WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12


WEBINAR / 16 Gennaio
Value for money: nuova metodologia EIOPA dei benchmark
www.dirittobancario.it
Flash News

Cybersecurity: richiamo di attenzione IVASS sull’integrazione dei rischi digitali

4 Giugno 2021
Di cosa si parla in questo articolo

A seguito dell’emanazione degli Orientamenti EIOPA sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione dello scorso 6 aprile 2021, con lettera al mercato del 3 giugno 2021, l’IVASS ha richiamato l’attenzione dei soggetti vigilati sull’esigenza di integrare il sistema di gestione dei rischi tenendo conto anche delle esposizioni ai rischi in ambito ICT e cyber security, per i quali è richiesta, tra l’altro, sia la determinazione di limiti di tolleranza sia la predisposizione di report periodici all’Organo amministrativo, quale responsabile dell’istituzione e dell’esito del processo di gestione dei rischi.

Inoltre, nell’ambito del sistema di governance e nel rispetto del principio di proporzionalità, è prevista l’istituzione di una Funzione, caratterizzata da indipendenza e obiettività, dedicata alla sicurezza informatica il cui responsabile riferisce all’Organo amministrativo.

L’indipendenza e l’obiettività sarà assicurata con la separazione dai processi operativi e di sviluppo delle ICT. Alla Funzione sono attribuiti compiti di assistenza e reporting all’Organo amministrativo oltre che di monitoraggio e coordinamento delle attività in materia di sicurezza informatica (orientamento n. 7). La Funzione non è da annoverare tra le funzioni fondamentali, come definite dalla regolamentazione Solvency II, in quanto non menzionata negli articoli 268 e seguenti del regolamento delegato.

Nell’ambito dei sistemi ICT, è previsto che sia istituito e attuato un processo di change management affinché i cambiamenti introdotti siano censiti, valutati, autorizzati e attuati in modo controllato. È altresì richiesto che siano tracciati anche i cambiamenti sopravvenuti per cause urgenti o di emergenza (oggetto di un’analisi del rischio ex post) e che sia stabilito se i cambiamenti al contesto operativo abbiano un impatto sulle misure di sicurezza adottate o comportino l’adozione di ulteriori misure per mitigarne i rischi (Orientamento n. 18).

Infine, nell’ambito di una sana gestione della continuità operativa, in relazione alla quale il Regolamento n. 38/2018 (Regolamento IVASS recante disposizioni in materia di sistema di governo societario) prevede la predisposizione di un piano (art. 16, comma 2 lettera e), è richiesto che una analisi di impatto valuti l’esposizione a gravi interruzioni dell’attività e il loro potenziale impatto sotto il profilo quantitativo e qualitativo e che l’infrastruttura ICT sia ideata in modo da mitigare anche i rischi rilevati da tale analisi (Orientamento n. 20).

Di cosa si parla in questo articolo

WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter