Regolamento DORA e direttiva NIS 2: nuove regole per la cybersecurity e la polizza D&O

 In polizza D&O
-
0

La crescente complessità del panorama normativo europeo impone un cambio di passo nella governance aziendale, con un impatto diretto sulle polizze Directors & Officers (D&O) e Cyber Insurance. L’entrata in vigore del Regolamento DORA (UE 2022/2554) e della Direttiva NIS 2 (UE 2022/2555, recepita in Italia con il D.lgs. 138/2024) ridefinisce le responsabilità dei dirigenti, imponendo obblighi più stringenti in materia di sicurezza informatica e gestione del rischio digitale.

Più responsabilità per i dirigenti

Le nuove normative non si limitano a rafforzare gli standard di cybersecurity, ma introducono una responsabilità diretta per i vertici aziendali. I dirigenti non rispondono più solo delle decisioni finanziarie e operative, ma anche della protezione dei dati, della resilienza digitale e dell’adozione di misure di prevenzione contro i cyber attacchi.

Regolamento DORA: chi deve rispettarlo?

Il Regolamento DORA si applica a una vasta gamma di entità finanziarie che operano all’interno dell’Unione Europea. Queste includono:

  • Banche: Tutte le istituzioni creditizie soggette alla Direttiva sui Requisiti di Capitale (CRD IV).
  • Imprese di investimento: Società che forniscono servizi di investimento ai clienti, comprese quelle regolamentate dalla MiFID II.
  • Compagnie di assicurazione e riassicurazione: Incluse le imprese che operano nel ramo vita e danni.
  • Istituti di pagamento e istituti di moneta elettronica: Regolamentati dalla Direttiva sui Servizi di Pagamento (PSD2).
  • Fondi di investimento: Compresi gli OICVM e i FIA (Fondi di Investimento Alternativi).
  • Società di gestione del risparmio: Che gestiscono fondi per conto di investitori.
  • Infrastrutture di mercato finanziario: Come le controparti centrali, i depositari centrali di titoli e i gestori di mercati regolamentati.

Oltre alle entità finanziarie tradizionali, il regolamento estende la sua applicazione ai fornitori terzi di servizi ICT critici, come:

  • Fornitori di servizi cloud: Che offrono infrastrutture, piattaforme o software come servizio.
  • Fornitori di servizi di analisi dei dati: Che gestiscono o elaborano dati finanziari sensibili.
  • Fornitori di servizi di rete e comunicazione: Che garantiscono la connettività e la sicurezza delle comunicazioni.
  • Altri fornitori di servizi ICT: Che forniscono software, hardware o servizi correlati essenziali per le operazioni finanziarie.

Cosa stabilisce il regolamento DORA e le relative sanzioni

Il regolamento DORA, ad esempio, stabilisce che gli amministratori delle entità finanziarie (banche, assicurazioni, società di investimento, servizi ITC) siano direttamente responsabili della gestione del rischio ICT. L’articolo 11 del regolamento impone l’integrazione della cybersecurity nella governance aziendale, mentre l’articolo 5 attribuisce al board la responsabilità finale nella gestione del rischio informatico.
Le sanzioni sono ingenti: le istituzioni finanziarie non conformi possono incorrere in multe fino a 10 milioni di euro o al 5% del loro fatturato annuo totale.

Direttiva NIS 2: nuovi settori coinvolti

La Direttiva NIS 2 amplia ulteriormente il perimetro delle imprese obbligate a conformarsi a standard più elevati, La direttiva è rivolta ai seguenti 18 settori essenziali:

  • Energia (elettricità, petrolio, acqua, idrogeno)
  • Salute (ospedali, laboratori, ricerca e sviluppo, prodotti farmaceutici, produttori di dispositivi medici)
  • Trasporti (aerei, ferroviari, di navigazione, su strada)
  • Banche e finanza
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali (IXP, fornitori di servizi, datacenter, CDN, TSP, fornitori di sistemi di comunicazioni elettroniche)
  • Gestione dei servizi ICT in modalità B2B
  • Spazio
  • Pubblica amministrazione (governo centrale, governi regionali)

Settori importanti

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Prodotti chimici
  • Prodotti alimentari
  • Industrie di trasformazione/produzione
  • Servizi digitali (mercati online, motori di ricerca, social network)
  • Ricerca

Cosa stabilisce NIS2 e le relative sanzioni

Parallelamente, la direttiva NIS 2 amplia il perimetro delle imprese obbligate a conformarsi a standard di sicurezza più elevati, includendo settori critici come sanità, trasporti, energia e telecomunicazioni. Gli amministratori devono non solo supervisionare le strategie di cybersecurity (articolo 20), ma anche garantire che gli incidenti vengano segnalati tempestivamente, con tempi rigidi per la notifica (entro 24 ore dall’identificazione, report intermedio entro 72 ore e relazione finale entro un mese).
Le sanzioni possono arrivare fino a cinque milioni di euro o il 10% del fatturato globale, oltre che alla temporanea interdizione dei dirigenti responsabili.

Impatti sulle Polizze D&O

Questo nuovo contesto normativo incide direttamente sulle coperture assicurative per i dirigenti. Le tradizionali polizze D&O, nate per proteggere il board da responsabilità legali legate alla gestione dell’impresa, sono chiamate ad includere nuove garanzie legate ai rischi informatici.
Le compagnie assicurative si sono adeguate introducendo nelle loro offerte:

  • Estensioni di copertura per failure to prevent risk e data breach.
  • Maggior attenzione alle spese legali e ai costi di compliance in caso di sanzioni regolatorie.
  • Esclusioni più chiare per atti intenzionali, come la mancata segnalazione di un attacco informatico per evitare danni reputazionali.

L’introduzione di parametri di valutazione della compliance cyber potrebbe diventare un requisito per l’accesso alle polizze, con obblighi di cyber security risk assessment e di continuità operativa.

Cyber Insurance e D&O: verso un’integrazione

L’evoluzione normativa richiede una maggiore sinergia tra le coperture D&O e le polizze Cyber Insurance.
Le soluzioni assicurative più avanzate offrono garanzie finanziarie per eventi critici come l’interruzione dei sistemi IT a causa di attacchi informatici o failure dei fornitori di servizi digitali.
E’ richiesto un cambiamento strategico per le aziende che devono ripensare la gestione del rischio ed affidarsi ad esperti nel settore assicurativo in grado di trovare le polizze più idonee e con le coperture adeguate per garantire una protezione efficace.

Come scegliere la migliore polizza D&O a copertura dei nuovi rischi

Rivolgersi ad esperti del settore assicurativo per la scelta di una polizza D&O è indubbiamente una buona scelta. Rivolgersi a un broker, che come BIG è da oltre 20 anni nel settore, è una decisione ottima, in quanto strategica per diverse ragioni:

  • Consulenza Specializzata e Personalizzata. BIG ha una conoscenza approfondita del mercato assicurativo e delle normative di riferimento, inclusi DORA e NIS 2. Questo ci permette di individuare la polizza più adatta in base al settore, alle dimensioni dell’azienda e al livello di esposizione al rischio del management.
  • Accesso a Soluzioni Assicurative Personalizzate. A differenza delle polizze standard proposte direttamente dalle compagnie, BIG Insurance Brokers negozia condizioni contrattuali su misura, includendo coperture specifiche come:
    • Estensioni per failure to prevent risk e data breach
    • Copertura delle spese legali per contestazioni regolatorie
    • Maggiore protezione per interdizioni temporanee e sanzion
  • Maggiore Potere di Contrattazione. Grazie nostri decennali rapporti con le principali compagnie, riusciamo a ottenere condizioni economiche più vantaggiose e più flessibili rispetto a un acquisto diretto, garantendo:
    • Supporto nella Gestione dei Sinistri. In caso di richiesta di risarcimento, il broker funge da intermediario tra l’azienda e la compagnia assicurativa, facilitando il processo di liquidazione e garantendo il massimo livello di tutela per i dirigenti.
    • Monitoraggio Continuo della Compliance. Con l’evoluzione normativa, un broker assicura che la polizza D&O resti sempre conforme ai nuovi requisiti, aggiornando periodicamente le coperture in base ai cambiamenti normativi.

BIG non si limita a vendere una polizza, ma diventa un partner strategico per la protezione del top management, contribuendo alla resilienza aziendale. Chiamaci ora per ottenere una consulenza gratuita e un preventivo su misura, compila il contact form e sarai ricontattato.

Recent Posts