O programa legislativo do governo do Reino Unido, apresentado na Abertura do Parlamento, introduz mudanças abrangentes na regulação de infraestrutura digital e conformidade com a segurança cibernética.
O Rei Charles III enquadrou o pacote de 37 projetos de lei como uma resposta necessária a um mundo cada vez mais “perigoso e volátil”, mas para os profissionais de insurtech, as medidas representam uma mudança fundamental em como o risco cibernético deve ser modelado, precificado e gerenciado.
A agenda estabelece protocolos obrigatórios de notificação de incidentes, penalidades financeiras substanciais e supervisão regulatória aprimorada de infraestruturas digitais críticas. Essas mudanças exigirão que as seguradoras reconstruam frameworks de subscrição, reavalie exclusões de apólices e desenvolvam novas abordagens atuariais para a precificação de responsabilidade cibernética.
Responsabilidade cibernética: do risco intangível à exposição quantificável
O Cyber Security and Resilience Bill representa a intervenção mais significativa do governo na gestão de riscos digitais até o momento.
De acordo com a BBC, a legislação reclassifica data centers como infraestrutura essencial, inserindo-os no mesmo framework regulatório de serviços de água e energia.
Essa reclassificação muda fundamentalmente o perfil de risco dos operadores de data centers. Anteriormente tratadas como instalações de tecnologia comercial, essas operações agora enfrentam as obrigações de conformidade e o escrutínio regulatório associados à infraestrutura nacional crítica. Para as seguradoras, essa mudança exige a reavaliação de apólices de propriedade comercial, coberturas de erros e omissões em tecnologia e produtos de interrupção de negócios para esse setor.
O projeto estabelece multas de até £17 milhões (US$ 22,9 milhões) ou 4% do faturamento global por não conformidade, além de notificação obrigatória de incidentes em 24 a 72 horas.
Sheila Pancholi, Sócia e Líder Nacional de Garantia de Risco em Tecnologia da RSM UK, afirma: “O futuro Cyber Security and Resilience Bill introduzirá multas de até £17 milhões [US$ 22,9 milhões] ou 4% do faturamento global, com requisitos rigorosos de notificação em 24 e 72 horas, aumentando a pressão sobre as empresas para reforçar a segurança cibernética e os procedimentos de reporte.
“As seguradoras já estão prestando atenção, incorporando esse novo impacto potencial na receita em suas decisões de subscrição. Historicamente, a segurança cibernética tem sido vista principalmente como uma ‘questão de custo de prevenção’, mas os dados da Pesquisa de Violações de Segurança Cibernética do governo do Reino Unido demonstram uma mudança clara: os incidentes cibernéticos já causam impacto tangível nos resultados financeiros das empresas.
“A proporção de empresas que relatam perda de receita ou valor de ações após uma violação, embora ainda baixa, mais que dobrou ano a ano. Ao mesmo tempo, os relatos de danos à reputação também aumentaram. Essa mudança apresenta um argumento convincente para tratar a segurança cibernética como uma exposição mensurável de lucros e perdas, que se equipara a outros grandes riscos financeiros e, portanto, merece as mesmas discussões estruturadas sobre apetite ao risco.”
Infraestrutura de identidade digital: risco de concentração e vulnerabilidade sistêmica
O Digital Access to Services Bill propõe um esquema voluntário de identidade digital projetado para “modernizar a forma como os cidadãos interagem com os serviços públicos”.
O framework permitiria acesso simplificado a registros de saúde, sistemas tributários e serviços governamentais por meio de uma plataforma unificada de autenticação. A arquitetura centralizada cria um risco de concentração significativo.
Carla Baker, Diretora Sênior de Assuntos Governamentais para Reino Unido e Irlanda da Palo Alto Networks, alerta que um framework nacional de identidade digital se tornaria “inevitavelmente um alvo de alto valor para criminosos cibernéticos e adversários patrocinados por estados”.
Uma violação bem-sucedida poderia expor dados biométricos e pessoais de milhões de cidadãos.
“O sistema de ID digital exigirá integração complexa entre diversos serviços governamentais, incluindo HMRC, DWP e NHS”, diz Carla. “Cada ponto de integração amplia a superfície de ataque e introduz potenciais vulnerabilidades — uma fraqueza de segurança em um sistema vinculado pode comprometer os dados centrais de identidade.”
