keyboard_tab DORA 2022/2554 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 6 Art. 3 Definizioni
- 1 Art. 19 Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative
- 1 Art. 20 Armonizzazione dei modelli e dei contenuti per la segnalazione
CAPO I
Disposizioni generali
CAPO II
Gestione dei rischi informatici
Sezione I
Sezione II
CAPO III
Gestione, classificazione e segnalazione degli incidenti informatici
CAPO IV
Test di resilienza operativa digitale
CAPO V
Gestione dei rischi informatici derivanti da terzi
Sezione I
Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi
Sezione II
Quadro di sorveglianza dei fornitori terzi critici di servizi TIC
CAPO VI
Meccanismi di condivisione delle informazioni
CAPO VII
Autorità competenti
CAPO VIII
Atti delegati
CAPO IX
Disposizioni transitorie e finali
Sezione I
Sezione II
Modifiche
- resilienza operativa digitale
- sistema informatico e di rete
- sistema legacy
- sicurezza dei sistemi informatici e di rete
- rischi informatici
- patrimonio informativo
- risorse TIC
- incidente connesso alle TIC
- incidente operativo o di sicurezza dei pagamenti
- grave incidente TIC
- grave incidente operativo o di sicurezza dei pagamenti
- minaccia informatica
- minaccia informatica significativa
- attacco informatico
- analisi delle minacce
- vulnerabilità
- test di penetrazione guidato dalla minaccia (TLPT)
- rischi informatici TIC derivanti da terzi
- fornitore terzo di servizi TIC
- fornitore intragruppo di servizi TIC
- servizi TIC
- funzione essenziale o importante
- fornitore terzo critico di servizi TIC
- fornitore terzo di servizi TIC stabilito in un paese terzo
- impresa figlia
- gruppo
- impresa madre
- subappaltatore di TIC stabilito in un paese terzo
- rischio di concentrazione delle TIC
- organo di gestione
- ente creditizio
- ente esentato dalla direttiva 2013/36/UE
- impresa di investimento
- impresa di investimento piccola e non interconnessa
- istituto di pagamento
- istituto di pagamento esentato a norma della direttiva (UE) 2015/2366
- prestatore di servizi di informazione sui conti
- istituto di moneta elettronica
- istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE
- controparte centrale
- repertorio di dati sulle negoziazioni
- depositario centrale di titoli
- sede di negoziazione
- gestore di fondi di investimento alternativi
- società di gestione
- fornitore di servizi di comunicazione dati
- impresa di assicurazione
- impresa di riassicurazione
- intermediario assicurativo
- intermediario assicurativo a titolo accessorio
- intermediario riassicurativo
- ente pensionistico aziendale o professionale
- piccolo ente pensionistico aziendale o professionale
- agenzia di rating del credito
- fornitore di servizi per le cripto-attività
- emittente di token collegati ad attività
- amministratore di indici di riferimento critici
- fornitore di servizi di crowdfunding
- repertorio di dati sulle cartolarizzazioni
- microimpresa
- autorità di sorveglianza capofila
- comitato congiunto
- piccola impresa
- media impresa
- autorità pubblica
- 1. Le CCP adottano, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendenti una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC predisposti e attuati in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi della CCP.
- 3. Al fine di garantire l’applicazione coerente del presente articolo, l’ESMA, previa consultazione dei membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare il contenuto minimo e i requisiti della politica di continuità operativa e del piano di ripristino in caso di disastro, con l’esclusione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC.
- 3. Per assicurare l’applicazione uniforme del presente articolo, l’ESMA elabora progetti di norme tecniche di regolamentazione che specifichino, tranne che per i requisiti in materia di gestione dei rischi informatici, i dettagli della domanda di registrazione di cui al paragrafo 1.
- 6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi informatici.
- 7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.
