DORA 2022/2554 IT

« resilienza_operativa_digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi_TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza_dei_sistemi_informatici_e_di_rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni;

2)	« sistema_informatico_e_di_rete»: un sistema_informatico_e_di_rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555;

« sistema_legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore_terzo_di_servizi_TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria;

4)	« sicurezza_dei_sistemi_informatici_e_di_rete»: la sicurezza_dei_sistemi_informatici_e_di_rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555;

« rischi_informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza_dei_sistemi_informatici_e_di_rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico;

6)	« patrimonio_informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere;

7)	« risorse_TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria;

« incidente_connesso_alle_TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza_dei_sistemi_informatici_e_di_rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria;

« incidente_operativo_o_di_sicurezza_dei_pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria;

10)	« grave_incidente_TIC»: un incidente_connesso_alle_TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria;

11)	«grave incidente_operativo_o_di_sicurezza_dei_pagamenti»: un incidente_operativo_o_di_sicurezza_dei_pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti;

12)	« minaccia_informatica»: minaccia_informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881;

13)	« minaccia_informatica significativa»: una minaccia_informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave_incidente_TIC o un grave incidente_operativo_o_di_sicurezza_dei_pagamenti;

14)	« attacco_informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione;

15)

« analisi_delle_minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente_connesso_alle_TIC o di una minaccia_informatica, compresi i dettagli tecnici dell’ attacco_informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni;

16)	« vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile;

17)

« test_di_penetrazione_guidato_dalla_minaccia_(TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia_informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team);

18)	« rischi_informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi_TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione;

19)	« fornitore_terzo_di_servizi_TIC»: un’impresa che fornisce servizi_TIC;

20)

« fornitore_intra gruppo_di_servizi_TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi_TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune;

21)

« servizi_TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali;

22)

« funzione_essenziale_o_importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari;

23)	«fornitore terzo critico di servizi_TIC»: un fornitore_terzo_di_servizi_TIC designato come critico in conformità dell’articolo 31;

24)	« fornitore_terzo_di_servizi_TIC stabilito in un paese terzo»: un fornitore_terzo_di_servizi_TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC;

25)	« impresa_figlia»: impresa_figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE;

26)	« gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE;

27)	« impresa_madre»: impresa_madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE;

28)	« subappaltatore_di_TIC_stabilito_in_un_paese_terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore_terzo_di_servizi_TIC o con un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo;

29)

« rischio_di_concentrazione_delle_TIC»: l’esposizione a fornitori terzi critici di servizi_TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione;

30)

« organo_di_gestione»: organo_di_gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale;

31)	« ente_creditizio»: ente_creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32);

32)	« ente_esentato_dalla_direttiva_2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE;

33)	« impresa_di_investimento»: un’ impresa_di_investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE;

34)	« impresa_di_investimento piccola e non interconnessa»: un’ impresa_di_investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33);

35)	« istituto_di_pagamento»: un istituto_di_pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366;

36)	« istituto_di_pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto_di_pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366;

37)	« prestatore_di_servizi_di_informazione_sui_conti»: un prestatore_di_servizi_di_informazione_sui_conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366;

38)	« istituto_di_moneta_elettronica»: un istituto_di_moneta_elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio;

39)	« istituto_di_moneta_elettronica esentato a norma della direttiva 2009/110/CE»: un istituto_di_moneta_elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE;

40)	« controparte_centrale»: una controparte_centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012;

41)	« repertorio_di_dati_sulle_negoziazioni»: un repertorio_di_dati_sulle_negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012;

42)	« depositario_centrale_di_titoli»: un depositario_centrale_di_titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014;

43)	« sede_di_negoziazione»: una sede_di_negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE;

44)	« gestore_di_fondi_di_investimento_alternativi»: un gestore_di_fondi_di_investimento_alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE;

45)	« società_di_gestione»: una società_di_gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE;

46)	« fornitore_di_servizi_di_comunicazione_dati»: un fornitore_di_servizi_di_comunicazione_dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36);

47)	« impresa_di_assicurazione»: impresa_di_assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE;

48)	« impresa_di_riassicurazione»: impresa_di_riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE;

49)	« intermediario_assicurativo»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34);

50)	« intermediario_assicurativo a titolo accessorio»: un intermediario_assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97;

51)	« intermediario_riassicurativo»: un intermediario_riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97;

52)	« ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341;

53)	«piccolo ente_pensionistico_aziendale_o_professionale»: un ente_pensionistico_aziendale_o_professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale;

54)	« agenzia_di_rating_del_credito»: un’ agenzia_di_rating_del_credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009;

55)	« fornitore_di_servizi_per_le_cripto-attività»: un fornitore_di_servizi_per_le_cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;

56)	« emittente_di_token_collegati_ad_attività»: un emittente_di_token_collegati_ad_attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;

57)	« amministratore_di_indici_di_riferimento_critici»: un amministratore_di_indici_di_riferimento_critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011;

58)	« fornitore_di_servizi_di_crowdfunding»: un fornitore_di_servizi_di_crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35);

59)	« repertorio_di_dati_sulle_cartolarizzazioni»: un repertorio_di_dati_sulle_cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36);

60)

« microimpresa»: un’entità finanziaria, diversa da una sede_di_negoziazione, una controparte_centrale, un repertorio_di_dati_sulle_negoziazioni o un depositario_centrale_di_titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR;

61)	« autorità_di_sorveglianza_capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento;

62)	« comitato_congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010;

63)	« piccola_impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR;

64)	« media_impresa»: un’entità finanziaria che non è una piccola_impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR;

65)	« autorità_pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali.

Articolo 5

Governance e organizzazione

1. Le entità finanziarie predispongono un quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente di tutti i rischi_informatici, conformemente all’articolo 6, paragrafo 4, al fine di acquisire un elevato livello di resilienza_operativa_digitale.

2. L’ organo_di_gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi_informatici di cui all’articolo 6, paragrafo 1, vigila su tale attuazione e ne è responsabile.

Ai fini del primo comma, l’ organo_di_gestione:

a)	assume la responsabilità finale per la gestione dei rischi_informatici dell’entità finanziaria;

b)	predispone politiche miranti a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati;

c)	definisce chiaramente ruoli e responsabilità per tutte le funzioni connesse alle TIC e stabilisce adeguati meccanismi di governance al fine di garantire una comunicazione, una cooperazione e un coordinamento efficaci e tempestivi tra tali funzioni;

ha la responsabilità generale di definire e approvare la strategia di resilienza_operativa_digitale di cui all’articolo 6, paragrafo 8, compresa la determinazione del livello appropriato di tolleranza per i rischi_informatici dell’entità finanziaria, ai sensi dell’articolo 6, paragrafo 8, lettera b);

approva, supervisiona e riesamina periodicamente l’attuazione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC dell’entità finanziaria, di cui rispettivamente all’articolo 11, paragrafi 1 e 3, che possono essere adottati come politica specifica dedicata che costituisce parte integrante della politica generale di continuità operativa e del piano di risposta e ripristino dell’entità finanziaria;

f)	approva e riesamina periodicamente i piani interni di audit in materia di TIC dell’entità finanziaria, gli audit in materia di TIC e le più importanti modifiche a essi apportate;

assegna e riesamina periodicamente le risorse finanziarie adeguate per soddisfare le esigenze di resilienza_operativa_digitale dell’entità finanziaria rispetto a tutti i tipi di risorse, compresi i pertinenti programmi di sensibilizzazione sulla sicurezza delle TIC e le attività di formazione sulla resilienza_operativa_digitale di cui all’articolo 13, paragrafo 6, nonché le competenze in materia di TIC per tutto il personale;

h)	approva e riesamina periodicamente la politica dell’entità finanziaria relativa alle modalità per l’uso dei servizi_TIC prestati dal fornitore_terzo_di_servizi_TIC;

istituisce a livello aziendale canali di comunicazione che gli consentono di essere debitamente informato in merito a quanto segue:

i)	gli accordi conclusi con i fornitori terzi di servizi_TIC sull’uso di tali servizi;

ii)	le relative eventuali modifiche importanti e pertinenti previste riguardo ai fornitori terzi di servizi_TIC;

iii)

il potenziale impatto di tali modiche sulle funzioni essenziali o importanti soggette agli accordi in questione, compresa una sintesi dell’analisi del rischio per valutare l’impatto di tali modifiche, nonché almeno gli gravi incidenti TIC e il loro impatto, le misure di risposta e ripristino e le misure correttive.

3. Le entità finanziarie diverse dalle microimprese istituiscono un ruolo al fine di monitorare gli accordi conclusi con i fornitori terzi di servizi_TIC per l’uso di tali servizi, oppure designano un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente.

4. I membri dell’ organo_di_gestione dell’entità finanziaria mantengono attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi_informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi_informatici gestiti.

Sezione II

Articolo 6

Quadro per la gestione dei rischi_informatici

1. Nell’ambito del sistema di gestione globale del rischio, le entità finanziarie predispongono un quadro per la gestione dei rischi_informatici solido, esaustivo e adeguatamente documentato, che consenta loro di affrontare i rischi_informatici in maniera rapida, efficiente ed esaustiva, assicurando un elevato livello di resilienza_operativa_digitale.

