DORA 2022/2554 IT

fornitori di servizi per le cripto-attività autorizzati a norma del regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e delle direttive 2013/36/UE e (UE) 2019/1937 (regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;

g)	depositari centrali di titoli;

h)	controparti centrali;

i)	sedi di negoziazione;

j)	repertori di dati sulle negoziazioni;

k)	gestori di fondi di investimento alternativi;

l)	società_di_gestione;

m)	fornitori di servizi di comunicazione dati;

n)	imprese di assicurazione e di riassicurazione;

o)	intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;

p)	enti pensionistici aziendali o professionali;

q)	agenzie di rating del credito;

r)	amministratori di indici di riferimento critici;

s)	fornitori di servizi di crowdfunding;

t)	repertori di dati sulle cartolarizzazioni;

u)	fornitori terzi di servizi_TIC.

2. Ai fini del presente regolamento le entità di cui al paragrafo 1 lettere da a) a t) sono definite collettivamente «entità finanziarie».

3. Il presente regolamento non si applica a:

a)	gestori di fondi di investimento alternativi di cui all’articolo 3, paragrafo 2, della direttiva 2011/61/UE;

b)	imprese di assicurazione e di riassicurazione di cui all’articolo 4 della direttiva 2009/138/UE;

c)	enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che contano congiuntamente non più di 15 aderenti in totale;

d)	persone fisiche o giuridiche esentate a norma degli articoli 2 e 3 della direttiva 2014/65/UE;

e)	intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio che sono microimprese o piccole o medie imprese;

f)	uffici dei conti correnti postali di cui all’articolo 2, paragrafo 5, punto 3), della direttiva 2013/36/UE.

4. Gli Stati membri possono escludere dall’ambito di applicazione del presente regolamento le entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE che sono situati nei rispettivi territori. Qualora uno Stato membro si avvalga di tale facoltà, e in occasione di ogni successiva modifica, ne informa la Commissione. La Commissione mette tali informazioni a disposizione del pubblico sul suo sito web o attraverso altri canali facilmente accessibili.

Articolo 3

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

« resilienza_operativa_digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi_TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza_dei_sistemi_informatici_e_di_rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni;

2)	« sistema_informatico_e_di_rete»: un sistema_informatico_e_di_rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555;

« sistema_legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore_terzo_di_servizi_TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria;

4)	« sicurezza_dei_sistemi_informatici_e_di_rete»: la sicurezza_dei_sistemi_informatici_e_di_rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555;

« rischi_informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza_dei_sistemi_informatici_e_di_rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico;

6)	« patrimonio_informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere;

7)	« risorse_TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria;

« incidente_connesso_alle_TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza_dei_sistemi_informatici_e_di_rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria;

« incidente_operativo_o_di_sicurezza_dei_pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria;

10)	« grave_incidente_TIC»: un incidente_connesso_alle_TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria;

11)	«grave incidente_operativo_o_di_sicurezza_dei_pagamenti»: un incidente_operativo_o_di_sicurezza_dei_pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti;

12)	« minaccia_informatica»: minaccia_informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881;

13)	« minaccia_informatica significativa»: una minaccia_informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave_incidente_TIC o un grave incidente_operativo_o_di_sicurezza_dei_pagamenti;

14)	« attacco_informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione;

15)

« analisi_delle_minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente_connesso_alle_TIC o di una minaccia_informatica, compresi i dettagli tecnici dell’ attacco_informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni;

16)	« vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile;

17)

« test_di_penetrazione_guidato_dalla_minaccia_(TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia_informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team);

18)	« rischi_informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi_TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione;

19)	« fornitore_terzo_di_servizi_TIC»: un’impresa che fornisce servizi_TIC;

20)

« fornitore_intra gruppo_di_servizi_TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi_TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune;

21)

« servizi_TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali;

22)

« funzione_essenziale_o_importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari;

23)	«fornitore terzo critico di servizi_TIC»: un fornitore_terzo_di_servizi_TIC designato come critico in conformità dell’articolo 31;

24)	« fornitore_terzo_di_servizi_TIC stabilito in un paese terzo»: un fornitore_terzo_di_servizi_TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC;

25)	« impresa_figlia»: impresa_figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE;

26)	« gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE;

27)	« impresa_madre»: impresa_madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE;

28)	« subappaltatore_di_TIC_stabilito_in_un_paese_terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore_terzo_di_servizi_TIC o con un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo;

29)

« rischio_di_concentrazione_delle_TIC»: l’esposizione a fornitori terzi critici di servizi_TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione;

30)

« organo_di_gestione»: organo_di_gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale;

31)	« ente_creditizio»: ente_creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32);

32)	« ente_esentato_dalla_direttiva_2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE;

33)	« impresa_di_investimento»: un’ impresa_di_investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE;

34)	« impresa_di_investimento piccola e non interconnessa»: un’ impresa_di_investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33);

35)	« istituto_di_pagamento»: un istituto_di_pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366;

36)	« istituto_di_pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto_di_pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366;

37)	« prestatore_di_servizi_di_informazione_sui_conti»: un prestatore_di_servizi_di_informazione_sui_conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366;

38)	« istituto_di_moneta_elettronica»: un istituto_di_moneta_elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio;

39)	« istituto_di_moneta_elettronica esentato a norma della direttiva 2009/110/CE»: un istituto_di_moneta_elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE;

40)	« controparte_centrale»: una controparte_centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012;

41)	« repertorio_di_dati_sulle_negoziazioni»: un repertorio_di_dati_sulle_negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012;

42)	« depositario_centrale_di_titoli»: un depositario_centrale_di_titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014;

43)	« sede_di_negoziazione»: una sede_di_negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE;

