Јужна Каролина стана првата држава која го усвои законот за сајбер-сигурност којшто бара од секој осигурителен субјект кој работи во државата да воспостави и спроведе програма за сајбер безбедноста која го штити нивниот бизнис и нивните клиенти од не обезбедување на податоците.
Потпишан на 3 мај од гувернерот Хенри Мекмастер, Одделот за безбедност на податоци за заштита на податоци во Јужна Каролина беше изготвен од Работната група за сајбер безбедност на NAIC, со која претседаваше директорот за осигурување во Јужна Каролина, Рејмонд Г. Фармер. Законот го следи Data Security Model на податоците за NAIC, кој групата го одобри во 2017 година.
Според изјавата на SCDOI , Ray Farmer “одиграл значаен дел во безбедноста на информации за сајбер-осигурувањето од Јужна Каролинана, а сега дополнително ги заштити со овој закон”.
Законот создава правила за овластени лица од Јужна Каролина, дефинирани како осигурители, агенти и други лиценцирани субјекти, во однос на безбедноста на податоците, истрага и известување за прекршување. Законот бара од носителите на лиценца да ја одржуваат програма за безбедност на информации врз основа на тековната проценка на ризикот, да ги надгледуваат давателите на услуги од трети лица, да ги истражуваат прекршувањата на податоците и да ги известат регулаторите за настанот од сајбер безбедноста.
Други одредби на новиот закон вклучуваат:
- Потребна е осигурителната индустрија да ги заштитува информациите за потрошувачите со заштита на личните информации на поединечните осигурителни полиси.
- Потребно е осигурителни компании да воспостават стандарди за безбедност на податоците за да ја ублажат потенцијалната штета од не обезбедување на податоци.
- Потребно е осигурителни компании да развијат, имплементираат и одржуваат програма за сигурна безбедност на информациите, да ги дознаат сите настани за сајбер безбедноста и веднаш да го известат SCDOI за таквите настани.
Новиот закон, исто така, бара од лиценцираните луѓе да го пријават настанот за сајбер безбедноста на одделот 72 часа пред истиот.
Сепак, настанот мора да влијае на најмалку 250 луѓе и да има разумно влијание врз потрошувачите во Јужна Каролина за да се бара известување. Покрај тоа, секој осигурител со седиште во државата – домашните осигурителни компании – мора да поднесат годишна изјава до SCDOI потврдувајќи го нивниот план.
Предлог-законот се однесува на компаниите во сите аспекти на осигурителната индустрија – вклучувајќи ги и агенциите, брокерите, превозниците – но постои исклучок за фирми со 10 вработени или помалку и независни изведувачи.
Датумот на стапување во сила на законот е 1 јануари 2019 година. Осигурениците се должни да развијат, имплементираат и одржат сеопфатна програма за пишување на информации и да го пријават до SCDOI до 1 јули 2019 година. Лиценците мора да бараат од нивните трети лица, даватели на услуги да имплементираат безбедносни мерки за заштита и обезбедување на какви било информациски системи и лични информации до 1 јули 2020 година.
“Ова ја одвојува Јужна Каролина и покажува дека сме посветени на безбедноста на информациите за осигурување”, рече Farmer. “Кога нарушувањата на сајбер-безбедноста се реална и постојана закана, најдобро е да се преземе проактивен пристап за заштита на податоците пред да се појави проблем, односно да не се обидуваме да го поправиме прекршокот откако ќе се случи”.
Реакција на индустријата
Инспекторите за имотно осигурување во Америка (PCI) рекоа дека ја поддржуваат основната цел на законот, но е загрижен за идните прописи за сајбер-безбедност донесени во други држави кои се разликуваат од моделот Јужна Каролина / NAIC, бидејќи тоа би можело да стане оптоварувачко за осигурителната индустрија и неефикасно за заштита на потрошувачите.
“Потребни ни се силни стандарди за сајбер-безбедност за заштита на потрошувачките податоци во сите 50 држави. Мораме да го избегнеме пристапот на јавната политика што ќе ги остави потрошувачите и индустриите ранливи на напади “, рече Nensi Egan, регионален менаџер на PCI. “PCI го поддржува закон, но ние ја повикуваме Јужна Каролина да преземе дополнителни чекори за да се избегнат идните конфликти во државниот закон во врска со осигурувањето”.
Egan рече дека PCI ќе работи на ослободување од осигурителната индустрија за сите идни сметки насочени кон индустриите кои собираат лични информации – или поточно компании во индустријата за финансиски услуги – бидејќи индустријата за осигурување е веќе обврзана да го следи овој закон.
“Ние не сакаме да бидеме спакувани во согласност со две различни правила”.
Индустријата, исто така, предвидува дека ќе има товарно оптоварување поврзано со овој закон, особено за помалите агенции, иако сè уште е нејасно што ќе биде тоа, вели Frenk Shepard, претседател на Независни агенти за осигурување и брокери во Јужна Каролина (IIABSC).
Здружението исто така беше во корист на законот и работеше со SCDOI како се развиваше моделот на законите NAIC, рече Shepard. Со оглед на улогата на директорот Farmer во развојот на законот, здружението очекуваше Јужна Каролина да биде една од првите држави што ќе го воведат законот.
Тој додаде дека многу агенции веќе преземаат чекори за заштита на податоците за клиентите, па затоа ќе биде прашање на време и начин што ќе ги задоволи критериумите од новиот закон.
“Ние разбираме дека осигурителната индустрија има обврска да ги заштити податоците, исто како и сите други индустрии. Агенциите се дел од таа одговорност и тоа го прифаќаат “, рече тој.
Shepard рече дека IIABSC не очекува дека повеќето агенции ќе го следат водството на осигурениците со кои работат, во развојот и спроведувањето на планот за сајбер-безбедност, но за оние агенции кои работат со повеќе компании би можело да биде уште поголем предизвик.
IIABSC планира да работи со своите членови на агенцијата во поставувањето на “генерички” план за да започне со тоа, ќе се придржува кон барањата на државата.
Тој рече дека членовите на асоцијацијата бараат насоки и сугестии за тоа како да се усогласат и IIABSC во моментов работи на тоа како ќе ги едуцира своите членови, што најверојатно ќе вклучува семинари и состаноци.
IIABSC, исто така, ќе се обиде да SCDOI насоки за тоа како субјектите можат да се усогласат.
Од своја страна, SCDOI рече дека ќе обезбеди “сеопфатно водство” за индустријата во врска со имплементацијата и усогласеноста, според соопштението од одделот.
“Одделот веќе работи на делови од ова упатство, вклучувајќи го и процесот за пријавување на настан за сајбер-безбедноста како што е дефинирано со законот и работи со NAIC, во обид да обезбеди конзистентност меѓу државите, бидејќи ова законодавство е донесено”, рече Katie Geer, Координатор за јавни информации.
Извор: Bits of insurance