Cybersecurity per il Settore Assicurazioni

Sanzioni: Fino a €35M o 7% fatturato (pratiche vietate); €15M o 3% (altri obblighi); €7,5M o 1% (info inesatte). PMI: massimali proporzionati

AI Act

4 guide

Regolamento UE 2024/1689

Regolamentazione dei sistemi di intelligenza artificiale nell'UE con approccio basato sul rischio. Applicazione graduale: pratiche vietate dal 2 feb 2025, obblighi GPAI dal 2 ago 2025, sistemi ad alto rischio dal 2 ago 2026

Autorità: AI Office (Commissione UE) + AgID (Italia)

Scadenza: 2 agosto 2026

Bank of Lithuania Resolution on ICT Management Requirements

Sanzioni: Regulatory sanctions by Bank of Lithuania

LB Nutarimas Nr. 03-18 (2020)

Kredito istaigas, draudimo imones, mokejimo istaigas. Authority: Lietuvos bankas (Bank of Lithuania).

Autorità: Lietuvos bankas (Bank of Lithuania)

Scadenza: 1 giugno 2020

Bankaufsichtliche Anforderungen an die IT

BAIT

Banks and financial service providers. Authority: BaFin.

Scadenza: 6 novembre 2017

Autorità: BaFin

Bankwesengesetz - IT security provisions

BWG

Banks, credit institutions. Authority: FMA / OeNB.

Autorità: FMA / OeNB

Scadenza: 1 gennaio 1993

CAA Circular on Insurance Sector IT Security

Sanzioni: Regulatory sanctions by CAA

Circulaire CAA 20/10

Entreprises d'assurance et de reassurance. Authority: CAA (Commissariat aux Assurances).

Autorità: CAA (Commissariat aux Assurances)

Scadenza: 1 dicembre 2020

CBI Cross-Industry Guidance on IT and Cybersecurity Risks

CBICROSS

Financial services firms regulated by CBI. Authority: CBI.

Scadenza: 1 settembre 2016

Autorità: CBI

CBI Operational Resilience Guidelines

CBIOPRES

Banks, insurance companies, investment firms. Authority: CBI.

Scadenza: 1 dicembre 2021

Autorità: CBI

CSIRT KNF - Financial Sector CSIRT

CSIRTKNF

Financial sector entities. Authority: KNF.

Autorità: KNF

Scadenza: 1 gennaio 2020

CSSF Circulars on IT outsourcing and cybersecurity (17/654, 22/806)

CSSFCIRC

Financial sector entities. Authority: CSSF.

Autorità: CSSF

Scadenza: 1 giugno 2017

Danish FSA IT Security Requirements for Financial Sector

Sanzioni: Regulatory measures by Finanstilsynet

BEK nr. 1580 af 17/12/2019

Pengeinstitutter, forsikringsselskaber og vaerdipapirhandlere. Authority: Finanstilsynet.

Autorità: Finanstilsynet

Scadenza: 1 gennaio 2020

Decreto Legislativo 4 settembre 2024, n. 138 - Recepimento della direttiva NIS2

Sanzioni: Fino a 10 milioni di euro o 2% del fatturato mondiale annuo

D.Lgs. 138/2024

Soggetti essenziali e importanti nei 18 settori NIS2 (50+ dipendenti o 10M+ fatturato). Authority: ACN - Agenzia per la Cybersicurezza Nazionale.

Autorità: ACN - Agenzia per la Cybersicurezza Nazionale

Scadenza: 16 ottobre 2024

Determinazioni ACN - Misure di sicurezza per soggetti NIS (Determina ACN n. 38565/2025)

Sanzioni: Sanzioni previste dal D.Lgs. 138/2024

Determina ACN 38565/2025

Soggetti essenziali e importanti registrati presso ACN. Authority: ACN - Agenzia per la Cybersicurezza Nazionale.

Autorità: ACN - Agenzia per la Cybersicurezza Nazionale

Scadenza: 14 aprile 2025

DNB Good Practice Information Security

Sanzioni: DNB regulatory measures

DNB Guidance 2019

Financiele instellingen onder toezicht van DNB. Authority: De Nederlandsche Bank (DNB).

Autorità: De Nederlandsche Bank (DNB)

Scadenza: 1 aprile 2019

Sanzioni: Fino a €10M o 5% del fatturato annuo

DORA

3 guide

Regolamento UE 2022/2554

Resilienza operativa digitale per il settore finanziario

Autorità: EBA, ESMA, EIOPA (ESAs) - Banca d'Italia in Italia

Scadenza: 17 gennaio 2025

EFSA Guidelines on IT Risk Management for Financial Sector

Sanzioni: Regulatory sanctions by EFSA

Finantsinspektsiooni soovituslik juhend (2020)

Krediidiasutused, kindlustusseltsid, investeerimisettevotted. Authority: Finantsinspektsioon (EFSA).