2. Il quadro per la gestione dei rischi_informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e i risorse_TIC, compresi software, hardware e server, nonché tutte le pertinenti infrastrutture e componenti fisiche, quali i locali, i centri di elaborazione dati e le aree designate come sensibili, così da garantire che tutti i patrimoni informativi e i risorse_TIC siano adeguatamente protetti contro i rischi, compresi i danneggiamenti e l’accesso o l’uso non autorizzati.

3. Conformemente al proprio quadro per la gestione dei rischi_informatici, le entità finanziarie riducono al minimo l’impatto dei rischi_informatici applicando strategie, politiche, procedure, protocolli e strumenti in materia di TIC adeguati. Forniscono alle autorità competenti, su richiesta di queste ultime, informazioni complete e aggiornate sui rischi_informatici e sul proprio quadro per la gestione dei rischi_informatici.

4. Le entità finanziarie diverse dalle microimprese attribuiscono la responsabilità della gestione e della sorveglianza dei rischi_informatici a una funzione di controllo, di cui assicurano un livello appropriato d’indipendenza per evitare conflitti d’interessi. Le entità finanziarie garantiscono un’opportuna separazione e indipendenza tra funzioni di gestione dei rischi_informatici, funzioni di controllo e funzioni di audit interno, secondo il modello delle tre linee di difesa o secondo un modello interno di controllo e gestione del rischio.

5. Il quadro per la gestione dei rischi_informatici è documentato e riesaminato almeno una volta all’anno, o periodicamente in caso di microimprese, nonché in occasione di gravi incidenti TIC e in seguito a indicazioni o conclusioni delle autorità di vigilanza formulate a seguito di pertinenti test di resilienza_operativa_digitale o di processi di audit. Il quadro è costantemente migliorato sulla base degli insegnamenti tratti dall’attuazione e dal monitoraggio. È presentata all’autorità competente, su sua richiesta, una relazione in merito al riesame del quadro per la gestione dei rischi_informatici.

6. Il quadro per la gestione dei rischi_informatici delle entità finanziarie, diverse dalle microimprese, è sottoposto periodicamente a verifiche di audit interne effettuate da addetti all’audit in linea con i piani di audit delle entità finanziarie. Tali addetti all’audit possiedono conoscenze, competenze ed esperienze adeguate in materia di rischi_informatici, nonché un’adeguata indipendenza. La frequenza e l’oggetto delle verifiche di audit in materia di TIC sono commisurati ai rischi connessi alle TIC cui è esposta l’entità finanziaria.

7. Sulla base delle conclusioni dell’audit interno in materia di TIC, le entità finanziarie istituiscono un procedimento formale per darvi seguito, comprendente regole per la verifica tempestiva delle risultanze critiche e l’adozione di rimedi.

8. Il quadro per la gestione dei rischi_informatici comprende una strategia di resilienza_operativa_digitale che definisce le modalità di attuazione del quadro. A tal fine, la strategia di resilienza_operativa_digitale include metodi per affrontare i rischi_informatici e conseguire specifici obiettivi in materia di TIC:

a)	spiegando in che modo il quadro per la gestione dei rischi_informatici sostiene gli obiettivi e la strategia commerciale dell’entità finanziaria;

b)	fissando il livello di tolleranza per i rischi_informatici, conformemente alla propensione al rischio dell’entità finanziaria e analizzando la tolleranza d’impatto per le perturbazioni a livello di TIC;

c)	indicando chiari obiettivi in materia di sicurezza delle informazioni, compresi indicatori chiave di prestazione e parametri chiave di rischio;

d)	spiegando l’architettura di riferimento a livello di TIC e le eventuali modifiche necessarie per conseguire specifici obiettivi commerciali;

e)	delineando i differenti meccanismi introdotti per individuare incidenti connessi alle TIC, prevenire il loro impatto e proteggersi dallo stesso;

f)	documentando l’attuale situazione di resilienza_operativa_digitale sulla base del numero di gravi incidenti TIC segnalati, nonché l’efficacia delle misure preventive;

g)	attuando test di resilienza_operativa_digitale, conformemente al capo IV del presente regolamento;

h)	delineando una strategia di comunicazione in caso di incidenti connessi alle TIC di cui è richiesta la divulgazione a norma dell’articolo 14.

9. Le entità finanziarie possono, nel contesto della strategia di resilienza_operativa_digitale di cui al paragrafo 8, definire una strategia olistica per le TIC a livello di gruppo o di entità, basata su una varietà di fornitori, che indichi le principali dipendenze da fornitori terzi di servizi_TIC e che spieghi la logica sottesa alla ripartizione degli appalti tra i fornitori terzi di servizi_TIC.

10. Le entità finanziarie possono, conformemente alla normativa settoriale dell’Unione e nazionale, esternalizzare a imprese interne o esterne al gruppo i compiti di verifica della conformità ai requisiti in materia di gestione dei rischi_informatici. In caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di verificare la conformità ai requisiti in materia di gestione dei rischi_informatici.

Articolo 8

Identificazione

1. Nell’ambito del quadro per la gestione dei rischi_informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie identificano, classificano e documentano adeguatamente tutte le funzioni commerciali supportate dalle TIC, i ruoli e le responsabilità, i patrimoni informativi e le risorse_TIC a supporto delle suddette funzioni, nonché i ruoli e le dipendenze rispettivi in materia di rischi_informatici. Le entità finanziarie riesaminano, secondo necessità e almeno una volta all’anno, l’adeguatezza di tale classificazione e di altri documenti eventualmente pertinenti.

2. Le entità finanziarie identificano costantemente tutte le fonti di rischio relative alle TIC, in particolare l’esposizione al rischio da e verso altre entità finanziarie, e valutano le minacce informatiche e le vulnerabilità in materia di TIC pertinenti per le loro funzioni commerciali supportate dalle TIC, per i loro patrimoni informativi e per i loro risorse_TIC. Le entità finanziarie riesaminano periodicamente, e almeno una volta all’anno, gli scenari di rischio che esercitano un impatto su di loro.

3. Le entità finanziarie diverse dalle microimprese effettuano una valutazione del rischio in occasione di ogni modifica di rilievo dell’infrastruttura del sistema_informatico_e_di_rete, dei processi o delle procedure che incidono sulle loro funzioni commerciali supportate dalle TIC, sui loro patrimoni informativi o sulle loro risorse TIC.

4. Le entità finanziarie identificano tutti i patrimoni informativi e le risorse_TIC, compresi quelli su siti remoti, le risorse di rete e le attrezzature hardware, e mappano quelle considerate essenziali. Effettuano la mappatura della configurazione dei patrimoni informativi e delle risorse_TIC, nonché dei collegamenti e delle interdipendenze tra i diversi patrimoni informativi e risorse TIC.

5. Le entità finanziarie identificano e documentano tutti i processi dipendenti da fornitori terzi di servizi_TIC e identificano le interconnessioni con detti fornitori che offrono servizi a supporto di funzioni essenziali o importanti.

6. Ai fini dei paragrafi 1, 4 e 5, le entità finanziarie mantengono inventari pertinenti e li aggiornano periodicamente e in occasione di ogni modifica di rilievo di cui al paragrafo 3.

7. Le entità finanziarie diverse dalle microimprese effettuano periodicamente, almeno una volta all’anno e in ogni caso prima e dopo la connessione di tecnologie, applicazioni o sistemi, una valutazione del rischio specifica per tutti i sistemi legacy.

Articolo 9

Protezione e prevenzione

1. Allo scopo di proteggere adeguatamente i sistemi di TIC e nella prospettiva di organizzare misure di risposta, le entità finanziarie monitorano e controllano costantemente la sicurezza e il funzionamento dei sistemi e degli strumenti di TIC e riducono al minimo l’impatto dei rischi_informatici sui sistemi di TIC adottando politiche, procedure e strumenti adeguati per la sicurezza delle TIC.

2. Le entità finanziarie definiscono, acquisiscono e attuano politiche, procedure, protocolli e strumenti per la sicurezza delle TIC miranti a garantire la resilienza, la continuità e la disponibilità dei sistemi di TIC, in particolare quelli a supporto di funzioni essenziali o importanti, nonché a mantenere standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati conservati, in uso o in transito.

3. Al fine di conseguire gli obiettivi di cui al paragrafo 2 le entità finanziarie usano soluzioni e processi TIC appropriati conformemente all’articolo 4. Tali soluzioni e processi TIC:

a)	garantiscono la sicurezza dei mezzi di trasferimento dei dati;

b)	riducono al minimo i rischi di corruzione o perdita di dati, di accesso non autorizzato nonché di difetti tecnici che possono ostacolare l’attività commerciale;

c)	prevengono la mancanza di disponibilità, il deterioramento dell’autenticità o dell’integrità, le violazioni della riservatezza e la perdita di dati;

d)	assicurano la protezione dei dati contro i rischi derivanti dalla gestione dei dati, compresi la cattiva amministrazione, i rischi relativi al trattamento dei dati e l’errore umano.

