keyboard_tab DORA 2022/2554 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 6 Art. 3 Definizioni
CAPO I
Disposizioni generali
CAPO II
Gestione dei rischi informatici
Sezione I
Sezione II
CAPO III
Gestione, classificazione e segnalazione degli incidenti informatici
CAPO IV
Test di resilienza operativa digitale
CAPO V
Gestione dei rischi informatici derivanti da terzi
Sezione I
Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi
Sezione II
Quadro di sorveglianza dei fornitori terzi critici di servizi TIC
CAPO VI
Meccanismi di condivisione delle informazioni
CAPO VII
Autorità competenti
CAPO VIII
Atti delegati
CAPO IX
Disposizioni transitorie e finali
Sezione I
Sezione II
Modifiche
- resilienza operativa digitale
- sistema informatico e di rete
- sistema legacy
- sicurezza dei sistemi informatici e di rete
- rischi informatici
- patrimonio informativo
- risorse TIC
- incidente connesso alle TIC
- incidente operativo o di sicurezza dei pagamenti
- grave incidente TIC
- grave incidente operativo o di sicurezza dei pagamenti
- minaccia informatica
- minaccia informatica significativa
- attacco informatico
- analisi delle minacce
- vulnerabilità
- test di penetrazione guidato dalla minaccia (TLPT)
- rischi informatici TIC derivanti da terzi
- fornitore terzo di servizi TIC
- fornitore intragruppo di servizi TIC
- servizi TIC
- funzione essenziale o importante
- fornitore terzo critico di servizi TIC
- fornitore terzo di servizi TIC stabilito in un paese terzo
- impresa figlia
- gruppo
- impresa madre
- subappaltatore di TIC stabilito in un paese terzo
- rischio di concentrazione delle TIC
- organo di gestione
- ente creditizio
- ente esentato dalla direttiva 2013/36/UE
- impresa di investimento
- impresa di investimento piccola e non interconnessa
- istituto di pagamento
- istituto di pagamento esentato a norma della direttiva (UE) 2015/2366
- prestatore di servizi di informazione sui conti
- istituto di moneta elettronica
- istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE
- controparte centrale
- repertorio di dati sulle negoziazioni
- depositario centrale di titoli
- sede di negoziazione
- gestore di fondi di investimento alternativi
- società di gestione
- fornitore di servizi di comunicazione dati
- impresa di assicurazione
- impresa di riassicurazione
- intermediario assicurativo
- intermediario assicurativo a titolo accessorio
- intermediario riassicurativo
- ente pensionistico aziendale o professionale
- piccolo ente pensionistico aziendale o professionale
- agenzia di rating del credito
- fornitore di servizi per le cripto-attività
- emittente di token collegati ad attività
- amministratore di indici di riferimento critici
- fornitore di servizi di crowdfunding
- repertorio di dati sulle cartolarizzazioni
- microimpresa
- autorità di sorveglianza capofila
- comitato congiunto
- piccola impresa
- media impresa
- autorità pubblica
- 1. Le CCP adottano, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendenti una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC predisposti e attuati in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi della CCP.
- 3. Al fine di garantire l’applicazione coerente del presente articolo, l’ESMA, previa consultazione dei membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare il contenuto minimo e i requisiti della politica di continuità operativa e del piano di ripristino in caso di disastro, con l’esclusione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC.
- 3. Per assicurare l’applicazione uniforme del presente articolo, l’ESMA elabora progetti di norme tecniche di regolamentazione che specifichino, tranne che per i requisiti in materia di gestione dei rischi informatici, i dettagli della domanda di registrazione di cui al paragrafo 1.
- 6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi informatici.
- 7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.
- 5. I CTP rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- 3. Gli ARM rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- all’articolo 31
- direttiva 26
- punto 26
- paragrafo 23
- regolamento 18
- finanziaria 18
- definito 16
- servizi 11
- dell’articolo 11
- n / 10
- //ue 9
- un’entità 8
- sensi 7
- definita 7
- parlamento 7
- europeo 7
- annuo 6
- consiglio 6
- //ce 6
- fornitore_terzo_di_servizi_tic 6
- fornitori 5
- meno 5
- minaccia_informatica 5
- dell’entità 5
- servizi_tic 5
- dall’entità 5
- sistemi 5
- norma 4
- pertinente 4
- avverso 4
- funzioni 4
- connessi 4
- entità 4
- superiore 4
- a milioni 4
- forniti 4
- impatto 4
- sicurezza_dei_sistemi_informatici_e_di_rete 4
- fornitura 3
- rete 3
- ancora 3
- integrità 3
- disposizione 3
- paese 3
- mercati 3
- cripto-attività 3
- un’ 3
- informatici 3
- impresa_di_investimento 3
- pagamenti 3
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « resilienza_operativa_digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi_TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza_dei_sistemi_informatici_e_di_rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni; |
| 2) | « sistema_informatico_e_di_rete»: un sistema_informatico_e_di_rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555; |
| 3) | « sistema_legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore_terzo_di_servizi_TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria; |
| 4) | « sicurezza_dei_sistemi_informatici_e_di_rete»: la sicurezza_dei_sistemi_informatici_e_di_rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555; |
| 5) | « rischi_informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza_dei_sistemi_informatici_e_di_rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico; |
| 6) | « patrimonio_informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere; |
| 7) | « risorse_TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria; |
| 8) | « incidente_connesso_alle_TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza_dei_sistemi_informatici_e_di_rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria; |
| 9) | « incidente_operativo_o_di_sicurezza_dei_pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria; |
| 10) | « grave_incidente_TIC»: un incidente_connesso_alle_TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria; |
| 11) | «grave incidente_operativo_o_di_sicurezza_dei_pagamenti»: un incidente_operativo_o_di_sicurezza_dei_pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti; |
| 12) | « minaccia_informatica»: minaccia_informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 13) | « minaccia_informatica significativa»: una minaccia_informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave_incidente_TIC o un grave incidente_operativo_o_di_sicurezza_dei_pagamenti; |
