Panorama Assicurativo Ania

🇳🇿 Cyber risk, Resilienza

NUOVA ZELANDA: RISULTATI DELL’INDAGINE DELLA VIGILANZA (RBNZ) IN TEMA DI CYBER RESILIENCE

“New measures to build cyber resilience - The Reserve Bank of New Zealand / Te Pūtea Matua has published consultation feedback and decisions on collecting data to support cyber resilience” NEWS RELEASE / WEBPAGE DI RIFERIMENTO e link correlati (4 marzo 2024)

RBNZ – RESERVE BANK OF NEW ZEALAND
https://www.rbnz.govt.nz/

RBNZ - NEWS RELEASE / WEBPAGE DI RIFERIMENTO e link correlati (4 marzo 2024)


La Reserve Bank della Nuova Zelanda (RBNZ) – Autorità di vigilanza sul settore finanziario – ha recentemente svolto una consultazione sul tema del rischio informatico e della cyber-resilienza(1). Le risposte ricevute evidenziano accordo con l’approccio della Vigilanza e viene riconosciuta importanza al fatto che essa possa avere accesso alle informazioni in materia di resilienza informatica. Pertanto, RBNZ procederà con l’implementazione dei requisiti formali per la segnalazione degli incidenti informatici, con il reporting – su base periodica – dei cyber-incidents e con un’indagine sulla resilienza cyber fra le entità regolamentate.   

In particolare, l’Autorità di vigilanza ha sintetizzato, come di seguito, i requisiti di resilience reporting che saranno gradualmente finalizzati nel corso del 2024:

  • Obbligo di segnalazione per gli incidenti informatici “rilevanti”: le istituzioni vigilate sono tenute a notificare eventuali incidenti informatici rilevanti a RBNZ non appena possibile, ma comunque entro 72 ore dall’accadimento;
     
  • Reporting periodico di tutti gli incidenti informatici: le istituzioni vigilate dovranno informare RBNZ di tutti gli incidenti informatici avvenuti, indipendentemente dalla loro portata/rilevanza. In particolare, entità di grandi dimensioni sono tenute a tale segnalazione ogni sei mesi (su base annua, invece, per le altre istituzioni finanziarie sottoposte alla vigilanza di RBNZ);
     
  • Indagini sulla cyber-resilience delle entità regolamentate:  esse dovranno riferire a RBNZ in merito all'autovalutazione svolta rispetto ai contenuti della Guida RBNZ sulla resilienza informatica(2), con obbligo di reporting ogni anno (per le grandi società/imprese) oppure ogni due anni (per tutte le altre).

_________________________

(1) Si veda, in proposito:
“Nuova Zelanda: consultazione della Vigilanza (RBNZ) sulla resilienza informatica delle istituzioni finanziarie”,
in: Panorama Assicurativo n. 236, giugno 2023 (Sezione “NORMATIVA”)
https://www.panoramassicurativo.ania.it/newsletter/85161/articolo/85548

(2) Sul punto, si veda:
“Nuova Zelanda: dalla Vigilanza (RBNZ) nuove linee-Guida sulla resilienza informatica”,
in: Panorama Assicurativo n. 212, giugno 2021 (Sezione “NORMATIVA”)
https://www.panoramassicurativo.ania.it/newsletter/80325/articolo/80609