FERMA chiede all’UE un freno alla burocrazia

FERMA, la Federazione delle associazioni europee di gestione del rischio di cui fa parte anche ANRA, esorta le istituzioni europee a semplificare i requisiti di rendicontazione informatica e a considerare le implicazioni assicurative della legislazione in materia, dopo la pubblicazione di un nuovo rapporto che fornisce indicazioni sulle normative recenti e future.

Il rapporto, primo nel suo genere, dal titolo “Cyber Reporting Stack: Navigating EU incident reporting requirements for risk managers”, è stato realizzato in collaborazione con WTW, e fornisce ai risk manager una consulenza completa sulla gestione degli obblighi di segnalazione in un contesto di politiche informatiche in continua espansione.

Comprendendo una serie di casi di studio che abbracciano diversi scenari di violazione delle norme, il documento fornisce una guida sui requisiti di segnalazione in base a normative quali il Regolamento generale sulla protezione dei dati (GDPR), la Sicurezza delle reti e delle informazioni (NIS), la Sicurezza delle reti e delle informazioni (NIS 2), il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).

Di fronte al crescente onere di reporting informatico, Charlotte Hedemark, Presidente di FERMA, ha dichiarato: “FERMA ritiene che le aziende abbiano bisogno di una serie di requisiti più snelli e coerenti quando si tratta di segnalare gli incidenti informatici. La segnalazione dovrebbe aiutare le autorità, le imprese e i cittadini dell’UE a comprendere meglio la minaccia cibernetica, ma questo funzionerà solo se per le aziende sarà facile, sicuro e protetto fornire informazioni”.

Nell’ambito degli sforzi per ridurre questo onere, il rapporto raccomanda di esplorare il potenziale di un “punto unico di accesso” per la notifica degli incidenti informatici, fornendo inoltre agli Stati membri dell’UE indicazioni su come snellire i processi e il numero di entità coinvolte. Philippe Cotelle, presidente del Comitato Digitale della FERMA, ha dichiarato: “Siamo estremamente consapevoli che, sebbene la gestione del rischio svolga un ruolo fondamentale nella costruzione della resilienza e del recupero dagli attacchi informatici, non esistono regolamenti che forniscano specifiche tecniche sulle misure di gestione del rischio che le organizzazioni dovrebbero adottare, né ne esistono che considerino le implicazioni assicurative”.

Il rapporto invita la Commissione Europea a considerare le implicazioni assicurative e di trasferimento del rischio di qualsiasi futura legislazione europea in materia di cyber, al momento di effettuare una valutazione d’impatto. Laure Zicry, Head of FINEX Cyber, Western Europe, WTW, ha dichiarato: “WTW è lieta di collaborare con FERMA su un rapporto così importante. La gestione dei rischi informatici è fondamentale per ogni azienda che prende molto sul serio la riservatezza dei dati dei propri clienti e la sicurezza della propria rete. Le regole e i requisiti per la segnalazione degli incidenti informatici oggetto di questo whitepaper riguardano questioni trasversali e devono quindi essere affrontate dalle organizzazioni di conseguenza. Il ruolo del risk manager è fondamentale per garantire che tutti i rischi siano stati correttamente identificati e che siano state adottate le migliori strategie di mitigazione.”

Hedemark ha concluso: “Ci auguriamo che il documento fornisca alle aziende una maggiore chiarezza sui requisiti per la segnalazione degli incidenti informatici e su come questi si colleghino al quadro generale della comprensione di questa minaccia globale. “Ci auguriamo inoltre che le conoscenze acquisite aiutino i responsabili politici europei a razionalizzare il loro approccio alla segnalazione degli incidenti informatici e portino a una certa semplificazione della segnalazione, consentendo alle aziende di dedicare una parte maggiore delle loro risorse e conoscenze alla valutazione, alla gestione e alla risposta a questo rischio”.