Ciberseguridad en los seguros
Completamos con esta las tres entradas que dedicamos a las novedades regulatorias en los tres sectores del mercado financiero de la UE durante el funesto periodo de la pandemia del COVID 19 con la referencia a una novedad regulatoria acaecida recentísimamente en el mercado asegurador europeo que impacta de forma directa en un aspecto clave de la digitalización financiera que se ha acelerado a resultas de la pandemia del coronavirus. Nos referimos a la ciberseguridad de los seguros a la que se refieren las “Directrices sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones” (Guidelines on information and communication technology security and governance, EIOPA-BoS-20/600) publicadas el pasado 08 de octubre de 2020 por la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ, en acrónimo ingles EIOPA).
Estamos ante unas Directrices cruciales para la vida práctica de las entidades aseguradoras y del resto de operadores del mercado asegurador porque proceden de la Autoridad Europea de Supervisión microprudencial de dicho mercado y porque inciden en un vector fundamental del mercado asegurador como son los tecnoseguros o insurtech que condiciona el presente -y lo hará en mayor medida en el futuro- del sector de los seguros y los planes y fondos de pensiones. Se trata de materias a las que nos hemos referido con frecuencia tanto en este blog como en diferentes estudios a los que nos referiremos en una nota final de esta entrada.
Origen y alcance de las Directrices de EIOPA sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones
En general, procede comenzar recordando que el artículo 16 del Reglamento (UE) 1094/2010 faculta a la Autoridad Europea de Seguros y Pensiones para la Jubilación (AESPJ o, en acrónimo inglés, EIOPA) para emitir directrices y recomendaciones dirigidas a las autoridades competentes y las instituciones financieras con el fin de establecer prácticas de supervisión coherentes, eficientes y efectivas y garantizar la aplicación común, uniforme y coherente del Derecho de la UE y las autoridades competentes e instituciones financieras deben hacer todo lo posible para cumplir esas Directrices y recomendaciones.
A estos efectos y en cuanto a nuestro Ordenamiento se refiere, resulta pertinente recordar que la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras (LOSSEAR) establece, en su art.17.1 que “la Dirección General de Seguros y Fondos de Pensiones formará parte, en su condición de autoridad supervisora española, de la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), conforme a lo dispuesto en el Reglamento n.º 1094/2010, de 24 de noviembre, del Parlamento Europeo y del Consejo, por el que se crea una Autoridad Europea de Supervisión. En el ejercicio de las funciones de supervisión encomendadas por esta Ley y sus normas de desarrollo, la Dirección General de Seguros y Fondos de Pensiones analizará y en su caso tomará en consideración las directrices y recomendaciones emanadas de la Autoridad Europea de Seguros y Pensiones de Jubilación. Cuando la Dirección General de Seguros y Fondos de Pensiones se aparte de esas directrices o recomendaciones lo hará mediante resolución motivada”.
En particular, la AESPJ (EIOPA) identificó la necesidad de desarrollar orientaciones específicas sobre la seguridad y la gobernanza de las tecnologías de la información y la comunicación (TIC) en relación con los artículos 41 y 44 de la Directiva Solvencia II (2009/138/CE) en el contexto del análisis realizado para responder a la Acción FinTech de la Comisión Europea. (COM (2018) 0109 final), en el Plan de Convergencia Supervisora de la AESPJ 2018-20191 y, después, de las interacciones con varias otras partes interesadas. En este sentido, tal y como se informó en el Consejo Conjunto de las Autoridades Supervisoras Europeas a la Comisión Europea, las Directrices de la EIOPA sobre el sistema de gobernanza “no reflejan adecuadamente la importancia de cuidar la gestión de riesgos de TIC (incluidos los riesgos cibernéticos). No hay orientación sobre los elementos vitales que generalmente se reconocen como parte de la seguridad y la gobernanza adecuadas de las TIC”.
