Osservatorio normativo EY

Transcript

1 Osservatorio normativo EY IVASS - Documento in consultazione n. 2/ Schema di Regolamento IVASS recante disposizioni in materia di Cyber Security

2 IVASS - Documento in consultazione n. 2/ Schema di Regolamento IVASS recante disposizioni in materia di Cyber Security Documento di Consultazione n.2/2017 Cyber Security Il 19 luglio 2017 l IVASS ha emesso il Documento di Consultazione n. 2 / 2017 che contiene lo schema di Regolamento recante disposizioni in materia di sistema di governo societario dell impresa e del gruppo, nonché il recepimento delle Linee Guida emanate da EIOPA sul sistema di governo societario ai sensi della Direttiva Solvency II. Il Documento si rivolge alle imprese e ai gruppi assicurativi e riassicurativi, alle sedi secondarie di imprese con sede legale in uno stato terzo e alle ultime società controllanti italiane (cfr. Art. 3). Nell ambito del sistema informativo, il Regolamento prevede specifici adempimenti in materia di Cyber Security. In particolare: Integrazione delle tematiche di cyber security all interno del piano strategico sulla tecnologia della informazione e comunicazione (ICT) (già previsto nell ambito del Regolamento 20 ISVAP) nel quale vengano garantiti la protezione delle infrastrutture informatiche e dei dati aziendali Definizione e implementazione di idonee misure di sicurezza per le minacce cyber Valutazione specifica del rischio cyber su funzioni, attività e prodotti L entrata in vigore del Documento determinerà l abrogazione del Regolamento ISVAP n. 20/2008 (controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione).

3 Quali sono le principali novità introdotte in ambito Cyber Security? Le principali novità introdotte in ambito Cyber Security dal Documento e riferite sia ad imprese che ai gruppi sono sintetizzate di seguito per argomento: Piano Strategico sulla tecnologia della informazione e comunicazione (ICT) 1 Rafforzamento delle capacità per la tempestiva rilevazione e l adeguata gestione degli incidenti di sicurezza informatica Processi per il rafforzamento delle misure di sicurezza sulla base delle informazioni relative a eventi interni/esterni e all evoluzione delle minacce Pianificazione di specifiche attività per verificare l efficacia dei presidi di sicurezza implementati (e.g. esercizi di simulazione) Misure di sicurezza 2 Regolamentazione e controllo degli accessi ai diversi ambienti di sviluppo e produzione Procedure per garantire la continuità dei processi (Business Continuity e Disaster Recovery) Comunicazione tempestiva all IVASS di gravi incidenti di sicurezza informatica IT Risk Management 3 Valutazione del rischio derivante dall utilizzo indebito dei dati o dal mancato/non adeguato funzionamento del sistema informativo La valutazione deve essere effettuata su funzioni, attività, prodotti e servizi, incluse le interconnessioni e dipendenze da terze parti Il processo di IT Risk Management deve consentire l individuazione di opportune misure per mantenere i rischi al di sotto della soglia di tolleranza definita Per confermare l attenzione sull ambito Cyber Security, il 29 Dicembre 2017 IVASS ha pubblicato la Lettera al Mercato, indirizzata agli intermediari. Tale Lettera riprende i contenuti previsti dal Documento in Consultazione e riporta ulteriori indicazioni, in tema di: Verifica semestrale sul rispetto delle policy di Cyber Security, anche con l eventuale ricorso a consulenti esterni Ricorso allo strumento assicurativo per la mitigazione del rischio cyber (Cyber Insurance) Attività di formazione per l accrescimento delle conoscenze in ambito Cyber Security, da parte degli intermediari, collaboratori e dipendenti