44)	« gestore_di_fondi_di_investimento_alternativi»: un gestore_di_fondi_di_investimento_alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE;

45)	« società_di_gestione»: una società_di_gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE;

46)	« fornitore_di_servizi_di_comunicazione_dati»: un fornitore_di_servizi_di_comunicazione_dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36);

47)	« impresa_di_assicurazione»: impresa_di_assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE;

48)	« impresa_di_riassicurazione»: impresa_di_riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE;

49)	« intermediario_assicurativo»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34);

50)	« intermediario_assicurativo a titolo accessorio»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97;

51)	« intermediario_riassicurativo»: un intermediario_riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97;

52)	« ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341;

53)	«piccolo ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale;

54)	« agenzia_di_rating_del_credito»: un’ agenzia_di_rating_del_credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009;

55)	« fornitore_di_servizi_per_le_cripto-attività»: un fornitore_di_servizi_per_le_cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;

56)	« emittente_di_token_collegati_ad_attività»: un emittente_di_token_collegati_ad_attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;

57)	« amministratore_di_indici_di_riferimento_critici»: un amministratore_di_indici_di_riferimento_critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011;

58)	« fornitore_di_servizi_di_crowdfunding»: un fornitore_di_servizi_di_crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35);

59)	« repertorio_di_dati_sulle_cartolarizzazioni»: un repertorio_di_dati_sulle_cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36);

60)

« microimpresa»: un’entità finanziaria, diversa da una sede_di_negoziazione, una controparte_centrale, un repertorio_di_dati_sulle_negoziazioni o un depositario_centrale_di_titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR;

61)	« autorità_di_sorveglianza_capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento;

62)	« comitato_congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010;

63)	« piccola_impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR;

64)	« media_impresa»: un’entità finanziaria che non è una piccola_impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR;

65)	« autorità_pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali.

Articolo 19

Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative

1. Le entità finanziarie segnalano gli gravi incidenti TIC all’autorità competente interessata di cui all’articolo 46 a norma del paragrafo 4 del presente articolo.

Se un’entità finanziaria è soggetta alla vigilanza di più di un’autorità nazionale competente di cui all’articolo 46, gli Stati membri designano un’unica autorità competente quale autorità competente interessata responsabile dell’espletamento delle funzioni e dei compiti di cui al presente articolo.

Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 segnalano i gravi incidenti TIC all’autorità nazionale competente designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente tale segnalazione alla BCE.

Ai fini del primo comma, le entità finanziarie redigono, dopo aver raccolto e analizzato tutte le informazioni pertinenti, la notifica iniziale e le relazioni di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 e le trasmettono all’autorità competente. Qualora un impedimento tecnico non consenta la trasmissione della notifica iniziale utilizzando il modello, le entità finanziarie informano in merito l’autorità competente con mezzi alternativi.

La notifica iniziale e le relazioni di cui al paragrafo 4 contengono tutte le informazioni necessarie all’autorità competente per determinare la rilevanza dell’ grave_incidente_TIC e valutarne i possibili impatti transfrontalieri.

Fatta salva la segnalazione a norma del primo comma da parte dell’entità finanziaria all’autorità competente interessata, gli Stati membri possono stabilire, in aggiunta, che alcune o tutte le entità finanziarie forniscano altresì la notifica iniziale e ciascuna relazione di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 alle autorità competenti o ai gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — CSIRT) designati o istituiti a norma della direttiva (UE) 2022/2555.

2. Le entità finanziarie possono, su base volontaria, notificare le minacce informatiche significative all’autorità competente interessata qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. L’autorità competente interessata può fornire tali informazioni alle altre autorità pertinenti di cui al paragrafo 6.

Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 possono notificare, su base volontaria, le minacce informatiche significative all’autorità nazionale competente, designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente la notifica alla BCE.

Gli Stati membri possono stabilire che le entità finanziarie che procedono alla notifica su base volontaria e a norma del primo comma possano altresì trasmettere tale notifica ai CSIRT nazionali designati o istituiti a norma della direttiva (UE) 2022/2555.

3. Qualora si verifichi un grave_incidente_TIC che eserciti un impatto sugli interessi finanziari dei clienti, le entità finanziarie, senza indebito ritardo e non appena ne vengono a conoscenza, informano i loro clienti in merito a tale incidente e alle misure che sono state adottate per attenuare gli effetti avversi dell’incidente.

In caso di minaccia_informatica significativa, le entità finanziarie, se del caso, informano i loro clienti potenzialmente interessati in merito alle opportune misure di protezione che i clienti stessi possono prendere in considerazione.

4. Entro i termini da fissare a norma dell’articolo 20, primo comma, lettera a), punto ii), le entità finanziarie trasmettono all’autorità competente interessata:

a)	una notifica iniziale;

una relazione intermedia dopo la notifica iniziale di cui alla lettera a), non appena lo stato originario dell’incidente cambia in maniera significativa o il trattamento dell’ grave_incidente_TIC cambia alla luce delle nuove informazioni disponibili, seguita, a seconda dei casi, da notifiche aggiornate, ogni qualvolta sia disponibile un aggiornamento della situazione, nonché su specifica richiesta dell’autorità competente;

c)	una relazione finale, quando l’analisi delle cause che hanno dato origine all’incidente sia stata completata, indipendentemente dal fatto che le misure di attenuazione siano già state attuate, e quando al posto delle stime siano disponibili i dati dell’impatto effettivo.

5. Ai sensi del presente articolo, le entità finanziarie possono esternalizzare, conformemente al diritto settoriale dell’Unione e nazionale, gli obblighi di segnalazione a un fornitore terzo di servizi. In caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di espletare gli obblighi di segnalazione degli incidenti.