Necesidad de las Directrices de EIOPA sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones
EIOPA ha identificado varias razones decisivas que han recomendado la emisión de estas Directrices:
a) La heterogeneidad regulatoria en materia de ciberseguridad aseguradora, porque ha quedado de manifiesto que, si bien es cierto que la mayoría de los Estados miembros de la UE han definido normas nacionales para la seguridad y la gobernanza de las TIC fijando requisitos similares; el marco regulatorio aún está fragmentado.
b) La heterogeneidad supervisora sobre la ciberseguridad aseguradora, porque una encuesta sobre las prácticas de supervisión actuales reveló una amplia variedad de prácticas, desde «sin supervisión específica» hasta «supervisión estricta» (incluidas las «inspecciones externas» e «inspecciones in situ»).
c) La ciber-complejidad de las entidades aseguradoras y reaseguradoras puesto que se constata un incremento sensible de la complejidad de las TIC y de la siniestralidad asociada ya que la frecuencia de los incidentes relacionados con las TIC (incluidos los incidentes cibernéticos) también está aumentando, al igual que el impacto perjudicial de esos incidentes en el funcionamiento operativo de las empresas. Por ello, la gestión de riesgos de seguridad y TIC es fundamental para que una empresa logre sus objetivos estratégicos, corporativos, operativos y reputacionales
d) La ciber-dependencia de las entidades aseguradoras y reaseguradoras ya que se constata un incremento notable del grado de dependencia de las TIC en la prestación de servicios de seguros y en el funcionamiento operativo normal de las empresas de seguros, tanto los modelos comerciales tradicionales como los innovadores.
e) La ciber-vulnerabilidad de las entidades aseguradoras y reaseguradoras ya que la digitalización del sector asegurador (InsurTech, IoT, etc.) y la interconexión a través de canales de telecomunicaciones (internet, conexiones móviles e inalámbricas y redes de área amplia) hace que las operaciones de las entidades aseguradoras y reaseguradoras sean cada vez más vulnerables a incidentes de seguridad, incluidos ciberataques.
La ciberseguridad como parte de la gestión general de los riesgos de seguridad y TIC de las entidades aseguradoras y reaseguradoras
Por los motivos indicados, es importante asegurarse de que las entidades aseguradoras y reaseguradoras estén adecuadamente preparadas para gestionar sus riesgos de seguridad y de TIC un marco sólido de seguridad cibernética. De ahí que las Directrices de EIOPA cubran la seguridad cibernética como parte de las medidas de seguridad de la información de la empresa.
En este aspecto, hay que tomar en consideración algunas características específicas de los ciberataques que deben tenerse en cuenta para garantizar que las medidas de seguridad de la información mitiguen adecuadamente la ciberseguridad. riesgo:
a) Los ciberataques son a menudo más difíciles de gestionar que otro tipo de incidentes de seguridad analógica porque resultan complejos de identificar, proteger, detectar, responder, recuperarse por completo y determinar el alcance del daño.
b) Algunos ciberataques pueden hacer que resulten ineficaces las soluciones habituales de gestión de riesgos y continuidad del negocio, así como los procedimientos de recuperación de incidentes, ya que pueden propagar efectos perniciosos a los sistemas de respaldo.
c) La capacidad expansiva de los ciberataques los hacen particularmente temibles, En efecto, los proveedores de servicios, los corredores, los agentes y los intermediarios de las entidades aseguradoras y reaseguradoras pueden convertirse en canales para propagar ciberataques. De tal manera que las amenazas digitales silenciosas pueden utilizar la interconectividad a través de enlaces de telecomunicaciones de terceros para viajar al sistema de TIC de la empresa. Por lo tanto, una entidad aseguradora y reaseguradora interconectada que tenga poca relevancia individual puede volverse vulnerable, siendo una fuente de propagación del riesgo y de impacto sistémico. Por ello, el principio del eslabón más débil hace que la ciberseguridad no solo debería ser una preocupación para los principales participantes del mercado o los proveedores de servicios críticos sino para el conjunto de entidades aseguradoras y reaseguradoras.
Los objetivos de las Directrices de EIOPA sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones
Estas Directrices tienen tres objetivos fundamentales que son:
a) Proporcionar claridad y transparencia a los participantes del mercado asegurador sobre la información mínima esperada y las capacidades de seguridad cibernética, es decir, la línea de base de seguridad.
b) Evitar posibles arbitrajes regulatorios.
c) Fomentar la convergencia supervisora sobre las expectativas y procesos aplicables en relación con la seguridad y gobernanza de las TIC como clave para una adecuada gestión de los riesgos de seguridad y TIC.