4 Quali sono i prossimi passi? Effettuare un assessment tra le soluzioni attualmente adottate dall organizzazione e i requisiti previsti dal Documento, sia da un punto di vista organizzativo (e.g. piano strategico, processi di cyber security) che tecnico Verificare l efficacia dei presidi di sicurezza in essere anche attraverso l adozione di specifici esercizi di simulazione Aggiornare il piano strategico introducendo gli aspetti di Cyber Security previsti dal Documento Definire un piano di intervento per l adeguamento alle nuove disposizioni normative Che supporto può dare EY? EY grazie alla consolidata esperienza nell ambito di progetti di adeguamento alle disposizioni normative ed in particolare in materia di Cyber Security e IT Risk Management (e.g. Circolare n 285 di Banca d Italia) si pone come partner di riferimento per supportare le imprese all adeguamento. La nostra assistenza consente di effettuare in prima istanza le seguenti attività: Esaminare criticamente le disposizioni normative e gli attuali modelli di Cyber Security, identificando e pianificando possibili azioni correttive e aree di miglioramento, anche sulla base dei principali standard di Cyber Security (e.g. NIST, ISO 270XX) Supportare l adozione delle misure previste dal Regolamento, in particolare nella revisione del piano strategico ICT e dei processi di Incident Management e IT Risk Supportare l esecuzione degli esercizi di simulazione previsti dal Documento, attraverso tecniche di Red Teaming e Incident Simulation. Che cosa è il Red Team Test? Il Red Team Test è un servizio innovativo che, simulando in tutti i suoi aspetti un attacco di Cyber-crime, mira ad individuare le aree di vulnerabilità. Oltre agli aspetti tecnici, vengono considerati quelli comportamentali (e.g. rispetto delle norme di sicurezza da parte del personale) e di processo (e.g. gestione delle crisi). Tutte le attività sono pianificate e svolte dal team EY nel rispetto degli accordi presi col cliente. Cosa sono gli esercizi di Incident Simulation? Gli esercizi di Incident Simulation simulano una situazione di attacco cyber, mettendo alla prova sia l efficacia dei processi definiti che la capacità del team di affrontare la situazione critica (ad esempio la capacità di cooperazione). Le lesson learnt vengono sfruttate per migliorare il processo in atto, incrementandone resilienza ed affidabilità.

5 Contatti Fabio Colombo PARTNER (Advisory ICT & Cyber Security) (+39) Donatella Laudati PARTNER (Advisory ICT & Cyber Security) (+39) EY Assurance Tax Transactions Advisory EY è leader mondiale nei servizi professionali di revisione e organizzazione contabile, assistenza fiscale e legale, transaction e consulenza. La nostra conoscenza e la qualità dei nostri servizi contribuiscono a costruire la fiducia nei mercati finanziari e nelle economie di tutto il mondo. I nostri professionisti si distinguono per la loro capacità di lavorare insieme per assistere i nostri stakeholder al raggiungimento dei loro obiettivi. Così facendo, svolgiamo un ruolo fondamentale nel costruire un mondo professionale migliore per le nostre persone, i nostri clienti e la comunità in cui operiamo. EY indica l organizzazione globale di cui fanno parte le Member Firm di Ernst & Young Global Limited, ciascuna delle quali è un entità legale autonoma. Ernst & Young Global Limited, una Private Company Limited by Guarantee di diritto inglese, non presta servizi ai clienti. Per maggiori informazioni sulla nostra organizzazione visita ey.com EY Financial-Business Advisors S.p.A. All Rights Reserved. ED None Questa pubblicazione contiene informazioni di sintesi ed è pertanto esclusivamente intesa a scopo orientativo; non intende essere sostitutiva di un approfondimento dettagliato o di una valutazione professionale. EYGM Limited o le altre member firm dell organizzazione globale EY non assumono alcuna responsabilità per le perdite causate a chiunque in conseguenza di azioni od omissioni intraprese sulla base delle informazioni contenute nella presente pubblicazione. Per qualsiasi questione di carattere specifico, è opportuno consultarsi con un professionista competente della materia. ey.com/it