Föreskrifter och anvisningar 7/2014

Transkript

1 Föreskrifter och anvisningar 7/2014 Föreskrifter och anvisningar om ledning och företagsstyrningssystem i liv- och skadeförsäkringsbolag Dnr FIVA 9/01.00/2014 Utfärdade Gäller från FINANSINSPEKTIONEN telefon fax fornamn.efternamn@finanssivalvonta.fi Upplysningar Institutstillsyn/skade- och licförsäkringsbolag

2 Föreskrifter och anvisningar 7/2014 Föreskrifter och anvisningar om ledning och företagsstyrningssystem i liv- och skadeförsäkringsbolag

3 3 (51) Den juridiska karaktären av föreskrifter och anvisningar Föreskrifter I Finansinspektionens föreskrifter och anvisningar presenteras föreskrifterna under rubriken "Föreskrift". Föreskrifterna är bindande rättsregler, som måste följas. Finansinspektionen meddelar föreskrifter endast med stöd av och inom ramen för rättsliga bestämmelser som ger Finansinspektionen behörighet att ge ut föreskrifter. Anvisningar I Finansinspektionens föreskrifter och anvisningar presenteras under rubriken "Anvisning" Finansinspektionens tolkningar av innehållet i lagar eller andra bindande bestämmelser. Under denna rubrik presenteras också rekommendationer och andra verksamhetsanvisningar som inte är bindande. Vidare upptas här Finansinspektionens rekommendationer om hur internationella riktlinjer och rekommendationer ska följas. Av formuleringen av anvisningen framgår när det är fråga om en tolkning och när det är fråga om en rekommendation eller annan verksamhetsanvisning. Formuleringen av anvisningarna och den juridiska karaktären av föreskrifterna och anvisningarna förklaras närmare på Finansinspektionens webbplats. Finansinspektionen.fi > Regelverk > Föreskriftssamling > Ny föreskriftssamling

4 4 (51) Innehåll 1 Tillämpningsområde och definitioner Tillämpningsområde Definitioner 8 2 Regelverk och internationella rekommendationer Lagstiftning Europeiska unionens direktiv Finansinspektionens rätt att meddela föreskrifter Internationella rekommendationer 10 3 Syfte 11 4 Försäkringsbolagets ledning och personer som svarar för centrala funktioner Krav på lämplighet och tillförlitlighet Bedömningen av kraven på lämplighet och tillförlitlighet Anmälningar till Finansinspektionen 13 5 Allmänna krav på företagsstyrning Styrelsen Organisations- och verksamhetsstruktur Centrala funktioner Beslutsfattande Dokumentation av styrelsens beslut Intern granskning av företagsstyrningssystemet Verksamhetsprinciper Kapitalhantering Kontinuitets- och beredskapsplanering 18 6 Riskhantering Allmänt Styrelsens uppgifter inom riskhanteringen 20

5 5 (51) 6.3 Riskhanteringsfunktion Verksamhetsprinciper för riskhanteringen Försäkringsrisker Operativa risker Uppläggning av hanteringen av operativa risker Uppföljning av operativa risker och rapportering av skadefall Informationssystem och datasäkerhet 24 Definition av informationssäkerhet och grundläggande krav 25 Hantering av informationssäkerhetsrisker och behandlingen av informationssäkerhetsfall 26 Informationssäkerhetsregler och utbildning 27 Informationssäkerhet i datanätet 27 Utveckling av säkra onlinetjänster Anmälan om störningar och fel i verksamheten Årsanmälan om förlust som orsakas av operativ risk Återförsäkring och andra riskreduceringstekniker Hantering av tillgångar och skulder Likviditetsrisk Placeringsrisker Hantering av placeringsrisk Bedömning av annan än rutinmässig placeringsverksamhet Fondförsäkringar och indexreglerade försäkringar Placeringar, som inte får handlas på en reglerad finansmarknad Derivatavtal Värdepapperiserade instrument 33 7 Risk- och solvensbedömning Allmänna bestämmelser Risk- och solvensbedömning Allmänt Verksamhetsprinciper för risk- och solvensbedömningen Tillsynsrapport om risk- och solvensbedömningen som ska sändas till Finansinspektionen Specifika kännetecknen i risk- och solvensbedömningen Värdering och redovisning av de totala solvensbehoven Bedömning och framåtblickande perspektiv för det totala solvensbehovet Föreskrivna kapitalkrav 37

6 6 (51) Försäkringsteknisk ansvarsskuld Avvikelser från antaganden som ligger till grund för beräkningen av solvenskapitalkravet Koppling till den strategiska planeringsprocessen och ramen för beslutsfattande Risk- och solvensbedömning för gruppen Omfattningen av risk- och solvensbedömningen för gruppen Bedömning av effekterna av gruppspecifika risker på det totala solvensbehovet Generella principer för risk- och solvensbedömningen som utförs för gruppen Särskilda krav för en enda handling för risk- och solvensbedömningen Användare av en intern modell Integrering av anknutna försäkrings- och återförsäkringsföretag i tredjeland 39 8 Intern kontroll och intern revision Allmänt Intern kontroll Intern revision 40 9 Utläggning av verksamhet Den utlagda verksamhetens betydelse Riskhantering i anslutning till utläggning av verksamhet Utläggning ska anmälas till Finansinspektionen Aktuariefunktionen Allmänt Aktuariefunktionens uppgifter Beräkning av ansvarsskuld Principer för beviljande av försäkringar Intern modell som förhandsgranskas Krav på gruppens bolagsstyrning Fastställande och rapportering av ansvarigt bolag Fastställande av gruppens interna krav på bolagsstyrning Företagsstyrningssystem på gruppnivå Risker med betydande inverkan på gruppnivå Riskhantering på gruppnivå Övergångs- och ikraftträdandebestämmelser 50

7 7 (51) 12.1 Ikraftträdande Upphävda föreskrifter och anvisningar 51

8 8 (51) 1 Tillämpningsområde och definitioner 1.1 Tillämpningsområde (1) Dessa föreskrifter och anvisningar tillämpas på följande auktoriserade tillsynsobjekt enligt 4 i lagen om Finansinspektionen: liv-, skade- och återförsäkringsbolag försäkringsholdingsammanslutningar filialer i Finland till utländska försäkringsbolag med auktorisation i ett land utanför EESområdet (filialer till försäkringsbolag i tredjeland). (2) De bestämmelser i dessa föreskrifter och anvisningar som gäller grupper tillämpas på försäkringsbolag eller försäkringsholdingsammanslutningar som är det yttersta moderföretaget i en försäkringsgrupp enligt 26 kap. i försäkringsbolagslagen. Anvisningarna om grupper tillämpas dock inte på det yttersta moderföretaget i ett sådant finans- och försäkringskonglomerat enligt lagen om tillsyn över finans- och försäkringskonglomerat, där finansbranschens andel beräknad enligt 4 2 mom. punkten i sagda lag är större än försäkringsbranschens andel. 1.2 Definitioner (3) Med grupp avses i dessa föreskrifter och anvisningar allmänt ett försäkringskonglomerat enligt 26 kap. i försäkringsbolagslagen. (4) Med ansvarigt bolag avses det yttersta moderföretaget för en grupp enligt 26 i försäkringsbolagslagen.