| 14) | « attacco_informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione; |
| 15) | « analisi_delle_minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente_connesso_alle_TIC o di una minaccia_informatica, compresi i dettagli tecnici dell’ attacco_informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni; |
| 16) | « vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile; |
| 17) | « test_di_penetrazione_guidato_dalla_minaccia_(TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia_informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team); |
| 18) | « rischi_informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi_TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione; |
| 19) | « fornitore_terzo_di_servizi_TIC»: un’impresa che fornisce servizi_TIC; |
| 20) | « fornitore_intra gruppo_di_servizi_TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi_TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune; |
| 21) | « servizi_TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali; |
| 22) | « funzione_essenziale_o_importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari; |
| 23) | «fornitore terzo critico di servizi_TIC»: un fornitore_terzo_di_servizi_TIC designato come critico in conformità dell’articolo 31; |
| 24) | « fornitore_terzo_di_servizi_TIC stabilito in un paese terzo»: un fornitore_terzo_di_servizi_TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC; |
| 25) | « impresa_figlia»: impresa_figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE; |
| 26) | « gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE; |
| 27) | « impresa_madre»: impresa_madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE; |
| 28) | « subappaltatore_di_TIC_stabilito_in_un_paese_terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore_terzo_di_servizi_TIC o con un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo; |
| 29) | « rischio_di_concentrazione_delle_TIC»: l’esposizione a fornitori terzi critici di servizi_TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione; |
| 30) | « organo_di_gestione»: organo_di_gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale; |
| 31) | « ente_creditizio»: ente_creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32); |
| 32) | « ente_esentato_dalla_direttiva_2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE; |
| 33) | « impresa_di_investimento»: un’ impresa_di_investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE; |
| 34) | « impresa_di_investimento piccola e non interconnessa»: un’ impresa_di_investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33); |
| 35) | « istituto_di_pagamento»: un istituto_di_pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366; |
| 36) | « istituto_di_pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto_di_pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366; |
| 37) | « prestatore_di_servizi_di_informazione_sui_conti»: un prestatore_di_servizi_di_informazione_sui_conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366; |
| 38) | « istituto_di_moneta_elettronica»: un istituto_di_moneta_elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio; |
| 39) | « istituto_di_moneta_elettronica esentato a norma della direttiva 2009/110/CE»: un istituto_di_moneta_elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE; |
| 40) | « controparte_centrale»: una controparte_centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012; |
| 41) | « repertorio_di_dati_sulle_negoziazioni»: un repertorio_di_dati_sulle_negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012; |
| 42) | « depositario_centrale_di_titoli»: un depositario_centrale_di_titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014; |
| 43) | « sede_di_negoziazione»: una sede_di_negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE; |
| 44) | « gestore_di_fondi_di_investimento_alternativi»: un gestore_di_fondi_di_investimento_alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE; |
| 45) | « società_di_gestione»: una società_di_gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE; |
| 46) | « fornitore_di_servizi_di_comunicazione_dati»: un fornitore_di_servizi_di_comunicazione_dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36); |
| 47) | « impresa_di_assicurazione»: impresa_di_assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE; |
| 48) | « impresa_di_riassicurazione»: impresa_di_riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE; |
| 49) | « intermediario_assicurativo»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34); |
| 50) | « intermediario_assicurativo a titolo accessorio»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97; |
| 51) | « intermediario_riassicurativo»: un intermediario_riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97; |
| 52) | « ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341; |
| 53) | «piccolo ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale; |
| 54) | « agenzia_di_rating_del_credito»: un’ agenzia_di_rating_del_credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009; |
| 55) | « fornitore_di_servizi_per_le_cripto-attività»: un fornitore_di_servizi_per_le_cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 56) | « emittente_di_token_collegati_ad_attività»: un emittente_di_token_collegati_ad_attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività; |
| 57) | « amministratore_di_indici_di_riferimento_critici»: un amministratore_di_indici_di_riferimento_critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011; |
| 58) | « fornitore_di_servizi_di_crowdfunding»: un fornitore_di_servizi_di_crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35); |
| 59) | « repertorio_di_dati_sulle_cartolarizzazioni»: un repertorio_di_dati_sulle_cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36); |
| 60) | « microimpresa»: un’entità finanziaria, diversa da una sede_di_negoziazione, una controparte_centrale, un repertorio_di_dati_sulle_negoziazioni o un depositario_centrale_di_titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR; |
| 61) | « autorità_di_sorveglianza_capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento; |
| 62) | « comitato_congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010; |
| 63) | « piccola_impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR; |
| 64) | « media_impresa»: un’entità finanziaria che non è una piccola_impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR; |
| 65) | « autorità_pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali. |
whereas