4. All’interno del quadro per la gestione dei rischi_informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie:

a)	elaborano e documentano una politica di sicurezza dell’informazione che definisce le norme per tutelare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, dei patrimoni informativi e delle risorse_TIC, compresi quelli dei loro clienti, se del caso;

seguendo un approccio basato sul rischio, realizzano una solida struttura di gestione della rete e delle infrastrutture impiegando tecniche, metodi e protocolli adeguati, che possono includere l’applicazione di meccanismi automatizzati, per isolare i patrimoni informativi colpiti in caso di attacchi informatici;

attuano politiche che limitano l’accesso fisico o logico ai patrimoni informativi e alle risorse_TIC unicamente a quanto è necessario per funzioni e attività legittime e approvate, e stabiliscono a tale scopo una serie di politiche, procedure e controlli concernenti i diritti di accesso e garantiscono una solida amministrazione degli stessi;

attuano politiche e protocolli riguardanti robusti meccanismi di autenticazione, basati su norme pertinenti e sistemi di controllo dedicati, e misure di protezione delle chiavi crittografiche di cifratura dei dati sulla scorta dei risultati di processi approvati per la classificazione dei dati e la valutazione dei rischi_informatici;

attuano politiche, procedure e controlli documentati per la gestione delle modifiche delle TIC, comprese le modifiche apportate a componenti software, hardware e firmware, sistemi o parametri di sicurezza, che adottano un approccio basato sulla valutazione del rischio e sono parte integrante del processo complessivo di gestione delle modifiche dell’entità finanziaria, in modo che tutte le modifiche apportate ai sistemi di TIC siano registrate, testate, valutate, approvate, attuate e verificate in maniera controllata;

f)	si dotano di politiche documentate, idonee ed esaustive in materia di correzioni ed aggiornamenti.

Ai fini della lettera b) del primo comma, le entità finanziarie progettano l’infrastruttura di connessione di rete in modo che sia possibile isolarla o segmentarla istantaneamente, al fine di ridurre al minimo e prevenire il contagio, soprattutto per i processi finanziari interconnessi.

Ai fini della lettera e) del primo comma, il processo di gestione delle modifiche delle TIC è approvato da linee di gestione adeguate e comprende protocolli specifici in essere.

Articolo 11

Risposta e ripristino

1. All’interno del quadro per la gestione dei rischi_informatici di cui all’articolo 6, paragrafo 1, e in base ai requisiti di identificazione stabiliti all’articolo 8, le entità finanziarie predispongono una politica di continuità operativa delle TIC esaustiva, la quale può essere adottata come una politica specifica dedicata che costituisce parte integrante della politica generale di continuità operativa dell’entità finanziaria.

2. Le entità finanziarie attuano la politica di continuità operativa delle TIC tramite accordi, piani, procedure e meccanismi appositi, appropriati e documentati, miranti a:

a)	garantire la continuità delle funzioni essenziali o importanti dell’entità finanziaria;

b)	rispondere in maniera rapida, appropriata ed efficace e trovare una soluzione a tutti gli incidenti connessi alle TIC, in modo da limitare i danni e privilegiare la ripresa delle attività e le azioni di ripristino;

c)	attivare senza ritardo piani dedicati che prevedano tecnologie, processi e misure di contenimento idonei a ciascun tipo di incidente_connesso_alle_TIC e a scongiurare danni ulteriori, nonché procedure mirate di risposta e ripristino stabilite in conformità dell’articolo 12;

d)	stimare in via preliminare impatti, danni e perdite;

stabilire azioni di comunicazione e gestione delle crisi che assicurino la trasmissione di informazioni aggiornate a tutto il personale interno interessato e ai portatori di interessi esterni, conformemente all’articolo 14, e comunicare tali informazioni alle autorità competenti, conformemente all’articolo 19.

3. All’interno del quadro per la gestione dei rischi_informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie attuano i piani di risposta e ripristino relativi alle TIC associati; per le entità finanziarie diverse dalle microimprese tali piani sono soggetti a un audit interno indipendente.

4. Le entità finanziarie predispongono, mantengono e testano periodicamente opportuni piani di continuità operativa delle TIC, in particolare per quanto riguarda le funzioni essenziali o importanti esternalizzate o appaltate tramite accordi con fornitori terzi di servizi TIC.

5. Nell’ambito della politica generale di continuità operativa, le entità finanziarie effettuano un’analisi dell’impatto sulle attività aziendali (Business Impact Analysis — BIA) delle loro esposizioni a gravi perturbazioni delle attività. Nel quadro della BIA, le entità finanziarie valutano l’impatto potenziale di gravi perturbazioni delle attività mediante criteri quantitativi e qualitativi, utilizzando, se del caso, dati interni ed esterni e analisi di scenario. La BIA tiene conto della criticità delle funzioni commerciali, dei processi di supporto, delle dipendenze da terzi e dei patrimoni informativi individuati e mappati, nonché delle loro interdipendenze. Le entità finanziarie provvedono affinché le risorse_TIC e i servizi_TIC siano progettati e utilizzati in piena conformità con la BIA, in particolare garantendo adeguatamente la ridondanza di tutte le componenti essenziali.

6. All’interno della gestione complessiva dei rischi_informatici, le entità finanziarie:

a)	testano i piani di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC in relazione ai sistemi di TIC a supporto di tutte le funzioni almeno una volta all’anno nonché in caso di modifiche di rilievo ai sistemi di TIC a supporto di funzioni essenziali o importanti;

b)	testano i piani di comunicazione delle crisi istituiti in conformità dell’articolo 14.

Ai fini del primo comma, lettera a), le entità finanziarie diverse dalle microimprese inseriscono nei piani dei test scenari di attacchi informatici e del passaggio tra le infrastrutture delle TIC primarie e la capacità ridondante, i backup e le attrezzature ridondanti necessarie per soddisfare gli obblighi di cui all’articolo 12.

Le entità finanziarie riesaminano periodicamente la politica di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC, tenendo conto dei risultati dei test svolti in conformità del primo comma e delle raccomandazioni formulate sulla base dei controlli di audit o degli esami di vigilanza.

7. Le entità finanziarie diverse dalle microimprese si dotano di una funzione di gestione delle crisi che, in caso di attivazione dei piani di continuità operativa delle TIC o dei piani di risposta e ripristino relativi alle TIC, fissa, tra l’altro, procedure chiare per la gestione della comunicazione interna ed esterna delle crisi, in conformità dell’articolo 14.

8. Le entità finanziarie rendono prontamente accessibili le registrazioni delle attività svolte prima e durante le perturbazioni in cui vengono attivati i piani di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC.

9. Le controparti centrali trasmettono alle autorità competenti copie dei risultati dei test di continuità operativa delle TIC o di esercizi analoghi.

10. Le entità finanziarie, diverse dalle microimprese, comunicano alle autorità competenti, su loro richiesta di queste ultime, una stima dei costi e delle perdite annuali aggregati causati da incidenti gravi connessi alle TIC.

11. A norma dell’articolo 16 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010, le AEV elaborano, tramite il comitato_congiunto, entro il 17 luglio 2024 orientamenti comuni sulla stima dei costi e delle perdite annuali aggregati di cui al paragrafo 10.

Articolo 12

Politiche e procedure di backup — Procedure e metodi di ripristino e recupero

1. Al fine di assicurare che i sistemi e i dati di TIC siano ripristinati riducendo al minimo il periodo di inattività e limitando la perturbazione e le perdite, all’interno del proprio quadro per la gestione dei rischi_informatici le entità finanziarie elaborano e documentano:

a)	le politiche e procedure di backup che precisano il perimetro dei dati soggetti a backup e la frequenza minima del backup, in base alla criticità delle informazioni o al livello di riservatezza dei dati;

b)	le procedure e i metodi di ripristino e recupero.

2. Le entità finanziarie si dotano di sistemi di backup che possono essere attivati conformemente alle politiche e alle procedure di backup, come pure alle procedure e ai metodi di ripristino e recupero. L’attivazione dei sistemi di backup non mette a repentaglio la sicurezza_dei_sistemi_informatici_e_di_rete né, la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. I test delle procedure di backup e di ripristino nonché delle procedure e dei metodi di recupero sono effettuati periodicamente.

3. Nel ripristino dei dati di backup effettuato utilizzando i propri sistemi, le entità finanziarie impiegano sistemi di TIC che sono fisicamente e logicamente segregati dal sistema di TIC sorgente. I sistemi di TIC sono protetti in maniera sicura da qualsiasi accesso non autorizzato o corruzione delle TIC e consentono il tempestivo ripristino dei servizi attraverso il backup dei dati e dei sistemi ove necessario.

Per le controparti centrali, i piani di ripristino consentono il ripristino di tutte le operazioni in corso al momento della perturbazione, così da permettere alla controparte_centrale di continuare a operare con certezza e di completare la liquidazione alla data programmata.

I fornitori di servizi di comunicazione dati mantengono inoltre risorse adeguate e dispongono di attrezzature di back-up e ripristino per offrire e mantenere in ogni momento i loro servizi.

4. Le entità finanziarie, diverse dalle microimprese, mantengono capacità di TIC ridondanti, dotate di risorse e funzioni sufficienti e adeguate a soddisfare le esigenze commerciali. Le microimprese valutano la necessità di mantenere tali capacità di TIC ridondanti sulla base del loro profilo di rischio.

5. I depositari centrali di titoli mantengono almeno un sito secondario di trattamento dati dotato di risorse, capacità, funzioni e personale adeguati a soddisfare le esigenze commerciali.

