NAIC Fall Meeting Update: Werkgroep Cybersecurity (H) ontvangt opmerkingen over portaal voor melding van cyberincidenten

Op 10 december 2025 kwam de werkgroep Cybersecurity (H) bijeen om te discussiëren over en commentaar te ontvangen op haar voorstel voor een Cybersecurity Event Notification Portal, dat bedoeld is als een gecentraliseerd nationaal portaal voor het melden van cybersecurityincidenten. De werkgroep merkte eerst op dat haar werkzaamheden tot nu toe gericht waren op het bereiken van convergentie in de implementatie en werking van de Insurance Data Security Model Law (de "IDSM"), maar dat zij zich nu ten doel had gesteld om de regelgevende instanties van de staten te ondersteunen met aanvullende instrumenten. Een van die hulpmiddelen zou een kostenbesparend, centraliserend portaal zijn voor de implementatie van de artikelen 6 en 7 van de IDSM. Artikel 6 beschrijft de verplichtingen van verzekeraars om melding te maken van een cybersecurityincident en de informatie die daarbij moet worden verstrekt. Artikel 7 bepaalt de bevoegdheid om onderzoek te doen naar het gedrag van erkende entiteiten die mogelijk in strijd handelen met de cybersecuritywetgeving. 

Tijdens de NAIC Fall National Meeting 2024 in Denver heeft de werkgroep een motie aangenomen waarin de NAIC wordt opgedragen de mogelijkheid te onderzoeken om een meldingsportaal voor cyberbeveiligingsincidenten op te zetten, met een plan om een eenvoudig portaal te creëren om te testen. Het projectplan voor het portaal werd van 29 oktober tot 1 december 2025 ter openbare consultatie voorgelegd (de ontvangen opmerkingen zijn opgenomen in de vergaderdocumenten die hier te vinden zijn). Tijdens deze vergadering voegden geïnteresseerde toezichthouders enkele opmerkingen toe aan deze commentaren, waaronder:

1. Dat staten die het IDSM nog niet hebben aangenomen, maar wel over gerelateerde rapportagewetten beschikken, toch toegang moeten hebben tot het rapportageportaal.
2. De efficiëntie van het portaal en het indieningsproces moet worden gemaximaliseerd.
3. De vertrouwelijkheid van de via het portaal verstrekte informatie moet zo veel mogelijk worden gewaarborgd.
4. Er moet worden nagedacht over de tariefstructuur voor het portaal.
5. Het portaal moet grondig worden getest door de bevoegde regelgevende instanties.

De werkgroep besprak vervolgens de goedkeuring van het ontwerpformulier voor de portaalregistratie, waarbij verschillende versies werden vergeleken op basis van de gedetailleerdheid van de informatie die daarbij moet worden verstrekt. Voorafgaand aan de sluiting van de vergadering kreeg de werkgroep een presentatie over de stand van zaken op de markt voor cyberbeveiligingsverzekeringen, waarbij werd gewezen op een algemene krimp van de erkende markt, met een stijging van 12% ten opzichte van het voorgaande jaar in surplus lines (nu ongeveer 57% van de cybermarkt).