keyboard_tab DORA 2022/2554 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Oggetto
- Art. 2 Ambito di applicazione
- Art. 3 Definizioni
- Art. 4 Principio di proporzionalità
- Art. 5 Governance e organizzazione
- Art. 6 Quadro per la gestione dei rischi informatici
- Art. 7 Sistemi, protocolli e strumenti di TIC
- Art. 8 Identificazione
- Art. 9 Protezione e prevenzione
- Art. 10 Individuazione
- Art. 11 Risposta e ripristino
- Art. 12 Politiche e procedure di backup — Procedure e metodi di ripristino e recupero
- Art. 13 Apprendimento ed evoluzione
- Art. 14 Comunicazione
- Art. 15 Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico
- Art. 16 Quadro semplificato per la gestione dei rischi informatici
- Art. 17 Processo di gestione degli incidenti connessi alle TIC
- Art. 18 Classificazione degli incidenti connessi alle TIC e delle minacce informatiche
- Art. 19 Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative
- Art. 20 Armonizzazione dei modelli e dei contenuti per la segnalazione
- Art. 21 Centralizzazione delle segnalazioni di incidenti gravi connessi alle TIC
- Art. 22 Riscontri forniti dalle autorità di vigilanza
- Art. 23 Incidenti operativi o relativi alla sicurezza dei pagamenti riguardanti enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti e istituti di moneta elettronica
- Art. 24 Requisiti generali per lo svolgimento dei test di resilienza operativa digitale
- Art. 25 Test di strumenti e sistemi di TIC
- Art. 26 Test avanzati di strumenti, sistemi e processi di TIC basati su test di penetrazione guidati dalla minaccia (TLPT)
- Art. 27 Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT
- Art. 28 Principi generali
- Art. 29 Valutazione preliminare del rischio di concentrazione delle TIC a livello di entità
- Art. 30 Principali disposizioni contrattuali
- Art. 31 Designazione dei fornitori terzi critici di servizi TIC
- Art. 32 Struttura del quadro di sorveglianza
- Art. 33 Compiti dell’autorità di sorveglianza capofila
- Art. 34 Coordinamento operativo tra autorità di sorveglianza capofila
- Art. 35 Poteri dell’autorità di sorveglianza capofila
- Art. 36 Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione
- Art. 37 Richiesta di informazioni
- Art. 38 Indagini generali
- Art. 39 Ispezioni
- Art. 40 Sorveglianza nel continuo
- Art. 41 Armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza
- Art. 42 Seguito dato dalle autorità competenti
- Art. 43 Commissioni per le attività di sorveglianza
- Art. 44 Cooperazione internazionale
- Art. 45 Meccanismi di condivisione delle informazioni e delle analisi delle minacce informatiche
- Art. 46 Autorità competenti
- Art. 47 Cooperazione con le strutture e le autorità istituite dalla direttiva (UE) 2022/2555
- Art. 48 Cooperazione tra autorità
- Art. 49 Comunicazione, cooperazione e attività finanziarie intersettoriali
- Art. 50 Sanzioni amministrative e misure di riparazione
- Art. 51 Esercizio del potere di imporre sanzioni amministrative e misure di riparazione
- Art. 52 Sanzioni penali
- Art. 53 Obblighi di notifica
- Art. 54 Pubblicazione delle sanzioni amministrative
- Art. 55 Segreto professionale
- Art. 56 Protezione dei dati
- Art. 57 Esercizio della delega
- Art. 58 Clausola di riesame
- Art. 59 Modifiche del regolamento (CE) n. 1060/2009
- Art. 60 Modifiche del regolamento (UE) n. 648/2012
- Art. 61 Modifiche del regolamento (UE) n. 909/2014
- Art. 62 Modifiche del regolamento (UE) n. 600/2014
- Art. 63 Modifiche del regolamento (UE) 2016/1011
- Articolo 64 Entrata in vigore e applicazione
CAPO I
Disposizioni generali
CAPO II
Gestione dei rischi informatici
Sezione I
Sezione II
CAPO III
Gestione, classificazione e segnalazione degli incidenti informatici
CAPO IV
Test di resilienza operativa digitale
CAPO V
Gestione dei rischi informatici derivanti da terzi
Sezione I
Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi
Sezione II
Quadro di sorveglianza dei fornitori terzi critici di servizi TIC
CAPO VI
Meccanismi di condivisione delle informazioni
CAPO VII
Autorità competenti
CAPO VIII
Atti delegati
CAPO IX
Disposizioni transitorie e finali
Sezione I
Sezione II
Modifiche
- resilienza operativa digitale
- sistema informatico e di rete
- sistema legacy
- sicurezza dei sistemi informatici e di rete
- rischi informatici
- patrimonio informativo
- risorse TIC
- incidente connesso alle TIC
- incidente operativo o di sicurezza dei pagamenti
