Versicherungsrundschreiben Nr. 5 (2023): Katastrophenplanung, -vorsorge und -reaktion der Lebens- und Krankenversicherungsbranche

Jun 20, 2023

Versicherungsrundschreiben Nr. 5

5. Juni 2023

ZU:

Alle zugelassenen Lebensversicherungsgesellschaften, Rentensysteme, brüderlichen Wohlfahrtsgesellschaften, Arbeitnehmerfürsorgefonds, zugelassenen Unfall- und Krankenversicherungsgesellschaften, Körperschaften gemäß Artikel 43, zertifizierte Gesundheitserhaltungsorganisationen gemäß Artikel 44 des öffentlichen Gesundheitsgesetzes, kommunale kooperative Krankenversicherungspläne und gemäß dem Gesetz zertifizierte Studentengesundheitspläne § 1124 Versicherungsgesetz

GESETZLICHE UND RECHTSVORSCHRIFTEN: Versicherungsgesetz, Abschnitte 308, 1109 und 1124 sowie Artikel 42, 43, 45, 46 und 47; Abschnitt 202 des Finanzdienstleistungsgesetzes; und 11 NYCRR 243 (Insurance Regulation 152), 11 NYCRR 420 (Insurance Regulation 169) und 11 NYCRR 421 (Insurance Regulation 173).

I. Zusammenfassung

Die Erfahrung lehrt uns, dass Katastrophen – verheerende Stürme, Überschwemmungen, Terroranschläge, Cybersicherheitsverstöße, Pandemien – unerwartet eintreten können. Das bedeutet, dass wir auf allen Ebenen darauf vorbereitet sein müssen, auf ein solches Ereignis zu reagieren. In diesem Rundschreiben werden die Standards dargelegt, die von autorisierten Lebensversicherungsgesellschaften, Rentensystemen, Bruderschafts-Benefit-Gesellschaften und Mitarbeiter-Wohlfahrtsfonds erwartet werden,autorisiert Unfall- und Krankenversicherungsgesellschaften, Körperschaften nach Artikel 43, zertifizierte Gesundheitserhaltungsorganisationen nach Artikel 44 des öffentlichen Gesundheitswesens, kommunale genossenschaftliche Krankenversicherungskassen und nach Versicherungsgesetz § 1124 zertifizierte studentische Krankenkassen (gemeinsam „Adressaten“) bei der Planung und Vorbereitung von, und Reaktion auf Katastrophen, die überall auf der Welt, einschließlich im Bundesstaat New York, auftreten und die Fähigkeit eines Adressaten beeinträchtigen könnten, weiterhin Geschäfte zu machen und den Menschen im Bundesstaat New York zu dienen. Dieses Rundschreiben hebt das Rundschreiben Nr. 11 (2022) auf und ersetzt es. Ein separates Rundschreiben befasst sich mit der Katastrophenplanung, -vorsorge und -reaktion der Schaden-/Unfallbranche.

II.Diskussion

Wenn in New York eine Katastrophe eintritt, stellt das New York State Department of Financial Services („Department“) dem Gouverneur und dem New York State Office of Emergency Management („SOEM“) wichtige Informationen über die Höhe und das Ausmaß der Verluste und Schäden zur Verfügung , Personenschäden und Todesfälle infolge der Katastrophe. Auf der Grundlage dieser Informationen bestimmt der Gouverneur, ob und wann eine Bundeskatastrophenerklärung beantragt werden soll und wie der Einsatz staatlicher Mittel priorisiert werden soll.

Die Versicherungsbranche gilt als wichtige Ressource für die frühzeitige Beurteilung von Verlusten, Schäden, Personenschäden und Todesfällen infolge von Katastrophen und spielt eine wichtige Rolle bei der Quantifizierung des Ausmaßes von Verlusten, Schäden, Personenschäden und Todesfällen, unabhängig davon, ob sie versichert sind ob Sie versichert sind oder nicht, und bei der Festlegung der angemessenen Reaktion. Dementsprechend sollten alle Adressaten die Abteilung bei der Beschaffung notwendiger Informationen vor, während und nach einer Katastrophe unterstützen.

Ein wesentlicher Bestandteil der Reaktion auf jede Katastrophe ist das Insurance Emergency Operations Center („IEOC“) des Ministeriums, das mit Katastrophenvermittlern der Versicherungsbranche und Vertretern des Ministeriums besetzt ist und die Katastrophenhilfe koordiniert. Der Superintendent of Financial Services („Superintendent“) wird das IEOC entsprechend der Art und dem Ausmaß der Katastrophe aktivieren. Wenn möglich, wird der Superintendent die Versicherungsbranche konsultieren, bevor er das IEOC aktiviert.

