keyboard_tab DORA 2022/2554 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 3 Definizioni
- 2 Art. 31 Designazione dei fornitori terzi critici di servizi TIC
- 1 Art. 36 Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione
- 1 Art. 58 Clausola di riesame
CAPO I
Disposizioni generali
CAPO II
Gestione dei rischi informatici
Sezione I
Sezione II
CAPO III
Gestione, classificazione e segnalazione degli incidenti informatici
CAPO IV
Test di resilienza operativa digitale
CAPO V
Gestione dei rischi informatici derivanti da terzi
Sezione I
Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi
Sezione II
Quadro di sorveglianza dei fornitori terzi critici di servizi TIC
CAPO VI
Meccanismi di condivisione delle informazioni
CAPO VII
Autorità competenti
CAPO VIII
Atti delegati
CAPO IX
Disposizioni transitorie e finali
Sezione I
Sezione II
Modifiche
- resilienza operativa digitale
- sistema informatico e di rete
- sistema legacy
- sicurezza dei sistemi informatici e di rete
- rischi informatici
- patrimonio informativo
- risorse TIC
- incidente connesso alle TIC
- incidente operativo o di sicurezza dei pagamenti
- grave incidente TIC
- grave incidente operativo o di sicurezza dei pagamenti
- minaccia informatica
- minaccia informatica significativa
- attacco informatico
- analisi delle minacce
- vulnerabilità
- test di penetrazione guidato dalla minaccia (TLPT)
- rischi informatici TIC derivanti da terzi
- fornitore terzo di servizi TIC
- fornitore intragruppo di servizi TIC
- servizi TIC
- funzione essenziale o importante
- fornitore terzo critico di servizi TIC
- fornitore terzo di servizi TIC stabilito in un paese terzo
- impresa figlia
- gruppo
- impresa madre
- subappaltatore di TIC stabilito in un paese terzo
- rischio di concentrazione delle TIC
- organo di gestione
- ente creditizio
- ente esentato dalla direttiva 2013/36/UE
- impresa di investimento
- impresa di investimento piccola e non interconnessa
- istituto di pagamento
- istituto di pagamento esentato a norma della direttiva (UE) 2015/2366
- prestatore di servizi di informazione sui conti
- istituto di moneta elettronica
- istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE
- controparte centrale
- repertorio di dati sulle negoziazioni
- depositario centrale di titoli
- sede di negoziazione
- gestore di fondi di investimento alternativi
- società di gestione
- fornitore di servizi di comunicazione dati
- impresa di assicurazione
- impresa di riassicurazione
- intermediario assicurativo
- intermediario assicurativo a titolo accessorio
- intermediario riassicurativo
- ente pensionistico aziendale o professionale
- piccolo ente pensionistico aziendale o professionale
- agenzia di rating del credito
- fornitore di servizi per le cripto-attività
- emittente di token collegati ad attività
- amministratore di indici di riferimento critici
- fornitore di servizi di crowdfunding
- repertorio di dati sulle cartolarizzazioni
- microimpresa
- autorità di sorveglianza capofila
- comitato congiunto
- piccola impresa
- media impresa
- autorità pubblica
- 1. Le CCP adottano, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendenti una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC predisposti e attuati in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi della CCP.
- 3. Al fine di garantire l’applicazione coerente del presente articolo, l’ESMA, previa consultazione dei membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare il contenuto minimo e i requisiti della politica di continuità operativa e del piano di ripristino in caso di disastro, con l’esclusione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC.
- 3. Per assicurare l’applicazione uniforme del presente articolo, l’ESMA elabora progetti di norme tecniche di regolamentazione che specifichino, tranne che per i requisiti in materia di gestione dei rischi informatici, i dettagli della domanda di registrazione di cui al paragrafo 1.
- 6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi informatici.
- 7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.
- 5. I CTP rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- 3. Gli ARM rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- all’articolo 74
- paragrafo 72
- direttiva 56
- punto 52
- regolamento 43
- finanziaria 38
- servizi 38
- entità 33
- terzo 33
- definito 32
- fornitore_terzo_di_servizi_tic 31
- servizi_tic 30
- finanziarie 29
- dell’articolo 29
- paese 24
- n / 23
- terzi 21
- fornitori 21
- europeo 18
- pertinente 18
- sensi 18
- //ue 18
- parlamento 18
- autorità_di_sorveglianza_capofila 17
- sorveglianza 16
- un’entità 16
- sistemi 15
- presente 15
- norma 14
- attività 14
- definita 14
- critico 14
- consiglio 13
- lettera a 13
- fornitore 13
- gruppo 13
- //ce 13
- annuo 12
- relazione 12
- finanziari 11
- critici 11
- dell’entità 10
- informazioni 10
- dall’entità 10
- minaccia_informatica 10
- funzioni 10
- meno 10
- designazione 9
- comprese 9
- interessato 9
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « resilienza_operativa_digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi_TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza_dei_sistemi_informatici_e_di_rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni; |
| 2) | « sistema_informatico_e_di_rete»: un sistema_informatico_e_di_rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555; |
| 3) | « sistema_legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore_terzo_di_servizi_TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria; |
| 4) | « sicurezza_dei_sistemi_informatici_e_di_rete»: la sicurezza_dei_sistemi_informatici_e_di_rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555; |
| 5) | « rischi_informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza_dei_sistemi_informatici_e_di_rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico; |
| 6) | « patrimonio_informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere; |
| 7) | « risorse_TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria; |
| 8) | « incidente_connesso_alle_TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza_dei_sistemi_informatici_e_di_rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria; |
| 9) | « incidente_operativo_o_di_sicurezza_dei_pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria; |
| 10) | « grave_incidente_TIC»: un incidente_connesso_alle_TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria; |
| 11) | «grave incidente_operativo_o_di_sicurezza_dei_pagamenti»: un incidente_operativo_o_di_sicurezza_dei_pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti; |
| 12) | « minaccia_informatica»: minaccia_informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 13) | « minaccia_informatica significativa»: una minaccia_informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave_incidente_TIC o un grave incidente_operativo_o_di_sicurezza_dei_pagamenti; |
| 14) | « attacco_informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione; |
| 15) | « analisi_delle_minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente_connesso_alle_TIC o di una minaccia_informatica, compresi i dettagli tecnici dell’ attacco_informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni; |
| 16) | « vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile; |
| 17) | « test_di_penetrazione_guidato_dalla_minaccia_(TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia_informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team); |
| 18) | « rischi_informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi_TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione; |
| 19) | « fornitore_terzo_di_servizi_TIC»: un’impresa che fornisce servizi_TIC; |
| 20) | « fornitore_intra gruppo_di_servizi_TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi_TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune; |
| 21) | « servizi_TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali; |
| 22) | « funzione_essenziale_o_importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari; |
| 23) | «fornitore terzo critico di servizi_TIC»: un fornitore_terzo_di_servizi_TIC designato come critico in conformità dell’articolo 31; |
| 24) | « fornitore_terzo_di_servizi_TIC stabilito in un paese terzo»: un fornitore_terzo_di_servizi_TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC; |
| 25) | « impresa figlia»: impresa figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE; |
| 26) | « gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE; |
| 27) | « impresa_madre»: impresa_madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE; |
| 28) | « subappaltatore_di_TIC_stabilito_in_un_paese_terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore_terzo_di_servizi_TIC o con un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo; |
| 29) | « rischio_di_concentrazione_delle_TIC»: l’esposizione a fornitori terzi critici di servizi_TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione; |
| 30) | « organo_di_gestione»: organo_di_gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale; |
| 31) | « ente_creditizio»: ente_creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32); |
| 32) | « ente_esentato_dalla_direttiva_2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE; |
| 33) | « impresa_di_investimento»: un’ impresa_di_investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE; |
