L'OCRCVM exige la déclaration obligatoire des incidents de cybersécurité dans les entreprises d'investissement réglementées ◄ assurance entreprise

AFFILIATION D’UN SALARIÉ : COMMENT PROCÉDER ?
C’est à l’employeur de centraliser l’ensemble des documents nécessaires à l’affiliation de ses salariés pour les transmettre ensuite à l’organisme complémentaire.

Pour être affilié, un salarié doit remplir une déclaration d’affiliation à laquelle doit être jointe différents documents :

la photocopie de l’attestation de sa carte vitale et celle de chacun membre de la famille bénéficiant du contrat (selon dispositions prévues d’or contrat santé) ;
un relevé d’identité bancaire ou de caisse d’épargne.

Il si nécessaire lui être demandé, selon la nature du contrat, de joindre :
photocopies des certificats de scolarité pour bambins de plus de 16 ainsi qu’à tout appui justifiant de leur situation ;
son attestation de PACS ;
son certificat de union libre ;
le certificat de radiation de son ancienne mutuelle horodaté de moins durant une période de trois mois si le contrat santé prévoit un délai de carence.
LES MODALITÉS DE CHANGEMENT DE STATUT D’UN SALARIÉ
En cas de changement de étiquette socio-professionnel d’un salarié d’or sein de l’entreprise, son régime de protection sociale peut également être modifié. C’est alors à l’employeur de se charger de l’ensemble des allées et venues auprès de l’organisme d’assurance complémentaire.

RADIATION D’UN SALARIÉ : COMMENT DÉCLARER CETTE MODIFICATION ?
Lorsqu’un salarié quitte son entreprise, l’adhésion d’or contrat collectif santé et/ou prévoyance dont il bénéficiait est résiliée de plein droit. L’ancien employeur alors informer l’organisme complémentaire de ce départ dans écrit, dans plus brefs délais.

Pour clôturer le dossier santé du salarié et cesser les remboursements, le salarié remettre sa carte de troisième payant.

Selon le pourquoi de départ de l’entreprise du salarié, l’ancien employeur être tenu, a l’intérieur du cadre de la portabilité des droits santé et prévoyance, de lui maintenir les garanties à qui il bénéficiait durant la rupture du contrat de travail à titre gratuit.

2019 14 novembre
L'Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) est un organisme national d'autoréglementation qui supervise les distributeurs de placements et leurs activités de négociation sur les marchés canadiens.
avis de ses changements
Règle 3100 et
La règle 3703 oblige les entreprises d'investissement contrôlées par l'OCRCVM à signaler les incidents de cybersécurité. Les règles modifiées, qui sont entrées en vigueur immédiatement après la notification, obligent les entreprises à soumettre un rapport initial de l'OCRCVM et un rapport d'enquête complet dans les trois jours suivant la découverte du rapport de divulgation du cyberincident.

Les obligations de déclaration des incidents de cybersécurité de l'OCRCVM s'appliquent dans un éventail de circonstances plus large que les obligations de déclaration similaires en vertu de la Loi canadienne sur la protection des renseignements personnels. De plus, les obligations de déclaration s'appliquent en plus d'autres obligations de déclaration qui peuvent également s'appliquer aux entreprises d'investissement contrôlées par l'OCRCVM, telles que le Bureau des autorités financières et de surveillance qui rendent compte des incidents technologiques et de cybersécurité. Les entreprises d'investissement contrôlées par l'OCRCVM devraient rapidement évaluer leur disposition à se conformer à ces nouvelles obligations de déclaration et à modifier leurs systèmes, politiques et procédures en conséquence et à conclure des contrats avec des fournisseurs de services de technologie de l'information.

Recommandations précédentes sur la cybersécurité

Au cours des dernières années, les autorités de réglementation du secteur canadien de l'investissement et des finances ont souligné l'importance de la cybersécurité et publié des lignes directrices pour aider les entreprises contrôlées à améliorer leur maturité en matière de cybersécurité et à gérer les cyberrisques. Par exemple:

Voir les bulletins BLG pour plus d'informations Lignes directrices sur la cybersécurité de l'Investment Industry Organisation (Janvier 2016),
Lignes directrices sur la cybersécurité de l'Investment Industry Organisation (Mai 2016),
Guide de cybersécurité pour les Autorités canadiennes en valeurs mobilières,
Le BSIF fournit des conseils en matière de rapports sur les incidents liés à la technologie et à la cybersécuritéet
L'Institut canadien des fonds d'investissement publie un guide sur la cybersécurité.