6. Dopo aver ricevuto la notifica iniziale e ciascuna delle relazioni di cui al paragrafo 4, l’autorità competente trasmette tempestivamente i dettagli dell’ grave_incidente_TIC ai seguenti destinatari sulla base, ove applicabile, delle rispettive competenze:

a)	all’ABE, all’ESMA o all’EIOPA;

b)	alla BCE, qualora siano coinvolte le entità finanziarie di cui all’articolo 2, paragrafo 1, lettere a), b) e d);

c)	alle autorità competenti, ai punti di contatto unici o ai CSIRT designati o istituiti conformemente alla direttiva (UE) 2022/2555;

alle autorità di risoluzione di cui all’articolo 3 della direttiva 2014/59/UE e al Comitato di risoluzione unico (SRB) per quanto riguarda le entità di cui all’articolo 7, paragrafo 2, del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio (37) nonché le entità e i gruppi di cui all’articolo 7, paragrafo 4, lettera b), e all’articolo 7, paragrafo 5, del regolamento (UE) n. 806/2014, qualora tali dettagli riguardino incidenti che comportano un rischio per le funzioni essenziali definite all’articolo 2, paragrafo 1, punto 35), della direttiva 2014/59/UE; e

e)	ad altre pertinenti autorità pubbliche ai sensi del diritto nazionale.

7. Una volta ricevute le informazioni conformemente al paragrafo 6, l’ABE, l’ESMA o l’EIOPA e la BCE, in consultazione con l’ENISA e in collaborazione con l’autorità competente interessata, valutano la pertinenza dell’ grave_incidente_TIC rispetto alle autorità competenti in altri Stati membri. A seguito di tale valutazione, l’ABE, l’ESMA o l’EIOPA inviano una notifica al riguardo il prima possibile alle autorità competenti interessate in altri Stati membri. La BCE notifica i membri del Sistema europeo di banche centrali in merito a questioni afferenti il sistema di pagamenti. Sulla base di tale notifica, le autorità competenti adottano, se del caso, tutte le misure necessarie per proteggere l’immediata stabilità del sistema finanziario.

8. La notifica che l’ESMA deve effettuare a norma del paragrafo 7 del presente articolo lascia impregiudicata la responsabilità dell’autorità competente di trasmettere urgentemente i dettagli dell’ grave_incidente_TIC all’autorità pertinente dello Stato membro ospitante, laddove uno dei depositari centrali di titoli svolga una cospicua attività transfrontaliera nello Stato membro ospitante, laddove l’incidente grave connesso alle TIC possa comportare serie conseguenze per i mercati finanziari dello Stato membro ospitante e laddove vi siano accordi di cooperazione tra le autorità competenti in relazione alla vigilanza delle entità finanziarie.

Articolo 21

Centralizzazione delle segnalazioni di incidenti gravi connessi alle TIC

1. In consultazione con la BCE e l’ENISA, le AEV, tramite il comitato_congiunto, redigono una relazione congiunta che valuta la fattibilità dell’ulteriore centralizzazione delle segnalazioni degli incidenti mediante l’istituzione di un polo UE unico per la segnalazione degli incidenti gravi connessi alle TIC da parte delle entità finanziarie. La relazione congiunta esamina i criteri per agevolare il flusso delle segnalazioni di incidenti connessi alle TIC, ridurre i costi associati e corroborare le analisi tematiche per migliorare la convergenza della vigilanza.

2. La relazione congiunta di cui al paragrafo 1 comprende almeno gli elementi seguenti:

a)	prerequisiti per l’istituzione di un polo UE unico;

b)	benefici, limiti e rischi, compresi i rischi associati all’elevata concentrazione di informazioni sensibili;

c)	la necessaria capacità di garantire l’interoperabilità rispetto ad altri sistemi di segnalazione pertinenti;

d)	elementi della gestione operativa;

e)	condizioni di adesione;

f)	modalità tecniche per l’accesso al polo UE unico da parte delle entità finanziarie e le autorità nazionali competenti;

g)	una valutazione preliminare dei costi finanziari sostenuti per l’istituzione della piattaforma operativa su cui dovrà fondarsi il polo UE unico, comprese le richieste competenze.

3. Le AEV presentano la relazione di cui al paragrafo 1 al Parlamento europeo, al Consiglio e alla Commissione entro il 17 gennaio 2025.

Articolo 32

Struttura del quadro di sorveglianza

1. Il comitato_congiunto, in conformità dell’articolo 57, paragrafo 1, dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, istituisce il forum di sorveglianza come sottocomitato incaricato di coadiuvare il lavoro del comitato_congiunto e dell’ autorità_di_sorveglianza_capofila di cui all’articolo 31, paragrafo 1, lettera b), per quanto concerne i rischi_informatici derivanti da terzi in tutti i settori finanziari. Il forum di sorveglianza prepara i progetti di posizioni comuni e atti comuni del comitato_congiunto in tale ambito.

Il forum di sorveglianza discute periodicamente gli sviluppi rilevanti in materia di vulnerabilità e rischi relativi alle TIC e promuove un approccio coerente al monitoraggio dei rischi_informatici derivanti da terzi a livello dell’Unione.

2. Il forum di sorveglianza intraprende, con cadenza annuale, una valutazione collettiva degli esiti e delle risultanze delle attività di sorveglianza condotte su tutti i fornitori terzi critici di servizi_TIC e promuove misure di coordinamento per potenziare la resilienza_operativa_digitale delle entità finanziarie, favorire le migliori prassi per contrastare il rischio_di_concentrazione_delle_TIC e studiare metodi per attenuare i trasferimenti intersettoriali dei rischi.

3. Il forum di sorveglianza sottopone al comitato_congiunto parametri di riferimento generali ai fornitori terzi critici di servizi_TIC affinché siano adottati come posizioni congiunte delle AEV ai sensi dell’articolo 56, paragrafo 1, dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

4. Il forum di sorveglianza è composto da:

a)	i presidenti delle AEV;

b)	un rappresentante di alto livello del personale in servizio dell’autorità competente interessata di cui all’articolo 46 di ciascuno Stato membro;

c)	i direttori esecutivi di ciascuna AEV e un rappresentante della Commissione, del CERS, della BCE e dell’ENISA in qualità di osservatori;

d)	se del caso, un rappresentante supplementare di un’autorità competente di cui all’articolo 46 di ciascuno Stato membro in qualità di osservatore;

ove applicabile, un rappresentante delle autorità competenti designate o istituite in conformità della direttiva (UE) 2022/2555 responsabile della vigilanza di un soggetto essenziale o importante ai sensi di tale direttiva, che è stato designato come un fornitore_terzo_di_servizi_TIC critici in qualità di osservatore.

Il forum di sorveglianza può, se del caso, chiedere il parere di esperti indipendenti nominati a norma del paragrafo 6.

5. Ciascuno Stato membro designa l’autorità competente interessata il cui membro del personale è il rappresentante di alto livello di cui al paragrafo 4, primo comma, lettera b), e ne informa l’ autorità_di_sorveglianza_capofila.

Le AEV pubblicano sul loro sito web l’elenco dei rappresentanti di alto livello dell’attuale personale della pertinente autorità competente designati dagli Stati membri.

6. Gli esperti indipendenti di cui al paragrafo 4, secondo comma, sono nominati dal forum di sorveglianza e provengono da un gruppo di esperti selezionati al termine di una procedura di candidatura pubblica e trasparente. Gli esperti indipendenti sono nominati sulla base dell’esperienza maturata in settori quali la stabilità finanziaria, la resilienza_operativa_digitale e le questioni di sicurezza delle TIC.

Agiscono in piena indipendenza e obiettività nell’interesse esclusivo dell’Unione nel suo insieme, senza chiedere né ricevere istruzioni da parte di istituzioni od organi dell’Unione, governi degli Stati membri o altri soggetti pubblici o privati.

7. Ai sensi dell’articolo 16 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010, le AEV, entro il 17 luglio 2024, formulano, ai fini della presente sezione, orientamenti sulla cooperazione tra le AEV e le autorità competenti concernenti le procedure e le condizioni dettagliate per la ripartizione e l’esecuzione dei compiti tra le autorità competenti e le AEV, nonché forniscono dettagli sugli scambi di informazioni necessari alle autorità competenti per garantire il seguito da dare alle raccomandazioni a norma dell’articolo 35, paragrafo 1, lettera d) rivolte ai fornitori terzi critici di servizi TIC.

8. I requisiti di cui alla presente sezione non pregiudicano l’applicazione della direttiva (UE) 2022/2555 né di altre norme dell’Unione in materia di sorveglianza applicabili ai fornitori di servizi di cloud computing.

9. Sulla base di un lavoro preparatorio svolto dal forum di sorveglianza, le AEV, tramite il comitato_congiunto, trasmettono ogni anno una relazione sull’applicazione della presente sezione al Parlamento europeo, al Consiglio e alla Commissione.

Articolo 44

Cooperazione internazionale

1. Fatto salvo l’articolo 36, ai sensi, rispettivamente, dell’articolo 33 dei regolamenti (UE) n. 1093/2010, (UE) n. 1095/2010 e (UE) n. 1094/2010, l’ABE, l’ESMA e l’EIOPA possono concludere accordi amministrativi con le autorità di vigilanza e di regolamentazione di paesi terzi per promuovere la cooperazione internazionale in materia di rischi_informatici derivanti da terzi tra i diversi settori finanziari, in particolare definendo migliori prassi per il riesame delle pratiche e dei controlli per la gestione dei rischi_informatici nonché per le misure di attenuazione e risposta agli incidenti.

2. Le AEV, tramite il comitato_congiunto, presentano ogni cinque anni al Parlamento europeo, al Consiglio e alla Commissione una relazione congiunta riservata in cui sintetizzano le conclusioni delle discussioni pertinenti tenute con le autorità dei paesi terzi di cui al paragrafo 1, con particolare attenzione all’evoluzione dei rischi_informatici derivanti da terzi e alle implicazioni per la stabilità finanziaria, l’integrità del mercato, la protezione degli investitori e il funzionamento del mercato interno.

CAPO VI

Meccanismi di condivisione delle informazioni

Articolo 46

Autorità competenti

Fatte salve le disposizioni sul quadro di sorveglianza per i fornitori terzi critici di servizi_TIC di cui al capo V, sezione II, il rispetto del presente regolamento è assicurato dalle seguenti autorità competenti conformemente ai poteri conferiti dai rispettivi atti giuridici:

per gli enti creditizi e per gli enti esentati a norma della direttiva 2013/36/UE: l’autorità competente designata in conformità dell’articolo 4 di tale direttiva; e per gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013: la BCE conformemente ai poteri e ai compiti conferiti da tale regolamento;

per gli istituti di pagamento, compresi quelli esentati a norma della direttiva (UE) 2015/2366, gli istituti di moneta elettronica, compresi quelli esentati a norma della direttiva 2009/110/CE, e i prestatori di servizi di informazione sui conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366: l’autorità competente designata in conformità dell’articolo 22 della direttiva (UE) 2015/2366;

c)	per le imprese di investimento: l’autorità competente designata in conformità dell’articolo 4 della direttiva (UE) 2019/2034 del Parlamento europeo e del Consiglio (38);

