Il regolamento NIS2(Network and Information Security Directive 2) è stato approvato dall’Unione Europea. Il suo obiettivo principale è rafforzare la resilienza informatica delle infrastrutture
critiche e migliorare la sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea.
L’industria assicurativa, sarà chiamata a rispondere alle nuove normative in modi complessi e sfidanti. Cerchiamo di capire quali.
La direttiva NIS2 mira a migliorare la sicurezza informatica:
- Ampliamento dell’ambito di applicazione: NIS2 si applica a un numero maggiore di settori, tra cui quello dell’energia, delle telecomunicazioni, della sanità, delle infrastrutture finanziarie, e molti altri.
- Rafforzamento degli obblighi di sicurezza: Le aziende sono tenute a implementare misure di sicurezza più stringenti e a garantire una gestione efficace dei rischi.
- Maggior trasparenza e reporting: Viene introdotto l’obbligo di segnalare incidenti significativi alle autorità competenti entro 24 ore.
- Sanzioni più severe: Le organizzazioni non conformi alle nuove disposizioni rischiano multe che possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale.
L’impatto su settore assicurativo, che si trova a dover rispondere a un contesto di rischio informatico in rapido mutamento. In particolare, emergono tre punti cruciali:
- Aumento della domanda di Cyber Insurance.
- Nuove tipologie di rischio.
- Gestione delle esposizioni legali e normative.
1. Aumento della Domanda di Cyber Insurance
Uno degli effetti più evidenti di NIS2 sarà l’aumento della domanda di polizze cyber. La crescente consapevolezza sui rischi informatici, unita all’introduzione di regolamenti più stringenti,
spinge le aziende a cercare coperture assicurative per mitigare i rischi associati a un attacco informatico.
- Copertura delle sanzioni: Le sanzioni previste da NIS2 possono essere particolarmente pesanti, e molte aziende si rivolgeranno al settore assicurativo per ottenere coperture che includano i costi legali e le multe imposte per la non conformità.
- Gestione delle violazioni dei dati: Le organizzazioni dovranno investire di più in sistemi di risposta rapida agli incidenti e in piani di disaster recovery, aumentando la richiesta
- di polizze che coprano i costi di ripristino, indagine e protezione legale.
Tuttavia, l’aumento della domanda di cyber insurance comporta anche una maggiore esposizione per le compagnie assicurative. Per gestire adeguatamente il rischio, queste dovranno
introdurre nuove metriche di valutazione per stimare i costi e i potenziali danni derivanti da attacchi informatici. Questo potrebbe portare a una ristrutturazione delle polizze esistenti e
alla creazione di prodotti assicurativi più specifici e personalizzati per il mercato europeo.
2. Nuove tipologie di rischio
L’ampliamento dei settori interessati dalla normativa comportano anche una nuova gamma di rischi informatici. Settori precedentemente meno regolamentati, come i fornitori di servizi
digitali o le piccole e medie imprese, si troveranno ora sotto la lente della normativa, aumentando la complessità del rischio per il comparto assicurativo.
Le assicurazioni dovranno adattarsi a coprire nuovi scenari di rischio, tra cui:
- Attacchi alle infrastrutture critiche: le infrastrutture critiche saranno maggiormente esposte a sanzioni severe e alla necessità di garantire una continuità operativa anche in caso di attacchi. Le assicurazioni dovranno fornire coperture per incidenti su vasta scala, come attacchi a sistemi sanitari, energetici o di trasporto.
- Incidenti legati a terze parti: Il rapporto con i fornitori di terze parti sarà sempre più centrale, e le aziende dovranno garantire che anche i loro partner rispettino gli standard
- di sicurezza imposti da NIS2. Le polizze dovranno adattarsi per coprire rischi legati a violazioni o incidenti causati da fornitori esterni.
3. Esposizioni Legali e Normative
NIS2 impone un sistema di sanzioni che può diventare un terreno fertile per contenziosi e richieste di risarcimento. Le assicurazioni si troveranno quindi a dover coprire costi legati non
solo al ripristino e alla protezione dei dati, ma anche ai contenziosi legali tra le aziende e i loro clienti o partner.
Le organizzazioni non conformi rischiano pesanti sanzioni da parte delle autorità di regolamentazione, e molte aziende si troveranno costrette a stipulare polizze per coprire i rischi legati
a procedimenti legali. Tuttavia, le compagnie assicurative dovranno valutare attentamente le loro esposizioni, poiché un aumento di contenziosi legati alla cybersecurity potrebbe mettere
sotto pressione l’intero comparto.
Pro:
- Aumento della domanda: L’introduzione di NIS2 stimolerà un’espansione del mercato delle cyber insurance, poiché le aziende saranno spinte a stipulare polizze per proteggersi dai nuovi obblighi legali.
- Miglioramento della cultura della sicurezza: Con NIS2, le aziende dovranno migliorare le proprie pratiche di cybersecurity. Questo potrebbe portare a una riduzione del
- numero di incidenti informatici, rendendo più facile la gestione del rischio per le compagnie assicurative.
- Innovazione nei prodotti assicurativi: Le compagnie potranno sviluppare nuovi prodotti, specializzati e più mirati, per coprire specifici settori o rischi legati alla conformità
- normativa.
Contro:
- Aumento dei costi di copertura: Con l’aumento dei rischi informatici e le sanzioni più severe imposte da NIS2, le assicurazioni potrebbero trovarsi a dover coprire costi molto più alti in caso di violazione, il che potrebbe tradursi in premi più elevati.
- Rischio di Sinistri Multipli: Poiché NIS2 si applica a una vasta gamma di settori, le compagnie assicurative potrebbero trovarsi esposte a sinistri multipli derivanti dallo stesso attacco o dalla stessa vulnerabilità.
- Maggiore complessità normativa: La gestione delle esposizioni legali e normative diventerà più complessa, aumentando la press ione sulle assicurazioni per mantenere la
- conformità e rispondere rapidamente alle richieste di risarcimento.
Per avere successo in questo nuovo panorama, le assicurazioni dovranno collaborare strettamente con le aziende per migliorare la cultura della sicurezza e fornire soluzioni che non solo
rispondano alle esigenze regolamentari, ma che proteggano anche dai rischi informatici emergenti.