IVASS ha reso note – con la lettera al mercato del 14 febbraio – le modalità operative con cui le imprese assicurative e gli intermediari di assicurazione, di riassicurazione e assicurativi a titolo accessorio di maggiore dimensione sono tenuti a inviare tempestivamente all’Istituto le segnalazioni di grave incidente informatico e, su base volontaria, di minacce cyber ai sensi del Regolamento europeo DORA.
Tale Regolamento, applicabile dal 17 gennaio 2025, ha l’obiettivo di conseguire l’adeguata resilienza degli operatori e del sistema finanziario europeo, individuando, tra l’altro, misure per la prevenzione, la risposta e la ripresa delle operazioni in caso di attacco o incidente.
Per grave incidente informatico si intende un incidente che abbia interessato i servizi critici di cui all’art. 6 e che soddisfi una delle seguenti condizioni:
a) i sistemi informatici siano stati oggetto di accessi non autorizzati come descritto
all’art. 9, paragrafo 5, lettera b);
b) siano state raggiunte almeno due delle altre soglie di rilevanza definite nell’art. 9
paragrafi da 1 a 6.
L’Authority ha predisposto dei template (in calce il link) che dovranno essere compilati secondo le modalità previste dagli Atti delegati. Le segnalazioni sugli incidenti andranno trasmesse all’IVASS via PEC secondo queste tempistiche:
1) una notifica iniziale, al più tardi entro 24 ore dall’identificazione dell’incidente;
2) un report intermedio, entro 72 ore dalla notifica iniziale, con possibilità di trasmettere successivi aggiornamenti;
3) un report finale, entro un mese dall’invio dell’ultimo aggiornamento del report
intermedio.
Inoltre il Regolamento DORA (art. 19, comma 2) prevede che le entità finanziarie possano segnalare all’Autorità competente, su base volontaria, le minacce informatiche ritenute rilevanti per il sistema finanziario, gli utenti dei servizi o i clienti.