Co čeká české pojišťovny (mj. od ČNB) v rámci digitální strategie EU?
V rámci českého předsednictví EU si naše média všimla, že existuje digitální strategie EU a publikovala o ní jednu stručnou zprávu. Celé téma si však zaslouží větší pozornost, neboť digitální strategie EU bude mít v blízké budoucnosti vliv na naše životy – finančními institucemi a pojišťovnami počínaje, občany EU konče. Na co se mají pojišťovny připravit?
Dana Yussupova
Pilíře digitální strategie
Digitální strategie EU má tři pilíře:
- technologie ve prospěch lidí
- spravedlivá a konkurenceschopná digitální ekonomika
- otevřená, demokratická a udržitelná společnost
Uvedené pilíře můžou na někoho působit abstraktně, jiný z nich nabude dojmu, že nás čeká skvělá budoucnost. V každém případě je digitální strategie koncipována tak, že by byla obrovská škoda a promarněná šance snažit se jejím cílům vyhnout. Digitalizaci zkrátka nezastavíme (a to ani v pojišťovnictví).
Evropská komise vyčlenila pro období od 1. 1. 2021 do 31. 12. 2027 částku 7,5 miliardy EUR na dosažení pěti cílů. První kolo udělování grantů proběhlo na podzim 2021, druhé na jaře 2022 a třetí se bude vypisovat letos na podzim. Máte-li nápad, který je s některým z uvedených pěti cílů digitální strategie EU v souladu, můžete se s žádostí o grant přihlásit také (na tomto odkazu na úrovni EU, na tomto pak na úrovni ČR).
Jak EU rozdělí 7,5 mld eur? ▼
-
Vysoce výkonná výpočetní technika (2,2 miliardy EUR):
○ snadno dostupná špičková exascale (výpočetní systémy nové generace schopné provádět 10 18 plovoucích operací za sekundu), superpočítačová a datová infrastruktura
○ ekosystém vysoce výkonných počítačů v celé EU
○ post-exascale infrastruktura (včetně integrace s kvantovými výpočetními technologiemi a s výzkumnými infrastrukturami pro počítačovou vědu), podpora nezbytného vývoje hardwaru a softwaru
-
Umělá inteligence (AI) (2,06 miliardy EUR):
○ základní kapacity
○ testovací a experimentální zařízení
-
Kybernetická bezpečnost a důvěra (1,6 miliardy EUR):
○ pokročilé vybavení
○ znalosti, kapacity, dovednosti pro kyberbezpečnost
○ NIS2
○ odolnost, povědomí o riziku, koordinace mezi civilní a obrannou sférou
-
Pokročilé digitální dovednosti (0,57 miliardy EUR):
○ zvýšení počtu talentů v EU
○ překlenutí digitální propasti, podpora profesionality v cloudu, analýze velkých dat, v kybernetické bezpečnosti, blockchainu, v kvantových technologiích, robotice a v umělé inteligenci
-
Nasazení a nejlepší využití digitálních kapacit a interoperability (1,07 miliardy EUR):
○ zavedení nejmodernějších digitálních technologií (např. HPC, AI) a kybernetická bezpečnost subjektů ve veřejném sektoru (zdravotnictví, vzdělávání, soudnictví, cla, doprava, mobilita, energetika, životní prostředí, kulturní a tvůrčí odvětví)
○ snadný přístup k (pilotnímu) testování digitálních technologií pro veřejný sektor a průmysl EU (zejména malé a střední podniky)
○ zajištění trvalé kapacity na úrovni EU, digitální rozvoj, sledování, analýza a přizpůsobování se rychle se vyvíjejícím digitálním trendům, sdílení osvědčených postupů
○ vybudování evropského ekosystému pro důvěryhodné sdílení dat a digitální infrastruktury
EIOPA a aktuální trendy v digitalizaci
Pokud se o grant nepřihlásíte, v sektoru pojišťovnictví přesto aktuální trendy v digitalizaci pocítíte. Jedním z důvodů je DORA (o které jsme psali zde), pak tu máme NIS2 (na jejímž základě DORA vznikla a se kterou se doplňuje) a důležitý je také postoj EIOPA a ČNB.
Čím se EIOPA už zabývá a čemu se bude dále věnovat?▼
1. Sleduje rizika (včetně kybernetických) související s bezpečností a správou IT.
2. Pracuje na systému sdílení informací o kybernetické bezpečnosti a útocích mezi národními dohledovými orgány.
3. Přispívá k doladění DORA, k níž připravuje své prováděcí technické standardy. Zaměřuje se zejména na hlášení kybernetických incidentů a na testování kyberbezpečnostní odolnosti.
4. Monitoruje provádění svých pokynů (tj. guidelines) zejména v oblasti IKT (informační a komunikační technologie). Cílem je identifikovat konkrétní přiměřené aspekty provádění (což využije propřípravu technických standardů k DORA).
