La Oficina del Comisionado de Seguros promulgó una nueva Regla Núm. 108 del Reglamento del Código de Seguros de Puerto Rico para establecer las normas de ciberseguridad para esta industria.

El Reglamento 9590,  con fecha de vigencia a partir del 10 de octubre de 2024, designado como Normas de Ciberseguridad para la Industria de Seguros regirán a todos los participantes de la industria y serán las normas para la investigación y notificación al Comisionado de un incidente de ciberseguridad relacionada con el negocio de una aseguradora.

La regulación surge por la creciente necesidad de crear las salvaguardas necesarias para minimizar los riegos de acceso no autorizado a sistemas de información que comprometa datos e información no pública relacionada con el negocio de seguros de un «Regulado».

La Oficina del Comisionado de Seguros define un "Regulado" como: toda persona, natural o jurídica, que posea una licencia, autorización o certificado de autoridad para tramitar negocios de seguros en Puerto Rico o está registrada o se requiere que tenga licencia o autorización o esté registrada según dispuesto en el Código de Seguros de Puerto Rico. Ello no incluye un grupo de compras o grupo de control de riesgos que se haya establecido y obtenido una licencia en otro estado, o un Regulado que actúe como reasegurador y que esté domiciliado en otro estado o jurisdicción.

Se propone establecer un marco de regulación de ciberseguridad idóneo para salvaguardar información sensitiva de los regulados y consumidores recopilada como parte de los procesos de suscripción y reclamos en el negocio de seguro, cónsono con los principios del National Association of Insurance Commissioners (NAIC) establecidos en «Insurance Data Security Law».

Para garantizar la continuidad y relevancia de esta Regla se utiliza como principio rector los estándares del U.S. National Institute of Standards and Technology (NIST) cuyo marco proporciona los estándares, pautas y prácticas adecuadas para asistir a los Regulados en la gestión de sus riesgos cibeméticos.

Descarga la nueva Regla Núm. 108 para la industria de seguros

Las disposiciones de esta Regla aplicarán a toda persona que ostente una licencia o autorización para contratar negocio de seguros, debidamente emitida por la Oficina del Comisionado de Seguros de Puerto Rico («OCS») y que a su vez utilice un Sistema de Información.

La regla establece que para lograr la ciberseguridad de la industria de seguros esta se requiere que las aseguradoras:

• desarrollen, implementen y mantengan un Programa de Ciberseguridad;
• investiguen cualquier evento de ciberseguridad; y
• notifiquen al Comisionado de los eventos de ciberseguridad.

Según el tamaño y la complejidad del Regulado, la naturaleza y alcance de las actividades del mismo, incluido el uso de Contratistas de Servicios y la sensibilidad de la Información No-Pública usada o en su posesión, custodia o control, cada Regulado deberá desarrollar, implementar, mantener y documentar un programa integral de seguridad de su información digital por escrito, basado en la evaluación de riesgos del Regulado y que contenga las salvaguardas administrativas, técnicas y físicas para la protección de la Información No-Pública y el sistema de información del Regulado.

Sobre la notificación a consumidores, las normas dispone que todo Regulado cumplirá con la Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información, Ley Núm. 111-2005, según enmendada, según fuera aplicable, y proveerá al Comisionado una copia de la notificación enviada a los Consumidores, según dispuesto por ley.  La notificación conforme a la Ley Núm. 111-2005 se realizará si la información personal o no estuviera protegida con claves criptográficas, más allá de una contraseña.

Si un Regulado violara este Regla, el Comisionado le podrá imponer una sanción de hasta $10,000 por violación según faculta el Artículo 2.250 del Código de Seguros de Puerto Rico.