- 5. I CTP rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- 3. Gli ARM rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- all’articolo 74
- direttiva 61
- punto 53
- paragrafo 52
- regolamento 42
- finanziaria 40
- definito 32
- n / 30
- dell’articolo 28
- servizi 25
- entità 23
- //ue 22
- minaccia 21
- sensi 20
- finanziarie 19
- un’entità 17
- competente 17
- notifica 17
- norma 16
- europeo 16
- parlamento 15
- definita 14
- consiglio 13
- informatica 13
- fornitore_terzo_di_servizi_tic 12
- presente 12
- annuo 12
- dell’entità 12
- //ce 12
- tecniche 11
- meno 11
- autorità 11
- funzioni 10
- connessi 10
- sistema 10
- dall’entità 10
- sistemi 10
- servizi_tic 10
- fornitori 10
- grave_incidente_tic 9
- pertinente 9
- impatto 9
- lettera b 9
- informazioni 9
- all’autorità 9
- finanziari 9
- relazione 9
- superiore 8
- avverso 8
- primo 8
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « resilienza_operativa_digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi_TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza_dei_sistemi_informatici_e_di_rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni; |
| 2) | « sistema_informatico_e_di_rete»: un sistema_informatico_e_di_rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555; |
| 3) | « sistema_legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore_terzo_di_servizi_TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria; |
| 4) | « sicurezza_dei_sistemi_informatici_e_di_rete»: la sicurezza_dei_sistemi_informatici_e_di_rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555; |
| 5) | « rischi_informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza_dei_sistemi_informatici_e_di_rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico; |
| 6) | « patrimonio_informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere; |
| 7) | « risorse_TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria; |
| 8) | « incidente_connesso_alle_TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza_dei_sistemi_informatici_e_di_rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria; |
| 9) | « incidente_operativo_o_di_sicurezza_dei_pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria; |
| 10) | « grave_incidente_TIC»: un incidente_connesso_alle_TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria; |
| 11) | «grave incidente_operativo_o_di_sicurezza_dei_pagamenti»: un incidente_operativo_o_di_sicurezza_dei_pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti; |
| 12) | « minaccia informatica»: minaccia informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 13) | « minaccia informatica significativa»: una minaccia informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave_incidente_TIC o un grave incidente_operativo_o_di_sicurezza_dei_pagamenti; |
| 14) | « attacco_informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione; |
| 15) | « analisi_delle_minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente_connesso_alle_TIC o di una minaccia informatica, compresi i dettagli tecnici dell’ attacco_informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni; |
| 16) | « vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile; |
| 17) | « test_di_penetrazione_guidato_dalla_minaccia_(TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team); |
| 18) | « rischi_informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi_TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione; |
| 19) | « fornitore_terzo_di_servizi_TIC»: un’impresa che fornisce servizi_TIC; |
| 20) | « fornitore_intra gruppo_di_servizi_TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi_TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune; |
| 21) | « servizi_TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali; |
| 22) | « funzione_essenziale_o_importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari; |
| 23) | «fornitore terzo critico di servizi_TIC»: un fornitore_terzo_di_servizi_TIC designato come critico in conformità dell’articolo 31; |
| 24) | « fornitore_terzo_di_servizi_TIC stabilito in un paese terzo»: un fornitore_terzo_di_servizi_TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC; |
| 25) | « impresa_figlia»: impresa_figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE; |
| 26) | « gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE; |
| 27) | « impresa_madre»: impresa_madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE; |
| 28) | « subappaltatore_di_TIC_stabilito_in_un_paese_terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore_terzo_di_servizi_TIC o con un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo; |
| 29) | « rischio_di_concentrazione_delle_TIC»: l’esposizione a fornitori terzi critici di servizi_TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione; |
| 30) | « organo_di_gestione»: organo_di_gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale; |
| 31) | « ente_creditizio»: ente_creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32); |
| 32) | « ente_esentato_dalla_direttiva_2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE; |
| 33) | « impresa_di_investimento»: un’ impresa_di_investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE; |
| 34) | « impresa_di_investimento piccola e non interconnessa»: un’ impresa_di_investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33); |
| 35) | « istituto_di_pagamento»: un istituto_di_pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366; |
| 36) | « istituto_di_pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto_di_pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366; |
| 37) | « prestatore_di_servizi_di_informazione_sui_conti»: un prestatore_di_servizi_di_informazione_sui_conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366; |
| 38) | « istituto_di_moneta_elettronica»: un istituto_di_moneta_elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio; |
