sexta, 25 novembro 2022

Regulamentação da ASF sobre Segurança e Governação das TIC

Volver

Com o objetivo de garantir que as empresas de seguros e de resseguros se encontram dotadas dos meios necessários para gerir os riscos associados às TIC e à respetiva segurança, foi publicada, no passado dia 30 de junho, a Norma Regulamentar da ASF nº 6/2022-R (“Norma”), a qual veio regular, por um lado, a Segurança e Governação das TIC e, por outro, o regime da subcontratação, por parte das empresas de seguros e de resseguros, a prestadores de serviços de computação em nuvem.

Esta Norma é aplicável a todas as empresas de seguros e de resseguros com sede em Portugal, bem como às sucursais de empresas de seguros e de resseguros de países terceiros que exerçam a sua atividade em Portugal e ainda aos grupos seguradores ou resseguradores, quando a ASF seja o supervisor do grupo. Destaca-se, por isso, a não aplicação da Norma às sucursais de empresas de seguros e de resseguros cujo país da sede seja outro Estado-Membro da União Europeia.

A Norma estabelece que caberá ao órgão de administração da empresa de seguros ou de resseguros a responsabilidade por estabelecer um sistema eficaz para a gestão dos riscos associados às TIC e à segurança como parte do sistema de gestão global dos riscos da empresa. Neste sentido, as referidas entidades deverão, entre outras coisas, identificar e medir todos os riscos associados às TIC e à segurança a que estão expostas e avaliar os requisitos de proteção relativos, pelo menos, à confidencialidade, integridade e disponibilidade dos processos e atividades de negócio, funções de negócio, tarefas e ativos.

Por outro lado, o órgão de administração deverá também definir e garantir a aplicação de uma estratégia nesta matéria, onde se estabelecerá a forma como as TIC das empresas devem evoluir de modo a apoiar e aplicar eficazmente a sua estratégia de negócio, incluindo a evolução da estrutura organizacional, os modelos de negócio, o sistema de TIC e as suas principais dependências relativamente aos prestadores de serviços.

A Norma prevê ainda a obrigação de realização de uma auditoria periódica aos sistemas e processos das empresas no âmbito dos riscos associados às TIC e à segurança, auditoria essa que deverá ser independente e objetiva.

Acresce também a obrigação de as empresas de seguros disporem de uma política de segurança da informação, reduzida a escrito, a qual incluirá uma definição dos principais princípios e regras para a proteção da confidencialidade, integridade e disponibilidade da informação das empresas. As empresas de seguros deverão ainda criar e aplicar procedimentos para monitorizar continuamente as atividades que afetem a segurança da informação.

No que concerne à subcontratação de serviços de computação em nuvem, deverá ser assegurado que qualquer decisão de subcontratação de funções operacionais ou atividades fundamentais ou importantes é tomada com base numa avaliação de risco exaustiva, incluindo, entre outras coisas, todos os riscos relevantes inerentes ao acordo, a continuidade de negócio e o cumprimento da legislação e regulamentação aplicável.

Sempre que forem subcontratadas funções ou atividades operacionais fundamentais, as empresas de seguros deverão dar prévio conhecimento à ASF. Para além disso, deverá ser celebrado um acordo de subcontratação escrito, o qual deverá obedecer a um conteúdo mínimo estipulado pela Norma. Neste acordo, deverão ser estabelecidos requisitos específicos de segurança da informação, cujo cumprimento deverá ser regularmente controlado. É essencial realçar que as empresas de seguros e de resseguros deverão acompanhar e supervisionar permanentemente as atividades dos seus prestadores de serviços, podendo exercer os seus direitos de acesso e de auditoria, bem como deverão definir uma estratégia de saída, relativamente a cada acordo de subcontratação celebrado.

Não obstante o exposto neste artigo, alertamos que será importante que as empresas de seguros e de resseguros façam uma análise mais detalhada desta Norma, no sentido de tomarem efetivo conhecimento de todos os direitos e obrigações que a mesma lhes veio atribuir.

A equipa de advogados do Departamento de Direito dos Seguros da Belzuz Abogados S.L.P. – Sucursal em Portugal tem uma larga experiência na assessoria jurídica a empresas de seguros e resseguros, nacionais e internacionais, bem como a particulares, e poderá ser um auxílio importante no esclarecimento de todo o tipo de questões que possam surgir em matéria de seguros.

 Luis Filipe Faria Luis Filipe Faria 

Departamento Direito dos Seguros | Portugal

 

Belzuz Advogados SLP

A presente Nota Informativa destina-se a ser distribuída entre Clientes e Colegas e a informaçăo nela contida é prestada de forma geral e abstracta, năo devendo servir de base para qualquer tomada de decisăo sem assistęncia profissional qualificada e dirigida ao caso concreto. O conteúdo desta Nota Informativa năo pode ser utilizada, ainda que parcialmente, para outros fins, nem difundida a terceiros sem a autorizaçăo prévia desta Sociedade. O objectivo desta advertęncia é evitar a incorrecta ou desleal utilizaçăo deste documento e da informaçăo, questőes e conclusőes nele contidas.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Lisboa

Belzuz Advogados - Escritório de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Porto

Belzuz Advogados - Escritório do Porto

Rua Julio Dinis 204, Off 314

  4050-318 Porto

+351 22 938 94 52

+351 22 938 94 54

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Associações

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa