IVASS: LETTERA AL MERCATO IN MATERIA DI SICUREZZA E GOVERNANCE DEI SISTEMI INFORMATIVI
“Orientamenti sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione” (LETTERA AL MERCATO, 3 giugno 2019)
IVASS – ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONE
https://www.ivass.it/homepage/index.html
IVASS – Link alla LETTERA AL MERCATO
Il 3 giugno scorso IVASS, con apposita Lettera al mercato, ha fornito chiarimenti e indicazioni sui recenti Orientamenti EIOPA in materia di sicurezza e governance della tecnologia dell'informazione e comunicazione (ICT).
I primi di aprile, come noto, EIOPA ha emanato alcuni Orientamenti sulla materia, che si applicano a decorrere dal 1° luglio 2021(1). Tali Orientamenti forniscono le indicazioni in materia di governance previste dalla direttiva 2009/138/CE (“Solvency II”) e dal Regolamento delegato (UE) 2015/35 della Commissione.
IVASS, con il Regolamento n. 38 del 3 luglio 2018, recante disposizioni in materia di sistema di governo societario delle imprese e dei gruppi, ha completato l’adeguamento al framework Solvency II della normativa secondaria di settore. I principi in esso contenuti e, in particolare, le disposizioni di cui all’articolo 16 in materia di sistemi informatici e cyber security sono in larga parte coerenti con i contenuti degli Orientamenti EIOPA.
Il maggior grado di dettaglio operativo e il carattere di novità di alcune previsioni richiedono una attenta rilettura dei processi, delle procedure organizzative e del sistema dei controlli attuati dalle imprese per assicurare il pieno raggiungimento degli obiettivi. Al riguardo, l’Istituto richiama in particolare l’attenzione sull’esigenza di integrare il sistema di gestione dei rischi tenendo conto anche delle esposizioni in ambito ICT e cyber security, per i quali è richiesta, tra l’altro, sia la determinazione di limiti di tolleranza sia la predisposizione di report periodici all’Organo amministrativo, quale responsabile dell’istituzione e dell’esito del processo di gestione dei rischi.
Inoltre, nell’ambito del sistema di governance e nel rispetto del principio di proporzionalità, è prevista l’istituzione di una Funzione dedicata alla sicurezza informatica, caratterizzata da indipendenza e obiettività, il cui responsabile riferisce all’Organo amministrativo. L’indipendenza e l’obiettività sarà assicurata con la separazione dai processi operativi e di sviluppo delle ICT. Alla Funzione sono attribuiti compiti di assistenza e reporting all’Organo amministrativo oltre che di monitoraggio e coordinamento delle attività in materia di sicurezza informatica. La Funzione – precisa IVASS - non è da annoverare tra le funzioni fondamentali, come definite dalla regolamentazione Solvency II, in quanto non menzionata negli articoli 268 e seguenti del Regolamento delegato.
Nell’ambito dei sistemi ICT, inoltre, è previsto che sia istituito e attuato un processo di change management affinché i cambiamenti introdotti siano censiti, valutati, autorizzati e attuati in modo controllato. È altresì richiesto che siano tracciati anche i cambiamenti sopravvenuti per cause urgenti o di emergenza (oggetto di un’analisi del rischio ex post) e che sia stabilito se i cambiamenti al contesto operativo abbiano un impatto sulle misure di sicurezza adottate o comportino l’adozione di ulteriori misure per mitigarne i rischi.
Infine, nell’ambito di una sana gestione della continuità operativa, in relazione alla quale il Regolamento n. 38/2018 prevede la predisposizione di un piano (art. 16, comma 2 lettera e), è richiesto che un’analisi di impatto valuti l’esposizione a gravi interruzioni dell’attività e il loro potenziale impatto sotto il profilo quantitativo e qualitativo e che l’infrastruttura ICT sia ideata in modo da mitigare anche i rischi rilevati da tale analisi.
_______________
(1) Si veda, in proposito: “EIOPA: Linee Guida sulla sicurezza e la governance dei sistemi informativi”, in Panorama Assicurativo n. 205, novembre 2020 (Sezione “UE”).
https://www.panoramassicurativo.ania.it/newsletter/51100/articolo/74485