Ez az oldal biztosító társaságoknak, biztosításbrokereknek és visszabiztosítóknak szól, akik a SZTFH felügyelete alatt működnek és a 2024. október 24-i határidőig megfelelnek a Kiberbiztonsági törvénynek. Megismerheti az adatbiztonsággal, üzletmenet-folytonossággal és beszállítói kockázatkezeléssel kapcsolatos konkrét kötelezettségeket.
Azon biztosító társaságok, biztosításbrókerek és visszabiztosítók tartoznak a NIS2 hatálya alá, amelyek a magyar pénzügyi szabályozás szerinti működési engedéllyel rendelkeznek, vagy külföldi anyavállalat magyarországi leányként működik, valamint az olyan biztosításbrókerek, akik a Kiberbiztonsági törvény értelmében fontos szervezetnek minősülnek. Ezt a besorolást a SZTFH végzi, és az Annex II szerinti 'fontos szervezet' kategóriába kerülnek a jelentős biztosítási piaci részesedéssel vagy kritikus szerepet betöltő szolgáltatások nyújtásával rendelkezők.
A biztosító vállalatok kötelesek olyan technikai és szervezeti intézkedéseket bevezetni, amelyek védik a biztosítotti személyes adatokat, a kártörténetet, az értékelési és aktuáriusi adatokat tároló rendszereket. Ez magában foglalja a szenzitív adatok titkosítását szállítás és tárolás során, a hozzáférés-szabályozás (RBAC) szigorú megvalósítását és a biztosítotti portálokhoz való azonosítás többfaktoros hitelesítésének (MFA) kötelezővé tételét. A SZTFH ellenőrzi e rendszerek kockázatértékeléseit és zárt IT biztonsági auditjait.
A biztosítók felelősek azért, hogy a kártérítési feldolgozó platformok és a szolgáltatásnyújtási rendszerek legalább 72 óra alatt helyreálljanak jelentős operatív zavarok után. Ezt írott katasztrófa-helyreállítási tervvel és évente legalább egyszer végzett helyreállítási gyakorlattal kell igazolni. A tervban szerepelnie kell az alternatív feldolgozási helyeknek, az adatbázis-replikációnak és a kritikus üzletmenet-folytonossági mutatóknak (RTO/RPO).
A biztosítók kötelezettsége megállapítani és fenntartani egy formális szállítói kockázatkezelési keretrendszert minden olyan SaaS-szoftverhez, API-integrációhoz és biztosítási rendszerekhez, ahol külső szoftverszállító felelős. Ez magában foglalja a szállítók biztonsági tanúsítványainak ellenőrzését (ISO 27001, SOC 2), szerződésben rögzített biztonsági követelményeket és legalább éves biztonsági értékeléseket. A visszabiztosítói rendszerek szállítóinál különösen szigorú az ellenőrzés a pénzügyi stabilitási adatok miatt.
A biztosítók és alkuszok kötelesek formális kockázatértékeléseket végezni minden digitális értékesítési csatornájukra (webes portál, mobilalkalmazás, API-integrációk harmadik fél weboldalain). Az értékelésnek tartalmaznia kell az azonosítás és hozzáférés-szabályozás sérülékenységeit, az adatátvitel biztonságát és az üzletmenet-folytonossági kockázatokat. A függőleges biztosítási csatornák (életbiztosítás, vagyon) külön értékelést igényelnek az adatérzékenység miatt.
A biztosítók kötelesek a NIS2 szerinti incidensjelentési forgatókönyveket teljesíteni: az 1. szintű incidenseket (biztosítotti adatsérülés, operatív zavar 4 óránál hosszabb ideig) a SZTFH-nak 6 órán belül bejelenteni előzetes értékelésként, majd 72 órán belül részletes jelentéssel. A nyomzásmegőrzésre (logok, hálózati forgalom rögzítése) legalább 90 napig meg kell őrizni a biztonsági események nyomait, biztosítási rendszereknél az iparági gyakorlat szerint hosszabb megőrzést ajánlanak.
Ha a SZTFH fontos szervezetnek sorolt alkuszként működsz (amit a jelenlegi biztosítási piaci pozíciódon alapul megállapít), akkor igen, a NIS2 Annex II szerinti kötelezettségek rád vonatkoznak. Ez azt jelenti, hogy a saját biztonsági megköveteléseid mellett felelősségeddel tartozol az ügyfeleid adatainak és az underwriting platformjaid biztonsága. Az 50 fős méret nem automatikus felmentést ad, hanem a SZTFH szolgáltatott adatbázisában való szerepletből függ.
A szoftverszállítóidnak rendelkezniük kell legalább ISO/IEC 27001 (információ-biztonsági irányítási rendszer) vagy SOC 2 Type II tanúsítvánnyal, amely az utolsó 12 hónapon belüli auditot tartalmaz. Szerződésedben vagy adatfeldolgozási megállapodásban (DPA) ki kell kötni a szállító biztonsági teljesítési mutatóit (SLA) és az incidensjelentési kötelezettségeket, valamint az éves vagy kétéves biztonsági újraértékeléseit.
A NIS2 megsértése a Kiberbiztonsági törvény szerint több millió forintos pénzbírságokat von maga után (a magyar szabályozás szerint max. 50 millió forintos vagy az éves bevétel 4%-ának megfelelő bírság), valamint az SZTFH szankcióit, amely operatív korlátozások (biztosítási tevékenység felfüggesztése) vagy licencmegvonás lehet. A SZTFH 2024 októbere után fokozottabb ellenőrzéseket végez és a nem megfelelő szervezeteket nyilvánosan közzéteszi.