Jeder Adressat sollte mindestens einmal jährlich eine Analyse der geschäftlichen Auswirkungen durchführen, um die Folgen einer Unterbrechung von Geschäftsfunktionen und -prozessen infolge einer Katastrophe vorherzusagen und Informationen zu sammeln, die für die Entwicklung von Wiederherstellungsstrategien erforderlich sind. Die Geschäftsauswirkungsanalyse sollte die betrieblichen und finanziellen Auswirkungen identifizieren, die sich aus der Störung von Geschäftsfunktionen und -prozessen ergeben, und sollte mindestens Folgendes berücksichtigen: (a) den Zeitpunkt, zu dem eine Geschäftsunterbrechung größere Auswirkungen hätte, wie zum Beispiel eine bestimmte Jahreszeit oder das Ende des Monats oder Quartals; (b) die Zeitspanne, bis zu der die Betriebsunterbrechung betriebliche oder finanzielle Auswirkungen haben würde; (c) die betrieblichen und finanziellen Auswirkungen physischer Schäden an Gebäuden; Beschädigung oder Ausfall von Maschinen, Systemen oder Geräten; eingeschränkter Zugang zu einem Standort oder Gebäude; ein Stromausfall; Schäden oder Verlust oder Korruption der Informationstechnologie; und Fehlzeiten wichtiger Mitarbeiter; (d) Ressourcen, die erforderlich sind, damit das Unternehmen auch bei Störungen unterschiedlichen Ausmaßes weiter funktionieren kann; und (e) Potenzial für Unzufriedenheit oder Abwanderung von Versicherungsnehmern, Versicherungsnehmern, Vertragsnehmern, Versicherten, Rentenempfängern, Zahlungsempfängern, Begünstigten und Gesundheitsdienstleistern (gemeinsam „Kunden“).

Ein Adressat sollte die Ergebnisse dieser Analyse nutzen, um einen Geschäftskontinuitätsplan zu erstellen, zu pflegen und bei Bedarf zu aktualisieren. Jeder Adressat sollte außerdem mindestens einmal jährlich eine risikobasierte Analyse seiner Fähigkeit durchführen, Kunden im Bundesstaat New York zu unterstützen, die von einer Katastrophe irgendwo auf der Welt, einschließlich im Bundesstaat New York, betroffen sind, und die Ergebnisse dieser Analyse nutzen, um Folgendes festzulegen: einen Katastrophenreaktionsplan pflegen und bei Bedarf aktualisieren, der die Ergebnisse der Analyse berücksichtigt. Die Geschäftskontinuitäts- und Katastrophenreaktionspläne sollten separate Dokumente sein.

Die Abteilung erkennt an, dass Größe, Geschäftsbereiche und Unternehmensstruktur je nach Adressat unterschiedlich sind. Daher sollten die Geschäftskontinuitäts- und Katastrophenschutzpläne eines Adressaten für die Art, den Umfang und die Komplexität des Adressaten und der Geschäfte, die er schreibt oder abwickelt, angemessen sein und gegebenenfalls den in diesem Rundschreiben dargelegten Standards entsprechen.

Die Abteilung geht davon aus, dass bestimmte Adressaten Mitglieder von Holdingsystemen gemäß Artikel 15 des Versicherungsgesetzes oder Tochtergesellschaften von Muttergesellschaften gemäß Artikel 17 des Versicherungsgesetzes sind (zusammen „Gruppen“). Ein Adressat kann unter einen Geschäftskontinuitäts- oder Katastrophenreaktionsplan fallen, der von der Holdinggesellschaft oder Muttergesellschaft oder einem anderen Mitglied der Gruppe erstellt wurde. In solchen Fällen sollte der Adressat bereit sein, der Abteilung gegenüber nachzuweisen, dass der Plan die Bedürfnisse des Adressaten und seiner Kunden berücksichtigt. Ist dies im Plan nicht der Fall oder ist der Plan in seiner Anwendung auf den Adressaten nach Einschätzung des Ministeriums unzureichend, fordert das Ministerium den Adressaten auf, einen eigenen Geschäftskontinuitäts- oder Katastrophenreaktionsplan zu erstellen.

Ein Geschäftskontinuitätsplan sollte mindestens die folgenden relevanten Punkte berücksichtigen:

Der Geschäftskontinuitätsplan sollte mindestens einmal jährlich überprüft und genehmigt werden, entweder vom Vorstand des Adressaten oder vom Gruppenmitglied: (1) dem Vorstand oder einem entsprechenden Ausschuss davon; oder (2) Leitungsorgan.