d)	per i fornitori di servizi per le cripto-attività quali autorizzati ai sensi del regolamento sui mercati delle cripto-attività e gli emittenti di token collegati ad attività: l’autorità competente designata in conformità delle pertinenti disposizioni di tale regolamento;

e)	per i depositari centrali di titoli: l’autorità competente designata in conformità dell’articolo 11 del regolamento (UE) n. 909/2014;

f)	per le controparti centrali: l’autorità competente designata in conformità dell’articolo 22 del regolamento (UE) n. 648/2012;

g)	per le sedi di negoziazione e i fornitori di servizi di comunicazione dati: l’autorità competente designata in conformità dell’articolo 67 della direttiva 2014/65/UE e l’autorità competente quale definita all’articolo 2, paragrafo 1, punto 18), del regolamento (UE) n. 600/2014;

h)	per i repertori di dati sulle negoziazioni: l’autorità competente designata in conformità dell’articolo 22 del regolamento (UE) n. 648/2012;

i)	per i gestori di fondi di investimento alternativi: l’autorità competente designata in conformità dell’articolo 44 della direttiva 2011/61/UE;

j)	per le società_di_gestione: l’autorità competente designata in conformità dell’articolo 97 della direttiva 2009/65/CE;

k)	per le imprese di assicurazione e di riassicurazione: l’autorità competente designata in conformità dell’articolo 30 della direttiva 2009/138/CE;

l)	per gli intermediari assicurativi, gli intermediari riassicurativi e gli intermediari assicurativi a titolo accessorio: l’autorità competente designata in conformità dell’articolo 12 della direttiva (UE) 2016/97;

m)	per gli enti pensionistici aziendali o professionali: l’autorità competente designata a norma dell’articolo 47 della direttiva (UE) 2016/2341;

n)	per le agenzie di rating del credito: l’autorità competente designata in conformità dell’articolo 21 del regolamento (CE) n. 1060/2009;

o)	per gli amministratori di indici di riferimento critici: l’autorità competente designata in conformità degli articoli 40 e 41 del regolamento (UE) 2016/1011;

p)	per i fornitori di servizi di crowdfunding: l’autorità competente designata in conformità dell’articolo 29 del regolamento (UE) 2020/1503;

q)	per i repertori di dati sulle cartolarizzazioni: l’autorità competente designata in conformità dell’articolo 10 e dell’articolo 14, paragrafo 1, del regolamento (UE) 2017/2402.

Articolo 57

Esercizio della delega

1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2. Il potere di adottare atti delegati di cui all’articolo 31, paragrafo 6, e all’articolo 43, paragrafo 2, è conferito alla Commissione per un periodo di cinque anni a decorrere dal 17 gennaio 2024. La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.

3. La delega di potere di cui all’articolo 31, paragrafo 6, e all’articolo 43, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4. Prima dell’adozione dell’atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.

5. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6. L’atto delegato adottato ai sensi dell’articolo 31, paragrafo 6, e dell’articolo 43, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.

CAPO IX

Disposizioni transitorie e finali

Sezione I

Articolo 58

Clausola di riesame

1. Entro il 17 gennaio 2028, la Commissione, dopo aver consultato le AEV e il CERS, a seconda dei casi, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa. Il riesame comprende almeno:

a)	i criteri per la designazione dei fornitori terzi critici di servizi_TIC, di cui all’articolo 31, paragrafo 2;

b)	il carattere volontario della notifica di minacce informatiche significative di cui all’articolo 19;

il regime di cui all’articolo 31, paragrafo 12, e i poteri dell’ autorità_di_sorveglianza_capofila di cui all’articolo 35, paragrafo 1, lettera d ), punto iv), primo trattino, al fine di valutare l’efficacia di tali disposizioni per quanto riguarda la garanzia di una sorveglianza efficace dei fornitori terzi critici di servizi_TIC stabiliti in un paese terzo e la necessità di istituire un’ impresa_figlia nell’Unione.

Ai fini del primo comma della presente lettera, il riesame comprende un’analisi del regime di cui all’articolo 31, paragrafo 12, comprese le condizioni di accesso delle entità finanziarie dell’Unione ai servizi di paesi terzi e la disponibilità di tali servizi sul mercato dell’Unione, e tiene conto degli ulteriori sviluppi nei mercati dei servizi disciplinati dal presente regolamento, dell’esperienza pratica delle entità finanziarie e delle autorità di vigilanza finanziaria per quanto riguarda l’applicazione e, rispettivamente, la vigilanza di tale regime e di eventuali sviluppi pertinenti in materia di regolamentazione e vigilanza a livello internazionale;

d)	se sia opportuno includere nell’ambito di applicazione del presente regolamento le entità finanziarie di cui all’articolo 2, paragrafo 3, lettera e), che utilizzano sistemi di vendita automatizzata, alla luce dei futuri sviluppi del mercato sull’uso di tali sistemi;

e)	il funzionamento e l’efficacia della rete di sorveglianza comune in termini di sostegno alla coerenza della sorveglianza e all’efficienza dello scambio di informazioni nell’ambito del quadro di sorveglianza.

2. Nel contesto del riesame della direttiva (UE) 2015/2366, la Commissione valuta la necessità di una maggiore ciberresilienza dei sistemi di pagamento e delle attività di trattamento dei pagamenti e se sia opportuno ampliare l’ambito di applicazione del presente regolamento agli operatori dei sistemi di pagamento e alle entità coinvolte nelle attività di trattamento dei pagamenti. Alla luce di tale valutazione, la Commissione presenta, nell’ambito del riesame della direttiva (UE) 2015/2366, una relazione al Parlamento europeo e al Consiglio e entro il 17 luglio 2023.

Sulla base di tale relazione di riesame e previa consultazione delle AEV, della BCE e del CERS, la Commissione può presentare, se del caso e nell’ambito della proposta legislativa che può adottare a norma dell’articolo 108, secondo comma, della direttiva (UE) 2015/2366, una proposta volta a garantire che tutti gli operatori dei sistemi di pagamento e le entità coinvolte nelle attività di trattamento dei pagamenti siano soggetti a un’adeguata sorveglianza, tenendo conto nel contempo dell’esistente sorveglianza da parte delle banche centrali.

3. Entro il 17 gennaio 2026, la Commissione, dopo aver consultato le AEV e il comitato degli organismi europei di controllo delle attività di revisione contabile, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa sull’opportunità di rafforzare i requisiti per i revisori legali e le imprese di revisione contabile per quanto riguarda la resilienza_operativa_digitale, mediante l’inclusione dei revisori legali e delle imprese di revisione contabile nell’ambito di applicazione del presente regolamento o mediante modifiche della direttiva 2006/43/CE del Parlamento europeo e del Consiglio (39).

Sezione II

Modifiche

Articolo 59

Modifiche del regolamento (CE) n. 1060/2009

Il regolamento (CE) n. 1060/2009 è così modificato:

nell’allegato I, sezione A, punto 4, il primo comma è sostituito dal seguente:

«Un’ agenzia_di_rating_del_credito dispone di procedure amministrative e contabili solide, di meccanismi di controllo interno, di procedure efficaci per la valutazione del rischio e di meccanismi efficaci di controllo e protezione per la gestione dei sistemi di TIC in conformità del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*1).

(*1) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza_operativa_digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).»;"

nell’allegato III, il punto 12) è sostituito dal seguente:

«12)

L’ agenzia_di_rating_del_credito viola l’articolo 6, paragrafo 2, in combinato disposto con l’allegato I, sezione A, punto 4, quando non dispone di procedure amministrative o contabili solide, di meccanismi di controllo interno, di procedure efficaci per la valutazione del rischio o di meccanismi efficaci di controllo e protezione per la gestione dei sistemi di TIC in conformità del regolamento (UE) 2022/2554, o non instaurando, né mantenendo le procedure di adozione di decisione o le strutture organizzative richieste dal predetto punto.».

Articolo 60

Modifiche del regolamento (UE) n. 648/2012

Il regolamento (UE) n. 648/2012 è così modificato:

l’articolo 26 è così modificato:

il paragrafo 3 è sostituito dal seguente:

«3. Le CCP mantengono e gestiscono una struttura organizzativa che assicuri la continuità e il regolare funzionamento della prestazione dei servizi e dell’esercizio delle attività. Esse utilizzano sistemi, risorse e procedure adeguati e proporzionati, tra cui sistemi di TIC gestiti in conformità del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*2).

(*2) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza_operativa_digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).»;"

b)	il paragrafo 6 è soppresso;

l’articolo 34 è così modificato:

il paragrafo 1 è sostituito dal seguente:

« 1. Le_CCP_adottano,_attuano_e_mantengono_una_politica_adeguata_di_continuità_operativa_e_un_piano_di_ripristino_in_caso_di_disastro,_comprendenti_una_politica_di_continuità_operativa_delle_TIC_e_piani_di_risposta_e_ripristino_relativi_alle_TIC_predisposti_e_attuati_in_conformità_del_regolamento_(UE)_2022/2554,_miranti_ad_assicurare_il_mantenimento_delle_funzioni,_la_ripresa_tempestiva_delle_attività_e_l’adempimento_degli_obblighi_della CCP.»;

al paragrafo 3, il primo comma è sostituito dal seguente:

« 3. Al_fine_di_garantire_l’applicazione_coerente_del_presente_articolo,_l’ESMA,_previa_consultazione_dei_membri_del_SEBC,_elabora_progetti_di_norme_tecniche_di_regolamentazione_per_specificare_il_contenuto_minimo_e_i_requisiti_della_politica_di_continuità_operativa_e_del_piano_di_ripristino_in_caso_di_disastro,_con_l’esclusione_della_politica_di_continuità_operativa_delle_TIC_e_dei_piani_di_risposta_e_ripristino_relativi_alle TIC.»;

all’articolo 56, paragrafo 3, il primo comma è sostituito dal seguente:

«3. Per assicurare l’applicazione uniforme del presente articolo, l’ESMA elabora progetti di norme tecniche di regolamentazione che specifichino, tranne che per i requisiti in materia di gestione dei rischi_informatici, i dettagli della domanda di registrazione di cui al paragrafo 1.»;

all’articolo 79, i paragrafi 1 e 2 sono sostituiti dai seguenti:

«1. I repertori di dati sulle negoziazioni individuano le fonti di rischio operativo e le riducono anche sviluppando sistemi, controlli e procedure adeguati, tra cui sistemi di TIC gestiti ai sensi del regolamento (UE) 2022/2554.

2. I repertori di dati sulle negoziazioni stabiliscono, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendenti una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC istituiti in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle loro funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi assunti.»;

5)	all’articolo 80, il paragrafo 1 è soppresso;

nell’allegato I, la sezione II è così modificata:

le lettere a) e b) sono sostituite dalle seguenti:

«a)	un repertorio_di_dati_sulle_negoziazioni viola l’articolo 79, paragrafo 1, allorché non individua le fonti di rischio operativo o non limita al massimo tali rischi sviluppando sistemi, controlli e procedure adeguati, tra cui sistemi di TIC gestiti ai sensi del regolamento (UE) 2022/2554;

un repertorio_di_dati_sulle_negoziazioni viola l’articolo 79, paragrafo 2, allorché non stabilisce, non attua o non mantiene una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, istituiti in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle proprie funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi assunti;»;

b)	la lettera c) è soppressa;

l’allegato III è così modificato:

La sezione II è così modificata:

la lettera c) è sostituita dalla seguente:

