LE INDICAZIONI OPERATIVE DELL’IVASS PER CONFORMARSI AL REGOLAMENTO DORA

L’IVASS, l’Autorità di Vigilanza sulle Assicurazioni, ha pubblicato nuove indicazioni operative che stabiliscono come gli operatori vigilati debbano conformarsi al Regolamento DORA (Digital Operational Resilience Act), ormai pienamente applicabile a partire dal 17 gennaio 2025.

 

Per le compagnie assicurative risulta fondamentale rafforzare le procedure di sicurezza informatica, preparare le segnalazioni e assicurarsi di essere pienamente conformi al Regolamento DORA.

 

Con Lettera al mercato del 14 febbraio 2025 IVASS ha precisato come compagnie di assicurazione, riassicurazione e intermediari debbano segnalare gravi incidenti ICT e, su base volontaria, eventuali minacce informatiche rilevanti.

Questi obblighi derivano dall’articolo 19 paragrafo 2 del Regolamenti DORA e si applicano a eventi che colpiscono servizi critici e soddisfano determinati criteri come per esempio accessi non autorizzati con perdita di dati o il superamento di due o più soglie previste dal Regolamento Delegato (UE) 2024/1772.

Le tempistiche di segnalazione sono rigorose:

una prima comunicazione entro 24 ore dall’identificazione dell’incidente, un rapporto intermedio entro 72 ore e un rapporto finale entro un mese dall’ultimo aggiornamento

IVASS ha predisposto modelli standard per la segnalazione, da inviare tramite PEC agli indirizzi:

[email protected] per le compagnie assicurative

[email protected] per gli intermediari di assicurazione, riassicurazione e assicurativi a titolo accessorio

 

L’art. 28 paragrafo 3 del Regolamento DORA prevede poi un nuovo adempimento: le compagnie devono mantenere un Registro delle Informazioni aggiornato con tutti i contratti ICT con fornitori esterni.  Questo strumento consente alle autorità di vigilanza nazionali ed europee di valutare i rischi legati all’outsourcing tecnologico.

Con  Lettera al Mercato del 7 marzo 2025, IVASS ha stabilito che il Registro dovrà essere trasmesso tramite la piattaforma Infostat, entro l’11 aprile 2025, con riferimento ai dati del 31 marzo 2025.

Per accedere a Infostat è necessario essere autorizzati. I soggetti non ancora accreditati devono trasmettere le proprie credenziali via PEC a: [email protected].

 

Il Regolamento DORA impone alle compagnie assicurative di andare oltre la conformità formale. È necessario adottare un solido sistema di #governance interna del #rischio ICT, monitorare costantemente i sistemi, implementare meccanismi di rilevamento e risposta agli incidenti, e mantenere strumenti e #protocolli aggiornati e proporzionati all’attività.

 

Le istruzioni operative di IVASS segnano un passaggio fondamentale verso una resilienza digitale attiva.

Avv. Tiziana Allievi

Partner Head of Workout Management Department

MFLaw Milano

 

 

Il presente documento non costituisce un parere ed è stato redatto ai soli fini informativi dei clienti di MFLaw e dei lettori del Magazine di MFLaw. È proprietà di MFLaw e non può essere divulgato a soggetti differenti dal destinatario, senza una preventiva autorizzazione scritta.