Règles de l'OCRCVM – Déclaration obligatoire des incidents de cybersécurité

Contexte général

L'OCRCVM a modifié les règles de l'OCRCVM sur la déclaration obligatoire des incidents de cybersécurité pour la première fois
2018 Avril Une déclaration détaillant et discutant les règles révisées proposées. L'avis précise que l'obligation pour les distributeurs / concessionnaires de l'OCRCVM de signaler obligatoirement les incidents de cybersécurité est de permettre à l'OCRCVM (1) de fournir un soutien direct au négociant des incidents de cybersécurité; 2) alerter les autres distributeurs des menaces et partager les meilleures pratiques en préparation aux incidents; (3) évaluer les tendances et développer des informations complètes sur la cybersécurité; et (4) promouvoir la confiance des commerçants et l'intégrité du marché.

Le rapport invitait le public à commenter les règles modifiées proposées. L'OCRCVM a résumé les commentaires reçus et les réponses à ces commentaires par lui-même
2018 Avril Remarque et un

Répondre aux commentaires du public
.

À la suite du processus de consultation publique, l'OCRCVM a légèrement modifié les règles modifiées proposées et publié une note d'orientation,

Foire aux questions – Réponse obligatoire aux incidents de cybersécurité
, fournissent des orientations sur la manière de se conformer aux règles révisées.

Détails des règles modifiées

Changé
Règle 3100 et
La règle 3703 est entrée en vigueur dès sa publication en 2019. 14 novembre Voici un résumé des principaux aspects des règles modifiées.

  • Incident de cybersécurité: Les règles définissent un «incident de cybersécurité» comme tout acte consistant à obtenir un accès non autorisé à, ou une utilisation malveillante ou à accéder à des informations stockées dans le système d'information d'un commerçant et causant ou raisonnablement susceptible de causer l'un des éléments suivants: à qui (y compris personne physique ou morale); 2) effet significatif sur l'une des activités normales du commerçant; (3) l'utilisation du plan de continuité du commerçant ou du plan de reprise après sinistre; ou (4) toute loi applicable oblige le négociant à faire rapport à toute autorité publique, organisme de réglementation des valeurs mobilières ou autre organisme d'autoréglementation.
  • Rapport initial: Les règles exigent que le commerçant présente un rapport écrit de l'incident à l'OCRCVM dans les trois jours civils suivant la détection de l'incident de cybersécurité par le commerçant. Le rapport doit comprendre: (1) une description de l'incident de cybersécurité; (2) la date ou la période pendant laquelle l'incident de cybersécurité s'est produit et la date à laquelle le vendeur en a eu connaissance; (3) une évaluation préliminaire de l'incident de cybersécurité, y compris le risque de blessures corporelles et l'impact sur les opérations du commerçant; (4) une description des mesures de réponse immédiate aux incidents prises par le vendeur pour atténuer le risque de blessure pour les êtres humains et l'impact sur le commerçant; (5) le nom et les coordonnées d'une personne qui peut répondre aux questions de suivi de l'OCRCVM.
  • Rapport d'étude détaillé: Les règles exigent que le commerçant présente un rapport d'enquête écrit complet sur l'incident à l'OCRCVM dans les 30 jours ou plus, tel qu'approuvé par l'OCRCVM, après que l'incident de cybersécurité a été détecté par le commerçant. Le rapport doit comprendre: (1) une description de la raison de l'incident de cybersécurité; (2) une évaluation de l'étendue de l'incident de cybersécurité, y compris le nombre de victimes et l'impact sur le commerçant; (3) les détails des mesures prises par le vendeur pour atténuer les risques de blessures pour les êtres humains et influencer les opérations du commerçant; (4) les détails des mesures prises par le vendeur pour éliminer tout préjudice corporel; et (5) les mesures que le fournisseur prend ou prendra pour améliorer sa préparation aux incidents de cybersécurité.

