Европейские кэптивные компании столкнутся с дополнительным бременем регулирования, когда в январе следующего года вступят в силу новые правила ЕС в сфере кибербезопасности финансовых услуг, и вместо того, чтобы извлечь выгоду из принципа пропорциональности, к ним могут быть применены те же стандарты, что и к крупным страховщикам, считают эксперты отрасли.
Эксперты пояснили, что, хотя кэптивные компании ведут гораздо более скромную деятельность, чем страховщики или перестраховщики, им придется соблюдать Закон о цифровой операционной устойчивости (DORA) и, возможно, самые высокие стандарты.
DORA, которая также поможет регулировать фирмы, поставляющие информационные и коммуникационные технологии (ИКТ) для сферы финансовых услуг, включает принцип пропорциональности. Этот принцип направлен на то, чтобы налагать менее строгие требования по соблюдению требований кибербезопасности на более мелких страховщиков, стремясь сократить расходы на соблюдение требований для новых страховщиков и региональных игроков.
Однако Финн-Эрик Лангегген, директор по вопросам ESG и управления операционными рисками в стокгольмской консалтинговой компании Advisense, предупреждает, что кэптивные компании могут не получить выгоду от принципа пропорциональности, поскольку будут учитываться киберриски их материнских компаний.
«Кэптивы оказываются в сложной ситуации, поскольку очень часто у них нет собственных ИТ-отделов», — сказал Лангегген. «Возможно, многонациональная компания, владеющая кэптивом, не обязана соблюдать DORA, а должна соблюдать NIS2 в ЕС. Однако кэптиву придется соблюдать. Может случиться так, что вместо того, чтобы следовать принципу пропорциональности в DORA, кэптивам придется внедрить самое высокое соответствие нормативным требованиям, учитывая риски всей компании, и все бремя соблюдения требований перейдет к кэптиву».
Это означало бы значительные расходы на соответствие. DORA устанавливает, что финансовые учреждения должны будут соответствовать определенным требованиям при управлении рисками ИКТ. Им необходимо будет оценить стратегии, процедуры и практики, которые в настоящее время действуют. Юридическая фирма Milliman недавно заявила, что функции управления рисками должны будут быть задействованы, хотя большая часть работы будет ложиться на ИТ-отделы.
DORA также вводит правила регулярного тестирования и отчетности, чтобы гарантировать, что регулирующие органы будут в курсе кибербезопасности в контролируемых организациях. Несоблюдение новых правил ударит по всем. Регулирующие органы могут налагать штрафы в размере до 2% от мирового оборота компании или 1 млн евро в случае физических лиц. Но эти штрафы различаются в разных странах ЕС и намного выше в некоторых юрисдикциях. В Люксембурге, крупной кэптивной юрисдикции, финансовые органы могут применять штрафы в размере до 10% от годового оборота или 5 млн евро к физическим лицам.
Однако самым сложным и потенциально более разрушительным аспектом DORA является правило, которое требует от контролируемых субъектов управлять рисками ИКТ третьих лиц. Эксперты говорят, что это может потребовать повторного обсуждения контрактов с поставщиками услуг ИКТ, такими как облачные вычисления, и привлечения их к тестированию и отчетности задач, выполняемых контролируемыми субъектами, включая кэптивы.
Большой проблемой станет привлечение крупных поставщиков ИКТ-услуг. Многие компании заключают контракты на услуги в пакетах с несколькими так называемыми облачными гипермасштаберами, среди которых такие, как Google, Amazon, Microsoft и Meta. Эксперты предупреждают, что даже у крупных страховщиков не будет достаточно влияния, чтобы заставить эти компании сесть за стол переговоров. Очевидно, что задача будет еще сложнее для кэптивных компаний.
Компании, которые не добились значительного прогресса в адаптации своих ИТ-процессов к новым правилам, столкнутся с самыми большими проблемами. Источники на рынке говорят, что крупнейшие андеррайтеры работают над этим уже несколько лет, но некоторые из самых мелких игроков могут столкнуться с трудностями, чтобы наверстать упущенное, когда новая директива вступит в силу 25 января 2025 года.
«Я не думаю, что небольшие кэптивы и пенсионные фонды очень довольны DORA, потому что им, возможно, придется иметь дело с ним как со сторонним риском от своих материнских компаний. Однако средние и крупные компании понимают его значимость», — сказал Лангегген.
Подготовлено порталом Allinsurance.kz