Panorama Assicurativo Ania

🇫🇷 Cyber risk

FRANCIA: I PUNTI DI ATTENZIONE DELLA VIGILANZA (ACPR) IN MATERIA DI GESTIONE DEI RISCHI CYBER E SICUREZZA INFORMATICA NELLE IMPRESE ASSICURATRICI

« Les points d’attention de l’ACPR à l’égard des assureurs en matière de gestion des risques liés aux systèmes d’information et leur sécurité » (COMUNICATO STAMPA, 23 febbraio 2023) « Synthèse de l’enquête déclarative de 2022 sur la gestion de la sécurité des systèmes d’information des organismes d’assurance » (Analyses et synthèses, n°145 – 2023)

ACPR – AUTORITÉ DE CONTRÔLE PRUDENTIEL ET DE RÉSOLUTION
https://acpr.banque-france.fr/

ACPR – Link al COMUNICATO STAMPA

ACPR – Link al DOCUMENTO

Da diversi anni l'Autorità francese di vigilanza prudenziale (ACPR) conduce indagini tramite questionari con cui le imprese assicuratrici valutano la gestione e la sicurezza dei loro sistemi informativi. I risultati dell’indagine condotta nel 2022, a cui hanno aderito 239 imprese, dimostrano una consapevolezza delle tematiche legate alla cybersecurity. Tuttavia, devono ancora essere compiuti progressi per aumentare la resilienza al rischio informatico, anche in vista dell'entrata in vigore, nel gennaio 2025, del Regolamento DORA.

Le carenze emerse dall’indagine sono state riscontrate anche durante i sopralluoghi effettuati dall'Autorità. In particolare, le imprese devono continuare i loro sforzi per:

  • sistematizzare l'analisi dei rischi e delle problematiche di sicurezza legate all'utilizzo di soluzioni esterne e, più in particolare, dei servizi cloud;
  • sottoporre regolarmente il piano di continuità operativa a test per valutarne la robustezza ed effettuare esercizi di simulazione di gestione delle crisi informatiche;
  • adeguare il sistema di controllo interno in modo che le tre linee di difesa si assumano la piena responsabilità del rischio informatico. A tal proposito, la funzione aziendale della sicurezza informatica deve godere di sufficiente indipendenza dalle funzioni operative nell'area dell’ICT e deve disporre di informazioni ad hoc per misurare, monitorare e gestire il rischio cyber e rendere conto dello stato della sicurezza informatica all'alta dirigenza.