Assicurazione cyber ai sensi di NIS 2
L'assicurazione può pagare i sinistri. Non attua le misure tecniche e organizzative che l'articolo 21 NIS 2 richiede.
Panoramica
L'assicurazione cyber e NIS 2 si collocano su livelli diversi. Una polizza cyber è un contratto privato tra un soggetto e un assicuratore che paga costi definiti dopo un incidente. NIS 2 è diritto pubblico: l'articolo 21 stabilisce le misure tecniche e organizzative che i soggetti essenziali e importanti devono attuare, l'articolo 23 stabilisce l'obbligo di segnalazione, l'articolo 27 stabilisce l'obbligo di registrazione. Nessuno di questi obblighi passa all'assicuratore alla firma di una polizza.
Il BSI lo afferma direttamente. Il suo pacchetto informativo NIS 2 descrive il trasferimento generalizzato del rischio tramite una polizza assicurativa come non disponibile nell'ambito del regime di gestione del rischio della direttiva. L'articolo 21(1) NIS 2 richiede misure adeguate e proporzionate, tenendo conto dello stato dell'arte e del costo di attuazione. Una polizza firmata non è né una misura né un sostituto di essa.
La questione pratica per un operatore nell'ambito dell'articolo 21 non è quindi se avere un'assicurazione cyber, ma come la polizza interagisce con i controlli NIS 2 sottostanti. La maggior parte delle polizze richiede che tali controlli siano in essere come precondizione per la copertura. Gli stessi controlli sono quelli che il BSI e le autorità di vigilanza nazionali esaminano durante un audit NIS 2.
Articolo 21(1) NIS 2
Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei loro servizi e su altri servizi. Tenuto conto delle conoscenze più aggiornate in materia e, ove applicabile, delle pertinenti norme europee e internazionali, nonché del costo di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi posti.
Fonte: Direttiva (UE) 2022/2555, Articolo 21(1). I punti di riferimento sono lo stato dell'arte, le norme pertinenti e il costo di attuazione. L'assicurazione non è nell'elenco.
CIR 2024/2690 Allegato, punto 2
La politica in materia di sicurezza dei sistemi informatici e di rete definisce l'approccio dei soggetti interessati alla gestione della sicurezza dei loro sistemi informatici e di rete. Il framework di gestione del rischio di cui al punto 2.1 individua, e prevede la gestione dei, rischi per la sicurezza dei sistemi informatici e di rete.
Fonte: Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato. I requisiti dettagliati di gestione del rischio per i soggetti delle infrastrutture digitali sono strutturati attorno a un framework di gestione del rischio con misure, non attorno al trasferimento finanziario del rischio.
§30 BSIG (recepimento tedesco)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.
Fonte: §30 (1) BSIG. Il recepimento tedesco rispecchia l'articolo 21 NIS 2: misure tecniche e organizzative da parte del soggetto stesso, secondo uno standard di proporzionalità. L'assicurazione non è nominata come uno dei mezzi.
Costi dell'incidente e responsabilità verso terzi
Le voci di copertura comuni comprendono i costi di risposta all'incidente (forensica, legale, comunicazioni), le perdite da interruzione dell'attività legate a un evento cyber coperto, i costi di ripristino dei dati e la responsabilità verso terzi per richieste di clienti o interessati. Alcune polizze si estendono ai pagamenti di riscatto nelle giurisdizioni in cui ciò è lecito, fatto salvo lo screening sanzionatorio.
Sanzioni, conoscenza pregressa, guerra e infrastrutture
Le sanzioni regolamentari sono non assicurabili in diverse giurisdizioni dell'UE per motivi di ordine pubblico. Le esclusioni comuni comprendono anche le vulnerabilità note non rimediate, i sistemi privi di patch al di sotto dei livelli concordati contrattualmente, gli atti di guerra e gli attacchi sponsorizzati da Stati (la formulazione del mercato Lloyd's è ampiamente adottata) e le interruzioni delle infrastrutture pubbliche al di fuori del controllo del soggetto.
Precondizioni e garanzie
La maggior parte degli assicuratori cyber richiede al soggetto assicurato di mantenere una base definita: autenticazione a più fattori, backup, patching, formazione di sensibilizzazione, piano di risposta agli incidenti. Sono gli stessi elementi coperti dall'articolo 21(2) NIS 2 e dal CIR. Una polizza può decadere o pagare somme ridotte se i controlli oggetto di garanzia non erano in essere al momento del sinistro.
L'obbligo dell'articolo 21 non è trasferibile
L'articolo 21 si rivolge al soggetto. Le misure, la documentazione e la supervisione dell'organo di gestione ai sensi dell'articolo 20 risiedono all'interno del soggetto. Un contratto di assicurazione è un accordo finanziario a posteriori; non rilocalizza l'obbligo giuridico di agire a priori. Il BSI lo descrive nel suo pacchetto informativo come esclusione del trasferimento generalizzato del rischio.