Il sito secondario di trattamento dati è:

a)	ubicato geograficamente a distanza dal sito primario per garantire che esso abbia un profilo di rischio distinto e impedire che venga colpito dall’evento che ha interessato il sito primario;

b)	in grado di garantire la continuità delle funzioni essenziali o importanti in maniera identica al sito primario, oppure di fornire il livello di servizi necessario a garantire che l’entità finanziaria svolga le proprie operazioni essenziali nell’ambito degli obiettivi di ripristino;

c)	immediatamente accessibile al personale dell’entità finanziaria per garantire la continuità delle funzioni essenziali o importanti qualora il sito primario di trattamento dati divenga indisponibile.

6. Nel determinare gli obiettivi in materia di punti di ripristino e tempi di ripristino di ciascuna funzione, le entità finanziarie tengono conto del fatto che si tratti di una funzione_essenziale_o_importante e del potenziale impatto complessivo sull’efficienza del mercato. Questi obiettivi in materia di tempi garantiscono che i livelli di servizi concordati siano rispettati anche in scenari estremi.

7. Durante il ripristino successivo a un incidente_connesso_alle_TIC, le entità finanziarie effettuano le verifiche necessarie, comprese eventuali verifiche multiple e controlli incrociati, per assicurare che sia mantenuto il più elevato livello di integrità dei dati. Questi controlli sono effettuati anche al momento di ricostruire i dati provenienti da portatori di interessi esterni, per assicurare la piena coerenza di tutti i dati tra i sistemi.

Articolo 13

Apprendimento ed evoluzione

1. Le entità finanziare dispongono capacità e personale per raccogliere informazioni in relazione alle vulnerabilità e alle minacce informatiche, agli incidenti connessi alle TIC, in particolare agli attacchi informatici, e analizzarne i probabili effetti sulla loro resilienza_operativa_digitale.

2. Dopo che un grave incidente_connesso_alle_TIC ha perturbato le loro attività principali, le entità finanziarie svolgono un riesame successivo a tale incidente che analizzi le cause della perturbazione e identifichi i miglioramenti che è necessario apportare alle operazioni riguardanti le TIC o nell’ambito della politica di continuità operativa delle TIC di cui all’articolo 11.

Le entità finanziarie diverse dalle microimprese comunicano, su richiesta, alle autorità competenti le modifiche attuate a seguito del riesame successivo all’ incidente_connesso_alle_TIC di cui al primo comma.

Il riesame successivo all’ incidente_connesso_alle_TIC di cui al primo comma determina se le procedure stabilite siano state seguite e se le azioni adottate siano state efficaci, anche in relazione:

a)	alla tempestività della risposta agli allarmi di sicurezza e alla determinazione dell’impatto degli incidenti connessi alle TIC e della loro gravità;

b)	alla qualità e alla rapidità dell’analisi forense, ove ritenuto opportuno;

c)	all’efficacia della procedura di attivazione dei livelli successivi di intervento in caso di incidenti all’interno dell’entità finanziaria;

d)	all’efficacia della comunicazione interna ed esterna.

3. Gli insegnamenti tratti dai test sulla resilienza_operativa_digitale effettuati in conformità degli articoli 26 e 27 e da incidenti connessi alle TIC realmente avvenuti, in particolare attacchi informatici, insieme alle difficoltà riscontrate al momento dell’attivazione dei piani di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC, nonché le informazioni pertinenti scambiate con le controparti e valutate nel corso degli esami di vigilanza sono debitamente e costantemente integrati nel processo di valutazione dei rischi_informatici. Tali risultanze costituiscono la base per opportune revisioni delle relative componenti del quadro per la gestione dei rischi_informatici di cui all’articolo 6, paragrafo 1.

4. Le entità finanziarie monitorano l’efficacia dell’attuazione della loro strategia di resilienza_operativa_digitale stabilita all’articolo 6, paragrafo 8. Tracciano l’evoluzione nel tempo dei rischi_informatici, analizzano la frequenza, i tipi, le dimensioni e l’evoluzione degli incidenti connessi alle TIC, in particolare gli attacchi informatici e i relativi schemi, al fine di comprendere il livello di esposizione ai rischi_informatici — segnatamente in relazione alle funzioni essenziali o importanti — e migliorare la maturità informatica e la preparazione dell’entità finanziaria.

5. Il personale addetto alle TIC di grado più elevato comunica almeno una volta all’anno all’ organo_di_gestione le risultanze di cui al paragrafo 3 e formula raccomandazioni.

6. Le entità finanziarie elaborano programmi di sensibilizzazione sulla sicurezza delle TIC nonché attività di formazione sulla resilienza_operativa_digitale, che rappresentano moduli obbligatori nei programmi di formazione del personale. Tali programmi e attività di formazione riguardano tutti i dipendenti e gli alti dirigenti, e presentano un livello di complessità commisurato all’ambito delle loro funzioni. Se del caso, le entità finanziarie includono anche i fornitori terzi di servizi_TIC nei loro sistemi di formazione pertinenti, conformemente all’articolo 30, paragrafo 2, lettera i).

7. Le entità finanziarie diverse dalle microimprese monitorano costantemente i pertinenti sviluppi tecnologici, anche al fine di comprendere i possibili effetti dell’impiego di tali nuove tecnologie sui requisiti in materia di sicurezza delle TIC e sulla resilienza_operativa_digitale. Si tengono aggiornate sui più recenti processi di gestione dei rischi_informatici, in modo da contrastare efficacemente le forme nuove o già esistenti di attacchi informatici.

Articolo 15

Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico

Tramite il comitato_congiunto e in consultazione con l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), le AEV elaborano progetti di norme tecniche di regolamentazione comuni al fine di:

specificare ulteriori elementi da inserire nelle strategie, nelle politiche, nelle procedure, nei protocolli e negli strumenti in materia di sicurezza delle TIC di cui all’articolo 9, paragrafo 2, allo scopo di garantire la sicurezza delle reti, introdurre salvaguardie adeguate contro le intrusioni e l’uso improprio dei dati, preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, inserire tecniche crittografiche e assicurare un’accurata e pronta trasmissione dei dati senza gravi perturbazioni né indebiti ritardi;

sviluppare ulteriori componenti dei controlli sui diritti di gestione dell’accesso di cui all’articolo 9, paragrafo 4, lettera c), e della relativa politica di risorse umane, precisando i diritti di accesso, le procedure per concedere e revocare i diritti, il monitoraggio di comportamenti anomali in relazione ai rischi_informatici mediante indicatori appropriati, compresi i modelli di utilizzo della rete, gli orari, l’attività informatica e i dispositivi sconosciuti;

elaborare ulteriormente i meccanismi specificati all’articolo 10, paragrafo 1, in modo da consentire un’individuazione tempestiva delle attività anomale, e i criteri di cui all’articolo 10, paragrafo 2, per l’avvio dei processi di individuazione degli incidenti connessi alle TIC e di risposta agli stessi;

d)	specificare ulteriormente le componenti della politica di continuità operativa delle TIC di cui all’articolo 11, paragrafo 1;

specificare ulteriormente i test sui piani di continuità operativa delle TIC di cui all’articolo 11, paragrafo 6, per garantire che tali test tengano debitamente conto degli scenari in cui la qualità dell’esercizio di una funzione_essenziale_o_importante si deteriora a un livello inaccettabile o viene meno, e che considerino adeguatamente il potenziale impatto dell’insolvenza o di altre disfunzioni di pertinenti fornitori terzi di servizi_TIC e, se del caso, i rischi politici nelle giurisdizioni dei rispettivi fornitori;

f)	specificare ulteriormente le componenti dei piani di risposta e ripristino relativi alle TIC di cui all’articolo 11, paragrafo 3;

g)	specificare ulteriormente il contenuto e il formato della relazione sul riesame del quadro per la gestione dei rischi_informatici di cui all’articolo 6, paragrafo 5.

All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni, tenendo debitamente conto di eventuali caratteristiche specifiche derivanti dalla natura distinta delle attività nei diversi settori dei servizi finanziari.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 gennaio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

Articolo 16

Quadro semplificato per la gestione dei rischi_informatici

1. Gli articoli da 5 a 15 del presente regolamento non si applicano alle imprese di investimento piccole e non interconnesse e agli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366; agli istituti esentati a norma della direttiva 2013/36/UE per i quali gli Stati membri hanno deciso di non applicare l’opzione di cui all’articolo 2, paragrafo 4, del presente regolamento; agli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE; e ai piccoli enti pensionistici aziendali o professionali.

Fermo restando il primo comma, le entità elencate al primo comma:

pongono in essere e mantengono un solido e documentato quadro per la gestione dei rischi_informatici che precisa i meccanismi e le misure finalizzate a una gestione rapida, efficiente e organica dei rischi_informatici, anche ai fini della protezione delle pertinenti infrastrutture e componenti fisiche;

b)	monitorano costantemente la sicurezza e il funzionamento di tutti i sistemi di TIC;

riducono al minimo l’impatto dei rischi_informatici attraverso l’uso di sistemi, protocolli e strumenti di TIC solidi, resilienti e aggiornati e atti a supportare lo svolgimento delle loro attività e la fornitura di servizi e a proteggere adeguatamente la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati nei sistemi informatici e di rete;

d)	provvedono a che le fonti di rischi_informatici e le anomalie dei sistemi informatici e di rete siano tempestivamente individuate e rilevate e che gli incidenti connessi alle TIC siano trattati con rapidità;

e)	individuano le principali dipendenze da fornitori terzi di servizi TIC;

f)	garantiscono la continuità delle funzioni essenziali o importanti, attraverso piani di continuità operativa e misure di risposta e recupero, che comprendano almeno misure di back-up e ripristino;

g)	testano periodicamente i piani e le misure di cui alla lettera f) nonché l’efficacia dei controlli attuati in conformità delle lettere a) e c);

attuano, se del caso, le opportune conclusioni operative risultanti dai test di cui alla lettera g) e dall’analisi successiva all’incidente nel processo di valutazione dei rischi_informatici ed elaborano, in funzione delle esigenze e del profilo dei rischi_informatici, programmi di formazione e sensibilizzazione sulla sicurezza delle TIC per il personale e la dirigenza.