| 34) | « impresa_di_investimento piccola e non interconnessa»: un’ impresa_di_investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33); |
| 35) | « istituto_di_pagamento»: un istituto_di_pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366; |
| 36) | « istituto_di_pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto_di_pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366; |
| 37) | « prestatore_di_servizi_di_informazione_sui_conti»: un prestatore_di_servizi_di_informazione_sui_conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366; |
| 38) | « istituto_di_moneta_elettronica»: un istituto_di_moneta_elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio; |
| 39) | « istituto_di_moneta_elettronica esentato a norma della direttiva 2009/110/CE»: un istituto_di_moneta_elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE; |
| 40) | « controparte_centrale»: una controparte_centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012; |
| 41) | « repertorio_di_dati_sulle_negoziazioni»: un repertorio_di_dati_sulle_negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012; |
| 42) | « depositario_centrale_di_titoli»: un depositario_centrale_di_titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014; |
| 43) | « sede_di_negoziazione»: una sede_di_negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE; |
| 44) | « gestore_di_fondi_di_investimento_alternativi»: un gestore_di_fondi_di_investimento_alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE; |
| 45) | « società_di_gestione»: una società_di_gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE; |
| 46) | « fornitore_di_servizi_di_comunicazione_dati»: un fornitore_di_servizi_di_comunicazione_dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36); |
| 47) | « impresa_di_assicurazione»: impresa_di_assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE; |
| 48) | « impresa_di_riassicurazione»: impresa_di_riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE; |
| 49) | « intermediario_assicurativo»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34); |
| 50) | « intermediario_assicurativo a titolo accessorio»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97; |
| 51) | « intermediario_riassicurativo»: un intermediario_riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97; |
| 52) | « ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341; |
| 53) | «piccolo ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale; |
| 54) | « agenzia_di_rating_del_credito»: un’ agenzia_di_rating_del_credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009; |
| 55) | « fornitore_di_servizi_per_le_cripto-attività»: un fornitore_di_servizi_per_le_cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 56) | « emittente_di_token_collegati_ad_attività»: un emittente_di_token_collegati_ad_attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 57) | « amministratore_di_indici_di_riferimento_critici»: un amministratore_di_indici_di_riferimento_critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011; |
| 58) | « fornitore_di_servizi_di_crowdfunding»: un fornitore_di_servizi_di_crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35); |
| 59) | « repertorio_di_dati_sulle_cartolarizzazioni»: un repertorio_di_dati_sulle_cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36); |
| 60) | « microimpresa»: un’entità finanziaria, diversa da una sede_di_negoziazione, una controparte_centrale, un repertorio_di_dati_sulle_negoziazioni o un depositario_centrale_di_titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR; |
| 61) | « autorità_di_sorveglianza_capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento; |
| 62) | « comitato_congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010; |
| 63) | « piccola_impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR; |
| 64) | « media_impresa»: un’entità finanziaria che non è una piccola_impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR; |
| 65) | « autorità_pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali. |
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « resilienza_operativa_digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi_TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza_dei_sistemi_informatici_e_di_rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni; |
| 2) | « sistema_informatico_e_di_rete»: un sistema_informatico_e_di_rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555; |
| 3) | « sistema_legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore_terzo_di_servizi_TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria; |
| 4) | « sicurezza_dei_sistemi_informatici_e_di_rete»: la sicurezza_dei_sistemi_informatici_e_di_rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555; |
| 5) | « rischi_informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza_dei_sistemi_informatici_e_di_rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico; |
| 6) | « patrimonio_informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere; |
| 7) | « risorse_TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria; |
| 8) | « incidente_connesso_alle_TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza_dei_sistemi_informatici_e_di_rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria; |
