AUTORE
Avv. Stefano Petrussi
Il 10 novembre scorso è stato approvato dal Parlamento UE in prima lettura il testo della proposta di regolamento DORA (“Digital Operational Resilience Act”) sulla resilienza operativa digitale che impatterà radicalmente sugli operatori del settore finanziario e assicurativo.
Chi sono i soggetti destinatari nel comparto assicurativo?
Le compagnie di assicurazione (fatta eccezione per quelle di cui all’art. 4 della direttiva 2009/138/UE) e gli intermediari assicurativi (anche a titolo accessorio) esclusi coloro che sono microimprese o piccole o medie imprese.
Quali sono le novità?
DORA introduce specifichi obblighi di gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC), di segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e di test di resilienza operativa digitale. Tali obblighi scatteranno entro 24 mesi dalla data di entrata in vigore del Regolamento, la cui pubblicazione è prevista per la fine del 2022.
Sul tema, è interessante notare come con DORA (il quale riprende numerosi principi e concetti presenti nel GDPR, come l’“accountability”, il “livello di sicurezza adeguato al rischio” e i processi di segnalazione delle violazioni) diventerà essenziale per gli operatori del settore assicurativo, da un lato, introdurre specifiche misure tecniche ed organizzative per la prevenzione dei rischi cyber/ICT e, dall’altro, disporre di una solida governance e di procedure di reporting e segnalazione degli incidenti (“resilienza digitale by design”).
.