Quali sono i passaggi indispensabili da attuare nella definizione di una corretta strategia di mitigazione del rischio cyber, che tenga anche conto della copertura con polizza assicurativa (Cyber Insurance) per il trasferimento – almeno di in parte – del rischio di incorrere in perdite economiche o contenziosi con terze parti?
Un documento che indaga i profili legali di un programma di cybersecurity che comprenda anche strumenti assicurativi è “Cyber Risk Insurance & Incident Response, strumenti di gestione della Digital Evidence” dell’Avvocato Giuseppe Serafini e della Dott.ssa Letizia Bassini, da cui estrapoliamo alcuni messaggi chiave.
Si afferma innanzi tutto che:
- … muovendo dal contenuto “contrattualmente vincolante” della maggioranza degli strumenti assicurativi disponibili nel mercato, si deve necessariamente tenere nella debita considerazione i necessari prerequisiti di sicurezza che devono sussistere ed essere mantenuti nel tempo, all’interno dell’organizzazione, ma anche nei suoi rapporti con eventuali outsourcer o fornitori, affinché non si verifichi l’inoperativitá della copertura assicurativa per concorso colposo nella verificazione del danno o, peggio ancora, per inadempimento alle precisioni di polizza.
Quindi il primo aspetto è che si possa far valere in ogni momento la copertura assicurativa di cui l’azienda si è dotata, avendo istituito prerequisiti per la sicurezza, e quindi strumenti opportuni, che diventano “contrattualmente rilevanti” perché la polizza abbia valore nel tempo. Tali misure e strumenti vanno mantenuti anche se dovessero intervenire sostanziali cambiamenti organizzativi e delle procedure, come il ricorso a outsourcer o fornitori esterni per determinate attività ICT.
Continua a leggere l'Articolo
