In Wisconsin ansässige Produzenten müssen bis zum 1. März 2023 eine jährliche Cybersicherheitsbescheinigung vorlegen.

Die Sicherheit von Versicherungsdaten ist seit einigen Jahren ein heißes Thema in der Versicherungsbranche, insbesondere die Entwicklung von Informationssicherheitsprogrammen („ISPs“) durch Versicherer, Produzenten und andere Versicherungslizenznehmer. New York war der erste Bundesstaat, der 2017 Anforderungen an die Sicherheit von Versicherungsdaten verabschiedete. Seitdem haben 21 Bundesstaaten, darunter Wisconsin, in irgendeiner Form Gesetze zur Datensicherheit im Versicherungswesen verabschiedet, die im Allgemeinen dem ebenfalls 2017 verkündeten Mustergesetz zur Datensicherheit im Versicherungswesen (Insurance Data Security Model Law, „Mustergesetz“) der National Association of Insurance Commissioners entsprechen. Darüber hinaus sind in mindestens zwei weiteren Gerichtsbarkeiten (Pennsylvania und District of Columbia) Gesetze zur Datensicherheit im Versicherungswesen in Vorbereitung (Stand: November 2022).

Eine der wichtigsten Anforderungen der New Yorker Vorschriften und des Mustergesetzes ist, dass Lizenznehmer (im Allgemeinen definiert als alle Personen, die gemäß den Versicherungsgesetzen eines bestimmten Bundesstaates lizenziert sind oder lizenziert sein müssen und ihren Wohnsitz in diesem Bundesstaat haben) einen ISP erstellen und umsetzen müssen. Gemäß dem Mustergesetz müssen ISPs:

(1) Die Sicherheit und Vertraulichkeit nicht öffentlicher Informationen sowie die Sicherheit des Informationssystems zu schützen;

(2) Schutz vor Bedrohungen oder Gefahren für die Sicherheit oder Integrität von nicht öffentlichen Informationen und dem Informationssystem;

(3) Schutz vor unbefugtem Zugriff auf oder unbefugter Nutzung von nicht öffentlichen Informationen und Minimierung der Wahrscheinlichkeit von Schäden für Verbraucher; und

(4) Legen Sie einen Zeitplan für die Aufbewahrung nicht öffentlicher Informationen und einen Mechanismus für deren Vernichtung fest, wenn sie nicht mehr benötigt werden, und überprüfen Sie diese regelmäßig.

Mustergesetz Abschnitt 4(B). Lizenznehmer müssen ihre ISPs entsprechend der Größe, Komplexität, Art und dem Umfang ihrer Versicherungsaktivitäten gestalten. Mustergesetz Abschnitt 4(A).

Einzigartig in New York ist, dass jede Person, die gemäß dem Versicherungsgesetz von New York zugelassen ist, jährlich bestätigen muss, dass sie die ISP-Anforderungen von New York erfüllt. 23 NYCRR 500.17(b). Das Modellgesetz hingegen verlangt lediglich, dass Versicherer die Einhaltung der ISP-Vorschriften gegenüber ihrer staatlichen Versicherungsaufsichtsbehörde bescheinigen. Nach dem Modellgesetz sind andere Lizenznehmer, wie z. B. Produzenten, nicht verpflichtet, eine formelle Bescheinigung vorzulegen. Modellgesetz Abschnitt 4(I).

Wisconsin hat kürzlich das Gesetz 73 von Wisconsin aus dem Jahr 2021 verabschiedet, das einen Mittelweg bei der ISP-Zertifizierung einschlägt. Konkret schreibt Wis. Stat. § 601.952(8) vor, dass alle in Wisconsin ansässigen Lizenznehmer jährlich bis zum 1. März eine Bescheinigung über die Einhaltung der ISP-Vorschriften vorlegen müssen. Wisconsin hat die oben genannte Definition des Modellgesetzes für Lizenznehmer übernommen, die alle Personen umfasst, die gemäß dem Versicherungsgesetz von Wisconsin lizenziert sind oder lizenziert sein müssen und ihren Sitz in Wisconsin haben (einschließlich Versicherer, Produzenten usw.). Wis. Stat. § 601.95(7). Wisconsin ist nach New York der erste Bundesstaat, der von Nicht-Versicherungslizenznehmern die Zertifizierung der ISP-Konformität verlangt.

The Wisconsin Office of the Commissioner of Insurance (OCI) has provided some guidance regarding the annual ISP certification on their website. OCI’s website clarifies that: (1) insurers will complete their certification as part of the insurer’s annual financial submissions; (2) intermediary firms (i.e., business entity producers) must submit the certification form online</a>; and (3) individual producers are not required to submit a certification form based on the presumption that individuals meet the “fewer than 50 employees” exemption under Wis. Stat. § 601.952(9)(a)(3).

Vermittlungsunternehmen mit Sitz in Wisconsin können von der jährlichen Cybersicherheitszertifizierung befreit werden, wenn das Unternehmen eines der folgenden Kriterien erfüllt: (1) Es verfügt über ein Jahresendvermögen von weniger als 10 Millionen US-Dollar; (2) es erzielt einen Bruttojahresumsatz von weniger als 5 Millionen US-Dollar; oder (3) es beschäftigt weniger als 50 Mitarbeiter (einschließlich unabhängiger Auftragnehmer), die mindestens 30 Stunden pro Woche für den Lizenznehmer arbeiten. Wis. Stat. § 601.952(9)(a). Vermittlungsunternehmen mit Sitz in Wisconsin können ebenfalls von den Zertifizierungsanforderungen und den Datenschutzgesetzen von Wisconsin im Allgemeinen befreit werden, wenn das Unternehmen einen ISP in Verbindung mit den Anforderungen der FINRA, der Farm Credit Administration oder der HIPAA unterhält. Wis. Stat. § 601.951(2).

Alle befreiten Vermittlungsunternehmen sind jedoch weiterhin verpflichtet, bis zum 1. März 2023 die oben beschriebene Cybersicherheitszertifizierung vorzunehmen. Nach Angaben der OCI kann das Unternehmen bei der Online-Einreichung des Formulars die für sein Geschäft geltenden Ausnahmen geltend machen. Die OCI hat noch nicht entschieden, ob sie von solchen befreiten Unternehmen eine jährliche Bescheinigung ihrer Befreiung verlangen wird.

Dementsprechend werden in Wisconsin ansässige Vermittlungsunternehmen dazu angehalten, sich mit einem Rechtsberater in Verbindung zu setzen, um die besonderen ISP-Anforderungen des Unternehmens und die damit verbundenen Zertifizierungsanforderungen zu überprüfen.