«c)

una CCP di classe 2 viola l’articolo 26, paragrafo 3, allorché non mantiene o non gestisce una struttura organizzativa che assicuri la continuità e il regolare funzionamento della prestazione dei propri servizi e dell’esercizio delle attività, o allorché non utilizza sistemi, risorse o procedure adeguati e proporzionati, tra cui sistemi di TIC gestiti conformemente al regolamento (UE) 2022/2554»;

ii)	la lettera f) è soppressa;

nella sezione III, la lettera a) è sostituita dalla seguente:

«a)

una CCP di classe 2 viola l’articolo 34, paragrafo 1, allorché non stabilisce, non attua o non mantiene una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, istituiti in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle proprie funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi assunti dalla CCP; tale piano prevede almeno la ripresa di tutte le operazioni in corso al momento della perturbazione in modo da permettere alla CCP di continuare a funzionare con certezza e di completare il regolamento alla data prevista;».

Articolo 61

Modifiche del regolamento (UE) n. 909/2014

L’articolo 45 del regolamento (UE) n. 909/2014 è così modificato:

il paragrafo 1 è sostituito dal seguente:

«1. I CSD individuano le fonti di rischio operativo, interne ed esterne, e ne riducono al minimo l’impatto avvalendosi di strumenti, processi e politiche in materia di TIC adeguati, istituiti e gestiti ai sensi del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*3), nonché mediante qualsiasi altro tipo adeguato di strumenti, controlli e procedure per altri tipi di rischi operativi, anche per tutti i sistemi di regolamento titoli da essi operati.

(*3) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza_operativa_digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).»;"

2)	il paragrafo 2 è soppresso;

i paragrafi 3 e 4 sono sostituiti dai seguenti:

«3. Per i servizi che forniscono nonché per ciascun sistema di regolamento titoli da essi operato, i CSD stabiliscono, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendente una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC istituiti ai sensi del regolamento (UE) 2022/2554, allo scopo di preservare i servizi, assicurare la ripresa tempestiva delle attività e l’adempimento degli obblighi del CSD in caso di eventi che comportino un rischio significativo di perturbare le attività.

4. Il piano di cui al paragrafo 3 prevede il ripristino di tutte le operazioni e posizioni dei partecipanti al momento della perturbazione, in modo da permettere ai partecipanti al CSD di continuare ad operare con certezza e di completare il regolamento alla data prevista, anche assicurando che i sistemi informatici critici possano riprendere a funzionare dal momento della perturbazione, come previsto dall’articolo 12, paragrafi 5 e 7, del regolamento (UE) 2022/2554.»;

il paragrafo 6 è sostituito dal seguente:

«6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi_informatici.»;

al paragrafo 7, il primo comma è sostituito dal seguente:

«7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi_informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.».

Articolo 62

Modifiche del regolamento (UE) n. 600/2014

Il regolamento (UE) n. 600/2014 è così modificato:

l’articolo 27 octies è così modificato:

il paragrafo 4 è sostituito dal seguente:

«4.	Gli APA rispettano i requisiti in materia di sicurezza_dei_sistemi_informatici_e_di_rete di cui al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*4).

(*4) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza_operativa_digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).»;"

al paragrafo 8, la lettera c) è sostituita dalla seguente:

«c)	i requisiti organizzativi concreti di cui ai paragrafi 3 e 5.»;

l’articolo 27 nonies è così modificato:

a)	il paragrafo 5 è sostituito dal seguente: «5. I CTP rispettano i requisiti in materia di sicurezza_dei_sistemi_informatici_e_di_rete di cui al regolamento (UE) 2022/2554.»;

al paragrafo 8, la lettera e) è sostituita dalla seguente:

«e)	i requisiti organizzativi concreti di cui al paragrafo 4.»;

l’articolo 27 decies è così modificato:

a)	il paragrafo 3 è sostituito dal seguente: «3. Gli ARM rispettano i requisiti in materia di sicurezza_dei_sistemi_informatici_e_di_rete di cui al regolamento (UE) 2022/2554.»;

al paragrafo 5, la lettera b) è sostituita dalla seguente:

«b)	i requisiti organizzativi concreti di cui ai paragrafi 2 e 4.».

Articolo 63

Modifiche del regolamento (UE) 2016/1011

All’articolo 6 del regolamento (UE) 2016/1011 è aggiunto il paragrafo seguente:

«6.

Per gli indici di riferimento critici, un amministratore dispone di procedure amministrative e contabili solide, di meccanismi di controllo interno, di procedure efficaci per la valutazione del rischio e di meccanismi efficaci di controllo e protezione per la gestione dei sistemi di TIC in conformità del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*5).

Articolo 64

Entrata in vigore e applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Esso si applica a decorrere dal 17 gennaio 2025.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Strasburgo, il 14 dicembre 2022

Per il Parlamento europeo

La presidente

R. METSOLA

Per il Consiglio

Il presidente

M. BEK

(1) GU C 343 del 26.8.2021, pag. 1.

(2) GU C 155 del 30.4.2021, pag. 38.

(3) Posizione del Parlamento europeo del 10 novembre 2022 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 28 novembre 2022.

(4) Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/78/CE della Commissione (GU L 331 del 15.12.2010, pag. 12).

(5) Regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/79/CE della Commissione (GU L 331 del 15.12.2010, pag. 48).

(6) Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (GU L 331 del 15.12.2010, pag. 84).

(7) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pag. 1).

(8) Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, che modifica il regolamento (UE) n. 910/2014 e la direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (cfr. pag. 80 della presente Gazzetta ufficiale).

(9) Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, sulla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio (cfr. pag. 164 della presente Gazzetta ufficiale).

