NIS2: gli aspetti assicurativi da non trascurare

9 Giugno 2025 by in Cyber Risk
print
NIS2 e assicurazioni si stringono la manoLa NIS2 non contiene obblighi assicurativi. Ma dove ci sono rischi e responsabilità, specialmente verso terzi, non valutare il rischio residuale di una pur corretta gestione sarebbe miope. Vediamo quali soluzioni ci possono aiutare.

La direttiva NIS2: dalla sicurezza informatica alla governance del rischio

La direttiva europea NIS2 ( 2022/2555) recepita in Italia col D.lgs. 138 del 4 settembre 2024, rappresenta un significativo aggiornamento della normativa sulla sicurezza informatica, sostituendo la direttiva NIS, di cui abbiamo parlato in un precedente post.
>Essa promuove un approccio integrato alla gestione dei rischi informatici, sottolineando l’importanza della cooperazione tra le aziende e le autorità
nazionali attraverso la segnalazione degli incidenti, oltre che promuovendo la sicurezza in catena di fornitura o supply chain. In continuità con lo spirito del GDPR e il suo obiettivo di protezione dei dati, la NIS2 punta in modo inequivocabile su

  • governance, ovvero il controllo e governo del rischio cibernetico aziendale e dunque la consapevolezza della sua centralità a tutti i livelli
  • accountability, ovvero la assunzione di responsabilità, a partire dalle figure apicali e dagli organi di governo delle imprese, nel perseguire la sicurezza del loro ecosistema digitale, la continuità operativa e la formazione.

Non è la sede questa per ripercorrere i dettagli della norma, chi essa riguardi e chi escluda, cosa prescriva e quali siano le sanzioni in caso di inadempienza. Siamo ormai in fase avanzata di applicazione sulla base di una timeline rigorosa e sono innumerevoli gli esperti legali e di cyber-sicurezza che si si sono cimentati con schemi semplificativi e interpretazioni.

Possiamo invece fornire come sempre il nostro particolare punto di vista di broker assicurativi, da anni sul campo dei rischi digitali, sul proficuo rapporto tra assicurazioni e NIS2 per andare oltre alla compliance.

NIS2 e assicurazioni: non solo cyber

Come recita una brochure di Margas realizzata ancora prima del recepimento del GDPR in Italia, la cui attualità viene confermata oggi anche dalla NIS2, per una buona postura assicurativa l’impresa deve preoccuparsi di valutare almeno due strumenti assicurativi dopo aver riletto tutte le polizza esistenti alla luce dei rischi digitali:

  • Polizza Cyber
  • Polizza D&O o per la responsabilità civile degli Amministratori e dei dirigenti (anche de facto).

Se l’azienda è una azienda fornitrice di servizi IT e di cybersecurity, le due polizze citate vanno ad aggiungersi alla polizza chiave di RC Professionale ICT dedicata, anche detta di ICT Professional Indemnity o danni patrimoniali puri.

NIS2 e assicurazione D&O

Proviamo a esaminare i punti di sinergia tra la NIS2 e le assicurazioni D&O nel merito della responsabilità dirigenziale e quali siano le utili tutele che questa storica copertura offre una volta di più.

Ecco i punti chiave di intersezione:

Obblighi di Governance e Responsabilità Dirigenziale

La direttiva NIS2 (come anche il regolamento DORA per il settore finanziario) apporta un cambiamento radicale nell’approccio normativo europeo alla cyber-sicurezza, imponendo ai vertici aziendali obblighi specifici di vigilanza e gestione del rischio digitale. Infatti gli organi di amministrazione e quelli direttivi dei soggetti economici definibili come essenziali e importanti hanno l’obbligo di

  • seguire una formazione in materia di sicurezza informatica e di promuovere una formazione periodica per i dipendenti, al fine di acquisire conoscenze sufficienti per identificare e valutare i rischi;
  • notificare senza ingiustificato ritardo gli incidenti significativi all’Autorità nazionale competente NIS (ACN) e al CSIRT Italia. .
  • informare i destinatari dei servizi sugli incidenti significativi che possono ripercuotersi negativamente sulla fornitura dei servizi;
  • adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi alla sicurezza dei sistemi informativi e di rete.

Il decreto prevede sanzioni amministrative pecuniarie e accessorie per le violazioni degli obblighi. Per i soggetti essenziali, le sanzioni pecuniarie possono arrivare fino a 10.000.000 Euro o il 2% del fatturato annuo globale, mentre per i soggetti importanti fino a 7.000.000 Euro o l’1.4% del fatturato annuo globale.