2. Il quadro per la gestione dei rischi_informatici di cui al paragrafo 1, secondo comma, lettera a), è documentato e riesaminato periodicamente e al verificarsi di incidenti gravi connessi alle TIC conformemente alle istruzioni delle autorità di vigilanza. Il quadro è costantemente migliorato sulla base degli insegnamenti tratti dall’attuazione e dal monitoraggio. Su sua richiesta, è presentata all’autorità competente una relazione sul riesame del quadro per la gestione dei rischi_informatici.

3. Tramite il comitato_congiunto e in consultazione con l’ENISA, le AEV elaborano progetti di norme tecniche di regolamentazione comuni al fine di:

a)	specificare ulteriormente gli elementi da includere nel quadro per la gestione dei rischi_informatici di cui al paragrafo 1, secondo comma, lettera a);

specificare ulteriormente gli elementi relativi ai sistemi, ai protocolli e agli strumenti per ridurre al minimo l’impatto dei rischi_informatici di cui al paragrafo 1, secondo comma, lettera c), allo scopo di garantire la sicurezza delle reti, introdurre salvaguardie adeguate contro le intrusioni e l’uso improprio dei dati e preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati;

c)	specificare ulteriormente le componenti dei piani di continuità operativa delle TIC di cui al paragrafo 1, secondo comma, lettera f);

specificare ulteriormente le norme riguardanti i test sui piani di continuità operativa e assicurare l’efficacia dei controlli di cui al paragrafo 1, secondo comma, lettera g), e garantire che tali test tengano debitamente conto degli scenari in cui la qualità dell’esercizio di una funzione_essenziale_o_importante si deteriora a un livello inaccettabile o viene meno;

e)	specificare ulteriormente il contenuto e il formato della relazione sul riesame del quadro per la gestione dei rischi_informatici di cui al paragrafo 2.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 gennaio 2024.

CAPO III

Gestione, classificazione e segnalazione degli incidenti informatici

Articolo 17

Processo di gestione degli incidenti connessi alle TIC

1. Le entità finanziarie definiscono, stabiliscono e attuano un processo di gestione degli incidenti connessi alle TIC al fine di individuare, gestire e notificare tali incidenti.

2. Le entità finanziarie registrano tutti gli incidenti connessi alle TIC e le minacce informatiche significative. Le entità finanziarie istituiscono procedure e processi appropriati per garantire, in maniera coerente e integrata, il monitoraggio e il trattamento degli incidenti connessi alle TIC, nonché il relativo seguito, in modo da identificare, documentare e affrontare le cause di fondo e prevenire il verificarsi di tali incidenti.

3. Il processo di gestione degli incidenti connessi alle TIC di cui al paragrafo 1:

a)	predispone indicatori di allerta precoce;

b)	stabilisce procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità e in base alla criticità dei servizi colpiti, conformemente ai criteri di cui all’articolo 18, paragrafo 1;

c)	assegna i ruoli e le responsabilità che è necessario attivare per i diversi scenari e tipi di incidenti connessi alle TIC;

elabora piani per la comunicazione al personale, ai portatori di interessi esterni e ai mezzi di comunicazione conformemente all’articolo 14, nonché per la notifica ai clienti, per le procedure di attivazione dei livelli successivi di intervento, compresi i reclami dei clienti in materia di TIC, e per la comunicazione di informazioni alle entità finanziarie che agiscono da controparti, a seconda dei casi;

e)	assicura la segnalazione almeno degli incidenti gravi connessi alle TIC agli alti dirigenti interessati e informa l’ organo_di_gestione almeno in merito a detti incidenti, illustrandone l’impatto e la risposta e i controlli supplementari da introdurre;

f)	stabilisce procedure di risposta agli incidenti connessi alle TIC per attenuarne l’impatto e garantisce tempestivamente l’operatività e la sicurezza dei servizi.

Articolo 18

Classificazione degli incidenti connessi alle TIC e delle minacce informatiche

1. Le entità finanziarie classificano gli incidenti connessi alle TIC e ne determinano l’impatto in base ai criteri seguenti:

a)	il numero e/o la rilevanza di clienti o controparti finanziarie interessati e, ove applicabile, la quantità o il numero di transazioni interessate dall’ incidente_connesso_alle_TIC e il fatto che tale incidente abbia provocato o meno un impatto reputazionale;

b)	la durata dell’ incidente_connesso_alle_TIC, compreso il periodo di inattività del servizio;

c)	l’estensione geografica dell’ incidente_connesso_alle_TIC, con riferimento alle aree colpite, in particolare se interessa più di due Stati membri;

d)	le perdite di dati derivanti dall’ incidente_connesso_alle_TIC, in relazione alla disponibilità, autenticità, integrità o riservatezza dei dati;

e)	la criticità dei servizi colpiti, comprese le operazioni dell’entità finanziaria;

f)	l’impatto economico dell’ incidente_connesso_alle_TIC — in particolare le perdite e i costi diretti e indiretti — in termini sia assoluti che relativi.

2. Le entità finanziarie classificano le minacce informatiche come significative in base alla criticità dei servizi a rischio, comprese le operazioni dell’entità finanziaria, il numero e/o la rilevanza di clienti o controparti finanziarie interessati e l’estensione geografica delle aree a rischio.

3. In consultazione con la BCE e l’ENISA, le AEV elaborano, tramite il comitato_congiunto, progetti di norme tecniche di regolamentazione comuni che specificano ulteriormente gli aspetti seguenti:

a)	i criteri di cui al paragrafo 1, comprese le soglie di rilevanza per la determinazione dei gravi incidenti TIC o, ove applicabile, dei gravi incidenti operativi o relativi alla sicurezza dei pagamenti, che sono oggetto dell’obbligo di segnalazione di cui all’articolo 19, paragrafo 1;

i criteri che le autorità competenti devono applicare per valutare la rilevanza degli gravi incidenti TIC o, ove applicabile, dei gravi incidenti operativi o relativi alla sicurezza dei pagamenti per le autorità competenti interessate in altri Stati membri, nonché i dettagli delle segnalazioni di incidenti gravi connessi alle TIC o, ove applicabile, di gravi incidenti operativi o di sicurezza dei pagamenti da condividere con altre autorità competenti ai sensi dell’articolo 19, paragrafi 6 e 7.

c)	i criteri di cui al paragrafo 2 del presente articolo, comprese soglie di rilevanza elevate per la determinazione delle minacce informatiche significative.

4. All’atto dell’elaborazione dei progetti di norme tecniche di regolamentazione comuni di cui al paragrafo 3 del presente articolo, le AEV tengono conto dei criteri di cui all’articolo 4, paragrafo 2, come pure delle norme internazionali, degli orientamenti e delle specifiche elaborati e pubblicati dall’ENISA, tra cui, se del caso, le specifiche riguardanti altri settori economici. Ai fini dell’applicazione dei criteri di cui all’articolo 4, paragrafo 2, le AEV tengono debitamente conto della necessità delle microimprese e delle piccole e medie imprese di mobilitare risorse e capacità sufficienti per garantire una gestione rapida degli incidenti connessi alle TIC.

Le AEV presentano tali progetti di norme tecniche di regolamentazione comuni alla Commissione entro il 17 gennaio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al paragrafo 3 in conformità degli articoli da 0 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

Articolo 19

Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative

1. Le entità finanziarie segnalano gli gravi incidenti TIC all’autorità competente interessata di cui all’articolo 46 a norma del paragrafo 4 del presente articolo.

Se un’entità finanziaria è soggetta alla vigilanza di più di un’autorità nazionale competente di cui all’articolo 46, gli Stati membri designano un’unica autorità competente quale autorità competente interessata responsabile dell’espletamento delle funzioni e dei compiti di cui al presente articolo.

Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 segnalano i gravi incidenti TIC all’autorità nazionale competente designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente tale segnalazione alla BCE.

Ai fini del primo comma, le entità finanziarie redigono, dopo aver raccolto e analizzato tutte le informazioni pertinenti, la notifica iniziale e le relazioni di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 e le trasmettono all’autorità competente. Qualora un impedimento tecnico non consenta la trasmissione della notifica iniziale utilizzando il modello, le entità finanziarie informano in merito l’autorità competente con mezzi alternativi.

La notifica iniziale e le relazioni di cui al paragrafo 4 contengono tutte le informazioni necessarie all’autorità competente per determinare la rilevanza dell’ grave_incidente_TIC e valutarne i possibili impatti transfrontalieri.

Fatta salva la segnalazione a norma del primo comma da parte dell’entità finanziaria all’autorità competente interessata, gli Stati membri possono stabilire, in aggiunta, che alcune o tutte le entità finanziarie forniscano altresì la notifica iniziale e ciascuna relazione di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 alle autorità competenti o ai gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — CSIRT) designati o istituiti a norma della direttiva (UE) 2022/2555.