| 39) | « istituto_di_moneta_elettronica esentato a norma della direttiva 2009/110/CE»: un istituto_di_moneta_elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE; |
| 40) | « controparte_centrale»: una controparte_centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012; |
| 41) | « repertorio_di_dati_sulle_negoziazioni»: un repertorio_di_dati_sulle_negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012; |
| 42) | « depositario_centrale_di_titoli»: un depositario_centrale_di_titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014; |
| 43) | « sede_di_negoziazione»: una sede_di_negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE; |
| 44) | « gestore_di_fondi_di_investimento_alternativi»: un gestore_di_fondi_di_investimento_alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE; |
| 45) | « società_di_gestione»: una società_di_gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE; |
| 46) | « fornitore_di_servizi_di_comunicazione_dati»: un fornitore_di_servizi_di_comunicazione_dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36); |
| 47) | « impresa_di_assicurazione»: impresa_di_assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE; |
| 48) | « impresa_di_riassicurazione»: impresa_di_riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE; |
| 49) | « intermediario_assicurativo»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34); |
| 50) | « intermediario_assicurativo a titolo accessorio»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97; |
| 51) | « intermediario_riassicurativo»: un intermediario_riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97; |
| 52) | « ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341; |
| 53) | «piccolo ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale; |
| 54) | « agenzia_di_rating_del_credito»: un’ agenzia_di_rating_del_credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009; |
| 55) | « fornitore_di_servizi_per_le_cripto-attività»: un fornitore_di_servizi_per_le_cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 56) | « emittente_di_token_collegati_ad_attività»: un emittente_di_token_collegati_ad_attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 57) | « amministratore_di_indici_di_riferimento_critici»: un amministratore_di_indici_di_riferimento_critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011; |
| 58) | « fornitore_di_servizi_di_crowdfunding»: un fornitore_di_servizi_di_crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35); |
| 59) | « repertorio_di_dati_sulle_cartolarizzazioni»: un repertorio_di_dati_sulle_cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36); |
| 60) | « microimpresa»: un’entità finanziaria, diversa da una sede_di_negoziazione, una controparte_centrale, un repertorio_di_dati_sulle_negoziazioni o un depositario_centrale_di_titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR; |
| 61) | « autorità_di_sorveglianza_capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento; |
| 62) | « comitato_congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010; |
| 63) | « piccola_impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR; |
| 64) | « media_impresa»: un’entità finanziaria che non è una piccola_impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR; |
| 65) | « autorità_pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali. |
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « resilienza_operativa_digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi_TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza_dei_sistemi_informatici_e_di_rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni; |
| 2) | « sistema_informatico_e_di_rete»: un sistema_informatico_e_di_rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555; |
| 3) | « sistema_legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore_terzo_di_servizi_TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria; |
| 4) | « sicurezza_dei_sistemi_informatici_e_di_rete»: la sicurezza_dei_sistemi_informatici_e_di_rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555; |
| 5) | « rischi_informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza_dei_sistemi_informatici_e_di_rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico; |
| 6) | « patrimonio_informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere; |
| 7) | « risorse_TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria; |
| 8) | « incidente_connesso_alle_TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza_dei_sistemi_informatici_e_di_rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria; |
| 9) | « incidente_operativo_o_di_sicurezza_dei_pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria; |
| 10) | « grave_incidente_TIC»: un incidente_connesso_alle_TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria; |
| 11) | «grave incidente_operativo_o_di_sicurezza_dei_pagamenti»: un incidente_operativo_o_di_sicurezza_dei_pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti; |
| 12) | « minaccia informatica»: minaccia informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 13) | « minaccia informatica significativa»: una minaccia informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave_incidente_TIC o un grave incidente_operativo_o_di_sicurezza_dei_pagamenti; |
| 14) | « attacco_informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione; |
| 15) | « analisi_delle_minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente_connesso_alle_TIC o di una minaccia informatica, compresi i dettagli tecnici dell’ attacco_informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni; |
| 16) | « vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile; |
| 17) | « test_di_penetrazione_guidato_dalla_minaccia_(TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team); |
| 18) | « rischi_informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi_TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione; |
| 19) | « fornitore_terzo_di_servizi_TIC»: un’impresa che fornisce servizi_TIC; |