- grave incidente TIC
- grave incidente operativo o di sicurezza dei pagamenti
- minaccia informatica
- minaccia informatica significativa
- attacco informatico
- analisi delle minacce
- vulnerabilità
- test di penetrazione guidato dalla minaccia (TLPT)
- rischi informatici TIC derivanti da terzi
- fornitore terzo di servizi TIC
- fornitore intragruppo di servizi TIC
- servizi TIC
- funzione essenziale o importante
- fornitore terzo critico di servizi TIC
- fornitore terzo di servizi TIC stabilito in un paese terzo
- impresa figlia
- gruppo
- impresa madre
- subappaltatore di TIC stabilito in un paese terzo
- rischio di concentrazione delle TIC
- organo di gestione
- ente creditizio
- ente esentato dalla direttiva 2013/36/UE
- impresa di investimento
- impresa di investimento piccola e non interconnessa
- istituto di pagamento
- istituto di pagamento esentato a norma della direttiva (UE) 2015/2366
- prestatore di servizi di informazione sui conti
- istituto di moneta elettronica
- istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE
- controparte centrale
- repertorio di dati sulle negoziazioni
- depositario centrale di titoli
- sede di negoziazione
- gestore di fondi di investimento alternativi
- società di gestione
- fornitore di servizi di comunicazione dati
- impresa di assicurazione
- impresa di riassicurazione
- intermediario assicurativo
- intermediario assicurativo a titolo accessorio
- intermediario riassicurativo
- ente pensionistico aziendale o professionale
- piccolo ente pensionistico aziendale o professionale
- agenzia di rating del credito
- fornitore di servizi per le cripto-attività
- emittente di token collegati ad attività
- amministratore di indici di riferimento critici
- fornitore di servizi di crowdfunding
- repertorio di dati sulle cartolarizzazioni
- microimpresa
- autorità di sorveglianza capofila
- comitato congiunto
- piccola impresa
- media impresa
- autorità pubblica
- 1. Le CCP adottano, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendenti una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC predisposti e attuati in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi della CCP.
- 3. Al fine di garantire l’applicazione coerente del presente articolo, l’ESMA, previa consultazione dei membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare il contenuto minimo e i requisiti della politica di continuità operativa e del piano di ripristino in caso di disastro, con l’esclusione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC.
- 3. Per assicurare l’applicazione uniforme del presente articolo, l’ESMA elabora progetti di norme tecniche di regolamentazione che specifichino, tranne che per i requisiti in materia di gestione dei rischi informatici, i dettagli della domanda di registrazione di cui al paragrafo 1.
- 6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi informatici.
- 7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.
- 5. I CTP rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- 3. Gli ARM rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- terzo 18
- paese 16
- autorità_di_sorveglianza_capofila 10
- interessato 8
- paragrafo 8
- pertinente 6
- sorveglianza 5
- servizi 4
- dall’ 4
- svolgere 4
- presente 4
- attività 4
- dell’articolo 4
- norma 4
- dell’unione 4
- designato 4
- accordi 4
- l’ 4
- terzi 3
- critico 3
- lettera a 3
- all’articolo 3
- svolgimento 3
- membri 3
- trasmissione 3
- gruppo 3
- ispezioni 3
- l’autorità 3
- consentire 3
- cooperazione 3
- stati 3
- articolo 3
- fini 3
- poteri 3
- dell’ 3
- qualsiasi 3
- un’ispezione 2
- monitoraggio 2
- finanziari 2
- necessario 2
- enti 2
- nell’unione 2
- sensi 2
- regolamento 2
- locali 2
- nonché 2
- conseguenze 2
- informazioni 2
- dell’autorità 2
- possono 2
Articolo 36
Esercizio dei poteri dell’ autorità_di_sorveglianza_capofila al di fuori dell’Unione
1. Qualora gli obiettivi di sorveglianza non possano essere conseguiti interagendo con l’ impresa_figlia istituita ai fini dell’articolo 31, paragrafo 12, o esercitando attività di sorveglianza in locali situati nell’Unione, l’ autorità_di_sorveglianza_capofila può esercitare i poteri, di cui alle disposizioni seguenti, in qualsiasi locale situato in un paese terzo che sia posseduto, o utilizzato in qualsiasi modo, ai fini della fornitura di servizi a entità finanziarie dell’Unione da parte di un fornitore terzo critico di servizi di TIC, riguardo alle relative operazioni commerciali, funzioni o servizi, compresi eventuali uffici amministrativi, commerciali o operativi, locali, terreni, edifici o altre proprietà:
