Mise à jour sur la réunion d'automne de la NAIC : le groupe de travail sur la cybersécurité (H) reçoit des commentaires sur le portail de notification des incidents cybernétiques

Le 10 décembre 2025, le groupe de travail sur la cybersécurité (H) s'est réuni pour discuter et recueillir des commentaires sur son projet de portail de notification des incidents de cybersécurité, qui est envisagé comme un portail national centralisé pour le signalement des incidents de cybersécurité. Le groupe de travail a tout d'abord souligné que ses travaux s'étaient jusqu'à présent concentrés sur la convergence de la mise en œuvre et du fonctionnement de la loi type sur la sécurité des données d'assurance (Insurance Data Security Model Law, IDSM), mais qu'il s'était désormais fixé pour objectif de soutenir les régulateurs des États à l'aide d'outils supplémentaires. L'un de ces outils serait un portail centralisé et peu coûteux pour la mise en œuvre des sections 6 et 7 de l'IDSM. La section 6 décrit les obligations des assureurs en matière de notification des incidents de cybersécurité et les informations qui doivent être incluses. La section 7 définit le pouvoir d'enquêter sur le comportement des entités agréées susceptibles d'enfreindre les lois sur la cybersécurité. 

Lors de la réunion nationale d'automne 2024 de la NAIC à Denver, le groupe de travail a adopté une motion demandant à la NAIC d'étudier la création d'un portail de notification des incidents de cybersécurité, avec un projet de création d'un portail simple à tester. Le plan du projet de portail a été publié pour consultation publique du 29 octobre au 1er décembre 2025 (les commentaires reçus ont été inclus dans les documents de la réunion disponibles ici). Lors de cette réunion, les régulateurs intéressés ont ajouté quelques remarques à ces commentaires, notamment :

1. Cela signifie que les États qui n'ont pas encore adopté l'IDSM, mais qui disposent de lois connexes en matière de déclaration, devraient tout de même avoir accès au portail de déclaration.
2. L'efficacité du portail et du processus de soumission doit être maximisée.
3. La confidentialité des informations soumises via le portail doit être maximisée.
4. Il convient d'examiner les structures tarifaires du portail.
5. Le portail devrait être rigoureusement testé par les organismes de réglementation compétents.

Le groupe de travail a ensuite discuté de l'adoption du projet de formulaire d'admission au portail, en comparant différentes versions en fonction du niveau de détail des informations à fournir. Avant de lever la séance, le groupe de travail a assisté à une présentation sur la situation du marché de l'assurance cybersécurité, qui a fait état d'une contraction globale du marché agréé, avec une augmentation de 12 % par rapport à l'année précédente des lignes excédentaires (qui représentent désormais environ 57 % du marché cyber).