9 9 (51) 2 Regelverk och internationella rekommendationer 2.1 Lagstiftning Dessa föreskrifter och anvisningar har samband med följande lagar och förordningar: försäkringsbolagslagen (521/2008, nedan även FBL) lagen om utländska försäkringsbolag (398/1995) lagen om försäkringsförmedling (570/2005) 2.2 Europeiska unionens direktiv Dessa föreskrifter och anvisningar har samband med följande Europeiska unionens direktiv: Europaparlamentets och rådets direktiv 2009/138/EG (32009L00138) av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II-direktivet) (Text av betydelse för EES); EUT L335, , s Finansinspektionens rätt att meddela föreskrifter Finansinspektionens rätt att meddela bindande föreskrifter om uppläggning av intern kontroll och riskhantering, innehållet i kontinuitetsplanen eller om de anmälningar som ska sändas bygger på följande lagbestämmelser: 6 kap punkten i FBL (i fråga om försäkringsbolags och försäkringsholdingsammanslutningars styrelseledamöter och verkställande direktör ska anmälan sändas till Finansinspektionen) 6 kap punkten i FBL (uppläggning av intern kontroll och riskhantering i försäkringsholdingsammanslutningar) 6 kap punkten i FBL (innehållet i kontinuitetsplanen samt uppläggning av riskhantering och intern kontroll) 6 kap punkten i FBL (anmälan till Finansinspektionen om utläggning av verksamhet).

10 10 (51) 2.4 Internationella rekommendationer Då dessa föreskrifter och anvisningar utarbetats har följande internationella rekommendationer beaktats: Europeiska försäkrings- och tjänstepensionsmyndighetens (EIOPA) riktlinjer för företagsstyrningssystem som utfärdades i september 2013 (Guidelines on the System of Governance; EIOPA-CP-13/08) Europeiska försäkrings- och tjänstepensionsmyndighetens (EIOPA) riktlinjer för den framåtblickande bedömningen av egna risker (i enlighet med Orsa-principerna) som utfärdades i september 2013 (Guidelines on Forward Looking assessment of own risks (based on the ORSA principles); EIOPA- CP-13/09).

11 11 (51) 3 Syfte (1) Syftet med dessa föreskrifter och anvisningar är att främja införandet av ett företagsstyrningssystem enligt bestämmelserna i Solvens II, inklusive riskhantering och bolagets egen risk- och solvensbedömning, i auktoriserade tillsynsobjekt som omfattas av tillämpningsområdet. som helhet redogöra för EIOPAs riktlinjer för företagsstyrningssystem och för den framåtblickande bedömningen av egna risker, vilka trädde i kraft den och som kompletterar bestämmelserna i försäkringsbolagslagen samt för övriga föreskrifter och anvisningar om ledning och företagsstyrningssystem som meddelas med stöd av försäkringsbolagslagen.

12 12 (51) 4 Försäkringsbolagets ledning och personer som svarar för centrala funktioner 4.1 Krav på lämplighet och tillförlitlighet (1) Bestämmelser om att styrelseledamöter, verkställande direktör och de personer som svarar för centrala funktioner i ett försäkringsbolag ska vara lämpliga och tillförlitliga finns i 6 kap. 4, 5 och 9 i FBL. (2) Finansinspektionens rätt att meddela närmare föreskrifter om de anmälningar som ska sändas till Finansinspektionen enligt 6 kap. 4 5 mom. i FBL om försäkringsbolags och försäkringsholdingsammanslutningars styrelseledamöter och verkställande direktör, grundar sig på 6 kap. 21 i FBL. 4.2 Bedömningen av kraven på lämplighet och tillförlitlighet (3) Enligt 6 kap. 8 i FBL ska försäkringsbolaget ha skriftliga verksamhetsprinciper som godkänns av styrelsen för att säkerställa att bolagets ledning och de personer som svarar för centrala funktioner uppfyller behörighetsvillkoren. ANVISNINGAR (stycke 4 8) (4) Finansinspektionen rekommenderar att bolagets verksamhetsprinciper som godkänns av styrelsen för bedömningen av kraven på lämplighet och tillförlitlighet innehåller åtminstone en beskrivning a) av rutinerna för att bedöma om de personer som ansvarar för bolagets verksamhet eller som sköter andra centrala funktioner uppfyller kraven på lämplighet och tillförlitlighet när de prövas för en viss funktion och därefter även kontinuerligt, b) av de situationer som kan föranleda en förnyad prövning av kraven på lämplighet och tillförlitlighet, och c) av rutiner för att på grundval av interna anvisningar bedöma lämpligheten och tillförlitligheten hos övrig relevant personal som inte omfattas av kraven i 6 kap. 4, 5 och 9 i FBL, när de prövas för en viss funktion och därefter även kontinuerligt. (5) Finansinspektionen rekommenderar att bolaget för att säkerställa att bolaget leds och övervakas på ett professionellt sätt ser till att de personer som ansvarar för verksamheten eller som sköter andra centrala funktioner, däribland bolagets styrelseledamöter, uppfyller lämplighetskraven och tar hänsyn till de olika uppgifter som har tilldelats enskilda personer

