La Federazione delle associazioni europee di gestione del rischio (FERMA) ha esortato le istituzioni europee a semplificare i requisiti di rendicontazione informatica e a considerare le implicazioni assicurative della legislazione in materia.
La notizia fa seguito alla pubblicazione del rapporto Cyber Reporting Stack – realizzato in collaborazione con WTW – che fornisce ai risk manager una consulenza completa sulla gestione dei requisiti di reporting in un contesto di politiche informatiche sempre più ampio.
Il report include una serie di casi di studio e fornisce indicazioni sul Regolamento generale sulla protezione dei dati (GDPR), sulla Sicurezza delle reti e delle informazioni (NIS), sulla Sicurezza delle reti e delle informazioni (NIS 2), sul Digital Operational Resilience Act (DORA) e sul Cyber Resilience Act (CRA).
“La FERMA ritiene che le aziende abbiano bisogno di una serie di requisiti più snelli e coerenti quando si tratta di segnalare gli incidenti informatici. La rendicontazione dovrebbe aiutare le autorità, le imprese e i cittadini dell’UE a comprendere meglio la minaccia informatica, ma questo funzionerà solo se le aziende potranno fornire informazioni in modo facile, sicuro e protetto”, ha commentato Charlotte Hedemark, Presidente FERMA.
Nell’ambito degli sforzi per ridurre questo onere, il rapporto raccomanda di esplorare il potenziale di un “punto unico di accesso” per la notifica degli incidenti informatici, fornendo inoltre agli Stati membri dell’UE indicazioni su come snellire i processi e gli attori coinvolti.
Philippe Cotelle, presidente del Comitato Digitale della FERMA, ha aggiunto: “Siamo perfettamente consapevoli del fatto che, sebbene la gestione del rischio svolga un ruolo fondamentale nella costruzione della resilienza e nel recupero dagli attacchi informatici, non esistono regolamenti che forniscano specifiche tecniche sulle misure di gestione del rischio che le organizzazioni dovrebbero adottare, né ne esistono che considerino le implicazioni assicurative”.
Nel condurre una valutazione d’impatto, il rapporto esorta la Commissione europea a considerare le implicazioni assicurative e di trasferimento del rischio della futura legislazione europea in materia di cyber.
“La gestione dei rischi informatici è fondamentale per ogni azienda che prende molto sul serio la riservatezza dei dati dei propri clienti e la sicurezza della propria rete. Le regole e i requisiti per la segnalazione degli incidenti informatici oggetto di questo whitepaper trattano questioni trasversali e devono quindi essere affrontate dalle organizzazioni di conseguenza. Il ruolo del risk manager è fondamentale per garantire che tutti i rischi siano stati correttamente identificati e che siano state adottate le migliori strategie di mitigazione”, ha detto Laure Zicry, responsabile di FINEX Cyber, Europa occidentale, WTW.