followed by the supervised entities. The purpose of the regulation is to reduce operational vulnerabilities of systems and to safeguard data of insureds, policyholders and beneficiaries.
The proposed regulation ensures that the insurance industry is aligned with best international standards and the approach adopted by other regulators of the Brazilian Financial System, such as the National Monetary Council and the Securities and Exchange Commission.
The regulation establishes that the management of cyber risk will be inserted in the context of the Internal Controls System and Risk Management Structure. Therefore, the supervised entities will be required to (i) have a cyber security policy; (ii) create procedures to prevent and respond to incidents; and (iii) follow minimum criteria for the outsourcing of services of data processing and storage.
SUSEP has proposed that the regulation comes becomes enforceable on 3 January 2022, which is compatible with the expected date for the go-alive of the open insurance project. The regulation also considers a term for the market to adapt to the new regulation.
The public consultation will be available for comments for 30 days from the publication, and is available on https://www.in.gov.br/en/web/dou/-/edital-de-consulta-publica-n-15/2021/susep-317401618.
Fonte: Campos Mello Advogados, em 07.05.2021