Pensions Update banner
Better protecting consumers against harmful IT risks
In this eblast
November 2023 (Le français suit)
Yellow line element
FSRA releases final IT Risk Management Guidance

The Financial Services Regulatory Authority of Ontario (FSRA) is taking active steps to further protect consumers and their data against harmful IT risks, like cyber threats.

Today we released our final Information Technology (IT) Risk Management Guidance following robust consultation.
 
The Guidance will help FSRA-regulated sectors and individuals effectively manage threats to their IT systems, infrastructure and data.
 
The Guidance includes:

  • seven practices for effective IT risk management
  • a process to notify FSRA in the event of an IT risk incident
  • sector-specific requirements for credit unions and caisses populaires, Ontario-incorporated insurance companies and reciprocals, and pension plan administrators

Regulated entities must still comply with existing requirements related to IT risk and the protection of personal information, including the requirements of the Personal Information Protection and Electronic Documents Act (“PIPEDA”).
 
In response to the feedback gathered from January 23 to March 31, 2023, FSRA amended the proposed guidance as identified in the consultation summary. Some changes include:

  • The effective date of the Guidance has been changed from June 2023 to April 1, 2024
  • The IT incident reporting timeframe has been updated to “as soon as feasible, which would normally fall within the 48 to 72 hours range”
  • More flexibility to inform FSRA in the event of a material incident, including using a secure portal

FSRA thanks all stakeholders for their comments and feedback. The final Guidance and summary of feedback are now available on FSRA's website.
FSRA continues to work on behalf of all stakeholders, including consumers, to ensure financial safety, fairness, and choice for everyone. Learn more at www.fsrao.ca.

A multi-lingual translation feature has been added to FSRA's website. 
To provide a more accessible and inclusive experience for users, FSRA’s website can now be automatically translated into a variety of languages by selecting the Google Translate feature in the menu at the top of each page. This new tool allows users to navigate the site as well as read, understand and apply web page content in their own language. Available languages currently include German, Spanish, Hindi, Italian, and Chinese.

Please note: If you are a regulated licensee/registrant, regardless of whether or not you subscribe to e-communications, you will automatically receive important information from FSRA via the e-mail address you have provided. More importantly, as a regulated licensee/registrant, you will not be able to unsubscribe from these important email communications.
Pensions Update banner
Une meilleure protection des consommateurs contre les risques préjudiciables liés aux TI
Dans cet envoi
Novembre 2023
Yellow line element
L’ARSF publie la version définitive de sa ligne directrice sur la gestion des risques liés aux TI

L’Autorité ontarienne de réglementation des services financiers (ARSF) prend des mesures concrètes pour mieux protéger les consommateurs et leurs données contre les risques préjudiciables liés aux TI, comme les cybermenaces.
 
L’ARSF publie aujourd’hui la version définitive de sa ligne directrice sur la gestion des risques liés aux technologies de l’information (« TI »), au terme d’une vaste consultation.  
 
Cette ligne directrice aidera les personnes et les secteurs réglementés par l’ARSF à gérer efficacement les menaces pour leurs systèmes, leur infrastructure et leurs données informatiques. 
 
Dans cette ligne directrice, figurent : 

  • 7 pratiques pour une gestion efficace des risques liés aux TI; 
  • un processus pour aviser l’ARSF en cas d’incident découlant de risques liés aux TI; 
  • des exigences sectorielles visant les caisses, les compagnies d’assurances constituées en Ontario et les assureurs réciproques ainsi que les administrateurs de régimes de retraite. 
 
Les entités réglementées seront tout de même tenues de respecter les exigences existantes concernant les risques liés aux TI et la protection des renseignements personnels, notamment les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »)
 
À la suite des commentaires recueillis entre le 23 janvier et le 31 mars 2023, l’ARSF a modifié la ligne directrice proposée, comme indiqué dans le résumé de la consultation. Parmi les changements apportés : 

  • La date d’entrée en vigueur de la ligne directrice a été modifiée de juin 2023 au 1er avril 2024. 
  • Le délai de signalement d’un incident a été mis à jour à « dès que possible, généralement dans un délai de 48 à 72 heures ». 
  • Il y aura plus de souplesse dans la façon d’informer l’ARSF d’un incident important, notamment au moyen d’un portail sécurisé. 
 
L’ARSF remercie l’ensemble des intervenants pour leurs commentaires. La version définitive de la ligne directrice et le résumé de la consultation sont désormais disponibles sur son site Web.
L’ARSF continue de travailler au nom de l’ensemble des intervenants, y compris les consommateurs, pour garantir la sécurité financière, l’équité et le choix de toutes et tous. Pour en savoir plus, consultez www.fsrao.ca/fr. 

Une fonction de traduction multilingue a été ajoutée au site Web de l’ARSF. 
Afin d’offrir une expérience plus accessible et inclusive aux utilisateurs, le site Web de l’ARSF peut désormais être traduit automatiquement dans plusieurs langues en sélectionnant la fonction Google Translate dans le menu en haut de chaque page. Ce nouvel outil permet aux utilisateurs de naviguer le site ainsi que de lire, comprendre et appliquer le contenu des pages Web dans leur propre langue. Les langues disponibles sont actuellement l’allemand, l’espagnol, l’hindi, l’italien et le chinois.  

Remarque : Si vous êtes un ou une titulaire de permis ou déclarant(e) touché(e) par la réglementation, que vous soyez inscrit(e) ou non aux communications électroniques, vous recevrez automatiquement des renseignements importants de l'ARSF à partir de l'adresse électronique que vous avez fournie. De plus et surtout, à ce titre, vous ne pourrez pas vous désinscrire de ces importantes communications envoyées par courriel.