13 13 (51) för att garantera en lämplig mångfald när det gäller deras yrkeskompetens, färdigheter och erfarenhet. (6) Finansinspektionen rekommenderar att styrelseledamöterna tillsammans har lämplig yrkeskompetens, erfarenhet och kunskap om åtminstone följande: a) försäkrings- och finansmarknaden, b) affärsstrategi och affärsmodell; c) företagsstyrningssystem; d) finansiell analys och försäkringsmatematisk analys; och e) regelverk och lagstadgade krav. (7) Finansinspektionen rekommenderar att det vid bedömningen av verkställande direktörens yrkeskompetens, erfarenhet och kunskap fästs uppmärksamhet vid de delområden som nämns i föregående punkt. Verkställande direktören ska alltid förutsättas ha allmän kännedom om försäkringsverksamheten. (8) Finansinspektionen rekommenderar att det vid bedömningen av om en person uppfyller tillförlitlighetskraven tas hänsyn till personens redbarhet (honesty) och ekonomiska ställning på grundval av relevant information som omfattar alla kriminella, finansiella och tillsynsrelaterade aspekter. Preskriptionstiden för brott bedöms på grundval av nationell lagstiftning eller praxis. 4.3 Anmälningar till Finansinspektionen (9) Enligt 6 kap. 4 5 mom. i FBL ska ett försäkringsbolag utan dröjsmål lämna en anmälan till Försäkringsinspektionen om eventuella ändringar i styrelsens sammansättning. I anmälan ska ges en redogörelse för att styrelseledamöterna uppfyller kraven i paragrafens 1 3 mom. Enligt paragrafens 6 mom. ska vad som föreskrivs i paragrafens 5 mom. om försäkringsbolags styrelseledamöter även tillämpas på försäkringsholdingsammanslutningar. Enligt 6 kap. 5 1 mom. i FBL ska vad som föreskrivs i 6 kap. 4 5 mom. i FBL om styrelseledamöter även tillämpas på verkställande direktören. F Ö R E S K R I F T ( s t y c k e ) (10) Försäkringsbolag och försäkringsholdingsammanslutningar ska lämna in en anmälan om styrelseledamöters och suppleanters behörighet, samt försäkringsbolag om behörigheten hos verkställande direktören och ställföreträdaren för verkställande direktören, utan dröjsmål efter utnämning eller när det skett en ändring i tidigare anmälda uppgifter. (11) Bolaget behöver inte sända en ny anmälan vid omval av en styrelseledamot eller suppleant. (12) Bolaget ska sända en anmälan om behörigheten hos verkställande direktören och ställföreträdaren för verkställande direktören innan personen i fråga inleder sitt arbete som verkställande direktör eller ställföreträdare för verkställande direktören. Finansinspektionen anser att det är viktigt att den i möjligaste mån på förhand informeras om utnämningar av verkställande direktör och ställföreträdare för verkställande direktören.

14 14 (51) (13) Bolaget kan sända utredningar och intyg om utländska personer på finska, svenska eller engelska. Som bilaga i stället för nödvändiga intyg godkänns även motsvarande intyg från myndigheterna i hemstaten för den person som lämnar in anmälan. Om motsvarande intyg inte finns att få, ska detta meddelas i utredningen. (14) Bolagets anmälan ska innehålla följande utredningar och bilagor: personens individualiserande uppgifter och kontaktinformation, samt hemort försäkringsbolagets eller försäkringsholdingsammanslutningens namn personens position i det aktuella bolaget samt tillträdelsedatum intyg över att personen råder över sig själv och sin egendom; som bilaga: utdrag ur Rättsregistercentralens konkurs- och företagssaneringsregister utdrag ur registret över förmynderskapsärenden, av vilket det framgår om intressebevakare har förordnats för personen eller om personens rättshandlingsförmåga har begränsats utdrag ur Rättsregistercentralens skuldsaneringsregister och utdrag ur Rättsregistercentralens näringsförbudsregister skriftlig försäkran av anmälaren att han eller hon inte dömts till böter (gäller inte ordningsbot eller bot till följd av ringa trafikförseelser), villkorligt fängelsestraff eller samhällstjänst under de senaste fem åren han eller hon inte dömts till ovillkorligt fängelsestraff under de senaste tio åren han eller hon inte fått varning av tillsatt kontrollorgan (till exempel utländsk tillsynsmyndighet, Finlands Advokatförbund, Centralhandelskammarens revisionsnämnd) eller en utredning om den förseelse eller det brott som lett till ovannämnda påföljd utredning av huruvida en utländsk myndighet som ansvarar för tillsyn över försäkringsverksamheten har bedömt personens lämplighet och tillförlitlighet (fit & proper) samt resultatet av denna bedömning meritförteckning. (15) Bolaget ska utan dröjsmål meddela Finansinspektionen om en styrelseledamot eller verkställande direktören blir tvungen att avgå eller om han eller hon avskedas på grund av att behörighetskraven inte längre uppfylls.

15 15 (51) 5 Allmänna krav på företagsstyrning (1) Bestämmelser om försäkringsbolagets allmänna företagsstyrningssystem, skriftliga verksamhetsprinciper och säkerställandet av kontinuiteten i verksamheten finns i 6 kap. 8 i FBL. (2) Finansinspektionens rätt att meddela närmare föreskrifter om innehållet i kontinuitetsplanen grundar sig på 6 kap. 21 i FBL. 5.2 Styrelsen A N V I S N I N G A R ( s t y c k e 3 5) (3) Styrelseledamöterna i ett försäkringsbolag kan bland sig bilda olika utskott som biträder styrelsen eller andra motsvarande organ som bereder på förhand bestämda uppgifter för styrelsen. (4) Finansinspektionen rekommenderar att bolagets styrelse samarbetar med de utskott som det bildar samt med bolagets högsta ledning och andra centrala funktioner, begär information och utmanar denna information. (5) Finansinspektionen rekommenderar att styrelsen i det ansvariga bolaget samarbetar med styrelserna i alla bolag som ingår i gruppen, begär information samt utmanar beslut i frågor som kan påverka gruppen. 5.3 Organisations- och verksamhetsstruktur (6) Enligt 6 kap. 8 i FBL ska ett försäkringsbolag med beaktande av arten och omfattningen av affärsverksamheten ha ett tillräckligt företagsstyrningssystem där ansvarsområdena är angivna samt uppdelade och skilda från varandra och som gör det möjligt att iaktta sunda och försiktiga affärsprinciper i verksamheten samt säkerställer informationsgången inom bolaget. Företagsstyrningssystemet ska uppfylla de krav som föreskrivs i 6 kap i FBL. ANVISNINGAR ( s t y c k e 7 9) (7) Finansinspektionen rekommenderar att bolaget har en organisations- och verksamhetsstruktur som stöder bolagets strategiska mål och verksamhet. Sådana strukturer bör inom rimlig tid kunna anpassas till förändringar som rör bolagets strategiska mål, verksamhet eller affärsmiljö.