L’Autorità nazionale competente per la NIS può anche disporre la sospensione temporanea di un certificato o un’autorizzazione relativa ai servizi o attività del soggetto essenziale e i dirigenti possono essere ritenuti responsabili dell’inadempimento.

Quali e quanti danni potremmo calcolare che deriverebbero dalla somma di una violazione informatica, un fermo d’attività e le sanzioni o la sospensione dell’attività?

Perché la D&O è “la” tutela assicurativa dalla violazione degli obblighi di governance

La polizza D&O è uno strumento finanziario a tutela dei membri degli organi di gestione e controllo delle società (Amministratori, Sindaci, Direttori Generali, Dirigenti, Consiglieri). L’obiettivo principale è proteggere il loro patrimonio personale dalle conseguenze di azioni intentate contro di loro per la violazione colposa di obblighi o l’inosservanza di doveri imposti dalla legge o dallo statuto aziendale. Tipicamente le richieste di danni arrivano da parte dei portatori di interesse come la società stessa, i creditori sociali, i soci o altri terzi che hanno subito il danno vedendosi contrarre il fatturato, la reputazione aziendale, il valore delle azioni.

In caso di inadempimento degli obblighi di governance e supervisione previsti dalla NIS2 che sfocino in una richiesta di risarcimento, la polizza può coprire

  • il “Danno” (l’importo che la persona assicurata è legalmente tenuta a versare)
  • le relative “Spese Legali” o “Costi di difesa
  • Anche  le “Spese di Indagine” derivanti da procedimenti avviati da enti amministrativi o di regolamentazione.

Di norma  le assicurazioni non risarciscono multe e sanzioni. 

Qui ulteriori informazioni sulle polizze D&O.

La D&O del prossimo futuro

Sarà utile chiedere al vostro broker di fiducia di monitorare il mercato assicurativo riguardo alle future evoluzioni delle polizze D&O nella direzione di una maggiore aderenza alle normative sul digitale (GDPR e NIS2, ma anche DORA e AI ACT, ecc).  Ci si può attendere una integrazione con garanzie tipiche delle polizze cyber per esempio.

In ogni caso la richiesta da parte di broker assicurativi come Margas di premettere in ottica cyber anche alla polizza D&O  un asset inventory, un cybersecurity risk assessment e piani di continuità operativa  sarà, per chi si vuole ben assicurare, un segnale positivo di attenzione e serietà professionale rispetto a questi rischi.

NIS2 e assicurazione Cyber

Nel contesto dell’obbligo di elevare a uno standard comune il sistema imprenditoriale e pubblico europei, esaminiamo ora punti di sinergia tra la NIS2 e le assicurazioni Cyber.

Quali sono le utili tutele che questa copertura assicurativa può offrire nel caso della probabilità residua alla compliance che un incidente impattante si verifichi?

Il Decreto Legislativo NIS2 è una norma che impone alle organizzazioni di adottare un approccio proattivo alla cyber-sicurezza, sviluppando capacità di prevenzione, gestione e risposta agli incidenti. La polizza assicurativa, invece, è uno strumento di trasferimento o finanziamento del rischio economico-finanziario che copre le conseguenze economiche degli incidenti cyber. Ovviamente non tutte le polizze sono uguali e come abbiamo ribadito in innumerevoli articoli precedenti MASSIMALI, GARANZIE, DEFINIZIONI, LIMITAZIONI ed ESCLUSIONI vanno attentamente valutate alla ricerca di un equilibrio tra proprio profilo di rischio, il massimo danno probabile e l’investimento sostenibile nel premio (quello in sicurezza digitale e governance lo diamo per assodato almeno per i soggetti NIS2).
Esistono diverse macro-tipologie di Polizze Cyber: quelle focalizzate sul Data Breach, quelle focalizzate sul Cyber Crime oppure quelle più omnicomprensive. Queste ultime sono in genere caratterizzate da tre sezioni principali: danni e costi propri, responsabilità civile verso terzi per rispondere a richieste di risarcimento per data breach e fermo d’attività.

I punti chiave di intersezione tra una polizza Cyber e la norma

  1. Gestione degli incidenti – La polizza può coprire e anticipare le spese di incident response,  incluse quelle per investigazioni forensi e consulenza legale per le interazioni con le autorità di regolamentazione, supportando quindi l’adempimento degli obblighi di gestione e analisi degli incidenti previsti dal NIS2.
  2. Notifica – Anche le spese per l’adempimento degli obblighi di notifica ai consumatori e per la gestione della reputazione a seguito di una divulgazione pubblica di un incidente possono essere coperte facilitando così l’esercizio della conformità con gli obblighi di comunicazione della NIS2.
  3. Vulnerabilità e Catena di Approvvigionamento – E’ possibile coprire i danni da sfruttamento di vulnerabilità note, zero-day e nella supply chain, riconoscendo e fornendo protezione contro gli stessi rischi che NIS2 impone alle organizzazioni di gestire.
  4. Formazione e Preparazione – La formazione continuativa in ambito cyber risk awareness può rientrare tra i prerequisiti alla stipula; ci sono contratti che offrono servizi di loss mitigation, come la formazione sul phishing, supportando quindi le iniziative di formazione e sensibilizzazione previste dalla Strategia nazionale di cibersicurezza. 