5. Harmonizuje nástroje, metody, procesy a politiky řízení rizik v oblasti IKT a obsah politik, postupů a plánů předpokládaných v nařízení (např.: politiky a postupy v oblasti bezpečnosti IKT, politika kontinuity provozu IKT, plány BCP a DRP).
6. EIOPA vypracovala rámec pro správu dat pro lokální dohledové orgány. Kvalita dat je pro řídicí procesy zásadní. Rámec má poskytnout minimální standard kvality, který bude vyžadován od všech lokálních dohledových orgánů.
7. Expertní skupina pro umělou inteligenci stanoví rámec pro etickou a důvěryhodnou AI v evropském pojišťovnictví (prozatím vydala šest zásad správy, včetně návodů na jejich implementaci v pojišťovnictví). EIOPA v budoucnu dále zohlední legislativní vývoj zákona o umělé inteligenci.
8. EIOPA chce dosáhnout konsensu v názoru na přístup k regulaci inovativních produktů, služeb a obchodních modelů. Obecně chce posílit koordinaci regulace v oblasti fintech.
9. Chystá procesní rámec pro přeshraniční testování, který má usnadnit rozšiřování inovací po celé EU, zjednodušit soutěž, přeshraniční komunikaci mezi lokálními dohledovými orgány a zvýšit transparentnost, pokud jde o přeshraniční testování v rámci regulačního sandboxu.
10. Vypracuje nástroje pro sbližování dohledu, které budou podporovat lokální orgány dohledu při provádění analýzy obchodního modelu v souvislosti s digitálním trhem pojištění. Posuzování obchodních modelů má dát orgánům dohledu příležitost lépe porozumět faktorům, které vytvářejí příležitosti a zranitelná místa v podnikání pojišťoven, a následně by měly být schopny vypracovat osobnější plán dohledu pro jednotlivé pojišťovny.
11. Zavede technický standard (zvláštní šablonu) pro reporting úpisu kybernetických rizik. Sleduje dopady DORA v této oblasti a chce se zaměřit na tiché upisování rizik.
12. Bude se soustředit na outsourcing od poskytovatelů třetích stran. Pro outsourcing do cloudu již vydala své pokyny a v budoucnu se dále zaměří také na outsourcing v oblasti likvidace pojistných událostí a UW prováděný ve třetích zemích.
Dopady digitální strategie EU na pojišťovnictví v ČR
Na základě strategie dohledu ČNB a nedávných článků či rozhovorů poskytnutých Českou národní bankou můžeme usuzovat, že dohled v ČR se bude nadále soustředit na stabilitu finančního trhu a na evergreeny jako ochrana spotřebitele (i ve světle IDD), AML & CTF, revize SII a revize PRIIPS versus MiFID.
Nově se bude ČNB věnovat zejména kybernetickým rizikům a IKT rizikům, jejichž význam delší dobu narůstá (nejen v důsledku války na Ukrajině). Kybernetická a IKT rizika se proto stanou nedílnou součástí systémů řízení rizik finančních institucí (banky, pojišťovny, obchodníci s cennými papíry atd.).
Z toho důvodu podepsala ČNB s NÚKIB 31. května 2022 memorandum o spolupráci, na jehož základě spolu budou obě instituce úzce kooperovat při dohlídkách. Dohlídky by podle strategie dohledu ČNB měly probíhat:
- v závislosti na významu a rizikovosti dané pojišťovny (význam: dlouhodobé závazky vůči retailové klientele, rizikovost: dlouhodobé sklony k nedostatečnosti pojistného & tlak na ziskovost, a tím nedostatečné rezervy),
- na základě reakce na silné negativní signály u malých (malých & jednoodvětvových) pojistitelů.
Stručně řečeno…
Od ČNB lze tedy při dohlídkách očekávat hlubší zájem kyberbezpečnostní odolnost a o IKT rizika: kterým IKT rizikům jsou pojišťovny vystaveny, jak tato rizika řídí, jaký mají pojišťovny nastavený model správy a řízení IKT rizik (ICT risk governance) a jak mají nastaven model IT bezpečnosti.
Co se fintechu týče, ČNB nebude zavádět regulatorní sandbox jako třeba rakouská FMA. Připravila ale komunikační kanál pro relevantní dotazy k finančním inovacím a pořádá pravidelná setkání s FinTech komunitou formou kulatých stolů. Ten poslední se konal 7. června 2022 na téma Gamifikace a další zahraniční trendy a jejich možná rizika.
Co nás čeká dál? To se teprve uvidí. Z pera EU můžeme v rámci realizace digitální strategie nicméně očekávat například předpisy:
- Data Governance Act
- Digital Markets Act
- Artificial Intelligence Act
- Data Act
- Cyber Resilience Act
Také můžeme vyhlížet chystanou certifikaci EUCC od ENISA. O tomto všem ale až příště.