AUTORE
Avv. Elena Balloch
Nel contesto del convegno “La resilienza cibernetica del sistema finanziario italiano: il ruolo dei test TIBER-IT” del 13 ottobre 2022, organizzato dalla Banca d’Italia, il Consigliere IVASS De Polis è intervenuto sul tema dei test di cyber-sicurezza e della loro importanza per il sistema assicurativo italiano.
L’Autorità, consapevole della complessità dei sistemi informatici, pone l’accento sulla necessità da parte dei vertici e dell’organizzazione aziendale di conoscere i livelli di sicurezza e gli ambiti di vulnerabilità nell’impresa, nonché della capacità di prevenire e implementare processi in grado di gestire incidenti cyber, intrusioni nei sistemi e attacchi diretti alla sospensione dell’operatività.
Il Consigliere De Polis illustra, infatti, che nonostante i miglioramenti riscontrati, permangono aree di criticità, con particolare riferimento ai processi di governance, alla gestione degli incidenti e alla verifica di efficacia dei presidi e anticipa che il Regolamento europeo DORA, di prossima emanazione, disciplinerà, tra le varie cose:
- la conduzione, per i maggiori operatori, di test sulla digital operational resilience richiamando esplicitamente la metodologia TIBER;
- un regime di sorveglianza dei fornitori e delle terze parti critiche nell’ambito dei servizi ICT.
Nel complesso emerge che l’IVASS auspica fortemente che le imprese assicurative siano pienamente consapevoli della necessità di condurre test avanzati sulla sicurezza cyber (indicando la metodologia TIBER contestualizzata al mercato italiano quale metodologia di riferimento per accrescere la resilienza cibernetica, la capacità di difesa proattiva e l’efficacia dei sistemi di protezione) e che, nelle more dell’entrata in vigore del Regolamento DORA, le medesime, su base volontaria, mettano in atto attività di test commisurate alla rilevanza e complessità degli scenari di rischio individuali.