Panorama Assicurativo Ania

🇺🇸 Cyber risk

NAIC: NUOVO FRAMEWORK REGOLAMENTARE IN MATERIA DI PROTEZIONE DEI DATI (“CYBERSECURITY MODEL LAW”)

“Insurance Data Security Model Law – Preliminary Working and Discussion Draft” (03.02.2016)

NAIC – NATIONAL ASSOCIATION OF INSURANCE COMMISSIONERS
http://www.naic.org/

NAIC - Insurance Data Security Model Law Preliminary Working/Discussion Draft

NAIC webpage - Cybersercurity (updated: 25-Jan.-2016)

MAYER BROWN - NAIC proposes Cybersecurity Model Law for the insurance industry (09.-Mar.-2016)


All’inizio di marzo, NAIC -  l’Ente federale che rappresenta le Autorità statali di vigilanza sul settore assicurativo negli Stati Uniti - ha presentato una bozza preliminare di framework normativo (“Cybersecurity Model Law”), finalizzata alla definizione di standard regolamentari in materia di sicurezza dei dati (anche in relazione alla gestione di eventuali infrazioni) per le imprese assicuratrici(1).
Il documento è stato posto in consultazione sino al 23 marzo, al fine di raccogliere eventuali input provenienti da Autorità di vigilanza, operatori del settore e dal pubblico in generale. Successivamente, la versione definitiva della Cybersecurity Model Law dovrà ricevere l’approvazione dell’Executive Committee e dell’Assemblea Plenaria di NAIC.

La bozza di Model Law richiede alle imprese di elaborare, in forma scritta, un programma di sicurezza dei dati (WISP – Written Information Security Program) che illustri, nel dettaglio, le misure di sicurezza – di natura amministrativa, tecnica e pratica – realizzate dall’impresa ai fini della salvaguardia delle informazioni e dei dati personali.
Secondo quanto previsto dal WISP, l’impresa è tenuta a designare specifiche figure incaricate del risk assessment:  identificazione di possibili minacce alla sicurezza dei dati (e di eventuali danni da esse derivanti), ma anche valutazione dell’effettiva capacità delle misure di protezione di mantenere il rischio sotto controllo.
Con riguardo allo sviluppo del WISP, il testo preliminare della Model Law invita le imprese a utilizzare un particolare documento-Guida(2), specificamente realizzato dal National Institute of Standard and Technology (NIST).

Quanto al trattamento delle eventuali infrazioni in materia di sicurezza dei dati, la Model Law stabilisce sanzioni pecuniarie comprese tra 500 e 50.000 dollari, come pure la sospensione / revoca della licenza all’esercizio dell’attività assicurativa.

________________________________

 (1) Il framework è il frutto, in particolare, del lavoro della “Cybersecurity Task Force” che opera in seno a NAIC.
(2) Si tratta del “Framework for Improving Critical Infrastructure Cybersecurity”
(http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf)