Direttiva NIS e Assicurazioni. Analogamente al GDPR, anche la Direttiva Europea NIS sulla Cyber Security punta ad un approccio basato sulla gestione e mitigazione del rischio, l’autodenuncia di incidenti e infine alle sanzioni.
L’autodenuncia nella Direttiva NIS
A partire dalla lettura di un post su Cybersecurity360 sulla Direttiva NIS, ecco alcuni punti di contatto, a nostro avviso interessanti, tra questo provvedimento europeo e le soluzioni assicurative a tutela dal rischio digitale.
<<.. “autodenunciarsi” non deve essere un rischio ma un’opportunità di difesa.>>
Perfettamente d’accordo. La conoscenza può produrre consapevolezza e migliorare la capacità decisionale nelle imprese. Dal punto di vista assicurativo, l’aumento della base statistica può avere importanti ricadute sulla appropriatezza delle soluzioni assicurative che si occupano di danni e costi derivati da ICT disruption, rendendole più vicine alla realtà delle problematiche aziendali.
Nella Direttiva NIS la parola d’ordine è risk management
Le aziende OSE (Operatori di servizi essenziali) e FSD (Fornitori di Servizi Digitali*) dovranno orientarsi con maggior decisione verso l’adozione di
- misure tecniche e organizzative adeguate alla gestione dei rischi
- misure di prevenzione e mitigazione dell’impatto di incidenti di sicurezza delle reti e sistemi informatici
Prerequisiti importanti anche sul fronte assicurativo. Infatti permettono di disegnare meglio il profilo di rischio, configurano le aziende come meno esposte a sinistri di magnitudo importante, le rendono “più assicurabili” e meglio.
Stiamo parlando delle cosiddette Polizze Cyber e dei danni e costi diretti e indiretti che ci permettono di coprire.
Direttiva NIS e Cyber Risk: gestire, mitigare, … e trasferire?
Oltre alle conseguenze di un sinistro ICT che le aziende OSE e le FSD dovessero subire come tutte le altre aziende, la Direttiva NIS prevede la notifica e la sanzione, che hanno impatti importanti, come si è già ampiamente discusso per il GDPR.
Fermo restando che non tutte le aziende classificabili OSE e FSD hanno l’obbligo di notifica e che bisogna anche valutare incidente per incidente se scatta l’obbligo, si profilano due aspetti critici che si possono affrontare assicurativamente:
a) Impatto organizzativo ed economico della notifica
<<L’aspetto che tuttavia preoccupa è il numero di comunicazioni, obbligatorie o facoltative, che potrebbe essere necessario effettuare in caso di incidente di sicurezza: all’interessato e al Garante privacy (in caso di data breach), al CSIRT, all’Organismo di vigilanza, al management aziendale e in alcuni contesti alla Banca d’Italia e alla BCE.>>
Una buona polizza di assicurazione Cyber rifonde i costi di notifica e i costi collegati al maggior lavoro, agli straordinari di dipendenti o ai i costi derivati dall’assunzione temporanea di personale per far fronte all’attività connessa. Oltre alla consulenza legale e reputazionale.
b) Il contraccolpo economico e reputazionale della Sanzione
La sanzione economica è prevista dalla Direttiva NIS in caso di obbligo di notifica a cui l’azienda non dovesse aver ottemperato. Fino a 150.000 euro per gli OSE e fino a 125.000 euro per gli FSD. Naturalmente non c’è polizza assicurativa, e dunque neanche Polizza Cyber, che rifonda l’azienda di una sanzione economica comminata per violazioni di legge.
Ma, c’è un ma: se correttamente assicurata, l’azienda sanzionata può
- vedersi rifondere i costi legali generati
- supportare la disclousure finanziando consulenza reputazionale
- in caso di responsabilità di terzi, tramite l’assicurazione esercitare il suo diritto di rivalsa.
Un caso tipico è quello di un incidente ICT causato dal fornitore dell’azienda colpita. Questa potrà ritenere responsabile del fatto e degli effetti a cascata – sanzione compresa – il suo fornitore ICT, che risponderà in solido, a meno di non avere una efficace Polizza di responsabilità Civile Professionale per le attività informatiche e di telecomunicazioni. Questa può permettergli di sopravvivere a questo contraccolpo economico oltre che abbreviare i tempi di risoluzione del contenzioso.
Il progetto CyR nato nel 2015 è sempre più attuale!
In conclusione, come il GDPR, così la nuova Direttiva NIS non impongono scelte assicurative, ma prevedendo un percorso di governance del dato e della sicurezza, costituiscono uno stimolo e una migliore base di partenza a fare anche in questo ambito scelte ponderate e di qualità. Completa il tuo percorso di cyber risk management, scegliendo la nostra proposta personalizzabile; scegli Margas e il Progetto CyR oppure
