A seguito dell’emanazione degli Orientamenti EIOPA sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione dello scorso 6 aprile 2021, con lettera al mercato del 3 giugno 2021, l’IVASS ha richiamato l’attenzione dei soggetti vigilati sull’esigenza di integrare il sistema di gestione dei rischi tenendo conto anche delle esposizioni ai rischi in ambito ICT e cyber security, per i quali è richiesta, tra l’altro, sia la determinazione di limiti di tolleranza sia la predisposizione di report periodici all’Organo amministrativo, quale responsabile dell’istituzione e dell’esito del processo di gestione dei rischi.
Inoltre, nell’ambito del sistema di governance e nel rispetto del principio di proporzionalità, è prevista l’istituzione di una Funzione, caratterizzata da indipendenza e obiettività, dedicata alla sicurezza informatica il cui responsabile riferisce all’Organo amministrativo.
L’indipendenza e l’obiettività sarà assicurata con la separazione dai processi operativi e di sviluppo delle ICT. Alla Funzione sono attribuiti compiti di assistenza e reporting all’Organo amministrativo oltre che di monitoraggio e coordinamento delle attività in materia di sicurezza informatica (orientamento n. 7). La Funzione non è da annoverare tra le funzioni fondamentali, come definite dalla regolamentazione Solvency II, in quanto non menzionata negli articoli 268 e seguenti del regolamento delegato.
Nell’ambito dei sistemi ICT, è previsto che sia istituito e attuato un processo di change management affinché i cambiamenti introdotti siano censiti, valutati, autorizzati e attuati in modo controllato. È altresì richiesto che siano tracciati anche i cambiamenti sopravvenuti per cause urgenti o di emergenza (oggetto di un’analisi del rischio ex post) e che sia stabilito se i cambiamenti al contesto operativo abbiano un impatto sulle misure di sicurezza adottate o comportino l’adozione di ulteriori misure per mitigarne i rischi (Orientamento n. 18).
Infine, nell’ambito di una sana gestione della continuità operativa, in relazione alla quale il Regolamento n. 38/2018 (Regolamento IVASS recante disposizioni in materia di sistema di governo societario) prevede la predisposizione di un piano (art. 16, comma 2 lettera e), è richiesto che una analisi di impatto valuti l’esposizione a gravi interruzioni dell’attività e il loro potenziale impatto sotto il profilo quantitativo e qualitativo e che l’infrastruttura ICT sia ideata in modo da mitigare anche i rischi rilevati da tale analisi (Orientamento n. 20).