Essa arquitetura multiagência cria exposições de responsabilidade inéditas para os fornecedores de tecnologia que implementam o esquema. As seguradoras que oferecem cobertura de responsabilidade profissional, responsabilidade cibernética e erros e omissões em tecnologia devem avaliar se a linguagem atual das apólices aborda adequadamente os cenários de violação decorrentes de frameworks interconectados de compartilhamento de dados governamentais.
James Clark, Sócio do escritório de advocacia Spencer West LLP, acrescenta: “É provável que isso [o esquema nacional de ID digital] se integre ao framework para serviços de verificação digital estabelecido pelo Data (Use and Access) Act do ano passado. Embora uma proposta inicial de um ‘BritCard’ obrigatório tenha sido abandonada por causa da reação negativa, o governo está avançando com um sistema voluntário destinado ao acesso a serviços, com questões importantes sobre inclusão, privacidade e segurança ainda a serem respondidas.”
Mike Baxter, Presidente e CTO da Entrust, afirma: “O GOV.UK One Login oferece uma base sólida para construir, mas o próximo passo é garantir que qualquer esquema seja genuinamente voluntário, com privacidade em primeiro lugar e governança transparente. Somente acertando nesses fundamentos o ID digital tornará a vida das pessoas significativamente mais fácil e segura.
“É encorajador ouvir o Rei reafirmar o compromisso do governo em melhorar as defesas do Reino Unido contra ameaças de segurança cibernética. No entanto, o futuro Cyber Security and Resilience Bill deve ir além das medidas tradicionais para criar incentivos mais fortes para a prontidão pós-quântica — incluindo a publicação de padrões criptográficos claros e cronogramas de conformidade.”
A inovação regulatória cria oportunidades para o mercado de insurtech
Além das disposições de segurança, o Rei apresentou o Regulating for Growth Bill, projetado para “reduzir o ônus da regulação desnecessária por meio da inovação”.
A legislação estabelece ambientes de sandbox regulatório onde as empresas podem testar tecnologias emergentes, incluindo inteligência artificial, em condições reais controladas.
“As empresas vão celebrar o Regulating for Growth Bill e seu reconhecimento de que a regulação deve evoluir junto com a inovação tecnológica”, diz Greg Hanson, Vice-Presidente de Grupo e Chefe da EMEA Norte da Informatica, da Salesforce.
“O framework regulatório correto pode proteger os consumidores e dar às organizações a confiança para inovar, investir e escalar tecnologias emergentes como a IA. Oferecer às empresas e aos serviços públicos ambientes de sandbox para testar e experimentar a IA em condições reais ajudará a impulsionar a inovação. No entanto, as organizações só podem testar e escalar a IA com confiança se tiverem contexto confiável sobre os dados que alimentam seus sistemas de IA.”
O governo pretende tornar os registros de pacientes acessíveis pelo NHS App, ampliando a integração digital em todo o sistema de saúde. Violações de dados de saúde normalmente incorrem em penalidades regulatórias e custos de reputação mais elevados do que violações em outros setores. As seguradoras que oferecem cobertura de responsabilidade médica e cibernética para organizações de saúde devem avaliar se os limites das apólices existentes refletem adequadamente a exposição ampliada decorrente do acesso digital centralizado a registros de pacientes.
O Rei Charles III anunciou uma “nova era de geração nuclear britânica” por meio do Nuclear Regulation Bill, além de um Energy Independence Bill com o objetivo de expandir a “energia renovável de produção nacional”. Essas iniciativas exigirão a mobilização de capital privado substancial em infraestrutura energética, gerando demanda por produtos de cobertura de riscos de construção, engenharia e operação.
Ao concluir, o Rei Charles III afirmou que essas medidas visam “utilizar o investimento público para moldar mercados e atrair mais investimento privado”.
Para o setor de insurtech, o pacote legislativo apresenta tanto desafios de subscrição quanto oportunidades comerciais que exigem recalibração estratégica de portfólio e inovação de produtos. O framework regulatório ampliado aumenta a complexidade de subscrição e gestão de sinistros, ao mesmo tempo em que cria demanda por produtos de cobertura voltados a riscos emergentes em uma economia cada vez mais digitalizada.