Le non-respect par le vendeur de ses obligations de signalement des incidents de cybersécurité peut entraîner des sanctions financières ou autres sévères pour le distributeur.

Note d'orientation de l'OCRCVM

Recommandations de l'OCRCVM,

Foire aux questions – Réponse obligatoire aux incidents de cybersécurité
, fournit des directives importantes pour le respect des règles modifiées, y compris des réponses aux questions dans les commentaires sur les règles modifiées proposées. Voici un résumé de certains aspects importants des recommandations.

  • Évaluation: Lorsqu'il évalue si un incident peut être considéré comme un incident de cybersécurité, le vendeur doit déterminer si l'incident a causé ou est susceptible de causer un "préjudice important" à la personne (y compris la personne ou l'entité) ou un impact "matériel" sur ses activités normales. La probabilité d'un préjudice grave peut inclure un préjudice à un client individuel et ne se limite pas à l'utilisation abusive d'informations personnelles. L'importance dépendra des commerçants et des modèles commerciaux de toutes tailles. Un commerçant qui ne sait pas si un incident est un incident de cybersécurité à signaler doit demander conseil à son directeur des communications de l'OCRCVM.
  • Rapports initiaux: Le rapport initial d'incident de cybersécurité est censé refléter uniquement une évaluation préliminaire de l'incident ou un "bref aperçu des informations clés". L'OCRCVM reconnaît que le commerçant peut ne pas avoir une analyse complète de l'événement dans les trois jours suivant sa découverte et s'attend à ce qu'il fournisse les meilleurs renseignements dont le distributeur disposait au moment du rapport. L'OCRCVM s'attend également à ce que le commerçant partage avec l'OCRCVM toute information supplémentaire que le vendeur possède sur l'événement.
  • Rapports détaillés: Le rapport d'incident de cybersécurité devrait inclure, en plus des informations fournies dans les règles, toutes les informations pertinentes et pertinentes sur la nature, l'étendue, l'étendue, l'impact et la cause profonde de l'incident et les mesures prises par le fournisseur pour récupérer, répondre et éliminer l'incident.
  • Il est temps de soumettre un rapport détaillé: Si le vendeur a besoin de plus de 30 jours pour soumettre un rapport d'enquête complet, il peut demander une prolongation à l'OCRCVM. La demande doit indiquer: (1) pourquoi le concessionnaire a besoin de plus de temps; (2) lorsque le professionnel s'attend à ce que le rapport soit terminé; et (3) quand le rapport sera soumis par le commerçant. Les vendeurs étendus devraient tenir l'OCRCVM informé de l'événement faisant l'objet d'une enquête par le vendeur et des mesures prises par le distributeur.
  • Fausses alarmes: Le commerçant qui soumet le rapport initial de l'incident n'est pas tenu de soumettre un rapport détaillé s'il détermine ultérieurement que l'incident n'est pas un rapport de cybersécurité. L'OCRCVM recommande fortement aux concessionnaires de le faire après avoir consulté des conseillers juridiques externes et des experts en cybersécurité.
  • Fournisseurs de services informatiques: Le simple fait qu'un incident de cybersécurité se produit chez le fournisseur de services du vendeur n'exclut pas l'incident des obligations de déclaration du vendeur. Le «système d'information» ou les «informations stockées dans un tel système d'information» d'un commerçant, tels que ces termes sont utilisés dans les règles, comprennent des éléments fournis par des prestataires de services tiers.
  • Auditeurs légaux externes: L'OCRCVM recommande aux concessionnaires de recourir à un vérificateur judiciaire externe pour enquêter sur un incident de cybersécurité et déterminer sa cause profonde si le commerçant n'a pas les connaissances, les outils et les ressources spécialisés nécessaires pour enquêter pleinement sur l'incident et cherche à gérer les conflits d'intérêts potentiels.
  • OCRCVM Utilisation des renseignements fournis: L'OCRCVM a l'intention d'échanger avec sa communauté commerciale des informations générales sur les incidents de cybersécurité et des informations anonymes sur les incidents de cybersécurité signalés. Ce partage d'informations pour aider les autres commerçants à comprendre la nature des risques de cybersécurité auxquels ils peuvent être confrontés est conforme à l'annonce récente du Federal Privacy Commission des tendances de signalement des violations obligatoires, qui indiquent que les attaquants réutilisent souvent les mêmes attaques sur plusieurs organisations de l'industrie. (Voir le BLG Bulletin pour plus d'informations


    Rapport de violation obligatoire: leçons de première année.)