| 9) | « incidente_operativo_o_di_sicurezza_dei_pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria; |
| 10) | « grave_incidente_TIC»: un incidente_connesso_alle_TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria; |
| 11) | «grave incidente_operativo_o_di_sicurezza_dei_pagamenti»: un incidente_operativo_o_di_sicurezza_dei_pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti; |
| 12) | « minaccia_informatica»: minaccia_informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 13) | « minaccia_informatica significativa»: una minaccia_informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave_incidente_TIC o un grave incidente_operativo_o_di_sicurezza_dei_pagamenti; |
| 14) | « attacco_informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione; |
| 15) | « analisi_delle_minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente_connesso_alle_TIC o di una minaccia_informatica, compresi i dettagli tecnici dell’ attacco_informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni; |
| 16) | « vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile; |
| 17) | « test_di_penetrazione_guidato_dalla_minaccia_(TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia_informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team); |
| 18) | « rischi_informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi_TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione; |
| 19) | « fornitore_terzo_di_servizi_TIC»: un’impresa che fornisce servizi_TIC; |
| 20) | « fornitore_intra gruppo_di_servizi_TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi_TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune; |
| 21) | « servizi_TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali; |
| 22) | « funzione_essenziale_o_importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari; |
| 23) | «fornitore terzo critico di servizi_TIC»: un fornitore_terzo_di_servizi_TIC designato come critico in conformità dell’articolo 31; |
| 24) | « fornitore_terzo_di_servizi_TIC stabilito in un paese terzo»: un fornitore_terzo_di_servizi_TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC; |
| 25) | « impresa figlia»: impresa figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE; |
| 26) | « gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE; |
| 27) | « impresa_madre»: impresa_madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE; |
| 28) | « subappaltatore_di_TIC_stabilito_in_un_paese_terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore_terzo_di_servizi_TIC o con un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo; |
| 29) | « rischio_di_concentrazione_delle_TIC»: l’esposizione a fornitori terzi critici di servizi_TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione; |
| 30) | « organo_di_gestione»: organo_di_gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale; |
| 31) | « ente_creditizio»: ente_creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32); |
| 32) | « ente_esentato_dalla_direttiva_2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE; |
| 33) | « impresa_di_investimento»: un’ impresa_di_investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE; |
| 34) | « impresa_di_investimento piccola e non interconnessa»: un’ impresa_di_investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33); |
| 35) | « istituto_di_pagamento»: un istituto_di_pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366; |
| 36) | « istituto_di_pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto_di_pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366; |
| 37) | « prestatore_di_servizi_di_informazione_sui_conti»: un prestatore_di_servizi_di_informazione_sui_conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366; |
| 38) | « istituto_di_moneta_elettronica»: un istituto_di_moneta_elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio; |
| 39) | « istituto_di_moneta_elettronica esentato a norma della direttiva 2009/110/CE»: un istituto_di_moneta_elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE; |
| 40) | « controparte_centrale»: una controparte_centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012; |
| 41) | « repertorio_di_dati_sulle_negoziazioni»: un repertorio_di_dati_sulle_negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012; |
| 42) | « depositario_centrale_di_titoli»: un depositario_centrale_di_titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014; |
| 43) | « sede_di_negoziazione»: una sede_di_negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE; |
| 44) | « gestore_di_fondi_di_investimento_alternativi»: un gestore_di_fondi_di_investimento_alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE; |
| 45) | « società_di_gestione»: una società_di_gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE; |
| 46) | « fornitore_di_servizi_di_comunicazione_dati»: un fornitore_di_servizi_di_comunicazione_dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36); |
| 47) | « impresa_di_assicurazione»: impresa_di_assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE; |
| 48) | « impresa_di_riassicurazione»: impresa_di_riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE; |
| 49) | « intermediario_assicurativo»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34); |