2. Le entità finanziarie possono, su base volontaria, notificare le minacce informatiche significative all’autorità competente interessata qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. L’autorità competente interessata può fornire tali informazioni alle altre autorità pertinenti di cui al paragrafo 6.

Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 possono notificare, su base volontaria, le minacce informatiche significative all’autorità nazionale competente, designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente la notifica alla BCE.

Gli Stati membri possono stabilire che le entità finanziarie che procedono alla notifica su base volontaria e a norma del primo comma possano altresì trasmettere tale notifica ai CSIRT nazionali designati o istituiti a norma della direttiva (UE) 2022/2555.

3. Qualora si verifichi un grave_incidente_TIC che eserciti un impatto sugli interessi finanziari dei clienti, le entità finanziarie, senza indebito ritardo e non appena ne vengono a conoscenza, informano i loro clienti in merito a tale incidente e alle misure che sono state adottate per attenuare gli effetti avversi dell’incidente.

In caso di minaccia_informatica significativa, le entità finanziarie, se del caso, informano i loro clienti potenzialmente interessati in merito alle opportune misure di protezione che i clienti stessi possono prendere in considerazione.

4. Entro i termini da fissare a norma dell’articolo 20, primo comma, lettera a), punto ii), le entità finanziarie trasmettono all’autorità competente interessata:

a)	una notifica iniziale;

una relazione intermedia dopo la notifica iniziale di cui alla lettera a), non appena lo stato originario dell’incidente cambia in maniera significativa o il trattamento dell’ grave_incidente_TIC cambia alla luce delle nuove informazioni disponibili, seguita, a seconda dei casi, da notifiche aggiornate, ogni qualvolta sia disponibile un aggiornamento della situazione, nonché su specifica richiesta dell’autorità competente;

c)	una relazione finale, quando l’analisi delle cause che hanno dato origine all’incidente sia stata completata, indipendentemente dal fatto che le misure di attenuazione siano già state attuate, e quando al posto delle stime siano disponibili i dati dell’impatto effettivo.

5. Ai sensi del presente articolo, le entità finanziarie possono esternalizzare, conformemente al diritto settoriale dell’Unione e nazionale, gli obblighi di segnalazione a un fornitore terzo di servizi. In caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di espletare gli obblighi di segnalazione degli incidenti.

6. Dopo aver ricevuto la notifica iniziale e ciascuna delle relazioni di cui al paragrafo 4, l’autorità competente trasmette tempestivamente i dettagli dell’ grave_incidente_TIC ai seguenti destinatari sulla base, ove applicabile, delle rispettive competenze:

a)	all’ABE, all’ESMA o all’EIOPA;

b)	alla BCE, qualora siano coinvolte le entità finanziarie di cui all’articolo 2, paragrafo 1, lettere a), b) e d);

c)	alle autorità competenti, ai punti di contatto unici o ai CSIRT designati o istituiti conformemente alla direttiva (UE) 2022/2555;

alle autorità di risoluzione di cui all’articolo 3 della direttiva 2014/59/UE e al Comitato di risoluzione unico (SRB) per quanto riguarda le entità di cui all’articolo 7, paragrafo 2, del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio (37) nonché le entità e i gruppi di cui all’articolo 7, paragrafo 4, lettera b), e all’articolo 7, paragrafo 5, del regolamento (UE) n. 806/2014, qualora tali dettagli riguardino incidenti che comportano un rischio per le funzioni essenziali definite all’articolo 2, paragrafo 1, punto 35), della direttiva 2014/59/UE; e

e)	ad altre pertinenti autorità pubbliche ai sensi del diritto nazionale.

7. Una volta ricevute le informazioni conformemente al paragrafo 6, l’ABE, l’ESMA o l’EIOPA e la BCE, in consultazione con l’ENISA e in collaborazione con l’autorità competente interessata, valutano la pertinenza dell’ grave_incidente_TIC rispetto alle autorità competenti in altri Stati membri. A seguito di tale valutazione, l’ABE, l’ESMA o l’EIOPA inviano una notifica al riguardo il prima possibile alle autorità competenti interessate in altri Stati membri. La BCE notifica i membri del Sistema europeo di banche centrali in merito a questioni afferenti il sistema di pagamenti. Sulla base di tale notifica, le autorità competenti adottano, se del caso, tutte le misure necessarie per proteggere l’immediata stabilità del sistema finanziario.

8. La notifica che l’ESMA deve effettuare a norma del paragrafo 7 del presente articolo lascia impregiudicata la responsabilità dell’autorità competente di trasmettere urgentemente i dettagli dell’ grave_incidente_TIC all’autorità pertinente dello Stato membro ospitante, laddove uno dei depositari centrali di titoli svolga una cospicua attività transfrontaliera nello Stato membro ospitante, laddove l’incidente grave connesso alle TIC possa comportare serie conseguenze per i mercati finanziari dello Stato membro ospitante e laddove vi siano accordi di cooperazione tra le autorità competenti in relazione alla vigilanza delle entità finanziarie.

Articolo 22

Riscontri forniti dalle autorità di vigilanza

1. Fatti salvi il contributo tecnico, la consulenza o i rimedi e il successivo seguito dato che possono essere forniti, ove applicabile, conformemente al diritto nazionale, dai CSIRT ai sensi della direttiva (UE) 2022/2555, l’autorità competente, dopo aver ricevuto la notifica iniziale e ciascuna delle relazioni di cui all’articolo 19, paragrafo 4, ne accusa ricevuta e può, ove fattibile, fornire tempestivamente all’entità finanziaria riscontri pertinenti e proporzionali o orientamenti di alto livello, in particolare rendendo disponibili le informazioni e i dati pertinenti anonimizzati su minacce analoghe, e può discutere rimedi applicati a livello di entità finanziaria e metodi per ridurre al minimo e attenuare gli effetti avversi nel settore finanziario. Fatti salvi i riscontri ricevuti dalle autorità di vigilanza, le entità finanziarie restano pienamente responsabili del trattamento e delle conseguenze degli incidenti connessi alle TIC segnalati a norma dell’articolo 19, paragrafo 1.

2. Le AEV, tramite il comitato_congiunto, riferiscono con frequenza annuale, sulla base di dati anonimizzati e aggregati, in merito agli incidenti gravi connessi alle TIC, i cui dettagli sono forniti dalle autorità competenti a norma dell’articolo 19, paragrafo 6, indicando almeno il numero degli incidenti gravi connessi alle TIC, la natura, l’impatto sulle operazioni delle entità finanziarie o dei clienti, i costi sostenuti e le azioni di riparazione adottate.

Le AEV emanano segnalazioni di allerta e redigono statistiche di alto livello a supporto delle valutazioni della vulnerabilità e delle minacce connesse alle TIC.

Articolo 26

Test avanzati di strumenti, sistemi e processi di TIC basati su test di penetrazione guidati dalla minaccia (TLPT)

1. Le entità finanziarie, diverse dalle entità di cui all’articolo 16, paragrafo 1, primo comma, e dalle microimprese, che sono identificate conformemente al paragrafo 8, terzo comma, del presente articolo, effettuano test avanzati sotto forma di test di penetrazione basati su minacce con cadenza almeno triennale. Sulla base del profilo di rischio dell’entità finanziaria e tenuto conto delle circostanze operative, l’autorità competente può, se necessario, chiedere all’entità finanziaria di ridurre o aumentare tale frequenza.

2. Ciascun test di penetrazione guidato dalla minaccia riguarda alcune o tutte le funzioni essenziali o importanti dell’entità finanziaria ed è effettuato sui sistemi attivi di produzione a supporto di tali funzioni.

Le entità finanziarie identificano tutti i sistemi, i processi e le tecnologie TIC sottostanti a supporto delle funzioni essenziali o importanti e tutti i pertinenti servizi_TIC, compresi quelli a supporto di funzioni essenziali o importanti che sono stati esternalizzate o appaltate a fornitori terzi di servizi TIC.

Le entità finanziarie valutano quali funzioni essenziali o importanti debbano essere interessate dai TLPT. Il risultato della valutazione determina il preciso ambito di applicazione dei TLPT ed è convalidato dalle autorità competenti.

3. Qualora i fornitori terzi di servizi_TIC rientrino nell’ambito di applicazione dei TLPT, l’entità finanziaria adotta le misure e le salvaguardie necessarie per garantire la partecipazione di tali fornitori terzi di servizi_TIC ai TLPT ed è sempre pienamente responsabile di garantire il rispetto del presente regolamento.

4. Fatto salvo il paragrafo 2, primo e secondo comma, laddove si ritiene ragionevolmente che la partecipazione di un fornitore_terzo_di_servizi_TIC ai TLPT di cui al paragrafo 3 possa avere un impatto avverso sulla qualità o la sicurezza dei servizi offerti dal fornitore_terzo_di_servizi_TIC a clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento, ovvero sulla riservatezza dei dati relativi a tali servizi, l’entità finanziaria e il fornitore_terzo_di_servizi_TIC possono concordare per iscritto che il fornitore_terzo_di_servizi_TIC stipuli direttamente accordi contrattuali con un soggetto incaricato dello svolgimento dei test esterno, allo scopo di condurre, sotto la direzione di un’entità finanziaria designata, un TLPT congiunto che coinvolga diverse entità finanziarie (pooled testing) a cui il fornitore_terzo_di_servizi_TIC fornisce tali servizi.

