Киберсигурност за гражданска отговорност: Регулации и правни аспекти

Киберзаплахите вече са съществен оперативен и правен риск за застрахователите, предлагащи „Гражданска отговорност“. Данните за клиенти, ПТП, здравни и финансови обстоятелства се обработват от множество системи и външни доставчици — което увеличава повърхността на атака и изисква стриктно съответствие с европейските регулации. През 2025 г. рамката се кристализира около три стълба: DORA за оперативна дигитална устойчивост, GDPR за личните данни и NIS2 за мрежова/информационна сигурност в по-широкия екосистемен контекст. В този анализ ще обърна внимание на киберсигурност за гражданска отговорност – DORA, GDPR и NIS2 и как те оформят правните изисквания към застрахователите през 2025г.

1) DORA: новият минимум за оперативна киберустойчивост в застраховането

От 17 януари 2025 г. Регламентът DORA (ЕС) 2022/2554 се прилага пряко към застрахователи и презастрахователи в ЕС. Той изисква цялостна рамка за управление на ИКТ риска, тестове (вкл. TLPT), задължителни процедури за инциденти, и строг контрол върху ИКТ трети страни (облаци, доставчици на ядра/CRM и др.). Практически това означава: регистър на инциденти, таксономия за класификация, договорни клаузи с доставчици, доказуеми упражнения по възстановяване и непрекъсваемост.

Преходи от предишни правила: Насоките на EIOPA за ИКТ сигурност и управление (2020) бяха широко прилагани под Солвентност II и дадоха основата за очакванията на надзора; след влизането на DORA част от старите насоки се считат за заменени/изтеглени в приложимите части, но принципите им (управление, контроли, одит) остават релевантни като добра практика.

2) GDPR: 72 часа, DPIA и отчетност при пробиви

За продукт като „Гражданска отговорност“ застрахователите обработват особено чувствителни данни (вкл. здравни сведения, данни на трети лица по щети). GDPR налага „подходящи технически и организационни мерки“ (чл. 32), уведомяване на надзора при пробив „без ненужно забавяне и, където е възможно, до 72 часа“ (чл. 33) и, при висок риск, информиране на субектите (чл. 34). За нови високо-рискови процеси (например телематика, разпознаване на измами с профилиране) е необходим DPIA и евентуално предварителна консултация с регулатора. Юридическият риск от неспазване е двоен: административни глоби и частноправни претенции.

3) NIS2: екосистемни задължения и припокриване с DORA

NIS2 въвежда хоризонтални изисквания за киберсигурност и докладване на инциденти за „съществени“ и „важни“ субекти в ЕС. Макар класическите застрахователи често да попадат най-вече под DORA, на практика NIS2 отразява се чрез доставчиците им (облак, MSP, комуникационни мрежи), които често са „съществени/важни“ и пренасят регулаторни изисквания по веригата. Там, където NIS2 и DORA се припокриват, DORA има предимство за финансовите субекти; извън припокриването — NIS2 може да остане приложима паралелно (напр. за определени мрежови инциденти или веригата на доставчиците). Практическият извод: договорните матрици и мониторингът на доставчиците стават критично-важни.

4) Заплаховият фон: какво реално се случва

Анализът на ENISA за финансовия сектор (януари 2023 – юни 2024) регистрира стотици публично докладвани инциденти в Европа, с доминация на рансъмуер, фишинг/социално инженерство и уязвимости при трети страни — модел, който пряко засяга застрахователите по „Гражданска отговорност“ заради делегираните процеси (щети, кол-центрове, външни системи). Наблюдението потвърждава, че комбинацията „човешки фактор + трети страни“ е най-честа точка на компрометиране.

5) Правни приоритети за застрахователите по „Гражданска отговорност“

• Управление и отчетност (DORA + Солвентност II): ясни роли на борда и риск-функцията за ИКТ риска; одобрени политики; доказуеми тестове за възстановяване; журнал и таксономия на инциденти.
• Договори с ИКТ доставчици: клаузи за инцидент-репортинг, подизпълнители, одити, права на прекратяване при несъответствие, регулаторен достъп; съгласуваност с NIS2 статуса на партньора.
• GDPR съответствие при щети: DPIA за високорискови обработки (телематика, анти-фрод модели), процедуры за 72-часово уведомяване (чл.33) и комуникация с пострадали трети лица (чл.34).
• Инцидент-мениджмънт и упражняване: редовни tabletop/TLPТ тестове, сценарии с отказ на доставчик, извличане на логове и форензика, playbooks за PR/регулаторна комуникация.
• Надзорна комуникация: подготвеност за искания от надзора и ESAs по DORA RTS/ITS; проследяване на окончателните технически стандарти, които детайлизират изискванията.

6) Как да станете „цитируемо съответстващи“ (практически чеклист)

1. Карта на процесите и данните (claim lifecycle, телематика, андеррайтинг) и DPIA там, където рискът го изисква.
2. Единен регистър на инциденти + таксономия по DORA; процедури за ескалация и 72-часово GDPR уведомяване.
3. Vendor governance с NIS2-aware клаузи и одитируеми KPI/SLА; мониторинг на поддоставчици.
4. Редовни упражнения (tabletop, кризисни комуникации, възстановяване) и TLPT, когато е приложимо.
5. Надзорна готовност – проследявайте финалните RTS/ITS под DORA и коригирайте вътрешните политики своевременно.

Извод

Киберсигурност за гражданска отговорност вече не е само IT тема, а правен и репутационен императив. DORA структурира оперативната устойчивост; GDPR рамкира реакцията при пробив; NIS2 втвърдява изискванията към екосистемата от доставчици. Застрахователите, които превърнат тези изисквания в измерима управленска практика, намаляват риска от санкции и печелят доверие на пазара.

Източници: EIOPA — Digital Operational Resilience Act (DORA) 2022/2554, DORA RTS/ITS технически стандарти, EIOPA Guidelines on ICT Security and Governance (2020), GDPR — членове 32, 33 и 34, ENISA Threat Landscape: Finance Sector 2024, NIS2 Directive (EU) 2022/2555, Солвентност II рамка за управление на риска.