W 2025 r. czeka nas wiele pracy dostosowawczej i regulacyjnej. Przede wszystkim wchodzi DORA, która jest wyzwaniem administracyjnym. Przed nami AI Act. Czy będzie czas, byśmy skupili się na rozwiązaniach cyfrowych i wzmacnianiu konkurencyjności branży?

Nowe standardy operacyjne dla ubezpieczycieli – DORA

17 stycznia 2025 roku wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554, znane jako Digital Operational Resilience Act (DORA). Celem tej regulacji jest wzmocnienie odporności operacyjnej całego sektora finansowego na zagrożenia cyfrowe poprzez ustanowienie jednolitych standardów zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT). DORA obejmuje szerokie spektrum podmiotów, w tym zakłady ubezpieczeń, które będą musiały dostosować swoje działania do nowych wymogów.

Ubezpieczyciele są zobowiązani do wdrożenia kompleksowych mechanizmów identyfikacji, oceny i monitorowania ryzyka związanego z usługami ICT świadczonymi na ich rzecz. Obejmuje to opracowanie polityk i procedur zarządzania ryzykiem, które będą integralną częścią ogólnego systemu zarządzania ryzykiem w organizacji. W przypadku wystąpienia poważnych incydentów związanych z obszarem ICT, ubezpieczyciele muszą zgłaszać takie przypadki do właściwych organów nadzorczych w ściśle określonych terminach. Do 30 kwietnia 2025 roku ubezpieczyciele są zobowiązani do przekazania organom nadzorczym rejestrów swoich dostawców usług ICT. Ma to na celu zebranie na poziomie nadzoru informacji o wszystkich dostawcach usług ICT świadczących usługi na rzecz podmiotów finansowych, a tym samym lepsze monitorowanie i zarządzanie ryzykiem związanym z zewnętrznymi dostawcami technologii. Regularne audyty kluczowych dostawców usług ICT oraz realizacja ustaleń poaudytowych staną się obowiązkowe. Działania te mają na celu zapewnienie, że dostawcy spełniają wymagane standardy bezpieczeństwa i nie stanowią zagrożenia dla operacyjnej ciągłości ubezpieczyciela.

Implementacja wymogów DORA wiąże się z istotnymi wyzwaniami administracyjnymi i organizacyjnymi. Konieczne jest przeszkolenie personelu, aktualizacja procedur, inwentaryzacja dostawców, usług i zasobów oraz inwestycje w infrastrukturę technologiczną. Ponadto, ubezpieczyciele muszą być przygotowani na ewentualne kontrole i działania nadzorcze ze strony Komisji Nadzoru Finansowego (KNF), co wymaga utrzymania wysokiego poziomu zgodności z nowymi regulacjami.

Postępująca regulacja sztucznej inteligencji wymusi weryfikację i klasyfikację technologii, zmieniając procesy wdrażania innowacji w sektorze ubezpieczeń

W 2025 roku sektor ubezpieczeniowy stanie przed koniecznością dostosowania się do nowych regulacji dotyczących sztucznej inteligencji (AI), wprowadzonych przez Unię Europejską. Akt o Sztucznej Inteligencji (AI Act), który został opublikowany  1 sierpnia 2024 roku, wprowadza kompleksowe ramy prawne dla systemów AI, mające na celu zapewnienie ich bezpiecznego i etycznego stosowania. Część przepisów, w tym dotyczących zakazanych praktyk, zacznie obowiązywać od 2 lutego 2025 roku, a kolejne od 2 sierpnia 2025 roku.

Ubezpieczyciele będą musieli dokładnie analizować stosowane systemy pod kątem ich zgodności z definicją AI zawartą w AI Act. Wymaga to identyfikacji, które technologie wchodzą w zakres regulacji, co może być wyzwaniem ze względu na różnorodność stosowanych rozwiązań i ewentualne problemy definicyjne.

Kolejnym krokiem będzie klasyfikacja systemów AI pod względem ryzyka na:

– niedopuszczalne ryzyko: systemy zakazane ze względu na nieakceptowalne zagrożenia dla bezpieczeństwa lub praw podstawowych;

– wysokie ryzyko: systemy wymagające spełnienia rygorystycznych wymogów w zakresie zarządzania ryzykiem, przejrzystości i nadzoru;

– niskie ryzyko: systemy podlegające minimalnym wymogom, głównie w zakresie przejrzystości.

Taka klasyfikacja pozwoli na odpowiednie dostosowanie procedur wdrażania i monitorowania systemów AI w działalności ubezpieczeniowej.

Obecnie trwają dyskusje na temat precyzyjnego określenia, które technologie spełniają kryteria AI według nowych regulacji. Brak wypracowanej praktyki w zakresie interpretacji może prowadzić do niepewności wśród ubezpieczycieli co do obowiązków związanych z poszczególnymi systemami. W związku z tym konieczna będzie ścisła współpraca z organami nadzorczymi oraz udział w branżowych konsultacjach, aby wypracować wspólne standardy i interpretacje.

Nowe regulacje wpłyną na procesy wdrażania innowacji w sektorze ubezpieczeń poprzez:

– zwiększenie rygoru oceny technologii: przed implementacją nowych systemów AI konieczna będzie szczegółowa analiza ich zgodności z regulacjami oraz ocena potencjalnych ryzyk.

– wydłużenie czasu wdrożenia: dodatkowe procedury oceny i klasyfikacji mogą spowolnić proces wprowadzania innowacji na rynek.

– konieczność aktualizacji istniejących systemów: obecnie stosowane rozwiązania będą musiały zostać poddane rewizji i ewentualnym modyfikacjom, aby spełniały nowe wymogi prawne.

Wprowadzenie AI Act w 2025 roku znacząco wpłynie na działalność ubezpieczycieli, wymuszając dokładną weryfikację i klasyfikację stosowanych technologii – czy spełniają przesłanki uznania ich za AI. Choć proces ten wiąże się z wyzwaniami, takimi jak interpretacja przepisów czy dostosowanie procesów wdrażania innowacji, to ostatecznie przyczyni się do zwiększenia bezpieczeństwa, przejrzystości i etyczności stosowania sztucznej inteligencji w sektorze ubezpieczeń.

Pracy i dostosowań nie zabraknie. Możemy mieć nadzieję, że w przygotowaniach, dostosowaniach i walce o jak najlepsze przepisy, znajdziemy czas na rozwój.