Panorama Assicurativo Ania

🇫🇷 Cyber risk, Sicurezza

INDAGINE 2024 SULLA GESTIONE DEI RISCHI CYBER NEL SETTORE ASSICURATIVO: REPORT DELLA VIGILANZA FRANCESE (ACPR)

«L’Autorité de contrôle prudentiel et de résolution (ACPR) appelle les organismes d’assurance à poursuivre leurs efforts sur la sécurité des systèmes d’information» (NEWS RELEASE – 12 Févr. 2025) «Synthèse de l’enquête déclarative de 2024 sur la gestion de la sécurité des systèmes d’information des organismes d’assurance» (“Analyses et Synthèses” no. 168/2025 – WEBPAGE DI PRESENTAZIONE E DOSSIER)

ACPR - BANQUE DE FRANCE
https://acpr.banque-france.fr/

ACPR – Link alla NEWS RELEASE (12 Févr. 2025)

ACPR – “Analyses et Synthèses” no. 168/2025 - WEBPAGE DI PRESENTAZIONE

ACPR – “Analyses et Synthèses” no. 168/2025 - Link al DOSSIER

 

Da circa un decennio (2015) ACPR – l’Autorità di vigilanza prudenziale sul sistema finanziario francese – conduce indagini presso le compagnie di assicurazione volte a valutare il livello di sicurezza dei loro sistemi informativi(1)

Le conclusioni dell'indagine avviata nel 2024 - recentemente pubblicati nella Collana “Analyses et Synthèses” e alla quale hanno risposto 224 imprese - evidenziano risultati positivi in termini di consapevolezza delle problematiche legate alla sicurezza informatica, ma anche margini di miglioramento per quanto riguarda la realizzazione sul piano operativo dei processi di sicurezza.

Secondo le risultanze dell’indagine, gli organi di governance delle imprese hanno ormai preso in carico le questioni relative alla sicurezza dei sistemi informativi, in particolare per quanto riguarda la definizione di una strategia sul tema; tuttavia, emerge anche che la funzione IT non viene ancora consultata in via sistematica in occasione di decisioni importanti. Inoltre, l'identificazione e la gestione adeguata delle risorse di rilevanza “cruciale”, oppure la definizione della tolleranza al rischio, restano ambiti che necessitano di ulteriore approfondimento.

Viene poi sottolineato che l’utilizzo diffuso dell'outsourcing (in particolare, con l'uso crescente/massivo dei servizi cloud, che danno origine a rischi specifici) non fa che rafforzare i problemi di sicurezza informatica e, di conseguenza, la necessità di monitorare e controllare efficacemente i servizi esternalizzati. In tale ambito, i risultati dell’indagine appaiono contrastanti: da un lato, continuano i progressi nel campo dell'identificazione dei fornitori di servizi e nella stipula dei contratti, ma – per contro – le misure di sicurezza specifiche per il cloud non vengono sempre implementate e la sostituibilità/reversibilità del provider (capacità di sostituire un fornitore con un altro, se necessario) non viene ancora necessariamente verificata.

Infine, l'indagine affronta il tema della preparazione all'entrata in vigore del quadro normativo europeo sulla resilienza digitale (DORA)(2), sul quale si sta attualmente focalizzando l’impegno da parte delle imprese. Dalle risultanze emerse dallo studio, tuttavia, sono necessari ulteriori miglioramenti, al fine di integrare pienamente i nuovi requisiti.

_________________________

(1) Si veda, ad esempio:
“Francia: ACPR incoraggia le imprese assicuratrici a proseguire l’impegno alla chiarezza nelle coperture cyber”,
in Panorama Assicurativo n. 246, aprile 2024 (Sezione “NORMATIVA”). 
https://www.panoramassicurativo.ania.it/newsletter/87125/articolo/87497

(2) Sul Regolamento DORA, si veda:
 “Finanza digitale e cybersecurity: il Regolamento “DORA” e la Direttiva “NIS2” pubblicati in GUUE”, 
in Panorama Assicurativo n. 232, febbraio 2023 (Sezione “UE”). 
https://www.panoramassicurativo.ania.it/newsletter/84229/articolo/84692