16 16 (51) (8) Finansinspektionen rekommenderar att styrelsen i det ansvariga bolaget bedömer hur förändringar i gruppens struktur påverkar den finansiella ställningen hos de bolag som ingår i gruppen och i tid vidtar nödvändiga korrigerande åtgärder. (9) Finansinspektionen rekommenderar att styrelsen för det ansvariga bolaget, för att kunna vidta nödvändiga åtgärder, tillräckligt väl känner gruppens organisation, affärsmodellen hos dess olika bolag och kopplingarna och sambanden mellan dem, samt riskerna till följd av gruppens struktur. 5.4 Centrala funktioner (10) Enligt 6 kap. 11 i FBL ska försäkringsbolaget ha en riskhanteringsfunktion som är oberoende av risktagningsfunktionerna. Enligt 6 kap. 14 i FBL hör till den interna kontrollen en funktion för regelefterlevnad. Enligt 6 kap. 15 i FBL ska försäkringsbolaget ha en intern revision för utvärdering av hur lämpligt och effektivt bolagets system för intern kontroll och förvaltning är. Enligt 6 kap. 18 i FBL ska försäkringsbolaget upprätta en aktuariefunktion. A N V I S N I N G ( s t y c k e 1 1 ) (11) Finansinspektionen rekommenderar att det ansvariga bolaget har följande centrala funktioner på gruppnivå: riskhanteringsfunktion, funktion för regelefterlevnad, internrevisionsfunktion och aktuariefunktion. 5.5 Beslutsfattande F Ö R E S K R I F T ( s t y c k e 1 2 ) (12) Bolaget ska säkerställa att alla viktiga beslut med tanke på bolaget involverar minst två personer som ansvarar för bolagets verksamhet innan beslut kan genomföras. 5.6 Dokumentation av styrelsens beslut F Ö R E S K R I F T ( s t y c k e 1 3 ) (13) Bolaget ska dokumentera de beslut som styrelsen fattar och hur information som fåtts från riskhanteringssystemet har beaktats. 5.7 Intern granskning av företagsstyrningssystemet (14) Enligt 6 kap. 8 i FBL ska företagsstyrningssystemet och de skriftliga verksamhetsprinciperna uppdateras och bedömas regelbundet, minst en gång per år. A N V I S N I N G A R ( s t y c k e ) (15) Finansinspektionen rekommenderar att bolagets styrelse fastställer omfattningen av interna granskningar av företagsstyrningssystemet och hur ofta de bör genomföras mot bakgrund av verksamhetens art, omfattning och komplexitet både i fråga om enskilda bolag och på gruppnivå, samt gruppens struktur.

17 17 (51) (16) Finansinspektionen rekommenderar att granskningens omfattning, resultat och slutsatser dokumenteras och rapporteras till bolagets styrelse. För att säkerställa att uppföljningsåtgärder vidtas och dokumenteras rekommenderas lämpliga återkopplingar. 5.8 Verksamhetsprinciper (17) Enligt 6 kap. 8 i FBL ska försäkringsbolaget ha skriftliga verksamhetsprinciper som godkänns av styrelsen för att säkerställa att bolagets ledning och de personer som svarar för centrala funktioner uppfyller behörighetsvillkoren samt för intern kontroll, riskhantering, intern revision, ersättning och utläggning av verksamhet, om funktioner läggs ut på entreprenad. I verksamhetsprinciperna ska klart anges ansvar, mål, processer och rapporteringsförfarandet. Företagsstyrningssystemet och de skriftliga verksamhetsprinciperna ska uppdateras och bedömas regelbundet, minst en gång per år. A N V I S N I N G ( s t y c k e 1 8 ) (18) Finansinspektionen rekommenderar att bolaget anpassar sina verksamhetsprinciper, som är en obligatorisk del av företagsstyrningssystemet, till varandra samt till dess affärsstrategi. F Ö R E S K R I F T ( s t y c k e 1 9 ) (19) Verksamhetsprinciperna bör inkludera en skyldighet att informera riskhanterings-, internrevisions-, regelefterlevnads- och aktuariefunktionerna om eventuella omständigheter som är relevanta för skötseln av deras respektive uppgifter. 5.9 Kapitalhantering A N V I S N I N G A R ( s t y c k e ) (20) Finansinspektionen rekommenderar att bolaget tar fram verksamhetsprinciper för kapitalhantering som omfattar a) en beskrivning av rutiner för att säkerställa att kapitalbasposter, både vid utgivningstidpunkten och senare, uppfyller kraven i bestämmelserna i 93 artikeln i Solvens IIdirektivet om klassificering av kapitalbas, b) en beskrivning av rutiner för att kontrollera att utgivningen av kapitalbasposter görs enligt kapitalhanteringsplanen på medellång sikt, c) en beskrivning av rutiner för att säkerställa att villkoren för alla kapitalbasposter är klara och entydiga i förhållande till kriterierna i det regelverk som tillämpas avseende kapitalhantering, och d) en beskrivning av rutiner för att i. säkerställa att utdelningspolicyn eller uttalanden om aktieutdelningar som gäller vanliga aktier beaktas i bedömningen av kapitalställningen, och ii. identifiera och dokumentera fall där utskiftningar avseende en kapitalbaspost förväntas skjutas upp eller ställas in.

18 18 (51) (21) Finansinspektionen rekommenderar att bolaget utarbetar en kapitalhanteringsplan på medellång sikt som följs upp av bolagets styrelse och som innehåller åtminstone följande uppgifter: a) planerade kapitalemissioner; b) löptid, med hänsyn till såväl avtalad löptid som eventuell möjlighet till förtida återbetalning eller inlösen avseende företagets kapitalbasposter; c) hur eventuell utgivning, inlösen eller återbetalning av, eller annan variation i värderingen av en kapitalbaspost påverkar tillämpningen av eventuella begränsningar i det gällande regelverket avseende kapitalhantering, och d) tillämpningen av regler för utskiftning. (22) Finansinspektionen rekommenderar att bolaget i kapitalhanteringsplanen tar hänsyn till riskhanteringssystemet samt till bolagets risk- och solvensbedömning Kontinuitets- och beredskapsplanering (23) Enligt 6 kap. 8 i FBL ska försäkringsbolaget säkerställa kontinuiteten i verksamheten och att verksamheten bedrivs på ett säkert sätt. I detta syfte ska försäkringsbolaget utarbeta en kontinuitetsplan. (24) Med ett bolags kontinuitetsplanering avses säkerställande av förmågan att upprätthålla verksamheten och begränsa förluster i händelse av olika slag av störningar i verksamheten. Störningar är till exempel skador eller avsiktliga handlingar som drabbar bolagets personal, lokaler, datasystem eller datakommunikation, vattenskador, eldsvådor samt avbrott i exempelvis el-, värme- eller vattenförsörjningen. Inom ramen för kontinuitetsplaneringen upprättas kontinuitetsplaner för de viktigaste affärsverksamheterna för att upprätthålla verksamheten i händelse av eventuella störningar. (25) Kraven på beredskap inför undantagsförhållanden grundar sig på beredskapslagen och andra myndighetsdirektiv om beredskap inför undantagsförhållanden. Med undantagsförhållanden avses i 3 i beredskapslagen fastställda förhållanden. Beredskapen inför undantagsförhållanden grundar sig på de arrangemang för att fortsätta verksamheten som vidtas under normala förhållanden. (26) Enligt 31 kap. 13 i FBL ska försäkringsbolagen genom deltagande i beredskapsplanering inom försäkringsbranschen och förberedande av verksamheten under undantagsförhållanden samt genom andra åtgärder säkerställa att deras uppgifter kan skötas så störningsfritt som möjligt också under undantagsförhållanden. Försäkringsinspektionen kan bevilja undantag från denna ovan fastställda skyldighet, om det är motiverat med hänsyn till försäkringsbolagets storlek eller verksamhetens art eller omfattning eller av någon annan särskild orsak. En störning under undantagsförhållanden räcker i regel längre än de situationer, för vilka man berett sig i kontinuitetsplanen vid normala förhållanden. Likaså är de risker för vilka bolaget ska bereda sig i regel allvarligare än de risker som man bereder sig för i kontinuitetsplanen. I förvaltningsrådets beslut om målen med försörjningsberedskapen av den 5 december 2013 samt i Försäkringsförsörjningspoolens beredskapsanvisningar