Detto test congiunto riguarda la pertinente gamma di servizi_TIC a supporto delle funzioni essenziali o importanti appaltate dalle entità finanziarie al rispettivo fornitore terzo di servizi TIC. I test congiunti sono considerati TLPT effettuati dalle entità finanziarie che partecipano ai test congiunti.

Il numero di entità finanziarie che partecipano ai test congiunti è debitamente calibrato tenendo conto della complessità e dei tipi di servizi interessati.

5. Le entità finanziarie, cooperando con i fornitori terzi di servizi_TIC e altre parti coinvolte, inclusi i soggetti incaricati dello svolgimento dei test ma escluse le autorità competenti, applicano efficaci controlli di gestione del rischio per attenuare i rischi di potenziali impatti sui dati, danni alle attività e perturbazioni delle funzioni essenziali o importanti, delle operazioni o dei servizi delle entità finanziarie, delle loro controparti o del settore finanziario.

6. Alla fine dei test, dopo che le relazioni e i piani correttivi siano stati concordati, l’entità finanziaria e, ove applicabile, i soggetti incaricato dello svolgimento dei test esterni trasmettono all’autorità, designata conformemente al paragrafo 9 o 10, una sintesi delle pertinenti risultanze, i piani correttivi e la documentazione attestante che i TLPT sono stati svolti conformemente ai requisiti.

7. Le autorità forniscono alle entità finanziarie un attestato che conferma che i test sono stati svolti conformemente ai requisiti, come si evince dalla documentazione, in modo da consentire il riconoscimento reciproco dei TLPT tra le autorità competenti. L’entità finanziaria notifica all’autorità competente interessata l’attestato, la sintesi delle pertinenti risultanze e i piani correttivi.

Fatto salvo tale attestato, le entità finanziarie rimangono sempre pienamente responsabili degli impatti dei test di cui al paragrafo 4.

8. Per l’effettuazione dei TLPT, le entità finanziarie si avvalgono di soggetti incaricati dello svolgimento dei test in conformità dell’articolo 27. Quando ricorrono a soggetti incaricati dello svolgimento dei test interni per l’effettuazione di TLPT, le entità finanziarie si avvalgono di un soggetto incaricato dello svolgimento dei test esterno ogni tre test.

Gli enti creditizi classificati come significativi a norma dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013, ricorrono esclusivamente a soggetto incaricato dello svolgimento dei test esterni conformemente all’articolo 27, paragrafo 1, lettere da a) a e).

Le autorità competenti identificano le entità finanziarie che hanno l’obbligo di svolgere TLPT tenendo conto dei criteri di cui all’articolo 4, paragrafo 2, sulla base della valutazione degli elementi seguenti:

a)	i fattori correlati all’impatto, in particolare la portata dell’impatto sul settore finanziario dei servizi forniti e delle attività svolte dall’entità finanziaria;

b)	i possibili problemi di stabilità finanziaria, tra cui il carattere sistemico dell’entità finanziaria a livello di Unione o nazionale, a seconda dei casi;

c)	lo specifico profilo dei rischi_informatici, il livello di maturità delle TIC dell’entità finanziaria o le caratteristiche tecnologiche in questione.

9. Gli Stati membri possono designare un’ autorità_pubblica unica nel settore finanziario responsabile delle questioni relative ai TLPT nel settore finanziario a livello nazionale e le affidano tutte le competenze e tutti i compiti a tal fine.

10. In assenza di una designazione a norma del paragrafo 9 del presente articolo e fatto salvo il potere di identificare le entità finanziarie tenute a svolgere TLPT, un’autorità competente può delegare l’esercizio di alcuni o di tutti i compiti di cui al presente articolo e all’articolo 27 a un’altra autorità nazionale nel settore finanziario.

11. Di concerto con la BCE, le AEV elaborano progetti di norme tecniche di regolamentazione comuni conformemente al quadro di riferimento TIBER-EU al fine di specificare ulteriormente quanto segue:

a)	i criteri utilizzati ai fini dell’applicazione del paragrafo 8, secondo comma;

b)	i requisiti e le norme che disciplinano il ricorso a soggetto incaricato dello svolgimento dei test interni;

i requisiti concernenti:

i)	l’ambito dei TLPT di cui al paragrafo 2;

ii)	l’approccio e la metodologia da seguire per i test in ciascuna fase del relativo processo;

iii)	i risultati, la chiusura e le fasi correttive dei test;

il tipo di cooperazione di vigilanza e altri tipi di cooperazione pertinenti necessari per svolgere i TLPT e per la facilitazione del riconoscimento reciproco di tali test, nel contesto di entità finanziarie che operano in più di uno Stato membro, al fine di consentire un livello adeguato di partecipazione alla vigilanza, nonché un’attuazione flessibile per tener conto delle specificità dei sottosettori finanziari o dei mercati finanziari locali.

All’ atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono debitamente conto di eventuali caratteristiche specifiche derivanti dalla natura distinta delle attività nei diversi settori dei servizi finanziari.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 luglio 2024.

Articolo 28

Principi generali

1. Le entità finanziarie gestiscono i rischi_informatici derivanti da terzi quali componenti integranti dei rischi_informatici nel contesto del proprio quadro per la gestione di detti rischi di cui all’articolo 6, paragrafo 1, e conformemente ai principi indicati di seguito:

le entità finanziarie che hanno stipulato accordi contrattuali per l’utilizzo di servizi_TIC per lo svolgimento delle proprie operazioni commerciali rimangono sempre pienamente responsabili del rispetto e dell’adempimento di tutti gli obblighi previsti dal presente regolamento e dalla normativa applicabile in materia di servizi finanziari;

la gestione dei rischi_informatici derivanti da terzi da parte delle entità finanziarie si svolge nel rispetto del principio di proporzionalità, tenendo conto:

i)	della natura, della portata, della complessità e dell’importanza delle dipendenze connesse alle TIC;

ii)

dei rischi derivanti dagli accordi contrattuali per l’utilizzo di servizi_TIC conclusi con fornitori terzi di servizi_TIC, tenendo conto della criticità o dell’importanza dei rispettivi servizi, processi o funzioni e del potenziale impatto sulla continuità e la disponibilità delle attività e dei servizi finanziari a livello individuale e di gruppo.

2. Nel contesto del quadro per la gestione dei rischi_informatici TIC, le entità finanziarie diverse dalle entità di cui all’articolo 16, paragrafo 1, primo comma, e dalle microimprese adottano e riesaminano periodicamente una strategia per i rischi_informatici derivanti da terzi, tenendo conto della strategia basata su una varietà di fornitori di cui all’articolo 6, paragrafo 9, ove applicabile. Tale strategia comprende una politica per l’utilizzo dei servizi_TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi e si applica su base individuale e, se del caso, su base subconsolidata e consolidata. Sulla base di una valutazione del profilo di rischio complessivo dell’entità finanziaria e della portata e della complessità dei servizi operativi, l’ organo_di_gestione riesamina periodicamente i rischi individuati in relazione agli accordi contrattuali per l’utilizzo di servizi_TIC a supporto di funzioni essenziali o importanti.

3. Nel contesto del quadro per la gestione dei rischi_informatici, le entità finanziarie mantengono e aggiornano a livello di entità, e su base subconsolidata e consolidata, un registro di informazioni su tutti gli accordi contrattuali per l’utilizzo di servizi_TIC prestati da fornitori terzi.

Gli accordi contrattuali di cui al primo comma sono opportunamente documentati, distinguendo quelli che si riferiscono a servizi_TIC a supporto di funzioni essenziali o importanti dagli altri.

Le entità finanziarie comunicano almeno una volta all’anno alle autorità competenti il numero di nuovi accordi per l’utilizzo di servizi_TIC, le categorie di fornitori terzi di servizi_TIC, il tipo di accordi contrattuali e le funzioni e i servizi_TIC forniti.

Su richiesta, le entità finanziarie mettono a disposizione dell’autorità competente il registro delle informazioni completo o, a seconda della richiesta, determinate sezioni del registro insieme alle informazioni giudicate necessarie per consentire l’efficace vigilanza sull’entità finanziaria.

Le entità finanziarie informano tempestivamente l’autorità competente in merito a eventuali accordi contrattuali previsti per l’utilizzo di servizi_TIC a supporto di funzioni essenziali o importanti, nonché del momento in cui una funzione diventa essenziale o importante.

4. Prima di stipulare un accordo contrattuale per l’utilizzo di servizi_TIC, le entità finanziarie:

a)	valutano se l’accordo contrattuale riguardi l’utilizzo di servizi_TIC a supporto di una funzione_essenziale_o_importante;

b)	verificano se siano soddisfatte le condizioni di vigilanza per la conclusione del contratto;

c)	identificano e valutano tutti i rischi pertinenti relativi all’accordo contrattuale, compresa la possibilità che tale accordo contrattuale possa aggravare il rischio_di_concentrazione_delle_TIC di cui all’articolo 29;

d)	effettuano controlli di dovuta diligenza (due diligence) sui potenziali fornitori terzi di servizi_TIC e ne garantiscono l’idoneità lungo tutto il processo di selezione e valutazione;

e)	individuano e valutano i conflitti d’interessi che possano derivare dall’accordo contrattuale.

