Art. 2 Definizioni 1. Ai fini del presente regolamento valgono le definizioni dettate dal decreto legislativo 7 settembre 2005, n. 209, come novellato dal decreto legislativo 12 maggio 2015, n. 74, attuativo della direttiva n. 2009/138/CE e dal regolamento delegato 2015/35 della Commissione europea. In aggiunta si intende per: a) «alta direzione»: l'amministratore delegato, il direttore generale nonche' la dirigenza responsabile ad alto livello del processo decisionale e di attuazione delle strategie; b) «atti delegati»: il regolamento delegato 2015/35 della Commissione del 10 ottobre 2014, che integra la direttiva n. 2009/138/CE in materia di accesso ed esercizio delle attivita' di assicurazione e riassicurazione; c) «attivita' o funzione essenziale o importante»: attivita' o funzione la cui mancata o anomala esecuzione comprometterebbe gravemente la capacita' dell'impresa di continuare a conformarsi alle condizioni richieste per la conservazione dell'autorizzazione all'esercizio, oppure i risultati finanziari, la stabilita' dell'impresa o la continuita' e qualita' dei servizi verso gli assicurati; d) «componente variabile»: la componente della retribuzione concessa sulla base dei risultati conseguiti, comprensiva di bonus, premi e altre forme incentivanti; e) «Codice»: il decreto legislativo 7 settembre 2005, n. 209, come modificato dal decreto legislativo 12 maggio 2015, n. 74; f) «cyber security aziendale»: condizione per la quale l'insieme delle infrastrutture informatiche interconnesse, utilizzate dall'impresa, comprensivo di hardware, software, dati e utenti, nonche' delle relazioni logiche stabilite tra di essi, risulti protetto grazie all'adozione di idonee misure di sicurezza fisica, logica e procedurale, rispetto ad eventi, di natura volontaria o accidentale, consistenti nell'acquisizione e nel trasferimento indebito di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi; g) «direttiva Solvency II»: la direttiva 2009/138/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 (Solvibilita' II); h) «grave incidente di sicurezza informatica»: un evento, anche a seguito di ripetuti incidenti di minore entita', che implica la violazione o l'imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza da cui derivi almeno una delle seguenti conseguenze: i) perdite economiche elevate o prolungati disservizi; ii) disservizi per la clientela e le controparti, considerati rilevanti sulla base del numero dei clienti o controparti potenzialmente coinvolti e dell'ammontare a rischio; iii) il rischio di inficiare la capacita' dell'impresa di conformarsi alle condizioni e agli obblighi regolamentari; i) «organo amministrativo»: il Consiglio di amministrazione o, ove non diversamente specificato, nelle imprese che hanno adottato il sistema di cui all'art. 2409-octies del codice civile, il consiglio di gestione ovvero, per le sedi secondarie, il rappresentante generale; l) «organo di controllo»: il collegio sindacale o, nelle imprese che hanno adottato un sistema diverso da quello di cui all'art. 2380, comma 1, del codice civile, il consiglio di sorveglianza o il comitato per il controllo sulla gestione; m) «personale rilevante»: i direttori generali, i dirigenti con compiti strategici, i titolari e il personale di livello piu' elevato delle funzioni fondamentali e le altre categorie del personale la cui attivita' puo' avere un impatto significativo sul profilo di rischio dell'impresa, identificato dall'impresa, in base a scelte motivate ed adeguatamente formalizzate, nel documento di cui all'art. 5, comma 2, lettera i), punto i); n) «rischi emergenti»: i rischi di nuova insorgenza o sviluppo, difficili da quantificare e potenzialmente significativi per l'impresa. Sono tali anche i rischi di cui all'art. 4, comma 4, del regolamento di attuazione degli articoli 30-ter e 215-ter del Codice recante disposizioni in materia di valutazione interna del rischio e della solvibilita' dell'impresa; o) «rischi significativi»: si intendono per tali i rischi di cui all'art. 4, comma 3, del regolamento di attuazione degli articoli 30-ter e 215-ter del Codice recante disposizioni in materia di valutazione interna del rischio e della solvibilita' dell'impresa; p) «S.E.E.»: lo Spazio economico europeo di cui all'accordo di estensione della normativa dell'Unione europea agli Stati appartenenti all'Associazione europea di libero scambio, firmato ad Oporto il 2 maggio 1992 e ratificato con legge 28 luglio 1993, n. 300; q) «societa' quotate»: le societa' quotate di cui all'art. 119 del decreto legislativo 24 febbraio 1998, n. 58; r) «societa' di revisione»: il revisore esterno incaricato dell'attivita' di revisione di cui all'art. 102 del Codice o alle disposizioni attuative di cui agli articoli 47-septies, comma 7, e 191, comma 1, lettera b), punto 3, del Codice; s) «stress test»: analisi finalizzata a valutare l'impatto sulla situazione finanziaria delle imprese di andamenti sfavorevoli dei fattori di rischio, singolarmente considerati o combinati in un unico scenario; t) «ultima societa' controllante italiana»: la societa' di cui all'art. 210, comma 2, del Codice o la societa' individuata dall'IVASS ai sensi dell'art. 210, comma 3, del Codice.