Об этом сообщил глава департамента ЦБ Илья Смирнов, выступая 22 февраля в Совете Федерации на круглом столе «Нормативно-правовые аспекты становления и работы института страхования в области киберрисков» в рамках заседания секции «Обеспечение технологического суверенитета и информационной безопасности Российской Федерации», пишет «Финмаркет».
ЦБ определил ряд важных вопросов, на которые предстоит дать ответы в ходе доработки инициированного сенаторами законопроекта о введении в РФ формы финансовых гарантий в виде страхования ответственности операторов за утечку персональных данных граждан. Среди этих вопросов — от каких конкретно рисков страхуются граждане, какие риски не покрываются страхованием, какой принцип заложить при расчёте ущерба, как обеспечить доступность страхования, какие органы будут контролировать исполнение обязанности страхователями по формированию гарантий и как избежать рисков мошенничества.
При этом, по словам Смирнова, конкретные параметры такого рода договоров страхования могут быть разработаны саморегулируемой организацией на страховом рынке — Всероссийским союзом страховщиков (ВСС).
Вместе с тем, «граждане должны понимать, от чего они защищены, нельзя отдавать этот вопрос на откуп страховщикам», считает он. Кроме того, в законопроекте должен быть сформулирован не только перечень рисков, но и исключения из страхового покрытия при наступлении ответственности по договору страхования ущерба при утечке персональных данных.
Представитель ЦБ обратил внимание на необходимость для законодателей определиться с тем, должна ли ответственность операторов наступать по факту утечки персональных данных или ущерб должен рассчитываться с учётом каждой строки записей потерянных персональных данных.
Вместе с тем, говоря о вменённом характере обсуждаемого вида страхования, Смирнов счёл необходимым отметить, что страховщики могут отказываться от заключения таких договоров страхования ответственности, если не смогут оценить уровень кибер-защиты страхователя как достаточный (вменённые виды страхования предусматривают возможность отказа страховщика в приёме рисков на страхование).
«Участникам отрасли было бы правильно создавать свой компенсационный фонд в рамках собственной саморегулируемой организации, который мог бы покрывать риски, не охваченные страхованием», — полагает Смирнов.
«Кроме того, целесообразно определить порядок контроля за этой сферой и периодичность его осуществления. Надо определить в законопроекте, будут ли эти функции возложены на Роскомнадзор, Минцифры или МВД», — добавил представитель ЦБ.
Глава департамента Банка России считает правильным предусмотреть условия, которые не порождали бы злоупотребления со стороны лиц, которые настроены на получение неправомерных страховых выплат. Это может случиться, если желающие превратить такие выплаты в источник дополнительного дохода начнут «распылять свои персональные данные» по компаниям с тем, чтобы получить выплату, если где-то риск сработает.
Один из ключевых вопросов введения страхования киберрисков — должна быть причинно-следственная связь между утечкой данных и причинённым этой утечкой ущербом, считает генеральный директор Национальной страховой информационной системы (НСИС) Николай Галушин. Он подчеркнул, что по закону страхование не может покрывать штрафы, накладываемые на компании за утечки персональных данных.
Источник: https://www.asn-news.ru/news/85672
ЦБ определил ряд важных вопросов, на которые предстоит дать ответы в ходе доработки инициированного сенаторами законопроекта о введении в РФ формы финансовых гарантий в виде страхования ответственности операторов за утечку персональных данных граждан. Среди этих вопросов — от каких конкретно рисков страхуются граждане, какие риски не покрываются страхованием, какой принцип заложить при расчёте ущерба, как обеспечить доступность страхования, какие органы будут контролировать исполнение обязанности страхователями по формированию гарантий и как избежать рисков мошенничества.
При этом, по словам Смирнова, конкретные параметры такого рода договоров страхования могут быть разработаны саморегулируемой организацией на страховом рынке — Всероссийским союзом страховщиков (ВСС).
Вместе с тем, «граждане должны понимать, от чего они защищены, нельзя отдавать этот вопрос на откуп страховщикам», считает он. Кроме того, в законопроекте должен быть сформулирован не только перечень рисков, но и исключения из страхового покрытия при наступлении ответственности по договору страхования ущерба при утечке персональных данных.
Представитель ЦБ обратил внимание на необходимость для законодателей определиться с тем, должна ли ответственность операторов наступать по факту утечки персональных данных или ущерб должен рассчитываться с учётом каждой строки записей потерянных персональных данных.
Вместе с тем, говоря о вменённом характере обсуждаемого вида страхования, Смирнов счёл необходимым отметить, что страховщики могут отказываться от заключения таких договоров страхования ответственности, если не смогут оценить уровень кибер-защиты страхователя как достаточный (вменённые виды страхования предусматривают возможность отказа страховщика в приёме рисков на страхование).
«Участникам отрасли было бы правильно создавать свой компенсационный фонд в рамках собственной саморегулируемой организации, который мог бы покрывать риски, не охваченные страхованием», — полагает Смирнов.
«Кроме того, целесообразно определить порядок контроля за этой сферой и периодичность его осуществления. Надо определить в законопроекте, будут ли эти функции возложены на Роскомнадзор, Минцифры или МВД», — добавил представитель ЦБ.
Глава департамента Банка России считает правильным предусмотреть условия, которые не порождали бы злоупотребления со стороны лиц, которые настроены на получение неправомерных страховых выплат. Это может случиться, если желающие превратить такие выплаты в источник дополнительного дохода начнут «распылять свои персональные данные» по компаниям с тем, чтобы получить выплату, если где-то риск сработает.
Один из ключевых вопросов введения страхования киберрисков — должна быть причинно-следственная связь между утечкой данных и причинённым этой утечкой ущербом, считает генеральный директор Национальной страховой информационной системы (НСИС) Николай Галушин. Он подчеркнул, что по закону страхование не может покрывать штрафы, накладываемые на компании за утечки персональных данных.
Источник: https://www.asn-news.ru/news/85672