Consulta Pública n.º 5/2024 - Projeto de norma regulamentar relativa à segurança e governação das tecnologias da informação e comunicação e à subcontratação a prestadores de serviços de computação em nuvem no âmbito da gestão de fundos de pensões
Nos termos do artigo 47.º dos Estatutos aprovados pelo Decreto-Lei n.º 1/2015, de 6 de janeiro, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) submete a consulta pública o projeto de norma regulamentar relativa à segurança e governação das tecnologias da informação e comunicação (TIC) e à subcontratação a prestadores de serviços de computação em nuvem no âmbito da gestão de fundos de pensões.
Nos termos do artigo 16.º do Regulamento (UE) n.º 1094/2010, do Parlamento Europeu e do Conselho, de 24 de novembro, a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (“EIOPA”) publicou, em 6 de fevereiro de 2020, Orientações relativas à subcontratação a prestadores de serviços de computação em nuvem e, em 12 de outubro de 2020, Orientações sobre segurança e governação das TIC.
Neste contexto, a ASF publicou a Norma Regulamentar n.º 6/2022-R, de 7 de junho, dirigida às empresas de seguros e de resseguros, estabelecendo requisitos e princípios gerais em matéria de segurança e governação das TIC e requisitos específicos em matéria de subcontratação a prestadores de serviços de computação em nuvem.
As TIC são cada vez mais complexas e a potencialidade de incidentes relacionados com estas tecnologias, designadamente incidentes de cibersegurança, tem vindo igualmente a aumentar. Por este motivo, a gestão dos riscos associados às TIC e à segurança é fundamental para que as entidades supervisionadas pela ASF atinjam os seus objetivos em termos estratégicos, empresariais, operacionais e de reputação.
Atendendo ao potencial impacto negativo dos incidentes de cibersegurança e a utilização crescente das TIC no funcionamento operacional das sociedades gestoras de fundos de pensões, a ASF considera essencial que, em alinhamento com o regime estabelecido para as empresas de seguros e de resseguros, seja previsto um regime similar para as sociedades gestoras de fundos de pensões.
Neste sentido, a presente norma regulamentar visa assegurar a redução da vulnerabilidade a incidentes de segurança, incluindo ciberataques, bem como a otimização da gestão de riscos associados às TIC e à segurança na atividade das sociedades gestoras de fundos de pensões. Considerando a necessidade de preparação para a prevenção e gestão de riscos cibernéticos e implementação de um quadro de cibersegurança sólido por parte das sociedades gestoras de fundos de pensões, a presente norma regulamentar abrange igualmente a cibersegurança no âmbito das medidas de segurança da informação dessas sociedades gestoras.
Por outro lado, os requisitos estabelecidos visam promover uma atuação diligente, equitativa e transparente por parte das sociedades gestoras de fundos de pensões, tendo como objetivo uma adequada proteção do consumidor.
Sublinha-se que as empresas de seguros que gerem fundos de pensões já se encontram sujeitas aos requisitos aplicáveis à atividade seguradora no âmbito da Norma Regulamentar n.º 6/2022-R, de 7 de junho. Sem prejuízo, a presente norma regulamentar complementa a aplicação das disposições em matéria de subcontratação a prestadores de serviços de computação em nuvem no que concerne à atividade de gestão de fundos de pensões das referidas empresas.
Os comentários sobre o projeto de norma regulamentar devem ser remetidos, por escrito e utilizando a tabela de comentários para o efeito, até ao dia 1 de julho de 2024, para o seguinte endereço de correio eletrónico: consultaspublicas@asf.com.pt
Mais se informa que o presente processo de consulta pública decorre em paralelo com a Consulta Pública da ASF n.º 4/2024 do projeto de norma regulamentar relativa ao sistema de governação das entidades gestoras de fundos de pensões. Atendendo a razões de transparência, a ASF propõe-se publicar no seu sítio na Internet os contributos recebidos ao abrigo desta consulta pública.
Assim, caso o respondente se oponha à referida publicação, integral ou parcial, deve referi-lo expressamente no contributo que enviar, indicando quais os excertos do seu contributo cuja publicação não autoriza.
Por razões de equidade, os contributos recebidos após o final do prazo da consulta pública não serão considerados.
Os dados pessoais recebidos neste âmbito serão tratados exclusivamente para a presente finalidade e em conformidade com o RGPD.
Tendo em vista promover o conhecimento do referido projeto normativo, bem como facilitar os esclarecimentos que possam enriquecer os contributos no contexto do processo de consulta pública, a ASF irá promover uma sessão pública sobre o projeto de norma regulamentar em apreço, em formato e data a divulgar oportunamente.
Consulte o Projeto de Norma Regulamentar
Consulte o Documento de Consulta Pública
Partilhe os seus comentários ao projeto de norma regulamentar na Tabela de Comentários