| 20) | « fornitore_intra gruppo_di_servizi_TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi_TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune; |
| 21) | « servizi_TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali; |
| 22) | « funzione_essenziale_o_importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari; |
| 23) | «fornitore terzo critico di servizi_TIC»: un fornitore_terzo_di_servizi_TIC designato come critico in conformità dell’articolo 31; |
| 24) | « fornitore_terzo_di_servizi_TIC stabilito in un paese terzo»: un fornitore_terzo_di_servizi_TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC; |
| 25) | « impresa_figlia»: impresa_figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE; |
| 26) | « gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE; |
| 27) | « impresa_madre»: impresa_madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE; |
| 28) | « subappaltatore_di_TIC_stabilito_in_un_paese_terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore_terzo_di_servizi_TIC o con un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo; |
| 29) | « rischio_di_concentrazione_delle_TIC»: l’esposizione a fornitori terzi critici di servizi_TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione; |
| 30) | « organo_di_gestione»: organo_di_gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale; |
| 31) | « ente_creditizio»: ente_creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32); |
| 32) | « ente_esentato_dalla_direttiva_2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE; |
| 33) | « impresa_di_investimento»: un’ impresa_di_investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE; |
| 34) | « impresa_di_investimento piccola e non interconnessa»: un’ impresa_di_investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33); |
| 35) | « istituto_di_pagamento»: un istituto_di_pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366; |
| 36) | « istituto_di_pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto_di_pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366; |
| 37) | « prestatore_di_servizi_di_informazione_sui_conti»: un prestatore_di_servizi_di_informazione_sui_conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366; |
| 38) | « istituto_di_moneta_elettronica»: un istituto_di_moneta_elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio; |
| 39) | « istituto_di_moneta_elettronica esentato a norma della direttiva 2009/110/CE»: un istituto_di_moneta_elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE; |
| 40) | « controparte_centrale»: una controparte_centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012; |
| 41) | « repertorio_di_dati_sulle_negoziazioni»: un repertorio_di_dati_sulle_negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012; |
| 42) | « depositario_centrale_di_titoli»: un depositario_centrale_di_titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014; |
| 43) | « sede_di_negoziazione»: una sede_di_negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE; |
| 44) | « gestore_di_fondi_di_investimento_alternativi»: un gestore_di_fondi_di_investimento_alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE; |
| 45) | « società_di_gestione»: una società_di_gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE; |
| 46) | « fornitore_di_servizi_di_comunicazione_dati»: un fornitore_di_servizi_di_comunicazione_dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36); |
| 47) | « impresa_di_assicurazione»: impresa_di_assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE; |
| 48) | « impresa_di_riassicurazione»: impresa_di_riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE; |
| 49) | « intermediario_assicurativo»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34); |
| 50) | « intermediario_assicurativo a titolo accessorio»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97; |
| 51) | « intermediario_riassicurativo»: un intermediario_riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97; |
| 52) | « ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341; |
| 53) | «piccolo ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale; |
| 54) | « agenzia_di_rating_del_credito»: un’ agenzia_di_rating_del_credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009; |
| 55) | « fornitore_di_servizi_per_le_cripto-attività»: un fornitore_di_servizi_per_le_cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 56) | « emittente_di_token_collegati_ad_attività»: un emittente_di_token_collegati_ad_attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 57) | « amministratore_di_indici_di_riferimento_critici»: un amministratore_di_indici_di_riferimento_critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011; |
| 58) | « fornitore_di_servizi_di_crowdfunding»: un fornitore_di_servizi_di_crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35); |
| 59) | « repertorio_di_dati_sulle_cartolarizzazioni»: un repertorio_di_dati_sulle_cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36); |
| 60) | « microimpresa»: un’entità finanziaria, diversa da una sede_di_negoziazione, una controparte_centrale, un repertorio_di_dati_sulle_negoziazioni o un depositario_centrale_di_titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR; |
| 61) | « autorità_di_sorveglianza_capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento; |
| 62) | « comitato_congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010; |
| 63) | « piccola_impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR; |
| 64) | « media_impresa»: un’entità finanziaria che non è una piccola_impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR; |
| 65) | « autorità_pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali. |
Articolo 19
Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative
1. Le entità finanziarie segnalano gli gravi incidenti TIC all’autorità competente interessata di cui all’articolo 46 a norma del paragrafo 4 del presente articolo.
