L'entrata in vigore della normativa Nis2 pone diversi quesiti dal punto di vista assicurativo: la nostra check list
L’introduzione della normativa NIS 2 (Network and Information Security 2) comporta cambiamenti significativi per le aziende in termini di cybersecurity e, di conseguenza, ha un impatto diretto anche sul mondo delle assicurazioni, in particolare sulle polizze cyber risk.
Ecco i principali cambiamenti e cosa comportano a livello assicurativo:
COSA CAMBIA CON LA NIS 2
Ampliamento del campo di applicazione
Rispetto alla NIS 1, la NIS 2 si applica a molte più aziende, anche di medie dimensioni, in settori critici e importanti (es. energia, trasporti, sanità, finanza, ma anche pubblica amministrazione, gestione acque, cloud, data center, ecc.).
Implica che più imprese saranno soggette a obblighi di sicurezza informatica stringenti.
Maggiori responsabilità per il management
Il vertice aziendale è direttamente responsabile dell’adozione di misure di cybersecurity e può incorrere in sanzioni personali.
Le polizze D&O (Directors & Officers) devono quindi considerare i rischi legati alla mancata conformità alla NIS 2.
Obbligo di notifica degli incidenti
Entro 24 ore dall’identificazione di un incidente rilevante, le aziende devono notificarlo all'autorità competente.
Questo implica la necessità di avere un piano di gestione incidenti, spesso richiesto o incentivato dalle compagnie assicurative.
Sanzioni elevate per la non conformità
Possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale.
Questo spinge molte aziende a valutare coperture assicurative più ampie per tutelarsi anche da errori procedurali o omissioni.
IMPATTI SULLE ASSICURAZIONI
1. Polizze Cyber Risk
Le compagnie assicurative adatteranno le condizioni di polizza per richiedere un livello minimo di conformità alla NIS 2.
I premi potrebbero variare in base al livello di adempimento normativo.
In caso di non conformità alla NIS 2, alcune esclusioni contrattuali potrebbero essere attivate.
2. Polizze D&O (Responsabilità degli Amministratori)
Le polizze dovranno includere esplicitamente i rischi connessi alla normativa NIS 2, dato il coinvolgimento diretto del management.
Alcune compagnie stanno già ridefinendo i questionari di sottoscrizione includendo la conformità alla NIS 2.
3. Audit e Requisiti Tecnici
Per sottoscrivere o rinnovare una copertura cyber, sarà necessario dimostrare l’adozione delle misure richieste dalla NIS 2 (es. backup sicuri, segmentazione di rete, controllo accessi, formazione, ecc.).
Le compagnie potrebbero condizionare la copertura alla realizzazione di audit di sicurezza periodici.
COSA DEVONO FARE LE AZIENDE ORA
Adeguare i sistemi di sicurezza informatica secondo le richieste della NIS 2.
Rivedere le proprie polizze assicurative, in particolare:
Cyber risk
D&O
Responsabilità professionale (se si offrono servizi digitali a terzi)
Interfacciarsi con il broker o la compagnia assicurativa per aggiornare i questionari e verificare le coperture in caso di sanzioni, attacchi o omissioni.
Documentare la conformità: la trasparenza e la tracciabilità delle misure adottate è spesso un requisito di copertura.
Ecco un elenco di controllo (checklist) che puoi utilizzare per verificare con il tuo broker se le coperture assicurative sono adeguate in vista della normativa NIS 2.
Checklist per la verifica assicurativa in ottica NIS 2
1. 📄 Polizza Cyber Risk
La polizza è attiva e aggiornata?
La copertura include:
Violazioni di dati personali (data breach)?
Attacchi ransomware o malware?
Interruzione dell’attività (business interruption)?
Costi di risposta e ripristino (forensics, comunicazione, PR)?
Estorsione informatica?
Costi legali e sanzioni amministrative (nei limiti consentiti)?
È previsto un massimale adeguato al fatturato e al rischio dell’azienda?
Sono presenti franchigie o scoperti rilevanti in caso di sinistro?
Il contratto prevede esclusioni legate alla non conformità alla normativa (es. NIS 2)?
È prevista una copertura retroattiva (per incidenti occulti precedenti)?
2. 👔 Polizza D&O (Responsabilità degli Amministratori)
La polizza D&O è attiva?
È inclusa la copertura per sanzioni o responsabilità derivanti da violazioni della NIS 2?
Il management è coperto in caso di:
Mancata vigilanza su obblighi di cybersecurity?
Decisioni non conformi ai requisiti normativi?
È compresa la copertura per spese legali e difensive personali degli amministratori?
3. 🧩 Valutazioni e adempimenti richiesti dalla compagnia
È stato compilato un questionario aggiornato sulla cybersecurity?
La compagnia richiede:
Audit di sicurezza informatica?
Verifica del piano di gestione incidenti?
Backup cifrati e protetti?
Piani di continuità operativa e disaster recovery?
Formazione periodica del personale?
La compagnia ha previsto condizioni sospensive legate alla conformità NIS 2?
4. 🔄 Gestione degli incidenti
La compagnia prevede una procedura chiara di attivazione in caso di incidente?
È inclusa l’assistenza di:
Team forense IT?
Avvocati specializzati in data protection?
Esperti in comunicazione di crisi?
5. 🧾 Documentazione e aggiornamenti
Tutti i documenti assicurativi sono stati rivisti dopo l’introduzione della NIS 2?
L’azienda ha formalizzato la designazione di un responsabile della sicurezza o di un CISO?
Sono stati registrati e archiviati gli interventi tecnici effettuati per l’adeguamento?
