Ivass, chiarimenti sugli orientamenti EIOPA in materia di sicurezza e governance della tecnologia dell’informazione e comunicazione

ivass

Ivass, chiarimenti sugli orientamenti EIOPA in materia di sicurezza e governance della tecnologia dell’informazione e comunicazione.

In una lettera al mercato assicurativo avente come oggetto gli “Orientamenti sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione”, Ivass ha richiamato le imprese di assicurazioni e riassicurazione “sull’esigenza di integrare il sistema di gestione dei rischi tenendo conto anche delle esposizioni ai rischi in ambito ICT e cyber security, per i quali è richiesta, tra l’altro, sia la determinazione di limiti di tolleranza sia la predisposizione di report periodici all’Organo amministrativo, quale responsabile dell’istituzione e dell’esito del processo di gestione dei rischi”.

“Inoltre – ricorda l’istituto di vigilanza – nell’ambito del sistema di governance e nel rispetto del principio di proporzionalità, è prevista l’istituzione di una Funzione, caratterizzata da indipendenza e obiettività, dedicata alla sicurezza informatica il cui responsabile riferisce all’Organo amministrativo. L’indipendenza e l’obiettività sarà assicurata con la separazione dai processi operativi e di sviluppo delle ICT. Alla Funzione – continua Ivass sono attribuiti compiti di assistenza e reporting all’Organo amministrativo oltre che di monitoraggio e coordinamento delle attività in materia di sicurezza informatica. La Funzione non è da annoverare tra le funzioni fondamentali, come definite dalla regolamentazione Solvency II, in quanto non menzionata negli articoli 268 e seguenti del regolamento delegato”.

“Nell’ambito dei sistemi ICT – aggiunge Ivass – è previsto che sia istituito e attuato un processo di change management affinché i cambiamenti introdotti siano censiti, valutati, autorizzati e attuati in modo controllato. È altresì richiesto che siano tracciati anche i cambiamenti sopravvenuti per cause urgenti o di emergenza (oggetto di un’analisi del rischio ex post) e che sia stabilito se i cambiamenti al contesto operativo abbiano un impatto sulle misure di sicurezza adottate o comportino l’adozione di ulteriori misure per mitigarne i rischi”.

“Infine, nell’ambito di una sana gestione della continuità operativa, in relazione alla quale il Regolamento n. 38/2018 prevede la predisposizione di un piano (art. 16, comma 2 lettera e), è richiesto che una analisi di impatto valuti l’esposizione a gravi interruzioni dell’attività e il loro potenziale impatto sotto il profilo quantitativo e qualitativo e che l’infrastruttura ICT sia ideata in modo da mitigare anche i rischi rilevati da tale analisi” conclude l’autorità di vigilanza.

Seguici sui nostri canali social: Facebook Twitter 

Leggi tutte le nostre notizie cliccando QUI

The following two tabs change content below.

Lascia un commento