Für Adressaten, die sich im selben geografischen Gebiet befinden, kann es für den Fall, dass ihre Geschäftsfunktionen und -prozesse infolge einer Katastrophe unterbrochen werden, kosteneffektiv sein, ihre Ressourcen zu bündeln und gemeinsame Einrichtungen einzurichten, z. B. gemeinsame alternative Arbeitsplätze. Die Abteilung unterstützt diese Art von kooperativem Ansatz unter der Voraussetzung, dass (1) die Adressaten eine getrennte Verwaltung und getrennte Abläufe pflegen; (2) ein Adressat gibt keine vertraulichen Kundeninformationen ohne entsprechende Zustimmung weiter; und (3) ein Adressat führt Aufzeichnungen in Übereinstimmung mit 11 NYCRR 243 (Insurance Regulation 152), 11 NYCRR 420 (Insurance Regulation 169) und 11 NYCRR 421 (Insurance Regulation 173).

Ein Katastrophenreaktionsplan sollte mindestens die folgenden relevanten Punkte berücksichtigen:

Der Katastrophenschutzplan sollte mindestens einmal jährlich überprüft und genehmigt werden, und zwar entweder vom Vorstand des Adressaten oder vom Gruppenmitglied: (1) dem Vorstand oder einem entsprechenden Ausschuss davon; oder (2) Leitungsorgan.

Ein Adressat sollte die Geschäftskontinuitäts- und Katastrophenschutzpläne an alle relevanten Mitarbeiter verteilen. Der Leiter des Business-Continuity-Teams und der Katastrophenleiter sollten eine Masterkopie des Business-Continuity-Plans bzw. des Katastrophenreaktionsplans aufbewahren. Kopien der Geschäftskontinuitäts- und Katastrophenschutzpläne sollten an einem sicheren externen Ort in einem Format gespeichert werden, das den Zugriff ermöglicht, wenn die Server eines Adressaten ausfallen, und das Drucken bei Bedarf ermöglicht.

Bis zum 18. August 2023 muss jeder Adressat gemäß § 308 des Versicherungsgesetzes einen Katastrophenreaktionsplan, eine Antwort auf den Fragebogen zum Katastrophenreaktionsplan und eine Antwort auf den Fragebogen zum Geschäftskontinuitätsplan beim Ministerium einreichen. Gemäß Versicherungsgesetz § 308( a)(1) muss die Eingabe eines Adressaten die Unterschrift des Beamten oder einer anderen Führungskraft enthalten, die für die Aufsicht über die Eingabe verantwortlich ist, und bestätigt, dass die in der Eingabe enthaltenen Informationen wahr sind, unter Androhung des Meineids.

Die Abteilung fordert den Adressaten auf, alle erforderlichen Eingaben über die Portalanwendung der Abteilung an die Abteilung zu übermitteln. Die Anweisungen zum Ausfüllen und Einreichen des Katastrophenschutzplans und des Fragebogens sowie des Fragebogens zum Geschäftskontinuitätsplan sowie Anweisungen zur Verwendung der Portalanwendung sind auf der Website des Ministeriums verfügbar. Ein Adressat sollte der Abteilung so schnell wie möglich jede Änderung der angeforderten Informationen melden, indem er eine aktualisierte Antwort auf den Fragebogen zum Katastrophenschutzplan oder zum Geschäftskontinuitätsplan einreicht.

Wie in der Portalanwendung angegeben, muss ein Adressat bei der Einreichung eines Katastrophenreaktionsplans dokumentieren, dass der zuständige Vorstand oder sein entsprechendes Komitee oder, wenn es keinen Vorstand gibt, das Leitungsgremium den Katastrophenreaktionsplan genehmigt hat. Ein Adressat muss alle Änderungen am Katastrophenschutzplan seit der letzten Einreichung nachverfolgen, damit die Änderungen für das Ministerium leicht erkennbar sind. Wenn der aktuelle Katastrophenschutzplan mit dem letzten beim Ministerium eingereichten Plan übereinstimmt, muss ein Adressat den Plan nicht erneut einreichen. Vielmehr muss der Adressat im Portalantrag angeben, dass der zuvor eingereichte Katastrophenschutzplan noch in Kraft ist, und die oben genannte unterschriebene Bestätigung in den Portalantrag hochladen.