| 50) | « intermediario_assicurativo a titolo accessorio»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97; |
| 51) | « intermediario_riassicurativo»: un intermediario_riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97; |
| 52) | « ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341; |
| 53) | «piccolo ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale; |
| 54) | « agenzia_di_rating_del_credito»: un’ agenzia_di_rating_del_credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009; |
| 55) | « fornitore_di_servizi_per_le_cripto-attività»: un fornitore_di_servizi_per_le_cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 56) | « emittente_di_token_collegati_ad_attività»: un emittente_di_token_collegati_ad_attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 57) | « amministratore_di_indici_di_riferimento_critici»: un amministratore_di_indici_di_riferimento_critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011; |
| 58) | « fornitore_di_servizi_di_crowdfunding»: un fornitore_di_servizi_di_crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35); |
| 59) | « repertorio_di_dati_sulle_cartolarizzazioni»: un repertorio_di_dati_sulle_cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36); |
| 60) | « microimpresa»: un’entità finanziaria, diversa da una sede_di_negoziazione, una controparte_centrale, un repertorio_di_dati_sulle_negoziazioni o un depositario_centrale_di_titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR; |
| 61) | « autorità_di_sorveglianza_capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento; |
| 62) | « comitato_congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010; |
| 63) | « piccola_impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR; |
| 64) | « media_impresa»: un’entità finanziaria che non è una piccola_impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR; |
| 65) | « autorità_pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali. |
Articolo 31
Designazione dei fornitori terzi critici di servizi_TIC
1. Le AEV, tramite il comitato_congiunto e su raccomandazione del forum di sorveglianza istituito ai sensi dell’articolo 32, paragrafo 1:
| a) | designano i fornitori terzi di servizi_TIC che sono critici per le entità finanziarie, a seguito di una valutazione che tiene conto dei criteri di cui al paragrafo 2; |
| b) | nominano quale autorità_di_sorveglianza_capofila di ciascun fornitore terzo critico di servizi_TIC la AEV che è responsabile, a norma dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, delle entità finanziarie che possiedono complessivamente la quota maggiore delle attività totali rispetto al valore delle attività totali di tutte le entità finanziarie che utilizzano i servizi del pertinente fornitore terzo critico di servizi_TIC, secondo quanto risulta dalla somma dei singoli bilanci di quelle entità finanziarie. |
2. La designazione di cui al paragrafo 1, lettera a), si fonda su tutti i criteri indicati di seguito in relazione ai servizi_TIC prestati da un fornitore terzo di servizi TIC:
| a) | l’impatto sistemico sulla stabilità, la continuità o la qualità della fornitura di servizi finanziari qualora il fornitore_terzo_di_servizi_TIC pertinente sia interessato da una disfunzione operativa su vasta scala che gli impedisca di fornire i suoi servizi, tenendo conto del numero di entità finanziarie e del valore totale delle attività delle entità finanziarie cui quel fornitore_terzo_di_servizi_TIC presta servizi; |
| b) | il carattere sistemico o l’importanza delle entità finanziarie che dipendono da quel fornitore_terzo_di_servizi_TIC, valutati in conformità dei parametri seguenti:
|
| c) | la dipendenza delle entità finanziarie dai servizi prestati dal pertinente fornitore_terzo_di_servizi_TIC in rapporto alle funzioni essenziali o importanti delle entità finanziarie che in ultima analisi coinvolgono quel medesimo fornitore_terzo_di_servizi_TIC, indipendentemente dal fatto che le entità finanziarie dipendano da tali servizi direttamente o indirettamente, mediante accordi di subappalto; |
| d) | il grado di sostituibilità del fornitore_terzo_di_servizi_TIC, prendendo in considerazione i parametri seguenti:
|
3. Laddove il fornitore_terzo_di_servizi_TIC appartenga a un gruppo, i criteri di cui al paragrafo 2 sono presi in considerazione in relazione ai servizi_TIC prestati dal gruppo nel suo insieme.
4. I fornitori terzi critici di servizi_TIC che fanno parte di un gruppo designano una persona giuridica come punto di coordinamento per garantire un’adeguata rappresentanza e la comunicazione con l’ autorità_di_sorveglianza_capofila.
5. L’ autorità_di_sorveglianza_capofila informa il fornitore_terzo_di_servizi_TIC in merito all’esito della valutazione che ha portato alla designazione di cui al paragrafo 1, lettera a). Entro sei settimane dalla data della notifica, il fornitore_terzo_di_servizi_TIC può presentare all’ autorità_di_sorveglianza_capofila una dichiarazione motivata contenente tutte le informazioni pertinenti ai fini della valutazione. L’ autorità_di_sorveglianza_capofila esamina la dichiarazione motivata e può richiedere ulteriori informazioni da presentare entro 30 giorni di calendario dal ricevimento di detta dichiarazione.