19 19 (51) uppställs beredskapsmålen och ges mer detaljerade anvisningar om beredskapen inför undantagsförhållanden. F Ö R E S K R I F T ( s t y c k e ) (27) Försäkringsbolaget ska identifiera de risker som ska behandlas i dess kontinuitetsplan och som täcker de områden där det anser sig vara sårbart. Kontinuitetsplanen ska granskas, uppdateras och testas regelbundet. (28) Bolagets styrelse ansvarar för att bolagets centrala affärsfunktioner har uppdaterade och tillräckliga kontinuitetsplaner. Bolagets verkställande ledning ska fastställa vem som ansvarar för kontinuitetsplaneringen. Bolagen under tillsyn ska ha en klar handlingsmodell för upprättande, underhåll och testning av kontinuitetsplaner och för uppföljning av kontinuitetsplaneringen. (29) Utgångspunkten för kontinuitetsplaneringen är att bolagen under tillsyn kartlägger och prioriterar sina viktigaste verksamhetsprocesser. För dessa ska fastställas återställningstider, dvs. det längsta tillåtna avbrottet som inte stör verksamheten. För prioriterade processer ska alternativa handlingsmodeller och återställningsrutiner läggas upp för eventuella avbrott. Extra uppmärksamhet bör ges möjligheten att återställa information som är nödvändig för att verksamheten ska kunna återupptas. (30) Datasystem och tillämpningar ska rangordnas i viktighetsordning efter hur snabbt de ska kunna återställas efter olika typer av störningar. För datasystemen ska upprättas återställningsplaner med beskrivningar av hur systemen kan fås funktionsdugliga efter allvarliga störningar eller katastrofer. (31) Säkerhetskopiorna och en eventuell reservanläggning ska placeras så långt bort från den egentliga datacentralen att data och säkerhetskopior inte kan förstöras samtidigt. (32) Bolagets kontinuitetsplaner ska grunda sig på risk- och sårbarhetsanalyser av verksamheten, dvs. på hot-, sårbarhets- och riskanalyser som hänför sig till data, system, funktioner och tjänster. (33) Kontinuitetsplanerna ska beakta olika hotbilder avseende verksamheten och funktionernas sårbarhet. Kontinuitetsplanerna ska dimensioneras efter verksamhetens art, omfattning och komplexitet. De ska styra verksamheten och den information som ges vid olika typer av störningar. (34) Bolaget ska bereda sig för störningar i externa tjänsteleverantörers verksamhet. I kontinuitetsplanerna ska det beskrivas på vilket sätt man strävar efter att förebygga inverkan av störningar hos externa tjänsteleverantörers verksamhet på verksamheten under tillsyn och på vilket sätt bolaget under tillsyn följer upp de externa tjänsteleverantörernas kontinuitetsplanering. I avtal med externa tjänsteleverantörer ska det krävas att de externa tjänsteleverantörerna granskar, uppdaterar och testar sina system i händelse av störningar (35) Kontinuitetsplanerna ska revideras regelbundet och anpassas till förändringar i bolagets verksamhet, tjänster eller strategier. Kontinuitetsplanerna ska testas och övningar hållas regelbundet. Ansvariga ska utses för att övervaka uppdateringen och testningen av kontinuitetsplanerna.

20 20 (51) 6 Riskhantering 6.1 Allmänt (1) I 6 kap. 10 och 11 i FBL föreskrivs om riskhanteringen och riskhanteringsfunktionen i ett försäkringsbolag. (2) Finansinspektionens rätt att meddela närmare föreskrifter om uppläggningen av riskhanteringen grundar sig på 6 kap. 21 i FBL. (3) Med försäkringsrisk avses risk för förlust på grund av otillräckliga antaganden som gäller prissättning och ansvarsskuld eller en ofördelaktig förändring i försäkringsansvaren. (4) Med operativa risker avses risk för förlust till följd av otillräckliga eller misslyckade interna processer, personalen, systemen och externa faktorer. (5) Med marknadsrisk avses risk för förlust eller en ofördelaktig förändring i bolagets ekonomiska ställning, som direkt eller indirekt beror på fluktuationer i tillgångarnas, ansvarens och de finansiella instrumentens marknadspriser och volatilitet. (6) Med kreditrisk avses risk för förlust eller en ofördelaktig förändring i bolagets ekonomiska ställning, som beror på svängningar i värdepappersemittenters, motparters eller gäldenärers kreditvärdighet och som hänför sig till försäkrings- och återförsäkringsföretag i form av motpartrisk, räntemarginalrisk eller marknadsriskkoncentrationer. (7) Med likviditetsrisk avses risk för att försäkrings- och återförsäkringsföretag inte klarar av att omvandla sina placeringar eller andra tillgångar till pengar för att uppfylla sina ekonomiska skyldigheter som förfaller till betalning. (8) Med koncentrationsrisk avses alla slag av risker, i anslutning till vilka förlusterna kan vara så stora att de äventyrar försäkrings- och återförsäkringsföretagens solvens eller ekonomiska ställning. (9) Med riskreduceringstekniker avses alla slags tekniker med hjälp av vilka försäkrings- och återförsäkringsföretagen kan överföra en del av eller alla sina risker till en annan part. 6.2 Styrelsens uppgifter inom riskhanteringen (10) Enligt 6 kap. 8 i FBL ska försäkringsbolaget ha skriftliga verksamhetsprinciper som godkänns av styrelsen för riskhanteringen. Enligt 6 kap. 10 i FBL ska försäkringsbolaget ha en riskhanteringsstrategi som stämmer överens med bolagets affärsstrategi.

21 21 (51) F Ö R E S K R I F T ( s t y c k e 1 1 ) (11) Bolagets styrelse ansvarar för att säkerställa att riskhanteringssystemet är effektivt, för att fastställa gränser för bolagets riskaptit och samlade risktolerans, samt för att godkänna huvudsakliga strategier och verksamhetsprinciper för riskhanteringen. Gränserna samt riskhanteringsstrategier och verksamhetsprinciper ska återspegla den risktagningsnivå som styrelsen väljer. A N V I S N I N G A R ( s t y c k e 1 2 o c h 1 3 ) (12) Finansinspektionen rekommenderar att styrelsen i det ansvariga bolaget ansvarar för att hela gruppens riskhanteringssystem är effektivt. Riskhanteringssystemet ska åtminstone omfatta följande uppgifter: a) strategiska beslut och verksamhetsprinciper när det gäller riskhantering på gruppnivå, b) definition av gränser för gruppens riskaptit och samlade risktolerans, och c) identifiering, mätning, hantering, övervakning och rapportering av risker på gruppnivå. (13) Finansinspektionen rekommenderar att det ansvariga bolaget säkerställer att dylika strategiska beslut och verksamhetsprinciper överensstämmer med gruppens struktur, storlek och särdragen hos bolagen inom gruppen. Bolaget bör också säkerställa att systemet omfattar alla de väsentliga funktionerna i varje bolag i gruppen och de risker som är förknippade med dem. Det ansvariga bolaget ska ansvara för man tar i bruk ett helhetsbetonat, konsekvent och effektivt riskhanteringssystem i gruppen. 6.3 Riskhanteringsfunktion (14) Enligt 6 kap. 11 i FBL ska försäkringsbolaget ha en riskhanteringsfunktion som är oberoende av risktagningsfunktionerna. Riskhanteringsfunktionen ska bistå styrelsen och andra funktioner för att säkerställa en effektiv riskhantering, följa riskhanteringssystemets funktionalitet och bolagets allmänna riskprofil som helhet, rapportera om exponering för risker och ge råd till styrelsen i riskhanteringsfrågor, såsom vid beredningen av bolagets affärsstrategi samt i centrala projekt och investeringar, samt identifiera och bedöma framväxande risker. A N V I S N I N G ( s t y c k e 1 5 ) (15) Finansinspektionen rekommenderar att det ansvariga bolaget säkerställer att verksamhetsprinciperna som gäller riskhanteringen verkställs konsekvent inom hela gruppen. 6.4 Verksamhetsprinciper för riskhanteringen (16) Enligt 6 kap. 8 i FBL ska försäkringsbolaget ha skriftliga verksamhetsprinciper som godkänns av styrelsen för riskhanteringen. I verksamhetsprinciperna ska klart anges ansvar, mål, processer och rapporteringsförfarandet.

22 22 (51) (17) Enligt 6 kap. 10 i FBL ska försäkringsbolaget ha ett riskhanteringssystem som innefattar fortlöpande identifiering, mätning, övervakning, hantering och rapportering av de enskilda risker som bolaget exponeras för samt den sammanlagda riskexponeringen. F Ö R E S K R I F T ( s t y c k e 1 8 ) (18) Verksamhetsprinciperna ska åtminstone a) definiera riskkategorier och metoder för att mäta riskerna, b) beskriva hur bolaget hanterar varje relevant riskkategori, riskområde, och varje möjlig aggregering av risker; c) beskriva sambandet mellan den övergripande bedömningen av de solvensbehov som fastställs i risk- och solvensbedömningen (som grundar sig på Orsa-principerna), de lagstadgade kapitalkraven och bolagets risktoleransgränser, d) fastställa risktoleransgränser inom alla relevanta riskkategorier i enlighet med bolagets samlade riskaptit, och e) beskriva innehållet i regelbundna stresstester och hur ofta de ska genomföras samt vilka situationer som kan föranleda särskilda stresstester. 6.5 Försäkringsrisker F Ö R E S K R I F T ( s t y c k e 1 9 ) (19) Verksamhetsprinciperna som gäller bolagets riskhantering ska innehålla åtminstone följande uppgifter som gäller risken förknippad med beviljandet av försäkringar och reserveringen för ansvarsskuld: a) försäkringsverksamhetens typ och kännetecknen, som t.ex. typen av försäkringsrisker som bolaget är villigt att ta, b) hur det säkerställs att premieinkomsterna täcker förväntade ersättningar och kostnader c) identifiering av risker som följer av bolagets försäkringsåtaganden, inklusive möjliga val och garanterade återköpsvärden i dess produkter, d) hur bolaget i planeringen av nya försäkringsprodukter och i beräkningen av premier tar hänsyn till placeringsrestriktionerna, och e) hur bolaget i planeringen av nya försäkringsprodukter och i beräkningen av premier tar hänsyn till återförsäkrings- och annan riskreduceringsteknik. 6.6 Operativa risker Uppläggning av hanteringen av operativa risker (20) Enligt 6 kap. 10 i FBL ska försäkringsbolagets riskhanteringssystem omfatta hantering av operativa risker.

23 23 (51) F Ö R E S K R I F T ( s t y c k e ) (21) Verksamhetsprinciperna som gäller försäkringsbolagets riskhantering ska behandla åtminstone följande när det gäller operativ risk: a) operativa risker som bolaget är eller kan bli exponerat för och bedömning av hur de kan reduceras, b) bolagets åtgärder och interna processer för att hantera operativa risker, inbegripet de IT-system som stöder dem, och c) risktoleransgränser för de områden som är viktigast när det gäller företagets risker förknippade med operativ risk. (22) Försäkringsbolaget ska ha rutiner och processer för att identifiera och analysera operativa riskhändelser. (23) Försäkringsbolaget ska ta fram ändamålsenliga scenarier för hanteringen av operativa risker, i vilka åtminstone störningar i anslutning till centrala processer, personal eller system samt externa händelser beaktas Uppföljning av operativa risker och rapportering av skadefall A N V I S N I N G A R ( s t y c k e 2 4 o c h 2 5 ) (24) Finansinspektionen rekommenderar att bolag under tillsyn tar i bruk system för intern rapportering av förlustuppgifter och för sammanställningen av förlustuppgifterna i en fil. Insamlingen av förlustuppgifter kan anses på ett betydande sätt stöda hanteringen av operativa risker. (25) I avsnitt ges anvisningar om den anmälan som ska sändas till Finansinspektionen om störningar och fel i verksamheten. F Ö R E S K R I F T ( s t y c k e 2 6 ) (26) Försäkringsbolaget ska ha rutiner och processer för rapporteringen av operativa riskhändelser. Bolaget ska ta fram en process för insamling och uppföljning av operativa riskhändelser. A N V I S N I N G A R ( s t y c k e ) (27) Finansinspektionen rekommenderar att det i rapportuppgifterna ingår till exempel en beskrivning av händelsen, orsakerna till händelsen, uppskattning av direkta och indirekta kostnader samt skadeförebyggande åtgärder. Dessutom rekommenderas rapportering av vilka åtgärder som har vidtagits med anledning av skadan, vem som ansvarar för dem och tidsplanen för de korrigerande åtgärderna. (28) Finansinspektionen rekommenderar att bolaget, för att övervakningen och rapporteringen ska vara tillfredsställande, fastställer en beloppsgräns och att transaktioner som överskrider gränsen rapporteras. Även små skador och s.k. nära ögat-situationer ska rapporteras, om de är principiellt viktiga med tanke på en fungerande riskhantering. (29) Finansinspektionen rekommenderar att uppföljningen av förluster på grund av operativa risker ordnas till exempel enligt följande tabell.

