Aktuelles zur Herbsttagung der NAIC: Die Arbeitsgruppe für Cybersicherheit (H) erhält Kommentare zum Portal für die Meldung von Cybervorfällen

Am 10. Dezember 2025 traf sich die Arbeitsgruppe Cybersecurity (H), um über ihr vorgeschlagenes Cybersecurity Event Notification Portal zu diskutieren und Kommentare dazu entgegenzunehmen. Dieses Portal soll als zentrales nationales Portal für die Meldung von Cybersecurity-Vorfällen dienen. Die Arbeitsgruppe stellte zunächst fest, dass sich ihre Arbeit bisher auf die Angleichung der Umsetzung und Anwendung des Insurance Data Security Model Law (IDSM) konzentriert hatte, dass sie jedoch nun das Ziel verfolgt, die staatlichen Aufsichtsbehörden mit zusätzlichen Instrumenten zu unterstützen. Ein solches Instrument wäre ein kostensenkendes, zentralisiertes Portal für die Umsetzung der Abschnitte 6 und 7 des IDSM. Abschnitt 6 beschreibt die Pflichten der Versicherer zur Meldung von Cybersicherheitsvorfällen und die Informationen, die dabei anzugeben sind. Abschnitt 7 legt die Befugnis fest, das Verhalten von lizenzierten Unternehmen zu untersuchen, die möglicherweise gegen Cybersicherheitsgesetze verstoßen. 

Auf der NAIC-Herbsttagung 2024 in Denver verabschiedete die Arbeitsgruppe einen Antrag, in dem die NAIC beauftragt wurde, die Einrichtung eines Portals für die Meldung von Cybersicherheitsvorfällen zu prüfen, mit dem Plan, ein einfaches Portal zum Testen zu erstellen. Der Projektplan für das Portal wurde vom 29. Oktober bis zum 1. Dezember 2025 zur öffentlichen Stellungnahme veröffentlicht (die eingegangenen Stellungnahmen wurden in die Tagungsunterlagen aufgenommen, die hier zu finden sind). Bei dieser Sitzung fügten interessierte Regulierungsbehörden einige Anmerkungen zu diesen Kommentaren hinzu, darunter:

1. Das bedeutet, dass Staaten, die das IDSM noch nicht eingeführt haben, aber über entsprechende Meldevorschriften verfügen, weiterhin Zugang zum Meldeportal haben sollten.
2. Die Effizienz des Portals und des Einreichungsprozesses sollte maximiert werden.
3. Die Vertraulichkeit der über das Portal übermittelten Informationen sollte so weit wie möglich gewährleistet sein.
4. Die Gebührenstrukturen für das Portal sollten berücksichtigt werden.
5. Das Portal sollte von den zuständigen Aufsichtsbehörden streng geprüft werden.

Die Arbeitsgruppe diskutierte anschließend die Annahme des Entwurfs für das Portal-Aufnahmeformular, wobei verschiedene Versionsoptionen hinsichtlich des Detaillierungsgrads der darin einzureichenden Informationen verglichen wurden. Vor der Vertagung erhielt die Arbeitsgruppe eine Präsentation zum Stand des Marktes für Cybersicherheitsversicherungen, in der ein allgemeiner Rückgang des zugelassenen Marktes festgestellt wurde, mit einem Anstieg von 12 % im Vorjahr bei den Surplus-Linien (die nun etwa 57 % des Cybermarktes ausmachen).