Dopo aver designato un fornitore_terzo_di_servizi_TIC come critico, le AEV, tramite il comitato_congiunto, notificano al fornitore_terzo_di_servizi_TIC tale designazione e la data di inizio a partire dalla quale sarà effettivamente soggetto ad attività di sorveglianza. La data di inizio è fissata a non più di un mese dall’avvenuta notifica. Il fornitore_terzo_di_servizi_TIC notifica alle entità finanziarie a cui presta servizi la propria designazione come critico.
6. Alla Commissione è conferito il potere di adottare un atto delegato, conformemente all’articolo 57, per integrare il presente regolamento specificando ulteriormente i criteri di cui al paragrafo 2 del presente articolo, entro il 17 luglio 2024.
7. Il meccanismo di designazione di cui al paragrafo 1, lettera a), non è utilizzato fino a quando la Commissione non abbia adottato un atto delegato in conformità del paragrafo 6.
8. Il meccanismo di designazione di cui al paragrafo 1, lettera a), non si applica:
| i) | alle entità finanziarie che forniscono servizi_TIC ad altre entità finanziarie; |
| ii) | ai fornitori terzi di servizi_TIC che sono soggetti a quadri di sorveglianza istituiti a supporto dei compiti di cui all’articolo 127, paragrafo 2, del trattato sul funzionamento dell’Unione europea; |
| iii) | ai fornitori intra gruppo di servizi_TIC; |
| iv) | ai fornitori terzi di servizi_TIC che prestano servizi_TIC unicamente in uno Stato membro a entità finanziarie attive solo in tale Stato membro. |
9. Le AEV, tramite il comitato_congiunto, redigono, pubblicano e aggiornano ogni anno l’elenco dei fornitori terzi critici di servizi_TIC a livello di Unione.
10. Ai fini del paragrafo 1, lettera a), le autorità competenti, con cadenza annuale e in forma aggregata, trasmettono le relazioni di cui all’articolo 28, paragrafo 3, terzo comma, al forum di sorveglianza istituito ai sensi dell’articolo 32. Il forum di sorveglianza valuta la dipendenza delle entità finanziarie da terzi nel settore delle TIC sulla base delle informazioni ricevute dalle autorità competenti.
11. I fornitori terzi di servizi_TIC che non sono inseriti nell’elenco di cui al paragrafo 9 possono chiedere di essere designati come critici conformemente al paragrafo 1, lettera a).
Ai fini del primo comma, il fornitore_terzo_di_servizi_TIC presenta una domanda motivata all’ABE, all’ESMA o all’EIOPA; queste ultime, tramite il comitato_congiunto, decidono se designare tale fornitore_terzo_di_servizi_TIC come critico conformemente al paragrafo 1, lettera a).
La decisione di cui al secondo comma è adottata e notificata al fornitore_terzo_di_servizi_TIC entro sei mesi dalla data in cui è stata ricevuta la domanda.
12. Le entità finanziarie ricorrono ai servizi di un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo e che è stato designato come critico conformemente al paragrafo 1, lettera a), soltanto se detto fornitore ha istituito un’ impresa figlia nell’Unione entro 12 mesi dalla designazione.
13. Il fornitore terzo critico di servizi_TIC di cui al paragrafo 12 notifica all’ autorità_di_sorveglianza_capofila eventuali cambiamenti nella struttura gestionale dell’ impresa figlia istituita nell’Unione.
