Com o objetivo de garantir que as empresas de seguros e de resseguros se encontram dotadas dos meios necessários para gerir os riscos associados às TIC e à respetiva segurança, foi publicada, no passado dia 30 de junho, a Norma Regulamentar da ASF nº 6/2022-R (“Norma”), a qual veio regular, por um lado, a Segurança e Governação das TIC e, por outro, o regime da subcontratação, por parte das empresas de seguros e de resseguros, a prestadores de serviços de computação em nuvem.
Esta Norma é aplicável a todas as empresas de seguros e de resseguros com sede em Portugal, bem como às sucursais de empresas de seguros e de resseguros de países terceiros que exerçam a sua atividade em Portugal e ainda aos grupos seguradores ou resseguradores, quando a ASF seja o supervisor do grupo. Destaca-se, por isso, a não aplicação da Norma às sucursais de empresas de seguros e de resseguros cujo país da sede seja outro Estado-Membro da União Europeia.
A Norma estabelece que caberá ao órgão de administração da empresa de seguros ou de resseguros a responsabilidade por estabelecer um sistema eficaz para a gestão dos riscos associados às TIC e à segurança como parte do sistema de gestão global dos riscos da empresa. Neste sentido, as referidas entidades deverão, entre outras coisas, identificar e medir todos os riscos associados às TIC e à segurança a que estão expostas e avaliar os requisitos de proteção relativos, pelo menos, à confidencialidade, integridade e disponibilidade dos processos e atividades de negócio, funções de negócio, tarefas e ativos.
Por outro lado, o órgão de administração deverá também definir e garantir a aplicação de uma estratégia nesta matéria, onde se estabelecerá a forma como as TIC das empresas devem evoluir de modo a apoiar e aplicar eficazmente a sua estratégia de negócio, incluindo a evolução da estrutura organizacional, os modelos de negócio, o sistema de TIC e as suas principais dependências relativamente aos prestadores de serviços.
A Norma prevê ainda a obrigação de realização de uma auditoria periódica aos sistemas e processos das empresas no âmbito dos riscos associados às TIC e à segurança, auditoria essa que deverá ser independente e objetiva.
Acresce também a obrigação de as empresas de seguros disporem de uma política de segurança da informação, reduzida a escrito, a qual incluirá uma definição dos principais princípios e regras para a proteção da confidencialidade, integridade e disponibilidade da informação das empresas. As empresas de seguros deverão ainda criar e aplicar procedimentos para monitorizar continuamente as atividades que afetem a segurança da informação.
No que concerne à subcontratação de serviços de computação em nuvem, deverá ser assegurado que qualquer decisão de subcontratação de funções operacionais ou atividades fundamentais ou importantes é tomada com base numa avaliação de risco exaustiva, incluindo, entre outras coisas, todos os riscos relevantes inerentes ao acordo, a continuidade de negócio e o cumprimento da legislação e regulamentação aplicável.
Sempre que forem subcontratadas funções ou atividades operacionais fundamentais, as empresas de seguros deverão dar prévio conhecimento à ASF. Para além disso, deverá ser celebrado um acordo de subcontratação escrito, o qual deverá obedecer a um conteúdo mínimo estipulado pela Norma. Neste acordo, deverão ser estabelecidos requisitos específicos de segurança da informação, cujo cumprimento deverá ser regularmente controlado. É essencial realçar que as empresas de seguros e de resseguros deverão acompanhar e supervisionar permanentemente as atividades dos seus prestadores de serviços, podendo exercer os seus direitos de acesso e de auditoria, bem como deverão definir uma estratégia de saída, relativamente a cada acordo de subcontratação celebrado.
Não obstante o exposto neste artigo, alertamos que será importante que as empresas de seguros e de resseguros façam uma análise mais detalhada desta Norma, no sentido de tomarem efetivo conhecimento de todos os direitos e obrigações que a mesma lhes veio atribuir.
A equipa de advogados do tem uma larga experiência na assessoria jurídica a empresas de seguros e resseguros, nacionais e internacionais, bem como a particulares, e poderá ser um auxílio importante no esclarecimento de todo o tipo de questões que possam surgir em matéria de seguros.