Se un’entità finanziaria è soggetta alla vigilanza di più di un’autorità nazionale competente di cui all’articolo 46, gli Stati membri designano un’unica autorità competente quale autorità competente interessata responsabile dell’espletamento delle funzioni e dei compiti di cui al presente articolo.
Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 segnalano i gravi incidenti TIC all’autorità nazionale competente designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente tale segnalazione alla BCE.
Ai fini del primo comma, le entità finanziarie redigono, dopo aver raccolto e analizzato tutte le informazioni pertinenti, la notifica iniziale e le relazioni di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 e le trasmettono all’autorità competente. Qualora un impedimento tecnico non consenta la trasmissione della notifica iniziale utilizzando il modello, le entità finanziarie informano in merito l’autorità competente con mezzi alternativi.
La notifica iniziale e le relazioni di cui al paragrafo 4 contengono tutte le informazioni necessarie all’autorità competente per determinare la rilevanza dell’ grave_incidente_TIC e valutarne i possibili impatti transfrontalieri.
Fatta salva la segnalazione a norma del primo comma da parte dell’entità finanziaria all’autorità competente interessata, gli Stati membri possono stabilire, in aggiunta, che alcune o tutte le entità finanziarie forniscano altresì la notifica iniziale e ciascuna relazione di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 alle autorità competenti o ai gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — CSIRT) designati o istituiti a norma della direttiva (UE) 2022/2555.
2. Le entità finanziarie possono, su base volontaria, notificare le minacce informatiche significative all’autorità competente interessata qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. L’autorità competente interessata può fornire tali informazioni alle altre autorità pertinenti di cui al paragrafo 6.
Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 possono notificare, su base volontaria, le minacce informatiche significative all’autorità nazionale competente, designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente la notifica alla BCE.
Gli Stati membri possono stabilire che le entità finanziarie che procedono alla notifica su base volontaria e a norma del primo comma possano altresì trasmettere tale notifica ai CSIRT nazionali designati o istituiti a norma della direttiva (UE) 2022/2555.
3. Qualora si verifichi un grave_incidente_TIC che eserciti un impatto sugli interessi finanziari dei clienti, le entità finanziarie, senza indebito ritardo e non appena ne vengono a conoscenza, informano i loro clienti in merito a tale incidente e alle misure che sono state adottate per attenuare gli effetti avversi dell’incidente.
In caso di minaccia informatica significativa, le entità finanziarie, se del caso, informano i loro clienti potenzialmente interessati in merito alle opportune misure di protezione che i clienti stessi possono prendere in considerazione.
4. Entro i termini da fissare a norma dell’articolo 20, primo comma, lettera a), punto ii), le entità finanziarie trasmettono all’autorità competente interessata:
| a) | una notifica iniziale; |
| b) | una relazione intermedia dopo la notifica iniziale di cui alla lettera a), non appena lo stato originario dell’incidente cambia in maniera significativa o il trattamento dell’ grave_incidente_TIC cambia alla luce delle nuove informazioni disponibili, seguita, a seconda dei casi, da notifiche aggiornate, ogni qualvolta sia disponibile un aggiornamento della situazione, nonché su specifica richiesta dell’autorità competente; |
| c) | una relazione finale, quando l’analisi delle cause che hanno dato origine all’incidente sia stata completata, indipendentemente dal fatto che le misure di attenuazione siano già state attuate, e quando al posto delle stime siano disponibili i dati dell’impatto effettivo. |
5. Ai sensi del presente articolo, le entità finanziarie possono esternalizzare, conformemente al diritto settoriale dell’Unione e nazionale, gli obblighi di segnalazione a un fornitore terzo di servizi. In caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di espletare gli obblighi di segnalazione degli incidenti.
