IVASS, con lettera al mercato n. 31644 del 14 febbraio 2025, ha comunicato le modalità operative con cui le assicurazioni e gli intermediari assicurativi devono inviare all’Istituto le segnalazioni di gravi incidenti informatici e, su base volontaria, di minacce cyber, ai sensi del Regolamento DORA (Regolamento 2022/2554/UE).
IVASS ricorda, ai fini delle segnalazioni degli incidenti informatici, che il Regolamento DORA definisce grave un incidente che abbia interessato i servizi critici di cui all’art. 6 del DORA stesso, che si concretizzi nell’accesso non autorizzato di sistemi informatici e che comporti il raggiungimento di almeno due delle altre soglie di rilevanza previste.
Gli atti delegati al Regolamento stabiliscono inoltre le tempistiche delle tre fasi della reportistica all’Autorità competente, ovvero:
- una notifica iniziale, entro 24 ore dall’identificazione dell’incidente
- un report intermedio, entro 72 ore dalla notifica iniziale, con possibilità di trasmettere successivi aggiornamenti;
- un report finale, entro un mese dall’invio dell’ultimo aggiornamento del report intermedio.
Infine, l’art. 19 c. 2 del Regolamento DORA prevede che le entità finanziarie, tra cui le assicurazioni, hanno la possibilità di segnalare altresì, su base volontaria, le minacce informatiche ritenute rilevanti per il sistema finanziario, gli utenti dei servizi o i clienti.
Al fine di segnalare i gravi incidenti e di trasmettere le segnalazioni di minacce informatiche rilevanti ai sensi del DORA, IVASS mette a disposizione delle assicurazioni e degli altri soggetti obbligati dei template che dovranno essere compilati secondo le modalità previste dagli atti delegati.