24 24 (51) Förlusttyp Interna oegentligheter Extern brottslighet Anställningsförhållanden, arbetarskydd Affärspraxis Exempel förskingring, bedrägeri, tagande av muta, skadegörelse, avsaknad av befogenheter (eller överskridande av dem), missbruk av kunduppgifter, avsiktlig felrapportering av positioner, yppande av affärshemlighet, utpressning stöld, rån, bedrägeri (t.ex. med betalningsmedel), förfalskning, penningtvätt, intrång i datasystem, spridning av skadliga program, överbelastningsattack mot datasystem, bombhot, hot mot personalen, utpressning brott mot arbetsavtalslagen (bl.a. arbetstid, arbetarskydd), ersättningsanspråk med anledning av diskriminering, löne-, ersättnings- eller uppsägningstvister, arbetsmarknadskonflikter marknadsföring och tillhandahållande av tjänster som strider mot god sed eller annars är otillbörlig, missbruk av konfidentiella kunduppgifter (t.ex. för marknadsföring), försummelse av informationsskyldigheten gentemot en kund, försummelse av tystnadsplikten, uppdragsutförande som strider mot bestämmelserna, penningtvätt Egendomsskada Störningar och avbrott i datasystem eldsvåda, vattenskada, översvämning programfel, störning i datakommunikationen, driftsavbrott, maskinfel, elavbrott, störning hos en extern tjänsteproducent Processproblem rapporteringsfel, fel i kunduppgifterna, inmatningsfel i datasystemet, prissättningsfel, ogiltigt avtal, bristfällig dokumentation, försvunna dokument, brister i säkerhetshanteringen, störning i utlagd verksamhet, tvist med utomstående leverantör, redovisningsfel Informationssystem och datasäkerhet Datasystem F Ö R E S K R I F T ( s t y c k e ) (30) Försäkringsbolagets styrelse ska säkerställa att datasystemen i bolaget under tillsyn är tillräckliga och lämpliga i förhållande till verksamhetens art och omfattning. Huruvida datasystemen är tillräckliga och lämpliga ska avgöras utgående från tillsynsobjektets verksamhetsförutsättningar, de krav som styrelsen ställer och det faktum att systemen ska stödja verksamheten enligt styrelsens riktlinjer. (31) Försäkringsbolaget ska ha den kompetens, organisation och interna kontroll som behövs för att registrera, överföra, behandla och arkivera data elektroniskt. Om dessa

25 25 (51) funktioner läggs ut, ska bolaget under tillsyn säkerställa att leverantören av databehandlingstjänster följer de principer som fastställs i detta avsnitt. (32) Styrelsen ska godkänna en IT-strategi för tillsynsobjektets nuvarande och uppskattade framtida behov samt omvärdera den med jämna mellanrum. Dessutom ska styrelsen följa upp IT-kostnaderna. (33) Det ska också finnas standardrutiner för driftsättning, ändringshantering och testning av systemen. Systemen ska testas omsorgsfullt innan de tas i drift. Vid behov ska belastnings- och kapacitetstestningar göras i fråga om systemen. A N V I S N I N G ( s t y c k e ) (34) Finansinspektionen rekommenderar att försäkringsbolaget fastställer riktlinjer som säkerställer samarbete mellan affärsenheterna och de enheter som tillhandahåller datatekniska tjänster. Bolaget under tillsyn ska emellertid skilja åt systemutvecklings- och produktionsuppgifter. (35) Finansinspektionen rekommenderar att försäkringsbolaget tar fram metoder för systemutveckling och kvalitetssäkring, som tryggar systemens funktion på planerat sätt. Dessutom ska systemen dokumenteras för att säkerställa att de går att använda och utveckla i framtiden även om exempelvis nyckelpersoner byts ut. (36) Finansinspektionen rekommenderar att försäkringsbolaget beskriver de rutiner som tillämpas vid köp av viktiga tillämpningar och maskinvara eller då det ingår avtal med externa tjänsteproducenter. Tillsynsobjektet ska säkerställa att anskaffningar och avtal motsvarar dess behov och de kvalitetsmål som ställs för verksamheten och att man med dem kan garantera fortlöpande service Informationssäkerhet Definition av informationssäkerhet och grundläggande krav (37) Informationssäkerhet innebär att företagets data, tjänster, system och datakommunikation är skyddade och säkerställda under både normala och undantagsförhållanden genom administrativa, tekniska och andra åtgärder. (38) Då tjänsterna utvecklas är det viktigt att säkerställa att ändamålsenlig loggregistrering görs över händelserna. Dessutom är det viktigt att övervaka vem som har tillgång till tjänsterna samt att identifiera och autentisera användarna. F Ö R E S K R I F T ( s t y c k e ) (39) Bolagets allmänna informationssäkerhet och de olika datasystemens säkerhetsnivåer ska vara tillräckliga i förhållande till verksamhetens art och omfattning, hur allvarliga riskerna förknippade med systemen är och den allmänna tekniska utvecklingsnivån. (40) Bolagets styrelse ansvarar för att tillsynsobjektets informationssäkerhet är på tillräcklig nivå. Den allmänna nivån på tillsynsobjektets informationssäkerhet ska vara fastställd och godkänd av styrelsen. Bolaget ska tillställa de resurser och fastställa det ansvar som behövs för att upprätthålla en tillräcklig datasäkerhetsnivå. Bolaget ska regelbundet utvärdera informationssäkerhetsnivån. Om det inte finns tillräcklig datasäkerhetsexpertis

