Tato příručka je určena pro pojišťovny, makléře a zajišťovatele, kteří spravují data pojistníků a musí do 17. října 2026 implementovat požadavky NIS2. Naučte se konkrétní opatření pro ochranu systémů, kontinuitu podnikání a řízení rizik dodavatelů.
Pod NIS2 spadají pojišťovny, pojišťovací makléři a zajišťovatelé, kteří mají v České republice significantní činnost v pojišťovnictví a zpracovávají osobní údaje pojistníků. Povinnost se vztahuje na subjekty, jejichž digitální služby jsou kritické pro ekonomickou činnost v sektoru financí. Malí makléři s obratem pod 2 miliony EUR mohou být vyjmuti, pokud nespravují digitální infrastrukturu pro třetí strany.
Všechny systémy, v nichž jsou uložena data pojistníků a pojistných smluv, musí být chráněny vícefaktorovou autentizací, šifrováním v přenosu a v klidu, a musí být zavedeny kontroly přístupu podle principu nejmenší privilege. Zastarané systémy správy pojistek bez procesů aktualizace bezpečnostních záplat musí být do 17. října 2026 modernizovány nebo vyřazeny.
Pojišťovny musí mít dokumentovanou strategii kontinuity provozu pro systémy zpracování pojistných nároků s cílovou dobou obnovení (RTO) maximálně 24 hodin a cílovou dobou obnovy dat (RPO) maximálně 4 hodiny. Musí být prováděny minimálně pololetní zkoušky převzetí služby a alternativního datacentra pro ověření funkčnosti plánů.
Pojišťovny a makléři musí provádět formální posouzení bezpečnosti před nákupem jakéhokoliv SaaS řešení pro underwriting, správu klientů nebo digitální distribuci. Smlouvy s dodavateli musí obsahovat klauzule o bezpečnosti, auditu, součinnosti při incidentech a právě na požádání musí být k dispozici bezpečnostní certifikáty (ISO 27001, SOC 2). Minimálně jedenkrát za rok musí být prováděno posouzení souladu dodavatelů.
Všechny kanály pro prodej pojistek online a všechny makléřské portály pro správu pojistek musí vyžadovat vícefaktorovou autentizaci, chránit komunikaci TLS 1.2 nebo vyšším, a implementovat ochranu proti útokům na webové aplikace (WAF). Každý přístup k osobním údajům pojistníků musí být zaznamenáván a monitorován pro detekci neobvyklé aktivity.
Pojišťovny, makléři a zajišťovatelé musí provádět formální posouzení digitálních rizik minimálně jedenkrát ročně a po každé významné změně IT infrastruktury nebo procesů. Posouzení musí zahrnovat testování zranitelností externích systémů, penetrační testy kritických aplikací a posouzení fyzické bezpečnosti datacentier. Výsledky posouzení musí být zdokumentovány a řešeny v časovém rámci 30 dní.
Pokud makléř spravuje digitální systémy pro příjem pojistných nároků nebo údaje třetích stran (pojistníků), je považován za důležitou entitu a musí implementovat NIS2. Výjimka platí pouze pokud obrat činí méně než 2 miliony EUR a nespravuje digitální infrastrukturu pro třetí strany. I v takovém případě jsou základní opatření jako MFA na portálech povinná.
Musíte: (1) provést formální posouzení digitálních rizik všech systémů; (2) implementovat MFA na všech makléřských portálech a administrativních přístupech; (3) aktualizovat nebo nahradit zastarané systémy bez procesů záplat; (4) podepsat bezpečnostní smlouvy se všemi poskytovateli SaaS; (5) zdokumentovat a otestovat plán kontinuity provozu; (6) vytvořit proces detekce a hlášení incidentů. Všechny tyto kroky musí být dokončeny a testovány nejpozději do 17. října 2026.
Norma NIS2 je transponována zákonem č. 181/2014 Sb. Pokuty za nedodržení mohou dosáhnout až do 10 milionů Kč nebo 2 % ročního obratu (podle toho, která částka je vyšší) pro nejzávaznější porušení. NÚKIB jako české orgány dohledu mohou také nařídily omezení činnosti nebo pozastavení provozování služeb. Důležitou entitou se stávají pojišťovny a makléři automaticky od 17. října 2024, i když implementaci mohou ukončit do 17. října 2026.