Punti di divergenza tra una polizza Cyber e la norma

La Direttiva NIS2 richiede alle organizzazioni di operare in un quadro di governance e responsabilità chiare rispetto alla dimensione digitale. La polizza si concentra sul fornire un paracadute finanziario quando tali condizioni non sono riuscite a prevenire un incidente o per le responsabilità derivanti.

La copertura per le sanzioni amministrative pecuniarie imposte da un organo di vigilanza in genere è esclusa come le sanzioni civili pecuniarie che non siano assicurabili per legge, nonché multe, ammende e altre sanzioni penali. In qualche caso il caso la sanzione amministrativa pecuniaria imposta dall’Organo di Vigilanza viene ricompresa, ma fortemente limitata mitigando una delle conseguenze dirette del mancato rispetto degli obblighi NIS2.

La polizza ha esclusioni per atti dolosi o condotte intenzionali da parte dell’assicurato (a meno che non siano attribuibili a dipendenti e non al Gruppo di Controllo), e per incidenti già noti o prevedibili prima della decorrenza della polizza.

Potrebbe verificarsi il caso di potersi rivalere: per esempio nel caso in cui si possa imputare con prove la causa del sanzionamento all’operato di un fornitore ICT. Questi risponde in solido con i propri beni a meno che non sia opportunamente assicurato con la succitata RC Professionale e si sia trattato di errore od omissione.

Stipulare questo tipo di polizza può essere un elemento cruciale nella strategia di gestione del rischio, fornendo una rete di sicurezza finanziaria per le conseguenze costose e complesse degli incidenti cyber che potrebbero verificarsi nonostante (o a causa di una violazione degli obblighi di cibersicurezza imposti dalla NIS2.

Qui ulteriori informazioni sulle polizze Cyber Risk.

NIS2, assicurazioni: facciamo reverse engineering

Un broker assicurativo non può che ripetere come un mantra l’importanza della gestione dei rischi aziendali. Nello specifico, il rischio digitale è progressivamente uscito dal vecchio CED per annidarsi, oggi, in ogni ambito operativo e decisionale. E questo vale tanto per le organizzazioni soggette a NIS2 quanto per tutte le altre.

In assenza di consapevolezza c’è chi pensa di poter comunque delegare a un contratto assicurativo quella che, erroneamente, viene considerata la “remota possibilità” di subire un incidente informatico e le sue conseguenze “marginali”. Così facendo naturalmente si compie il percorso del risk management all’indietro.

Dalla polizza alla compliance NIS2

Il classico quanto obbligatorio assessment tramite la somministrazione di un questionario della o delle compagnie interpellate, ha permesso di compiere un passo importante: che l’aziende si guardasse finalmente dentro, che si aprisse un confronto tra i diversi portatori di interesse aziendali e si avviassero processi di miglioramento per poter avere accesso alla stipula della polizza.

Precisi e cadenzati piani di investimento e intervento emersi dalla analisi del rischio, hanno potuto costituire in diversi casi la base per per l’accesso al contratto assicurativo.  Noi abbiamo chiamato questo approccio Progetto CyR ed essendo in grado di individuare e comprendere anche i rischi  digitali,  lo abbiamo sempre proposto unitamente a

  • vulnerability assessment,
  • ricerca di dati esfiltrati nel dark web
  • Asset inventory e
  • al tavolo di confronto il più allargato possibile

In tempi più recenti le assicurazioni più credibili hanno imposto una serie di prerequisiti decisamente stringenti oggi ricalcati nella Nis2. Chi si è assicurato negli ultimi anni è certamente adesso molto più  vicino alla compliance ed ha rodato il concetto di revisione periodica del suo stato di rischio. Viceversa la compliance alle normative, è, da sempre, di supporto all’ottenimento dello status di assicurabilità e all’accesso a migliori garanzie assicurative.

Se sei interessato ad una consulenza o alla nostra utile scheda riassuntiva

Prerequisiti all’assicurazione Cyber e compliance normativa

RICHIEDI E RICEVI

Recommend
  • Facebook
  • Twitter
  • LinkedIN
Share
Tagged in
Margas