Articolo 36
Esercizio dei poteri dell’ autorità_di_sorveglianza_capofila al di fuori dell’Unione
1. Qualora gli obiettivi di sorveglianza non possano essere conseguiti interagendo con l’ impresa figlia istituita ai fini dell’articolo 31, paragrafo 12, o esercitando attività di sorveglianza in locali situati nell’Unione, l’ autorità_di_sorveglianza_capofila può esercitare i poteri, di cui alle disposizioni seguenti, in qualsiasi locale situato in un paese terzo che sia posseduto, o utilizzato in qualsiasi modo, ai fini della fornitura di servizi a entità finanziarie dell’Unione da parte di un fornitore terzo critico di servizi di TIC, riguardo alle relative operazioni commerciali, funzioni o servizi, compresi eventuali uffici amministrativi, commerciali o operativi, locali, terreni, edifici o altre proprietà:
| a) | articolo 35, paragrafo 1, lettera a); e |
| b) | articolo 35, paragrafo 1, lettera b), conformemente all’articolo 38, paragrafo 2, lettere a), b) e d), e all’articolo 39, paragrafi 1 e 2, lettera a). |
I poteri di cui al primo comma possono essere esercitati alle condizioni seguenti:
| i) | lo svolgimento di un’ispezione in un paese terzo è ritenuto necessario dall’ autorità_di_sorveglianza_capofila per consentirle di svolgere pienamente ed efficacemente i propri compiti ai sensi del presente regolamento; |
| ii) | l’ispezione in un paese terzo è direttamente connessa alla fornitura di servizi_TIC a entità finanziarie nell’Unione; |
| iii) | il fornitore terzo critico di servizi_TIC interessato acconsente allo svolgimento di un’ispezione in un paese terzo; nonché |
| iv) | l’autorità pertinente del paese terzo interessato è stata ufficialmente informata dall’ autorità_di_sorveglianza_capofila e non ha sollevato obiezioni al riguardo. |
2. Fatte salve le rispettive competenze delle istituzioni dell’Unione e degli Stati membri, ai fini del paragrafo 1, l’ABE, l’ESMA o l’EIOPA concludono accordi di cooperazione amministrativa con l’autorità pertinente del paese terzo al fine di consentire il regolare svolgimento delle ispezioni nel paese terzo interessato da parte dell’ autorità_di_sorveglianza_capofila e del gruppo designato per la sua missione in tale paese terzo. Tali accordi di cooperazione non creano obblighi giuridici per l’Unione e i suoi Stati membri, né impediscono agli Stati membri e alle loro autorità competenti di concludere accordi bilaterali o multilaterali con tali paesi terzi e le loro autorità pertinenti.
Tali accordi di cooperazione specificano almeno gli elementi seguenti:
| a) | le procedure per il coordinamento delle attività di sorveglianza svolte a norma del presente regolamento e qualsiasi analogo monitoraggio dei rischi_informatici derivanti da terzi nel settore finanziario esercitato dall’autorità pertinente del paese terzo interessato, comprese le modalità di trasmissione dell’accordo di quest’ultimo al fine di consentire all’ autorità_di_sorveglianza_capofila e al suo gruppo designato di svolgere le indagini generali e le ispezioni in loco di cui al paragrafo 1, primo comma, nel territorio sotto la sua giurisdizione; |
| b) | il meccanismo per la trasmissione di tutte le informazioni pertinenti tra l’ABE, l’ESMA o l’EIOPA e l’autorità pertinente del paese terzo interessato, in particolare in relazione alle informazioni che possono essere richieste dall’ autorità_di_sorveglianza_capofila a norma dell’articolo 37; |
| c) | i meccanismi per la tempestiva notifica, da parte dell’autorità pertinente del paese terzo interessato all’ABE, all’ESMA o all’EIOPA, dei casi in cui si ritiene che un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo e designato come critico ai sensi dell’articolo 31, paragrafo 1, lettera a), abbia violato gli obblighi ai quali è tenuto a norma del diritto applicabile del paese terzo interessato quando fornisce servizi a enti finanziari in tale paese terzo, nonché i mezzi di ricorso e le penalità applicate; |
| d) | la trasmissione periodica di aggiornamenti sugli sviluppi normativi o di vigilanza sul monitoraggio dei rischi_informatici derivanti da terzi degli enti finanziari nel paese terzo interessato; |
| e) | i dettagli per consentire, se necessario, la partecipazione di un rappresentante dell’autorità pertinente del paese terzo alle ispezioni condotte dall’ autorità_di_sorveglianza_capofila e dal gruppo designato. |
3. Quando l’ autorità_di_sorveglianza_capofila non è in grado di svolgere le attività di sorveglianza, al di fuori dell’Unione, di cui ai paragrafi 1 e 2, l’ autorità_di_sorveglianza_capofila:
| a) | esercita i poteri di cui all’articolo 35 sulla base di tutti i fatti e di tutti i documenti di cui dispone; |
| b) | documenta e spiega le eventuali conseguenze della sua incapacità di svolgere le attività di sorveglianza previste di cui al presente articolo. |
Le potenziali conseguenze di cui alla lettera b) del presente comma sono prese in considerazione nelle raccomandazioni dell’ autorità_di_sorveglianza_capofila emesse a norma dell’articolo 35, paragrafo 1, lettera d).