a) | articolo 35, paragrafo 1, lettera a); e |
b) | articolo 35, paragrafo 1, lettera b), conformemente all’articolo 38, paragrafo 2, lettere a), b) e d), e all’articolo 39, paragrafi 1 e 2, lettera a). |
I poteri di cui al primo comma possono essere esercitati alle condizioni seguenti:
i) | lo svolgimento di un’ispezione in un paese terzo è ritenuto necessario dall’ autorità_di_sorveglianza_capofila per consentirle di svolgere pienamente ed efficacemente i propri compiti ai sensi del presente regolamento; |
ii) | l’ispezione in un paese terzo è direttamente connessa alla fornitura di servizi_TIC a entità finanziarie nell’Unione; |
iii) | il fornitore terzo critico di servizi_TIC interessato acconsente allo svolgimento di un’ispezione in un paese terzo; nonché |
iv) | l’autorità pertinente del paese terzo interessato è stata ufficialmente informata dall’ autorità_di_sorveglianza_capofila e non ha sollevato obiezioni al riguardo. |
2. Fatte salve le rispettive competenze delle istituzioni dell’Unione e degli Stati membri, ai fini del paragrafo 1, l’ABE, l’ESMA o l’EIOPA concludono accordi di cooperazione amministrativa con l’autorità pertinente del paese terzo al fine di consentire il regolare svolgimento delle ispezioni nel paese terzo interessato da parte dell’ autorità_di_sorveglianza_capofila e del gruppo designato per la sua missione in tale paese terzo. Tali accordi di cooperazione non creano obblighi giuridici per l’Unione e i suoi Stati membri, né impediscono agli Stati membri e alle loro autorità competenti di concludere accordi bilaterali o multilaterali con tali paesi terzi e le loro autorità pertinenti.
Tali accordi di cooperazione specificano almeno gli elementi seguenti:
a) | le procedure per il coordinamento delle attività di sorveglianza svolte a norma del presente regolamento e qualsiasi analogo monitoraggio dei rischi_informatici derivanti da terzi nel settore finanziario esercitato dall’autorità pertinente del paese terzo interessato, comprese le modalità di trasmissione dell’accordo di quest’ultimo al fine di consentire all’ autorità_di_sorveglianza_capofila e al suo gruppo designato di svolgere le indagini generali e le ispezioni in loco di cui al paragrafo 1, primo comma, nel territorio sotto la sua giurisdizione; |
b) | il meccanismo per la trasmissione di tutte le informazioni pertinenti tra l’ABE, l’ESMA o l’EIOPA e l’autorità pertinente del paese terzo interessato, in particolare in relazione alle informazioni che possono essere richieste dall’ autorità_di_sorveglianza_capofila a norma dell’articolo 37; |
c) | i meccanismi per la tempestiva notifica, da parte dell’autorità pertinente del paese terzo interessato all’ABE, all’ESMA o all’EIOPA, dei casi in cui si ritiene che un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo e designato come critico ai sensi dell’articolo 31, paragrafo 1, lettera a), abbia violato gli obblighi ai quali è tenuto a norma del diritto applicabile del paese terzo interessato quando fornisce servizi a enti finanziari in tale paese terzo, nonché i mezzi di ricorso e le penalità applicate; |
d) | la trasmissione periodica di aggiornamenti sugli sviluppi normativi o di vigilanza sul monitoraggio dei rischi_informatici derivanti da terzi degli enti finanziari nel paese terzo interessato; |
e) | i dettagli per consentire, se necessario, la partecipazione di un rappresentante dell’autorità pertinente del paese terzo alle ispezioni condotte dall’ autorità_di_sorveglianza_capofila e dal gruppo designato. |
3. Quando l’ autorità_di_sorveglianza_capofila non è in grado di svolgere le attività di sorveglianza, al di fuori dell’Unione, di cui ai paragrafi 1 e 2, l’ autorità_di_sorveglianza_capofila:
a) | esercita i poteri di cui all’articolo 35 sulla base di tutti i fatti e di tutti i documenti di cui dispone; |
b) | documenta e spiega le eventuali conseguenze della sua incapacità di svolgere le attività di sorveglianza previste di cui al presente articolo. |
Le potenziali conseguenze di cui alla lettera b) del presente comma sono prese in considerazione nelle raccomandazioni dell’ autorità_di_sorveglianza_capofila emesse a norma dell’articolo 35, paragrafo 1, lettera d).
whereas