Edital de Consulta Pública SUSEP nº 15/2021: regras sobre segurança cibernética

A Superintendência de Seguros Privados (SUSEP) colocou em consulta pública o Edital nº 15/2021, trazendo minuta de Circular que apresenta novas disposições sobre o tema da segurança cibernética a ser aplicável às sociedades supervisionadas (seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores locais).

A Circular visa alinhar o mercado securitário com as disposições legais existentes e deve ser interpretada conjuntamente com a Lei Geral de Proteção de Dados Pessoais (LGPD), com as normas a serem editadas pela Autoridade Nacional de Proteção de Dados (ANPD) e com a legislação consumerista, se o caso.

Como regra geral, a proposta impõe às supervisionadas o dever de gestão do risco cibernético, que deve estar em conformidade com o Sistema de Controles Internos (SCI) e com a Estrutura de Gestão de Riscos (EGR) da Companhia.

A Minuta em consulta pública traz diversas novidades, das quais destacamos:

• Previsão de uma “Política de Segurança Cibernética”, que poderá ser única em caso de as supervisionadas serem atendidas por SCI/EGR unificado, e deverá:
  • Contemplar os objetivos da segurança cibernética e o compromisso dos órgãos internos com a melhoria dos processos a ela relacionados;
  • Prover diretrizes para (i) a classificação dos dados conforme a sua sensibilidade; e (ii) a implementação de novos processos e procedimentos de segurança cibernética;
  • Ser compatível com o porte da Companhia, incluindo a natureza e a complexidade das suas operações, bem como o seu grau de exposição ao risco cibernético; e
  • Ser (i) registrada por escrito; (ii) aprovada pelo órgão de administração máximo da Companhia; (iii) divulgada aos colaboradores com linguagem acessível e em nível compatível com suas funções, e aos seus clientes, ao menos em versão resumida; e (iv) revisada, minimamente, a cada ano.
• A obrigatoriedade de a Companhia possuir e manter atualizados processos, procedimentos e controles para identificar e reduzir vulnerabilidades, bem como detectar, responder e se recuperar de incidentes, que deverão ser previstos no plano de continuidade de negócios.
• A Companhia deverá comunicar à SUSEP, no prazo máximo de 5 (cinco) dias úteis, a ocorrência de incidentes que tenham tido impactos concretos, detalhando a extensão do dano causado e, se o caso, as ações em curso para regularização completa da situação e os respectivos responsáveis e prazos.
• Necessidade de documentar em Relatório anual a efetividade da prevenção e tratamento de incidentes feitos pela companhia.
• A Companhia deverá informar a SUSEP previamente sobre a terceirização de serviços de processamento e armazenamento de dados, incluindo dados sobre a denominação do prestador, a atividade que será por ele exercida e os países e regiões onde os serviços serão prestados e os dados serão gerenciados, bem como qualquer alteração contratual sobre essas condições. Nos contratos já vigentes, a Companhia disporá de prazo de 2 (dois) anos para informação à SUSEP e adequação, se o caso.
• Caberá à Companhia exigir que os prestadores dos serviços de processamento e armazenamento de dados observem as disposições legais e normativas em vigor, bem como que possuam processos, medidas e procedimentos sobre segurança cibernética não inferiores aos seus próprios, o que não exime a Companhia do cumprimento das suas obrigações legais e normativas.
• A Companhia deverá nomear um diretor responsável pela implantação das medidas Circular, que não poderá ser o mesmo nomeado como responsável pelos controles internos.

A minuta prevê a obrigação de guarda de diversos documentos envolvendo a segurança cibernética da Companhia, que, por força da Circular SUSEP nº 605/2020, devem ser armazenados por 5 (cinco) anos.

Por fim, destacamos que a minuta prevê a entrada em vigor da futura circular para 03/01/2022, todavia, as supervisionadas dos segmentos S3 e S4 (definidos pela Resolução CNSP nº 388/2020) disporão de prazo diferenciado para cumprimento das determinações.

A íntegra da minuta de circular pode ser acessada neste link. Os interessados podem enviar comentários ou sugestões ao texto por meio de mensagem eletrônica dirigida ao endereço corac.rj@susep.gov.br, de acordo com o quadro específico padronizado devidamente preenchido, até 02/06/2021.

As equipes de Seguros e Resseguros e de Privacidade, Tecnologia e Cibersegurança acompanharão o desenvolvimento dessa consulta até a publicação do texto final, ficando à disposição para prestar quaisquer esclarecimentos sobre o tema.