Articolo 58
Clausola di riesame
1. Entro il 17 gennaio 2028, la Commissione, dopo aver consultato le AEV e il CERS, a seconda dei casi, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa. Il riesame comprende almeno:
| a) | i criteri per la designazione dei fornitori terzi critici di servizi_TIC, di cui all’articolo 31, paragrafo 2; |
| b) | il carattere volontario della notifica di minacce informatiche significative di cui all’articolo 19; |
| c) | il regime di cui all’articolo 31, paragrafo 12, e i poteri dell’ autorità_di_sorveglianza_capofila di cui all’articolo 35, paragrafo 1, lettera d ), punto iv), primo trattino, al fine di valutare l’efficacia di tali disposizioni per quanto riguarda la garanzia di una sorveglianza efficace dei fornitori terzi critici di servizi_TIC stabiliti in un paese terzo e la necessità di istituire un’ impresa figlia nell’Unione. Ai fini del primo comma della presente lettera, il riesame comprende un’analisi del regime di cui all’articolo 31, paragrafo 12, comprese le condizioni di accesso delle entità finanziarie dell’Unione ai servizi di paesi terzi e la disponibilità di tali servizi sul mercato dell’Unione, e tiene conto degli ulteriori sviluppi nei mercati dei servizi disciplinati dal presente regolamento, dell’esperienza pratica delle entità finanziarie e delle autorità di vigilanza finanziaria per quanto riguarda l’applicazione e, rispettivamente, la vigilanza di tale regime e di eventuali sviluppi pertinenti in materia di regolamentazione e vigilanza a livello internazionale; |
| d) | se sia opportuno includere nell’ambito di applicazione del presente regolamento le entità finanziarie di cui all’articolo 2, paragrafo 3, lettera e), che utilizzano sistemi di vendita automatizzata, alla luce dei futuri sviluppi del mercato sull’uso di tali sistemi; |
| e) | il funzionamento e l’efficacia della rete di sorveglianza comune in termini di sostegno alla coerenza della sorveglianza e all’efficienza dello scambio di informazioni nell’ambito del quadro di sorveglianza. |
2. Nel contesto del riesame della direttiva (UE) 2015/2366, la Commissione valuta la necessità di una maggiore ciberresilienza dei sistemi di pagamento e delle attività di trattamento dei pagamenti e se sia opportuno ampliare l’ambito di applicazione del presente regolamento agli operatori dei sistemi di pagamento e alle entità coinvolte nelle attività di trattamento dei pagamenti. Alla luce di tale valutazione, la Commissione presenta, nell’ambito del riesame della direttiva (UE) 2015/2366, una relazione al Parlamento europeo e al Consiglio e entro il 17 luglio 2023.
Sulla base di tale relazione di riesame e previa consultazione delle AEV, della BCE e del CERS, la Commissione può presentare, se del caso e nell’ambito della proposta legislativa che può adottare a norma dell’articolo 108, secondo comma, della direttiva (UE) 2015/2366, una proposta volta a garantire che tutti gli operatori dei sistemi di pagamento e le entità coinvolte nelle attività di trattamento dei pagamenti siano soggetti a un’adeguata sorveglianza, tenendo conto nel contempo dell’esistente sorveglianza da parte delle banche centrali.
3. Entro il 17 gennaio 2026, la Commissione, dopo aver consultato le AEV e il comitato degli organismi europei di controllo delle attività di revisione contabile, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa sull’opportunità di rafforzare i requisiti per i revisori legali e le imprese di revisione contabile per quanto riguarda la resilienza_operativa_digitale, mediante l’inclusione dei revisori legali e delle imprese di revisione contabile nell’ambito di applicazione del presente regolamento o mediante modifiche della direttiva 2006/43/CE del Parlamento europeo e del Consiglio (39).
whereas