Ein Katastrophenreaktionsplan sollte den Namen des Adressaten oder der Adressaten, die vom Katastrophenreaktionsplan abgedeckt werden, die Nummer der National Association of Insurance Commissioners („NAIC“) des Adressaten sowie den Namen, die E-Mail-Adresse und die Telefonnummer einer Kontaktperson enthalten. Darüber hinaus sollte ein Adressat einen Katastrophenschutzplan als durchsuchbares Dokument, beispielsweise als Adobe-PDF-Datei, einreichen.

Nach einer Katastrophe kann sich der Superintendent an benannte Katastrophenbeauftragte für Adressaten wenden, die die Adressaten mit den meisten direkt schriftlichen Prämien im Katastrophengebiet vertreten. Katastrophenvermittler sollten darauf vorbereitet sein, sich wie folgt am Katastrophenreaktionsplan des Staates zu beteiligen:

Adressaten-Katastrophenvermittler sollten:

Nach einer Katastrophe nimmt das Ministerium bei Bedarf Kontakt zu Katastrophenbeauftragten auf, die dem Ministerium Deckungsdaten und Schadenstatistiken zur Verfügung stellen. Das Ministerium kann die Daten und Statistiken bei Bedarf fortlaufend anfordern.

Am 3. Mai 2002 gab das ehemalige Versicherungsministerium das Insurance Circular Letter Nr. 12 (2002) heraus, mit dem das New York Information Network („NYIN“) gegründet wurde. Das NYIN ist der Hauptkanal, über den das Ministerium Geheimdienstberichte und andere kritische, aber sensible Informationen zum Terrorismus an die New Yorker Versicherungsgemeinschaft übermittelt. Als Teil des NYIN sollten die Chief Executive Officers („CEOs“) der Adressaten oder ihre Äquivalente einen primären und sekundären Geheimdienst- oder Informationsbeauftragten benennen, indem sie das auf der Website des Ministeriums verfügbare Formular verwenden. Der primäre Geheimdienst- oder Informationsbeauftragte fungiert als einziger Verbindungsmann für alle Geheimdienstinformationen und Informationen im Zusammenhang mit Terrorismus. Diese Person ist dafür verantwortlich, der Abteilung solche Erkenntnisse oder Informationen zur Verfügung zu stellen. In Fällen, in denen die Abteilung vertrauliche Informationen an Adressaten weitergeben muss, leitet die Abteilung die Kommunikation über das NYIN ein und die Informationen werden nur an den primären Geheimdienst- oder Informationsbeauftragten weitergeleitet. Der sekundäre Geheimdienst- oder Informationsbeauftragte fungiert als Ersatzverbindungsperson, wenn der primäre Geheimdienst- oder Informationsbeauftragte nicht verfügbar ist. Das Ministerium kontaktiert den sekundären Geheimdienst- oder Informationsbeauftragten, wenn kritische Informationen an den Adressaten weitergeleitet werden müssen und mehrere Versuche, den primären Geheimdienst- oder Informationsbeauftragten zu kontaktieren, fehlgeschlagen sind.

Die primären und sekundären Geheimdienst- oder Informationsbeauftragten sollten hochrangige Führungskräfte sein, die über die Befugnis verfügen, direkt mit dem CEO des Adressaten (oder einem gleichwertigen Unternehmen) zu kommunizieren. Eine Person sollte nicht als primärer und sekundärer Geheimdienst- oder Informationsbeauftragter für denselben Adressaten fungieren. Für Adressaten, die Teil einer Gruppe sind, sollte die Benennung des primären und sekundären Geheimdienst- oder Informationsbeauftragten auf individueller Adressatenbasis erfolgen. Während für einzelne Adressaten innerhalb einer Gruppe dieselbe Person entweder als primärer oder sekundärer Geheimdienst- oder Informationsbeauftragter benannt werden kann, sollte die Benennung für jeden Adressaten separat unter dem oben angegebenen Link eingegeben werden.

Ein Adressat sollte der Abteilung so schnell wie möglich aktualisierte Informationen zur Verfügung stellen, wenn sich zuvor bereitgestellte Informationen ändern.

III. Abschluss

Ziel dieses Rundschreibens ist es, die Adressaten bei der Planung, Vorbereitung und Reaktion auf Katastrophen zu unterstützen. Die Mitarbeit des Adressaten bei der Bereitstellung zeitnaher und präziser Antworten ist von wesentlicher Bedeutung und wird vom Ministerium und der Bevölkerung des Staates New York geschätzt.

Bitte richten Sie Fragen zu diesem Rundschreiben an Ashbert Carrington, Financial Services Examiner 2, telefonisch unter (212) 480-4702 oder per E-Mail an [email protected].

Mit freundlichen Grüßen,

Adrienne A. HarrisSuperintendent für Finanzdienstleistungen