È la proporzionalità a decidere le misure, non il premio
L'articolo 21(1) nomina tre punti di riferimento: stato dell'arte, norme pertinenti e costo di attuazione. Il test di proporzionalità si applica alle misure tecniche e organizzative stesse. Un premio assicurativo più alto non sposta la valutazione di proporzionalità; l'operatore deve comunque dimostrare che le misure sono adeguate ai rischi che il soggetto effettivamente corre.
BSI — Bundesamt für Sicherheit in der Informationstechnik
Il pacchetto informativo del BSI sul recepimento di NIS 2 afferma che l'obbligo di gestione del rischio non può essere adempiuto trasferendo in blocco il rischio a un assicuratore. La formulazione usata è che il trasferimento generalizzato del rischio è escluso. La posizione allinea l'autorità di vigilanza tedesca alla struttura dell'articolo 21: ci si attende che un soggetto attui misure, non che le aggiri pagando.
ENISA
La technical implementation guidance NIS 2 di ENISA è costruita attorno alle misure elencate nell'articolo 21(2) e nell'allegato del CIR. La guida pubblicata dall'agenzia non tratta l'assicurazione cyber come una delle misure; essa compare, quando compare, come parte delle più ampie opzioni di trattamento del rischio di un soggetto nell'ambito di un framework di gestione del rischio.
GDV — Gesamtverband der Deutschen Versicherungswirtschaft
L'associazione assicurativa tedesca pubblica formulazioni modello di settore per la copertura cyber (AVB Cyber) e indagini sul mercato. Il materiale pubblico dell'associazione descrive l'assicurazione cyber come un elemento di un più ampio approccio di gestione del rischio e indica una base di controlli tecnici come consueta precondizione di sottoscrizione.
Mito: Una polizza cyber trasferisce l'obbligo NIS 2 all'assicuratore.
Gli obblighi NIS 2 ai sensi degli articoli 20, 21, 23 e 27 si rivolgono al soggetto. L'assicuratore è una controparte di un contratto privato, non un soggetto regolamentato che subentra negli obblighi NIS 2 dell'operatore. Il BSI descrive il trasferimento generalizzato del rischio come escluso nel regime della direttiva.
Mito: Le sanzioni regolamentari sono coperte dalla polizza.
Le sanzioni regolamentari ai sensi del §65 BSIG (il recepimento tedesco delle sanzioni amministrative NIS 2 di cui agli articoli 34 e 36) sono ampiamente trattate come non assicurabili per motivi di ordine pubblico in tutte le giurisdizioni dell'UE. Le formulazioni standard le escludono. Le spese di difesa sono una questione separata e sono spesso coperte entro determinati limiti.
Mito: Il premio è pagato, quindi l'indennizzo è automatico.
La sottoscrizione cyber è subordinata a dichiarazioni di garanzia sui controlli del soggetto. Se i controlli oggetto di garanzia (autenticazione a più fattori, livelli di patching, regime di backup, piano di risposta agli incidenti) non erano in essere al momento del sinistro, un assicuratore può ridurre o rifiutare l'indennizzo. Tali controlli oggetto di garanzia ricalcano le misure dell'articolo 21(2) NIS 2.
Broker e risk manager descrivono comunemente l'assicurazione cyber come uno strato sopra un programma di sicurezza funzionante, non come un sostituto di esso. L'ordine che descrivono è: attuare prima le misure dell'articolo 21, documentarle, poi rivolgersi al mercato. Gli assicuratori chiedono la stessa documentazione che chiede un audit NIS 2. Inventario degli asset, registro dei fornitori, base di patching, risultati dei test di backup, piano di risposta agli incidenti, registri della formazione di sensibilizzazione.
Dal punto di vista di NIS 2 la questione rilevante per un operatore è quindi pratica. Il soggetto dispone di evidenze delle misure dell'articolo 21(2)? Le garanzie contrattuali nella polizza cyber sono coerenti con la postura effettiva dell'operatore? Se le due divergono, la lacuna emerge due volte: una con l'autorità di vigilanza in un audit NIS 2, una con l'assicuratore in occasione di un sinistro.
NISD2 organizza le evidenze del soggetto attorno alle aree di misura dell'articolo 21(2) e all'allegato del CIR. Inventario degli asset, registro dei fornitori, piano di trattamento del rischio, piano di risposta agli incidenti, registri della formazione di sensibilizzazione e approvazione della dirigenza risiedono in un unico registro degli obblighi. Lo stesso pacchetto di evidenze è quello che assicuratori e autorità di vigilanza esaminano.
La piattaforma non vende, non intermedia né raccomanda prodotti assicurativi. Documenta le misure NIS 2 sottostanti, così che la questione della copertura si collochi sopra una postura definita, non al suo posto.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 21 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato — https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §30 e §65 — https://www.gesetze-im-internet.de/bsig_2009/
- BSI — NIS-2 Informationspakete und Hintergrund — https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
- ENISA — NIS 2 Technical Implementation Guidance — https://www.enisa.europa.eu/publications
- GDV — Cyber-Versicherung und unverbindliche Musterbedingungen (AVB Cyber) — https://www.gdv.de/