Autorità: Finantsinspektsioon (EFSA)

Scadenza: 1 gennaio 2020

eIDAS

Sanzioni: Fino a €5M o 2% del fatturato annuo

Regolamento UE 910/2014 + Regolamento UE 2024/1183 (eIDAS 2.0)

Identità digitale e servizi fiduciari qualificati (firma digitale, PEC, marca temporale)

Autorità: AgID - Agenzia per l'Italia Digitale

Scadenza: 20 maggio 2026

FCMC Regulations on IT and Security Risk Management

Sanzioni: Regulatory sanctions by Latvijas Banka

FKTK normativie noteikumi 233 (2020)

Kreditiestades, apdrosinasanas sabiedribas, ieguldijumu uznemumi. Authority: FKTK (Finansu un kapitala tirgus komisija) / Latvijas Banka.

Autorità: FKTK (Finansu un kapitala tirgus komisija) / Latvijas Banka

Scadenza: 1 settembre 2020

FFFS 2014:5 Informationssaekerhet, it-verksamhet

FFFS20145

Banks, securities companies, credit market companies. Authority: Finansinspektionen.

Autorità: Finansinspektionen

Scadenza: 1 maggio 2014

Finanssivalvonta Standards and Regulations on IT risk management

FINFSASTANDARDS

Banks, insurance companies, pension funds, investment firms. Authority: Finanssivalvonta.

Autorità: Finanssivalvonta

Scadenza: 1 gennaio 2004

FMA IT Security Regulation for Financial Sector

Sanzioni: Regulatory measures by FMA

FMA-IT-SichV 2021

Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen. Authority: FMA (Finanzmarktaufsicht).

Autorità: FMA (Finanzmarktaufsicht)

Scadenza: 1 settembre 2021

Sanzioni: Fino a €20M o 4% del fatturato annuo mondiale

GDPR

4 guide

Regolamento UE 2016/679

Protezione dei dati personali nell'Unione Europea

Autorità: Garante per la Protezione dei Dati Personali

IKT-forskrift for finansforetak (IKT regulation for financial entities)

IKT_FORSKRIFT

Banks, insurance, pension, securities firms. Authority: Finanstilsynet.

Autorità: Finanstilsynet

Scadenza: 21 maggio 2003

ISO 27001

Sanzioni: N/A (standard volontario)

ISO/IEC 27001:2022 - Standard internazionale

Sistema di gestione della sicurezza delle informazioni (ISMS)

Autorità: Organismi di certificazione accreditati (Accredia in Italia)

IVASS 38 - Regolamento Governance Sistema Informativo (Reg. 38/2018)

Sanzioni: Si applicano le sanzioni previste a livello nazionale

IVASS38

Imprese di assicurazione e riassicurazione

Autorità: IVASS

Scadenza: 1 febbraio 2019

KNF Recommendation D - Management of IT and ICT Environment

KNFREKOM

Banks, credit institutions. Authority: KNF.

Autorità: KNF

Scadenza: 1 gennaio 2013

MFSA ICT Risk Management Requirements for Financial Sector

Sanzioni: Regulatory sanctions by MFSA

MFSA Banking Rule BR/22

Credit institutions, insurance undertakings, investment services licensees. Authority: MFSA (Malta Financial Services Authority).

Autorità: MFSA (Malta Financial Services Authority)

Scadenza: 1 gennaio 2021

MNB Recommendation on IT Security for Financial Institutions

Sanzioni: Regulatory sanctions by MNB

MNB Ajnlas 8/2020

Hitelintezetek, biztositok, penzugyi valalatok. Authority: Magyar Nemzeti Bank (MNB).

Autorità: Magyar Nemzeti Bank (MNB)

Scadenza: 1 ottobre 2020

NBB Circular on ICT Security Expectations for Financial Institutions

Sanzioni: Regulatory sanctions by NBB

Circulaire NBB_2015_32

Etablissements de credit, entreprises d'assurance, institutions de paiement. Authority: Banque Nationale de Belgique (NBB/BNB).

Autorità: Banque Nationale de Belgique (NBB/BNB)

Scadenza: 18 novembre 2015

NBS Measure 3/2018 on IT Risk Management

Sanzioni: Regulatory sanctions by NBS

Opatrenie NBS c. 3/2018

Banky, poistovne, investicne spolocnosti. Authority: Narodna banka Slovenska (NBS).

Autorità: Narodna banka Slovenska (NBS)

Scadenza: 1 luglio 2018

Sanzioni: Fino a €10M o 2% del fatturato annuo

NIS2

4 guide

Direttiva UE 2022/2555 - D.Lgs. 138/2024

Sicurezza delle reti e dei sistemi informativi per soggetti essenziali e importanti

Autorità: ACN - Agenzia per la Cybersicurezza Nazionale

Scadenza: 17 ottobre 2024

PCI-DSS

Sanzioni: Multe da circuiti (Visa, Mastercard) fino a $500K/mese + revoca

PCI-DSS v4.0 (dal 31 marzo 2024)

Standard di sicurezza per chi gestisce, elabora o trasmette dati di carte di pagamento

Autorità: PCI Security Standards Council

Versicherungsaufsichtliche Anforderungen an die IT

VAIT

Insurance companies. Authority: BaFin.

Autorità: BaFin

Scadenza: 2 luglio 2018