Pensions Update banner
Actively Guarding Against Cyber Threats to Better Protect Consumers
In this eblast
January 2023 (Le français suit)
Yellow line element
Consultation on proposed guidance on IT risk management

FSRA is consulting on guidance to help the sectors and individuals it regulates effectively manage a threat to their IT systems, infrastructure and data.

IT risks, like cyber threats and aging digital infrastructure, can result in financial losses and harm to consumers.

Regulated entities must comply with existing requirements related to IT risk and the protection of personal information, including the requirements of the Personal Information Protection and Electronic Documents Act (“PIPEDA”).

This guidance is applicable to all FSRA-regulated sectors, sets out seven practices to effectively manage IT risk and the steps required to notify FSRA in the event of an IT incident.

  1. Governance – people in place with sufficient expertise to manage IT risk
  2. Risk Management – policies and procedures in place to manage IT risk
  3. Data Management - processes, procedures and controls in place to ensure data quality, integrity, privacy
  4. Outsourcing – controls in place to manage risks related to outsourcing
  5. Incident Preparedness – processes in place to be able to recover from an IT incident
  6. Continuity and Resiliency – ensure the continuity of their IT assets to enable them to deliver services following an incident
  7. Notification of Material IT Risk Incidents – notification to regulator(s) in the event of a material IT risk incident
 
The guidance also outlines content for the effective management of IT risks for the following sectors:

  • Credit union
  • Mortgage brokering
  • Insurance
  •  Pensions
  • Financial Planners and Financial Advisors
 
The consultation period is now open. FSRA invites stakeholders and the public to submit feedback until March 31, 2023.
FSRA continues to work on behalf of all stakeholders, including consumers, to ensure financial safety, fairness, and choice for everyone. Learn more at www.fsrao.ca.
Pensions Update banner
Lutter activement contre les cybermenaces pour mieux protéger les consommateurs
Dans ce publipostage
Janvier 2023
Yellow line element
L’ARSF procède à une consultation sur les lignes directrices à suivre pour aider les secteurs et les personnes qu’elle réglemente à gérer efficacement une menace à leurs systèmes, leur infrastructure et leurs données informatiques.

Les risques informatiques, comme les cybermenaces et le vieillissement de l’infrastructure numérique, peuvent entraîner des pertes financières et nuire aux consommateurs.

Les entités réglementées doivent se conformer aux exigences existantes liées aux risques informatiques et à la protection des renseignements personnels, y compris les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »).

Ces lignes directrices s’appliquent à tous les secteurs réglementés par l’ARSF et elles comprennent sept pratiques pour gérer efficacement les risques liés aux technologies de l’information et les étapes nécessaires pour aviser l’ARSF en cas d’incident informatique.

  1. Gouvernance - personnes en place ayant une expertise suffisante pour gérer les risques liés aux TI.
  2. Gestion du risque - politiques et procédures en place pour gérer les risques liés aux TI.
  3. Gestion des données - processus, procédures et contrôles en place pour garantir la qualité, l’intégrité et la confidentialité des données.
  4. Externalisation - contrôles en place pour gérer les risques liés à l’externalisation.
  5. Préparation aux incidents - processus en place pour pouvoir se remettre d’un incident lié aux TI.
  6. Continuité et résilience - assurer la continuité de leurs actifs informatiques pour leur permettre de fournir des services après un incident.
  7. Avis en cas d’incidents importants découlant des risques liés aux TI - avis aux organismes de réglementation en cas d’incident important découlant des risques liés aux TI.
 
Les lignes directrices décrivent également le contenu de la gestion efficace des risques liés aux TI pour les secteurs suivants :

  • Caisses populaires et credit unions
  • Courtage en prêts hypothécaires
  • Assurances
  • Régimes de retraite
  • Planificateurs financiers et conseillers financiers
 
La période de consultation est maintenant ouverte. L’ARSF invite les intervenants et le public à soumettre leurs commentaires jusqu’au 31 mars 2023.
L’ARSF continue d’agir dans l’intérêt de tous les intervenants, y compris les consommateurs, afin de garantir à tous la sécurité financière, l’équité et le choix. Pour en savoir plus, rendez-vous sur www.fsrao.ca.