Lettera al mercato IVASS: orientamenti EIOPA sicurezza e governace

Lettera al mercato IVASS: orientamenti EIOPA sicurezza e governace

L’IVASS – Istituto per la Vigilanza sulle assicurazioni, pubblica, in data 03 giugno 2021, una lettera al mercato basata sui suggerimenti dell’EIOPA in merito a sicurezza e governace della tecnologia dell’informazione e comunicazione.

Lettera al mercato IVASS: orientamenti EIOPA sicurezza e governace

Il 6 aprile 2021 l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) ha emanato gli orientamenti sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione (orientamenti).

Questi suggerimenti si applicano a partire dal 1° luglio 2021.

Gli orientamenti forniscono le indicazioni in materia di governance previste dalla direttiva 2009/138/CE (“direttiva Solvency II”) e dal regolamento delegato (UE) 2015/35 della Commissione (“regolamento delegato”) da applicare nel contesto della sicurezza e della governance delle tecnologie dell’informazione e della comunicazione (ICT).

I suggerimenti tengono conto degli orientamenti espressi qui.

L’IVASS, con il Regolamento n.38 del 3 luglio 2018, recante disposizioni in materia di sistema di governo societario delle imprese e dei gruppi, ha completato l’adeguamento al framework Solvency II della normativa secondaria di settore.

I principi contenuti, in particolare nell’articolo 16 in materia di sistemi informatici e cyber security, sono in larga parte coerenti con i contenuti degli orientamenti.

Particolare attenzione all’esigenza di integrare il sistema di gestione dei rischi tenendo conto anche delle esposizioni ai rischi in ambito ICT e cyber security, per i quali è richiesta, tra l’altro, sia la determinazione di limiti di tolleranza sia la predisposizione di report periodici all’Organo amministrativo, quale responsabile dell’istituzione e dell’esito del processo di gestione dei rischi.

Nell’ambito del sistema di governance e nel rispetto del principio di proporzionalità, è prevista l’istituzione di una Funzione, caratterizzata da indipendenza e obiettività, dedicata alla sicurezza informatica il cui responsabile riferisce all’Organo amministrativo.

L’indipendenza e l’obiettività sarà assicurata con la separazione dai processi operativi e di sviluppo delle ICT. Alla Funzione sono attribuiti compiti di assistenza e reporting all’Organo amministrativo oltre che di monitoraggio e coordinamento delle attività in materia di sicurezza informatica.

Nell’ambito dei sistemi ICT, è previsto che sia istituito e attuato un processo di change management affinché i cambiamenti introdotti siano censiti, valutati, autorizzati e attuati in modo controllato.

È richiesto, inoltre, che siano tracciati anche i cambiamenti sopravvenuti per cause urgenti o di emergenza (oggetto di un’analisi del rischio ex post) e che sia stabilito se i cambiamenti al contesto operativo abbiano un impatto sulle misure di sicurezza adottate o comportino l’adozione di ulteriori misure per mitigarne i rischi.

Infine, nell’ambito di una sana gestione della continuità operativa, in relazione alla quale il Regolamento n. 38/2018 prevede la predisposizione di un piano (art. 16, comma 2 lettera e), è richiesto che una analisi di impatto valuti l’esposizione a gravi interruzioni dell’attività e il loro potenziale impatto sotto il profilo quantitativo e qualitativo e che l’infrastruttura ICT sia ideata in modo da mitigare anche i rischi rilevati da tale analisi.

 

 

Ultimi articoli

Image

Cosa Possiamo fare per te?

Skin ADV