26 26 (51) inom den egna organisationen, ska bolaget under tillsyn låta en utomstående expert göra en utvärdering. Konstaterade brister i säkerheten ska omedelbart åtgärdas. (41) Försäkringsbolaget ska fastställa ägarna till den information som det förvarar och hanterar. Ägarna ska svara för principerna för användning av information och system, behörigheter och säkerhet. Bolaget under tillsyn ska klassificera den information som förvaras och hanteras enligt säkerhetskraven och utarbeta hanteringsregler för olika säkerhetsklasser. (42) Försäkringsbolaget ska bevilja behörighet att använda information, program och system, samt övervaka användningen av systemen enligt samordnade regler som godkänts av ledningen. Tilldelningen av användarbehörigheter ska basera sig på användarens arbetsuppgifter. Bolaget under tillsyn ska med tekniska metoder (användaridentifikationer, lösenord osv.) begränsa tillgången till data, program och system till behöriga personer. Överskridningar av användarbehörigheten ska utredas och rapporteras till den instans som ansvarar för systemen inom organisationen. (43) Åtkomsten till datasystem ska övervakas. Också oavvisligheten av de transaktioner som utförs i datasystemen samt identifieringen och autentiseringen av de kommunicerande parterna ska vara säkerställd. Vidare ska de transaktioner som hanteras i datasystemen fullständigt kunna spåras. Hantering av informationssäkerhetsrisker och behandlingen av informationssäkerhetsfall (44) Med informationssäkerhetsfall avses en händelse eller åtgärd som strider mot företagets informationssäkerhetsprinciper (exempelvis virusattack), intrång i datasystemet eller informationsläckage. F Ö R E S K R I F T ( s t y c k e ) (45) Rutiner för bedömning av informationssäkerhetsriskerna ska byggas in i försäkringsbolagets riskhantering för att styrelsen och verkställande ledningen ska kunna bilda sig en uppfattning om samverkan mellan alla väsentliga risker i affärsverksamheten. (46) Bedömningen av försäkringsbolagets informationssäkerhetsnivå ska basera sig på regelbunden utvärdering av riskerna i informationssäkerheten. I riskanalyserna ska tillsynsobjektets viktigaste verksamhet och resurser fastställas, hotbilderna samt verksamheternas och resursernas sårbarhet för hoten analyseras samt bedömas hur hoten inverkar på tillsynsobjektets verksamhet, om de realiseras. För hantering av identifierade risker måste tillräckliga kontroller byggas in. Riskerna med nya system, tekniker och tjänster ska också bedömas innan de tas i drift. (47) Informationssäkerhetsfall på grund av bristande informationssäkerhet ska identifieras, analyseras, arkiveras och rapporteras till namngivna ansvariga inom organisationen.

27 27 (51) Informationssäkerhetsregler och utbildning F Ö R E S K R I F T ( s t y c k e 4 8 o c h 4 9 ) (48) Bolaget ska ha uppdaterade informationssäkerhetsprinciper som godkänns av styrelsen samt informationssäkerhetsregler som stöder dessa och som de anställda i bolaget under tillsyn ska vara informerade om. (49) Bolaget ska klart fastställa informationssäkerhetsansvaret för varje anställd och ge de anställda regelbunden informationssäkerhetsutbildning. Informationssäkerheten ska kontinuerligt utvecklas och ansvaret för detta ska klart fastställas på chefsnivå. A N V I S N I N G ( s t y c k e 5 0 ) (50) Finansinspektionen rekommenderar att informationssäkerhetsreglerna innehåller bland annat bestämmelser om fastställande av behörigheter, bekämpning av skadliga program samt användningen av Internet och e-post. Informationssäkerhet i datanätet (51) Webbtjänsternas säkerhet utgörs bland annat av de handlingsmönster som använts för tjänsterna, vilka tillämpningar som använts samt hur säkra de tekniska systemen och dataförbindelserna är. F Ö R E S K R I F T ( s t y c k e 5 2 o c h 5 3 ) (52) Försäkringsbolaget ska innan befintliga tjänster börjar bjudas ut eller nya tjänster introduceras i datanät bedöma om tjänsterna är lämpliga att tillhandahålla över nätet. De största riskerna med tjänsterna och riskhanteringsmetoderna ska dokumenteras och nödvändiga kontroller ska byggas in i systemen för att hantera riskerna. Riskhanteringen och internkontrollen av onlineverksamhet, datasystem och interna processer ska planeras och läggas upp så att verksamhetens art och omfattning och hoten mot verksamheten beaktas. (53) Försäkringsbolaget ska bedöma den totala risken i onlineverksamheten med jämna mellanrum. Bolaget under tillsyn ska på löpande basis analysera och utveckla sina datasystem och informationssäkerheten samt i tillräcklig omfattning skydda sig mot olika störningar och eventuellt missbruk. Utveckling av säkra onlinetjänster F Ö R E S K R I F T ( s t y c k e 5 4 ) (54) Försäkringsbolaget ska bedöma informationssäkerhetsriskerna när det utvecklar nya tjänster. A N V I S N I N G ( s t y c k e 5 5 ) (55) Finansinspektionen rekommenderar att bolaget under tillsyn för att trygga informationssäkerheten ser till att åtminstone följande kriterier uppfylls innan det lanserar en tjänst samt vid tillhandahållande av en tjänst:

28 28 (51) En riskanalys har utförts och nödvändiga riskhanteringsåtgärder har vidtagits. De enskilda systemen har testats och besiktigats och bolaget har ordnat med fortlöpande uppföljning och rapportering av systemens säkerhetsnivå och eventuella störningar. Med säkerhetsbesiktning avses systematisk granskning av säkerhetsnivån i ett system, en tjänst eller en verksamhet för att säkerställa att den målsatta säkerhetsnivån har uppnåtts. Det finns på förhand beskrivna reservsystem för att säkerställa tillgängligheten och kontinuiteten av en tjänst och det har upprättats återställningsplaner för respektive system. Systemen har försetts med nödvändiga mekanismer för bekämpning av virus och andra skadliga program. Systemen och dataförbindelserna är skyddade i händelse av t.ex. överbelastningsattacker. Systemen är försedda med en mekanism för behörighetskontroll och tillsynsobjektet har sörjt för att behörighetshanteringen har ordnats på behörigt sätt. Det externa nätet har skilts åt från tillsynsobjektens interna nät med säkerhetsarrangemang. Systemet testas med jämna mellanrum och särskilt efter systemändringar. Brister i säkerheten ska omedelbart åtgärdas. Tillsynsobjektet har säkerställt att dataöverföringen i webbtjänsten och databehandlingen i tjänsteleverantörens system uppfyller kraven på konfidentialitet, integritet och oavvislighet. Också identifieringen och autentiseringen av de sinsemellan kommunicerande parterna ska vara tillräckligt tillförlitlig. Tillsynsobjektet har försett sina datasystem med kontrollmekanismer och spårningskedjor för att säkerställa in- och utdatans riktighet och integritet. De transaktioner som handläggs i systemet ska fullständigt kunna spåras. Systemen har inbyggda kontroller som möjliggör avstämning av transaktioner som har utförts i olika system. Då tjänster byggs upp beaktas reservarrangemang med vilka man bereder sig för störningar och avbrott i verksamheten eller systemen med alternativa handlingsmodeller eller system. Reservarrangemang är exempelvis dubblering av viktiga komponenter som behövs i databehandlingen och datakommunikationen samt säkerhetskopiering. Eventuella lösenord för kunder krypteras inom systemet och vid överföring mellan system. Vid uppläggning, behandling och överlämning till kunden av dennes identifikationsuppgifter (användaridentitet och lösenord) iakttas extra aktsamhet och s.k. farliga arbetskombinationer undviks. Systemen för logg över inloggning och försök till inloggning samt om hur tjänsten används. Loggarna och loggrapporterna behandlas regelbundet. Försäkringsbolagets kunder ges tillräckligt med information om tjänsteleverantören, de tjänster som tillhandahålls, om ansvarsfördelningen mellan den som tillhandahåller och den som använder tjänsten och om hur kunden tryggt kan använda tjänsten.