Norma Regulamentar n.º 7/2024-R, de 20 de agosto - Segurança e governação das tecnologias da informação e comunicação e à subcontratação a prestadores de serviços de computação em nuvem no âmbito da gestão de fundos de pensões

No quadro dos objetivos a prosseguir pela Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) de reforço do sistema de governação das entidades gestoras de fundos pensões, em complemento aos requisitos gerais em matéria de governação estabelecidos na Norma Regulamentar n.º 6/2024-R, de 20 de agosto, a ASF elaborou a presente norma regulamentar, tendo em vista assegurar que as sociedades gestoras de fundos de pensões se encontram devidamente preparadas para gerir os riscos associados às tecnologias da informação e comunicação (TIC) e à respetiva segurança.

A previsão deste regime para as sociedades gestoras de fundos de pensões decorre da verificação da dependência crescente das TIC no funcionamento operacional das sociedades gestoras e visa assegurar a redução da vulnerabilidade a incidentes de segurança, incluindo ciberataques, bem como a otimização da gestão de riscos associados às TIC e à segurança no setor dos fundos de pensões, por forma a que as sociedades gestoras de fundos de pensões atinjam os seus objetivos em termos estratégicos, empresariais, operacionais e de reputação.

Adicionalmente, a previsão de requisitos e princípios gerais em matéria de segurança e governação das TIC e de requisitos específicos em matéria de subcontratação a prestadores de serviços de computação em nuvem é um passo importante para um alinhamento acrescido com a regulamentação aprovada no âmbito da atividade seguradora, a promoção da gestão sã e prudente das sociedades gestoras de fundos de pensões e para a estabilidade do setor financeiro.

A criação de um regime para as sociedades gestoras de fundos de pensões que assegure a devida preparação para a gestão de riscos associados às TIC e à respetiva segurança afigura-se, ainda, fundamental para a preparação e antecipação de determinados requisitos estabelecidos pelo Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro, e respetivos atos delegados, de execução, bem como outros atos jurídicos.

Com efeito, para além de garantir o alinhamento, desde já, com a Norma Regulamentar n.º 6/2022-R, de 7 de junho, o regime previsto na presente norma regulamentar garante a convergência da regulação das matérias relativas à segurança e governação das TIC e subcontratação a prestadores de serviços de computação em nuvem no âmbito da gestão de fundos de pensões com os requisitos previstos no Regulamento mencionado, aplicável a partir de 17 de janeiro de 2025, que visa o alcance de um elevado nível de resiliência operacional digital em relação a todas as entidades reguladas do setor financeiro.

Neste sentido, são destacados os seguintes requisitos e princípios gerais em matéria de segurança e governação das TIC e requisitos específicos em matéria de subcontratação a prestadores de serviços de computação em nuvem no âmbito da gestão de fundos de pensões estabelecidos pela presente norma regulamentar:

1. A definição de requisitos gerais em matéria de governação das TIC, designadamente as responsabilidades do órgão de administração neste âmbito, a obrigação de as sociedades gestoras de fundos de pensões disporem de uma estratégia em matéria de TIC, de integrarem os riscos associados às TIC e à segurança no sistema de gestão de riscos global da sociedade gestora e de realizarem auditorias periódicas;
2. A previsão de requisitos que se referem à segurança da informação, nomeadamente que as sociedades gestoras de fundos de pensões devem dispor de uma política de segurança da informação e de uma função de segurança da informação;
3. A regulamentação dos deveres que as sociedades gestoras de fundos de pensões devem cumprir relativamente à gestão operacional de TIC;
4. A previsão de requisitos aplicáveis à gestão da continuidade de negócio no âmbito das TIC;
5. A definição de requisitos gerais em matéria de governação da subcontratação de serviços de computação em nuvem;
6. A previsão de requisitos prévios à celebração do acordo de subcontratação de serviços de computação em nuvem e a regulamentação dos direitos e obrigações que devem ser claramente identificados e especificados no acordo escrito.

Nota-se que os requisitos previstos neste normativo pretendem garantir modelos de governação com maiores níveis de exigência e um aumento da resiliência das operações tecnológicas das sociedades gestoras de fundos de pensões, incluindo um quadro de cibersegurança sólido, bem como promover uma atuação diligente, equitativa e transparente por parte destas, tendo como objetivo uma adequada proteção do consumidor.

Por outro lado, recorda-se que as disposições da presente norma regulamentar são aplicáveis de forma proporcional à natureza, dimensão, escala e complexidade dos riscos inerentes à atividade das sociedades gestoras de fundos de pensões, devendo a respetiva capacidade e recursos disponíveis serem ajustados de forma a garantir uma adequada aplicação dos requisitos estabelecidos.

Finalmente, sublinha-se que as empresas de seguros que gerem fundos de pensões já se encontram sujeitas aos requisitos aplicáveis à atividade seguradora no âmbito da Norma Regulamentar n.º 6/2022-R, de 7 de junho. Sem prejuízo, a presente norma regulamentar complementa a aplicação das disposições em matéria de subcontratação a prestadores de serviços de computação em nuvem no que concerne à atividade de gestão de fundos de pensões das referidas empresas.

A presente norma regulamentar entrará em vigor 30 dias após a data da sua publicação, ainda que algumas disposições sejam abrangidas por um regime transitório que termina a 17 de janeiro de 2025.

A Norma Regulamentar n.º 7/2024-R, de 20 de agosto, pode ser consultada aqui.

O Relatório da Consulta Pública n.º 5/2024 pode ser consultado aqui.