Il settore finanziario europeo sta entrando in una nuova fase di regolamentazione. Nell’ambito di un pacchetto digitale volto a consentire al settore finanziario europeo di sfruttare i vantaggi della tecnologia e dell’innovazione, l’Unione Europea ha introdotto la legge sulla “resilienza operativa digitale” (DORA, Digital Operational Resilience Act), recentemente adottata dal Parlamento Europeo.
La legge è una risposta all’impatto negativo di gravi incidenti legati all’ICT e mira a rafforzare la resilienza operativa digitale del settore finanziario, comprese le compagnie assicurative. Infatti, la sua attuazione in questo settore ha il potenziale per trasformare profondamente il modo in cui gli assicuratori gestiscono e mitigano i rischi informatici.
COME FUNZIONA “DORA”
I pilastri principali del DORA sono i seguenti:
- Gestione del rischio
- Segnalazione degli incidenti
- Test di resilienza operativa digitale
- Gestione del rischio ICT di terzi
- Condivisione di informazioni e intelligence
In sostanza, il DORA ritiene che i gruppi finanziari siano responsabili della sicurezza dei fornitori della tecnologia che impiegano. Questo principio si applica alle terze parti che forniscono servizi ICT critici al settore assicurativo, come i servizi di cloud computing, il software (ad esempio le piattaforme di sottoscrizione per le attività di e-trade), i servizi di analisi dei dati e i data center.
Il Fondo Monetario Internazionale ha osservato che la dipendenza da fornitori terzi di servizi comuni significa che gli attacchi hanno una maggiore probabilità di avere implicazioni sistemiche e potrebbero rendere vulnerabili interi settori, rendendo le perdite molto elevate.
Per questo motivo, DORA pone alcuni requisiti alle aziende del settore, tra cui la segnalazione rapida degli incidenti di cybersecurity, la visibilità delle dipendenze da terzi e la capacità di rispondere alle richieste di audit.
In vista dell’attuazione di DORA tra il 2023 e 2024, la domanda cruciale verte sugli strumenti che adotteranno gli assicuratori per conformarsi al DORA e la posizione dell’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA, la principale istituzione di regolamentazione del settore) sulle soluzioni tecnologiche come parte degli standard tecnici richiesti da DORA.
GLI SCENARI
Da questo punto di vista un’opzione valida è rappresentata dall’adozione del rating del rischio informatico, che valuta in modo oggettivo la postura di un’organizzazione in materia di sicurezza informatica sulla base di vari fattori, tra cui la sicurezza della rete, la protezione dei dati e le capacità di risposta agli incidenti. Anche la gestione del rischio informatico lungo la catena di fornitura digitale è sempre più critica. Secondo una ricerca congiunta di Security Scorecard e del Cyentia Institute, il 98% delle organizzazioni ha rapporti con almeno una terza parte che ha subito una violazione negli ultimi due anni.
Gli assicuratori utilizzano già i rating del rischio informatico per valutare il rischio di un attacco informatico e determinare i prezzi di copertura appropriati. L’utilizzo di questo strumento per gestire il rischio di terzi e conformarsi al DORA sarebbe una logica evoluzione. Adottando i rating del rischio informatico, gli assicuratori possono gestire efficacemente i rischi di terzi e prendere decisioni informate. Considerati i requisiti del DORA, l’adozione del cyber risk rating diventa sempre più importante, in quanto gli assicuratori devono dimostrare la loro capacità di identificare, valutare e gestire i rischi informatici.
Date le implicazioni sistemiche del rischio informatico di terzi, l’EIOPA può introdurre rating obbligatori del rischio informatico sotto forma di standard tecnici, i quali possono fornire linee guida dettagliate sui requisiti ICT e sugli obblighi di reporting, che gli assicuratori devono seguire per adeguarsi al DORA.
Un precedente esiste già con gli standard tecnici dell’Autorità bancaria europea (EBA) per la direttiva sui servizi di pagamento (PSD2), introdotta per migliorare la protezione dei clienti durante le transazioni di pagamento e promuovere l’innovazione commerciale. Ciò è servito a delineare in modo approfondito come gli standard tecnologici di autenticazione debbano essere gestiti rimanendo neutrali dal punto di vista tecnologico.
In una più ampia prospettiva, questa è una tendenza globale: in Francia la nuova legislazione imporrà la valutazione del rischio informatico. Inoltre, la legge francese Cyberscore crea l’obbligo di una certificazione di cybersicurezza per le piattaforme digitali destinate al pubblico ed entrerà in vigore il 1° ottobre 2023. Tale provvedimento può essere considerato un modello per l’EIOPA nel definire i requisiti tecnici del DORA.
Non a caso una ricerca di IBM ha rilevato che una compromissione della catena di fornitura è all’origine di quasi un quinto delle violazioni di dati e che tali compromissioni rendono le violazioni più costose e comportano cicli di vita più lunghi.
Per conoscere in dettaglio la nostra consulenza strategica e i nostri servizi innovativi sulla cyber-security potete iniziare scoprendo la nostra storia di innovazione e assistenza su misura del Cliente consultando la nostra presentazione: link di download
Siamo sempre a vostra disposizione per una valutazione preventiva del rischio della vostra azienda: basta contattarci.
Grazie per l’attenzione!