6. Dopo aver ricevuto la notifica iniziale e ciascuna delle relazioni di cui al paragrafo 4, l’autorità competente trasmette tempestivamente i dettagli dell’ grave_incidente_TIC ai seguenti destinatari sulla base, ove applicabile, delle rispettive competenze:
| a) | all’ABE, all’ESMA o all’EIOPA; |
| b) | alla BCE, qualora siano coinvolte le entità finanziarie di cui all’articolo 2, paragrafo 1, lettere a), b) e d); |
| c) | alle autorità competenti, ai punti di contatto unici o ai CSIRT designati o istituiti conformemente alla direttiva (UE) 2022/2555; |
| d) | alle autorità di risoluzione di cui all’articolo 3 della direttiva 2014/59/UE e al Comitato di risoluzione unico (SRB) per quanto riguarda le entità di cui all’articolo 7, paragrafo 2, del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio (37) nonché le entità e i gruppi di cui all’articolo 7, paragrafo 4, lettera b), e all’articolo 7, paragrafo 5, del regolamento (UE) n. 806/2014, qualora tali dettagli riguardino incidenti che comportano un rischio per le funzioni essenziali definite all’articolo 2, paragrafo 1, punto 35), della direttiva 2014/59/UE; e |
| e) | ad altre pertinenti autorità pubbliche ai sensi del diritto nazionale. |
7. Una volta ricevute le informazioni conformemente al paragrafo 6, l’ABE, l’ESMA o l’EIOPA e la BCE, in consultazione con l’ENISA e in collaborazione con l’autorità competente interessata, valutano la pertinenza dell’ grave_incidente_TIC rispetto alle autorità competenti in altri Stati membri. A seguito di tale valutazione, l’ABE, l’ESMA o l’EIOPA inviano una notifica al riguardo il prima possibile alle autorità competenti interessate in altri Stati membri. La BCE notifica i membri del Sistema europeo di banche centrali in merito a questioni afferenti il sistema di pagamenti. Sulla base di tale notifica, le autorità competenti adottano, se del caso, tutte le misure necessarie per proteggere l’immediata stabilità del sistema finanziario.
8. La notifica che l’ESMA deve effettuare a norma del paragrafo 7 del presente articolo lascia impregiudicata la responsabilità dell’autorità competente di trasmettere urgentemente i dettagli dell’ grave_incidente_TIC all’autorità pertinente dello Stato membro ospitante, laddove uno dei depositari centrali di titoli svolga una cospicua attività transfrontaliera nello Stato membro ospitante, laddove l’incidente grave connesso alle TIC possa comportare serie conseguenze per i mercati finanziari dello Stato membro ospitante e laddove vi siano accordi di cooperazione tra le autorità competenti in relazione alla vigilanza delle entità finanziarie.
Articolo 20
Armonizzazione dei modelli e dei contenuti per la segnalazione
In consultazione con l’ENISA e la BCE, le AEV, tramite il comitato_congiunto, elaborano quanto segue:
| a) | progetti di norme tecniche di regolamentazione comuni per:
All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni, in particolare al fine di garantire che, ai fini della lettera a), punto ii) del presente comma, termini differenti possano rispecchiare, se del caso, alcune specificità dei settori finanziari, fatto salvo il mantenimento di un approccio coerente alla segnalazione degli incidenti connessi alle TIC a norma del presente regolamento e della direttiva (UE) 2022/2555. Se del caso, le AEV forniscono una giustificazione quando si discostano dagli approcci adottati nel contesto di tale direttiva; |
| b) | progetti di norme tecniche di attuazione comuni per stabilire i formati, i modelli e le procedure standard con cui le entità finanziarie devono segnalare un grave_incidente_TIC e notificare una minaccia informatica significativa. |
Le AEV trasmettono alla Commissione i progetti di norme tecniche di regolamentazione comuni di cui al primo comma, lettera a), e i progetti di norme tecniche di attuazione comuni di cui al primo comma, lettera b), entro il 17 luglio 2024.
Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione comuni di cui al primo comma, lettera a), in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010.
Alla Commissione è conferito il potere di adottare le norme tecniche di attuazione comuni di cui al primo comma, lettera b), in conformità dell’articolo 15 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.
whereas