(10) Direttiva (UE) 2016/2341 del Parlamento europeo e del Consiglio, del 14 dicembre 2016, relativa alle attività e alla vigilanza degli enti pensionistici aziendali o professionali (EPAP) (GU L 354 del 23.12.2016, pag. 37).

(11) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (GU L 151 del 7.6.2019, pag. 15).

(12) Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).

(13) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(14) Direttiva 2009/110/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, concernente l’avvio, l’esercizio e la vigilanza prudenziale dell’attività degli istituti di moneta elettronica, che modifica le direttive 2005/60/CE e 2006/48/CE e che abroga la direttiva 2000/46/CE (GU L 267 del 10.10.2009, pag. 7).

(15) Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338).

(16) Direttiva 2011/61/UE del Parlamento europeo e del Consiglio, dell’8 giugno 2011, sui gestori di fondi di investimento alternativi, che modifica le direttive 2003/41/CE e 2009/65/CE e i regolamenti (CE) n. 1060/2009 e (UE) n. 1095/2010 (GU L 174 dell’1.7.2011, pag. 1).

(17) Direttiva 2009/138/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, in materia di accesso ed esercizio delle attività di assicurazione e di riassicurazione (solvibilità II) (GU L 335 del 17.12.2009, pag. 1).

(18) Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349).

(19) Regolamento (UE) n. 1024/2013 del Consiglio, del 15 ottobre 2013, che attribuisce alla Banca centrale europea compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi (GU L 287 del 29.10.2013, pag. 63).

(20) Direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento e che modifica la direttiva 82/891/CEE del Consiglio, e le direttive 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE e 2013/36/UE e i regolamenti (UE) n. 1093/2010 e (UE) n. 648/2012, del Parlamento europeo e del Consiglio (GU L 173 del 12.6.2014, pag. 190).

(21) Direttiva 2013/34/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativa ai bilanci d’esercizio, ai bilanci consolidati e alle relative relazioni di talune tipologie di imprese, recante modifica della direttiva 2006/43/CE del Parlamento europeo e del Consiglio e abrogazione delle direttive 78/660/CEE e 83/349/CEE del Consiglio (GU L 182 del 29.6.2013, pag. 19).

(22) GU L 123 del 12.5.2016, pag. 1.

(23) Regolamento (CE) n. 1060/2009 del Parlamento europeo e del Consiglio, del 16 settembre 2009, relativo alle agenzie di rating del credito (GU L 302 del 17.11.2009, pag. 1).

(24) Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, pag. 1).

(25) Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, pag. 84).

(26) Regolamento (UE) n. 909/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, relativo al miglioramento del regolamento titoli nell’Unione europea e ai depositari centrali di titoli e recante modifica delle direttive 98/26/CE e 2014/65/UE e del regolamento (UE) n. 236/2012 (GU L 257 del 28.8.2014, pag. 1).

(27) Direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza_operativa_digitale per il settore finanziario (cfr. pag. 153 della presente Gazzetta ufficiale).

(28) Regolamento (UE) 2016/1011 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sugli indici usati come indici di riferimento negli strumenti finanziari e nei contratti finanziari o per misurare la performance di fondi di investimento e recante modifica delle direttive 2008/48/CE e 2014/17/UE e del regolamento (UE) n. 596/2014 (GU L 171 del 29.6.2016, pag. 1).

(29) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(30) GU C 229 del 15.6.2021, pag. 16.

(31) Direttiva 2009/65/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, concernente il coordinamento delle disposizioni legislative, regolamentari e amministrative in materia di taluni organismi d’investimento collettivo in valori mobiliari (OICVM) (GU L 302 del 17.11.2009, pag. 32).

(32) Regolamento (UE) n. 575/2013, del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e che modifica il regolamento (UE) n. 648/2012 (GU L 176 del 27.6.2013, pag. 1).

(33) Regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio, del 27 novembre 2019, relativo ai requisiti prudenziali delle imprese di investimento e che modifica i regolamenti (UE) n. 1093/2010, (UE) n. 575/2013, (UE) n. 600/2014 e (UE) n. 806/2014 (GU L 314 del 5.12.2019, pag. 1).

(34) Direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio, del 20 gennaio 2016, sulla distribuzione assicurativa (GU L 26 del 2.2.2016, pag. 19).

(35) Regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio, del 7 ottobre 2020, relativo ai fornitori europei di servizi di crowdfunding per le imprese, e che modifica il regolamento (UE) 2017/1129 e la direttiva (UE) 2019/1937 (GU L 347 del 20.10.2020, pag. 1).

(36) Regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio, del 12 dicembre 2017, che stabilisce un quadro generale per la cartolarizzazione, instaura un quadro specifico per cartolarizzazioni semplici, trasparenti e standardizzate e modifica le direttive 2009/65/CE, 2009/138/CE e 2011/61/UE e i regolamenti (CE) n. 1060/2009 e (UE) n. 648/2012 (GU L 347 del 28.12.2017, pag. 35).

(37) Regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (GU L 225 del 30.7.2014, pag. 1).

(38) Direttiva (UE) 2019/2034 del Parlamento europeo e del Consiglio, del 27 novembre 2019, relativa alla vigilanza prudenziale sulle imprese di investimento e recante modifica delle direttive 2002/87/CE, 2009/65/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE e 2014/65/UE (GU L 314 del 5.12.2019, pag. 64).

(39) Direttiva 2006/43/CE del Parlamento europeo e del Consiglio, del 17 maggio 2006, relativa alle revisioni legali dei conti annuali e dei conti consolidati, che modifica le direttive 78/660/CEE e 83/349/CEE del Consiglio e abroga la direttiva 84/253/CEE del Consiglio (GU L 157 del 9.6.2006, pag. 87).

whereas

keyboard_tab DORA 2022/2554 IT

DORA 2022/2554 IT