Contenido de las Directrices de EIOPA sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones
El documento de EIOPA sobre las Directrices comienza ofreciendo definiciones de algunas nociones básicas de las que destacamos las siguientes:
a) Ataque cibernético (“Cyber attack”) como “cualquier tipo de piratería que lleve a un intento ofensivo / malicioso de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo de información dirigido a los sistemas de TIC».
b) Seguridad cibernética (“Cyber security”) como “preservación de la confidencialidad, integridad y disponibilidad de la información y / o sistemas de información a través del medio cibernético”.
c) TIC y riesgo de seguridad (“ICT and security risk”) como “subcomponente del riesgo operativo; el riesgo de pérdida debido a la violación de la confidencialidad, falla de la integridad de los sistemas y datos, inapropiación o falta de disponibilidad de los sistemas y datos o incapacidad para cambiar las TIC dentro de un tiempo y costos razonables cuando el entorno o los requisitos comerciales cambian (es decir, agilidad). Esto incluye los riesgos cibernéticos, así como los riesgos de seguridad de la información que resultan de procesos internos inadecuados o fallidos o eventos externos, incluidos los ataques cibernéticos o la seguridad física inadecuada”.
d) Seguridad de información (“Information security”) como “preservación de la confidencialidad, integridad y disponibilidad de la información y / o sistemas de información. Además, también pueden estar involucradas otras propiedades, como la autenticidad, la responsabilidad, el no repudio y la confiabilidad”.
e) Incidente operativo o de seguridad (“Operational or security incident”) como “un evento singular o una serie de eventos no planificados vinculados que tienen o probablemente tendrán un impacto adverso en la integridad, disponibilidad y confidencialidad de los sistemas y servicios de TIC”.
f) Prueba de amenaza de vulnerabilidad (“Threat Led Penetration Testing”) como “un intento controlado de comprometer la resistencia cibernética de una entidad simulando las tácticas, técnicas y procedimientos de los actores de amenazas de la vida real. Se basa en inteligencia de amenazas dirigida y se centra en las personas, los procesos y la tecnología de una entidad, con un conocimiento previo y un impacto mínimo en las operaciones”.
El documento de EIOPA sigue enunciando 25 Directrices sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones que tratan de la proporcionalidad, de las TIC dentro del sistema de gobernanza, de las TIC y los riesgos de seguridad dentro del sistema de gestión de riesgos, de la auditoría y la política y medidas de seguridad de la información, de la función de seguridad de la información, de la seguridad lógica y física, de las revisiones, evaluación y pruebas de seguridad de la información, de la capacitación y sensibilización en seguridad de la información, de la gestión de las operaciones de TIC, de la externalización de los servicios y sistemas TIC, etc.
El documento de EIOPA acaba planteando, entre otros extremos, dos opciones de política regulatoria que son:
a) Mantener el status quo versus emitir nuevas Directrices sobre seguridad y gobernanza de las TIC.
b) Desarrollar Directrices independientes sobre seguridad y gobernanza de las TIC frente a la inclusión de las Directrices sobre seguridad y gobernanza de las TIC en las Directrices de la EIOPA ya existentes sobre el sistema de gobernanza. La elaboración de directrices específicas sobre seguridad y gobernanza.
P.D.: el lector interesado en profundizar sobre esta materia puede ver nuestro estudio sobre Insurtech en la obra colectiva Revolución digital, Derecho mercantil y token economía. Muñoz Pérez, A.F. (Dir.), De la Orden de la Cruz, C./ Martínez Laburta, C. (Coords,), Ed. Tecnos, Madrid 2019, pp. 544-559 y las entradas de este blog de 16.10.2025 sobre “La Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) publica nuevas Directrices para la implantación de Solvencia II”; de 30.05.2027 sobre “Seguros de vida unit-linked. Máxima transparencia en su gestión y en su distribución. Documento de EIOPA sobre los productos de inversión basados en seguros” y de 13 y 14 de abril de este mismo año 2020 sobre “Aseguradoras. Remuneración de sus administradores y de su personal en tiempo del coronavirus. Declaración de EIOPA de 2 de abril de 2020”.