Panorama Assicurativo Ania

🇪🇺 Cyber risk, Cyber insurance

RISCHIO CYBER E BISOGNI ASSICURATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI: UN REPORT ENISA

“Cyber insurance: fitting the needs of operators of essential services?” PRESS RELEASE – Feb. 23, 2023) “Demand side of cyber insurance in the EU” (WEBPAGE DI PRESENTAZIONE/download del Report)

Javier GOMEZ PRIETO, Athanasios DROUGKAS, Jelger GROENLAND, Alessandro LAZARI

ENISA - EUROPEAN UNION AGENCY FOR CYBERSECURITY
https://www.enisa.europa.eu/

ENISA – Link alla WEBPAGE DI PRESENTAZIONE/download del Report

ENISA – Link alla NEWS RELEASE

 

Un Report recentemente pubblicato da ENISA(1) analizza le prospettive e le sfide attuali degli operatori di servizi essenziali (Operators of Essential Services – OES)(2) relativamente all'acquisizione di coperture di cyber insurance

Nonostante l’attuale contesto risulti caratterizzato da un aumento degli incidenti informatici – che interessano in larga misura anche gli OES –, buona parte di questi ultimi percepisce la cyber insurance come un servizio “che non può permettersi”, a causa di premi elevati e di coperture ritenute “svantaggiose”. Secondo i dati (raccolti attraverso un sondaggio rivolto a 262 OES in tutta l’Unione europea), tre su quattro operatori attualmente non dispongono di cyber insurance. Inoltre, il 56% degli intervistati ha dichiarato di considerare “altri strumenti di mitigazione del rischio” più efficaci rispetto alla cyber insurance.

L’analisi di ENISA, inoltre, esplora la cyber insurance anche dal punto di vista dello sviluppo di policy e formula, in tal senso, alcune “raccomandazioni” (dirette sia ai policy makers sia agli OES).

“Raccomandazioni ai Policy Makers”:

  • realizzare meccanismi di orientamento, per migliorare la maturità delle pratiche di risk management degli OES;
  • promuovere l'istituzione di framework per l’identificazione e lo scambio di “buone pratiche” tra OES, soprattutto in relazione all'identificazione, mitigazione e quantificazione dell'esposizione al rischio;
  • incoraggiare iniziative - compresa la standardizzazione e lo sviluppo di guidance/orientamenti -, per fornire metodologie di valutazione sulla quantificazione dei cyber risk;
  • sviluppare quadri di collaborazione (con partner pubblici e privati) per abilitare framework di competenze e programmi per la cyber insurance, in particolare in aree quali valutazione del rischio, aspetti legali, gestione delle informazioni, dinamiche di mercato.

“Raccomandazioni agli "Operators of Essential Services (OES)”:

  • fare progressi nel perseguire l’obiettivo della maturità delle pratiche di risk management;
  • stanziare/aumentare il budget per la realizzazione di processi di identificazione di asset, di metriche “chiave” per la conduzione di valutazioni periodiche del rischio, per l’identificazione dei controlli di sicurezza e per la quantificazione dei rischi sulla base delle “migliori pratiche” del settore;
  • migliorare il trasferimento delle conoscenze e la condivisione con altri OES  (“knowledge transfer/sharing”).

________________________________

 (1) ENISA - European Union Agency for Network and Information Security è un Centro di ricerca nell’ambito della cyber security, che contribuisce al mantenimento di elevati standard di sicurezza delle reti all’interno dell’Unione. Il lavoro dell’Agenzia si svolge in stretta connessione con i Paesi membri e con il settore privato.

(2)  La Direttiva “NIS” (Security of Network and Information Systems) non definisce in modo esplicito quali soggetti debbano essere considerati OES (Operators of Essential Services), ma fornisce invece criteri che gli Stati membri sono tenuti a seguire per determinare quali imprese siano da considerare OES (e quindi soggette agli obblighi previsti dalla Direttiva). Ai sensi dell'articolo 5, comma 2, i criteri per l'individuazione degli OES sono i seguenti:

  • l’impresa fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche di importanza vitale (“critical activities”);
  • la fornitura di tale servizio dipende dalla rete e dai sistemi informativi;
  • un incidente informatico avrebbe effetti di disturbo significativi sulla fornitura di tale servizio.

L'articolo 4, paragrafo 4, della Direttiva stabilisce che un OES è un ente pubblico o privato che soddisfa i criteri di cui sopra.