Disponibilité à se conformer aux règles de l'OCRCVM

Les règles sur la déclaration obligatoire des incidents de cybersécurité telles que modifiées par l'OCRCVM sont maintenant en vigueur. Les fournisseurs doivent évaluer rapidement leurs systèmes, stratégies et procédures, ainsi que leurs capacités de réponse aux incidents de cybersécurité, pour s'assurer qu'ils sont en mesure de fournir des rapports d'incident en temps opportun et des rapports d'enquête détaillés. Voici des suggestions sur la façon dont les concessionnaires peuvent assurer la préparation:

  • Politiques / procédures – Évaluation et réponse: Le fournisseur doit avoir mis en place des politiques et des procédures écrites pour diffuser immédiatement tout incident potentiel de cybersécurité au personnel désigné et dûment formé afin qu'il puisse enquêter, évaluer et répondre à un plan écrit de réponse aux incidents. Ce plan de réponse doit être conforme aux exigences légales applicables, aux directives réglementaires et aux meilleures pratiques pertinentes. Voir les bulletins BLG pour plus d'informations Plans de réponse aux incidents cybernétiques – Défi, entraînement et exercice et Les plans de réponse aux incidents de sécurité des données sont quelques suggestions pratiques.
  • Politiques / procédures – Règlement OCRCVM: L'opérateur doit disposer de politiques et de procédures écrites permettant au personnel désigné et formé de prendre et de documenter des décisions éclairées sur la déclaration des incidents de cybersécurité à l'OCRCVM.
  • Contrats avec les transformateurs: Le professionnel doit veiller à ce que ses contrats avec les fournisseurs de services informatiques et de traitement des données (y compris les fournisseurs de services cloud) contiennent des dispositions appropriées (y compris l'obligation d'informer immédiatement le professionnel de tout incident de cybersécurité et de fournir des informations sur chaque incident) afin que le professionnel puisse remplir ses obligations de déclaration. engagements en matière d'incidents de cybersécurité.
  • Privilège légal: Le vendeur doit avoir mis en place une stratégie de privilège juridique appropriée pour prévenir les conseils juridiques privilégiés accidentels et inutiles liés aux incidents de cybersécurité ou au déni par inadvertance des privilèges juridiques. Voir les bulletins BLG pour plus d'informations Gestion des cyber-risques. Stratégie sur les privilèges juridiques (partie 1), Gestion des cyber-risques. Stratégie de privilège légal (Partie 2),

    Privilège juridique pour les rapports d'enquête sur les incidents de sécurité des données, et

    Le rapport d'enquête sur la cyberattaque a perdu son privilège juridique.
  • Autres obligations de signalement des infractions: Le commerçant doit être conscient de ses autres obligations légales de signaler, signaler et divulguer les incidents de cybersécurité et de sécurité des données, comme l'exigent la loi (y compris les lois sur la protection des données personnelles), le droit des contrats et le droit général et civil. Voir les bulletins BLG pour plus d'informations

    Gestion des cyber-risques – Obligation de signaler les incidents de données,

    Gestion des cyber-risques. Orientations réglementaires sur la divulgation continue des risques et incidents de cybersécurité aux émetteurs.,

    Foire aux questions – Conformité aux obligations de violation de la LPRPDEet

    Le BSIF fournit des conseils en matière de rapports sur les incidents liés à la technologie et à la cybersécurité.
L'OCRCVM exige la déclaration obligatoire des incidents de cybersécurité dans les entreprises d'investissement réglementées ◄ assurance entreprise
4.9 (98%) 32 votes