Retningslinjer for IKT-sikkerhet og -governance

Retningslinjene retter seg mot forsikringsforetak. Formålet med retningslinjene er å klargjøre kravene til håndtering av IKT-sikkerhetsrisiko i foretakene, fastsette minimumskrav til forventede nivåer for informasjons- og cybersikkerhet og unngå potensiell regulatorisk arbitrasje (foretak skal underlegges samme regulatoriske krav til tjenestene i alle EU/EØS-land).

Norge har siden 2003 hatt IKT-forskriften som regulerer de områder som retningslinjene omfatter. Det er Finanstilsynets vurdering at de nye retningslinjene fra EIOPA er dekkende for de områdene foretakene skal vurdere risiko for, og at de gir en nyttig utdyping på områder som reguleres av IKT-forskriften.

Retningslinjene gir veiledning om hvordan bestemmelsene knyttet til operasjonell risiko i direktiv 2009/138/EC (Solvens II), utfyllende regler for Solvens II i delegert kommisjonsforordning 2015/35 og EIOPAs retningslinjer for styring og kontroll (EIOPA BoS 14/253), samt EIOPAs retningslinjer for utkontraktering til skytjenesteleverandører (EIOPA BoS 19/270), skal forstås.

Finanstilsynet har bekreftet at retningslinjene vil bli fulgt i Norge fra samme dato som retningslinjene skal gjelde i EU, 1. juli 2021.

Finanstilsynet vil oppdatere sin tilsynspraksis og forventninger til behandling av IKT-sikkerhetsrisiko i tråd med de nye retningslinjene.

Finanstilsynet vil arrangere et Webinar med gjennomgang av hvilke konsekvenser de nye retningslinjene vil ha for forsikringsbransjen i Norge. Nærmere informasjon vil bli lagt ut på våre nettsider.

Mer informasjon Guidelines on information and communication technology security and governance:

• Guidelines on information and communication technology security and governance