Art. 2 
 
                             Definizioni 
 
  1. Ai fini del presente regolamento valgono le definizioni  dettate
dal decreto legislativo 7 settembre 2005, n. 209, come novellato  dal
decreto legislativo 12 maggio 2015, n. 74, attuativo della  direttiva
n. 2009/138/CE e dal regolamento delegato 2015/35  della  Commissione
europea. In aggiunta si intende per: 
    a) «alta  direzione»:  l'amministratore  delegato,  il  direttore
generale nonche'  la  dirigenza  responsabile  ad  alto  livello  del
processo decisionale e di attuazione delle strategie; 
    b)  «atti  delegati»:  il  regolamento  delegato  2015/35   della
Commissione  del  10  ottobre  2014,  che  integra  la  direttiva  n.
2009/138/CE in materia di accesso ed  esercizio  delle  attivita'  di
assicurazione e riassicurazione; 
    c) «attivita' o funzione essenziale o  importante»:  attivita'  o
funzione  la  cui  mancata  o  anomala  esecuzione   comprometterebbe
gravemente la capacita' dell'impresa di continuare a conformarsi alle
condizioni  richieste  per   la   conservazione   dell'autorizzazione
all'esercizio,  oppure  i   risultati   finanziari,   la   stabilita'
dell'impresa o la  continuita'  e  qualita'  dei  servizi  verso  gli
assicurati; 
    d)  «componente  variabile»:  la  componente  della  retribuzione
concessa sulla base dei risultati conseguiti, comprensiva  di  bonus,
premi e altre forme incentivanti; 
    e) «Codice»: il decreto legislativo 7  settembre  2005,  n.  209,
come modificato dal decreto legislativo 12 maggio 2015, n. 74; 
    f) «cyber security aziendale»: condizione per la quale  l'insieme
delle   infrastrutture   informatiche    interconnesse,    utilizzate
dall'impresa, comprensivo  di  hardware,  software,  dati  e  utenti,
nonche' delle  relazioni  logiche  stabilite  tra  di  essi,  risulti
protetto grazie all'adozione di idonee misure  di  sicurezza  fisica,
logica e procedurale, rispetto ad  eventi,  di  natura  volontaria  o
accidentale,  consistenti  nell'acquisizione  e   nel   trasferimento
indebito di dati, nella  loro  modifica  o  distruzione  illegittima,
ovvero nel controllo indebito, danneggiamento, distruzione  o  blocco
del regolare funzionamento delle reti e dei sistemi informativi o dei
loro elementi costitutivi; 
    g)  «direttiva  Solvency  II»:  la  direttiva   2009/138/CE   del
Parlamento europeo e del Consiglio del 25 novembre 2009 (Solvibilita'
II); 
    h) «grave incidente di sicurezza informatica»: un evento, anche a
seguito di ripetuti incidenti  di  minore  entita',  che  implica  la
violazione o l'imminente minaccia di violazione delle norme  e  delle
prassi aziendali in materia di sicurezza da  cui  derivi  almeno  una
delle seguenti conseguenze: 
      i) perdite economiche elevate o prolungati disservizi; 
      ii) disservizi per la clientela e le  controparti,  considerati
rilevanti  sulla  base  del  numero   dei   clienti   o   controparti
potenzialmente coinvolti e dell'ammontare a rischio; 
      iii) il rischio  di  inficiare  la  capacita'  dell'impresa  di
conformarsi alle condizioni e agli obblighi regolamentari; 
    i) «organo amministrativo»: il Consiglio  di  amministrazione  o,
ove non diversamente specificato, nelle imprese che hanno adottato il
sistema di cui all'art. 2409-octies del codice civile,  il  consiglio
di  gestione  ovvero,  per  le  sedi  secondarie,  il  rappresentante
generale; 
    l) «organo di controllo»: il collegio sindacale o, nelle  imprese
che hanno adottato un sistema diverso da quello di cui all'art. 2380,
comma 1, del  codice  civile,  il  consiglio  di  sorveglianza  o  il
comitato per il controllo sulla gestione; 
    m) «personale rilevante»: i direttori generali, i  dirigenti  con
compiti strategici, i titolari e il personale di livello piu' elevato
delle funzioni fondamentali e le altre categorie del personale la cui
attivita' puo' avere un impatto significativo sul profilo di  rischio
dell'impresa, identificato dall'impresa, in base a scelte motivate ed
adeguatamente formalizzate, nel documento di cui all'art. 5, comma 2,
lettera i), punto i); 
    n) «rischi emergenti»: i rischi di nuova insorgenza  o  sviluppo,
difficili  da  quantificare  e   potenzialmente   significativi   per
l'impresa. Sono tali anche i rischi di cui all'art. 4, comma  4,  del
regolamento di attuazione degli articoli 30-ter e 215-ter del  Codice
recante disposizioni in materia di valutazione interna del rischio  e
della solvibilita' dell'impresa; 
    o) «rischi significativi»: si intendono per tali i rischi di  cui
all'art. 4, comma 3, del regolamento  di  attuazione  degli  articoli
30-ter e 215-ter  del  Codice  recante  disposizioni  in  materia  di
valutazione interna del rischio e della solvibilita' dell'impresa; 
    p) «S.E.E.»: lo Spazio economico europeo di  cui  all'accordo  di
estensione   della   normativa   dell'Unione   europea   agli   Stati
appartenenti all'Associazione europea di libero scambio,  firmato  ad
Oporto il 2 maggio 1992 e ratificato con legge  28  luglio  1993,  n.
300; 
    q) «societa' quotate»: le societa' quotate di  cui  all'art.  119
del decreto legislativo 24 febbraio 1998, n. 58; 
    r)  «societa'  di  revisione»:  il  revisore  esterno  incaricato
dell'attivita' di revisione di cui all'art. 102  del  Codice  o  alle
disposizioni attuative di cui agli articoli 47-septies,  comma  7,  e
191, comma 1, lettera b), punto 3, del Codice; 
    s) «stress test»: analisi finalizzata a valutare l'impatto  sulla
situazione finanziaria delle imprese  di  andamenti  sfavorevoli  dei
fattori di rischio, singolarmente considerati o combinati in un unico
scenario; 
    t) «ultima societa' controllante italiana»: la  societa'  di  cui
all'art.  210,  comma  2,  del  Codice  o  la  societa'   individuata
dall'IVASS ai sensi dell'art. 210, comma 3, del Codice.