5. Le entità finanziarie possono stipulare accordi contrattuali soltanto con fornitori terzi di servizi_TIC che soddisfano standard appropriati in materia di sicurezza delle informazioni. Laddove tali accordi contrattuali riguardino funzioni essenziali o importanti, le entità finanziarie, prima di concludere detti accordi, prendono in debita considerazione l’utilizzo da parte dei fornitori terzi di servizi_TIC degli standard di qualità più aggiornati ed elevati in materia di sicurezza delle informazioni.

6. Nell’esercizio dei diritti di accesso, ispezione e audit nei confronti del fornitore_terzo_di_servizi_TIC, le entità finanziarie predeterminano, sulla base di un approccio basato sul rischio, la frequenza delle verifiche di audit e delle ispezioni nonché i settori da sottoporre ad audit, aderendo a standard di audit comunemente accettate in conformità di eventuali indicazioni di vigilanza sull’uso e l’integrazione di tali standard di audit.

Laddove gli accordi contrattuali conclusi con fornitori terzi di servizi_TIC per l’utilizzo di servizi_TIC comportino un’elevata complessità tecnica, l’entità finanziaria verifica che i revisori, indipendentemente dal fatto che siano revisori interni o esterni o siano un gruppo di revisori, possiedano competenze e conoscenze adeguate per svolgere efficacemente gli audit e le valutazioni del caso.

7. Le entità finanziarie stabiliscono clausole che consentano la risoluzione degli accordi contrattuali per l’utilizzo di servizi_TIC in una qualsiasi delle circostanze seguenti:

a)	rilevante violazione, da parte del fornitore_terzo_di_servizi_TIC, di leggi, regolamenti o condizioni contrattuali applicabili;

circostanze, identificate nel corso del monitoraggio dei rischi_informatici derivanti da terzi, ritenute suscettibili di alterare l’esercizio delle funzioni previsto a norma dell’accordo contrattuale, tra cui modifiche di rilievo che incidano sull’accordo o sulla situazione del fornitore terzo di servizi TIC;

punti deboli del fornitore_terzo_di_servizi_TIC emersi riguardo alla sua gestione complessiva dei rischi_informatici e, in particolare, nel modo in cui il fornitore garantisce la disponibilità, autenticità, integrità e riservatezza dei dati, siano essi dati personali o altrimenti sensibili, oppure dei dati non personali;

d)	laddove l’autorità competente non sia più in grado di vigilare efficacemente sull’entità finanziaria per via delle condizioni dell’accordo contrattuale in questione o delle circostanze ivi afferenti.

8. Per i servizi_TIC a supporto di funzioni essenziali o importanti, le entità finanziarie predispongono strategie di uscita. Tali strategie tengono conto dei rischi che possono emergere a livello dei fornitori terzi di servizi_TIC, in particolare possibili disfunzioni dei fornitori stessi, il deterioramento della qualità dei servizi_TIC forniti, una perturbazione dell’attività commerciale conseguente a una fornitura di servizi_TIC inadeguata o carente, oppure gravi rischi connessi all’adeguatezza e alla continuità dell’esercizio del rispettivo servizio TIC oppure la risoluzione di accordi contrattuali con fornitori terzi di servizi_TIC in una delle circostanze di cui al paragrafo 7.

Le entità finanziarie garantiscono di poter porre termine agli accordi contrattuali senza:

a)	perturbare le proprie attività commerciali;

b)	limitare il rispetto dei requisiti normativi;

c)	pregiudicare la continuità e la qualità dei servizi forniti ai clienti.

I piani di uscita sono esaustivi, documentati e, conformemente ai criteri di cui all’articolo 4, paragrafo 2, sottoposti a test adeguati e riesaminati periodicamente.

Le entità finanziarie identificano soluzioni alternative ed elaborano piani di transizione che consentano loro di trasferire i servizi_TIC previsti dal contratto e i relativi dati dal fornitore_terzo_di_servizi_TIC, in maniera sicura e nella loro interezza, a fornitori alternativi oppure reintegrarli al proprio interno.

Le entità finanziarie dispongono di misure di emergenza idonee per mantenere la continuità operativa qualora si verifichino le circostanze di cui al primo comma.

9. Le AEV, tramite il comitato_congiunto, elaborano progetti di norme tecniche di attuazione per definire modelli standard in relazione al registro delle informazioni di cui al paragrafo 3, comprese le informazioni comuni a tutti gli accordi contrattuali per l’utilizzo di servizi_TIC. Le AEV presentano tali progetti di norme tecniche di attuazione alla Commissione entro il 17 gennaio 2024.

Alla Commissione è conferito il potere di adottare le norme tecniche di attuazione di cui al primo comma in conformità dell’articolo 15 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

10. Le AEV, tramite il comitato_congiunto, elaborano progetti di norme tecniche di regolamentazione per precisare ulteriormente il contenuto dettagliato della politica di cui al paragrafo 2, in relazione agli accordi contrattuali per l’utilizzo di servizi_TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi di servizi TIC.

All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni. Le AEV presentano detti progetti di norme tecniche di regolamentazione alla Commissione 17 gennaio 2024.

Articolo 30

Principali disposizioni contrattuali

1. I diritti e gli obblighi dell’entità finanziaria e del fornitore_terzo_di_servizi_TIC sono attribuiti chiaramente e definiti per iscritto. Il testo integrale del contratto comprende gli accordi sul livello dei servizi ed è contenuto in un documento scritto disponibile alle parti in formato cartaceo oppure in un documento in altro formato scaricabile, durevole e accessibile.

2. Gli accordi contrattuali per l’utilizzo di servizi_TIC comprendono almeno gli elementi seguenti:

la descrizione chiara e completa di tutte le funzioni che il fornitore_terzo_di_servizi_TIC deve svolgere e tutti i servizi_TIC che deve prestare, comprese l’indicazione dell’eventuale autorizzazione a subappaltare un servizio TIC a sostegno di una funzione_essenziale_o_importante o parti significative di essa e, in caso affermativo, le condizioni di tale subappalto;

le località, segnatamente le regioni o i paesi, in cui si devono svolgere le funzioni e prestare i servizi_TIC appaltati o subappaltati e in cui si devono trattare i dati, compreso il luogo di conservazione, nonché l’obbligo, per il fornitore_terzo_di_servizi_TIC, di segnalare in anticipo all’entità finanziaria l’intenzione di cambiare tale o tali località;

c)	le disposizioni in materia di disponibilità, autenticità, integrità e riservatezza in relazione alla protezione dei dati, compresi i dati personali;

le disposizioni relative alle garanzie di accesso, ripristino e restituzione, in un formato facilmente accessibile, di dati personali e non personali trattati dall’entità finanziaria in caso di insolvenza, risoluzione o interruzione delle operazioni commerciali del fornitore_terzo_di_servizi_TIC o in caso di risoluzione degli accordi commerciali;

e)	le descrizioni dei livelli di servizio, compresi relativi aggiornamenti e revisioni;

f)	l’obbligo per il fornitore_terzo_di_servizi_TIC di prestare assistenza all’entità finanziaria senza costi aggiuntivi o a un costo stabilito ex ante, qualora si verifichi un incidente_connesso_alle_TIC relativo al servizio TIC fornito all’entità finanziaria;

g)	l’obbligo per il fornitore terzo di servizi di TIC di operare senza riserve con le autorità competenti e con le autorità di risoluzione dell’entità finanziaria, comprese le persone da queste nominate;

h)	i diritti di risoluzione e il relativo termine minimo di preavviso per la risoluzione degli accordi contrattuali, conformemente alle attese delle autorità competenti e delle autorità di risoluzione;

i)	le condizioni riguardanti la partecipazione dei fornitori terzi di servizi_TIC ai programmi di sensibilizzazione sulla sicurezza delle TIC e alle attività di formazione sulla resilienza_operativa_digitale delle entità finanziarie conformemente all’articolo 13, paragrafo 6.

3. Gli accordi contrattuali per l’utilizzo di servizi_TIC a supporto di funzioni essenziali o importanti comprendono, in aggiunta agli elementi di cui al paragrafo 2, almeno quanto segue:

la descrizione completa dei livelli di servizio, comprendente i relativi aggiornamenti e revisioni con precisi obiettivi quantitativi e qualitativi, in termini di prestazioni, nell’ambito dei livelli di servizio concordati, in modo da consentire un monitoraggio efficace da parte dell’entità finanziaria dei servizi_TIC e l’applicazione, senza indebito ritardo, di opportune azioni correttive qualora i livelli di servizio concordati non siano rispettati;

termini di preavviso e obblighi di segnalazione per il fornitore_terzo_di_servizi_TIC nei confronti dell’entità finanziaria, tra cui la notifica di eventuali sviluppi che potrebbero esercitare un impatto significativo sulla capacità del fornitore_terzo_di_servizi_TIC di prestare servizi a supporto di funzioni essenziali o importanti efficacemente, in linea con i livelli di servizio concordati;

l’obbligo per il fornitore_terzo_di_servizi_TIC di attuare e testare i piani operativi d’emergenza e di predisporre misure, strumenti e politiche per la sicurezza delle TIC che offrano un adeguato livello di sicurezza per la fornitura dei servizi da parte dell’entità finanziaria, in linea con il proprio quadro normativo;

d)	l’obbligo per il fornitore_terzo_di_servizi_TIC di partecipare e cooperare pienamente al TLPT dell’entità finanziaria di cui agli articoli 26 e 27;

il diritto di monitorare costantemente le prestazioni del fornitore_terzo_di_servizi_TIC, che comporta quanto segue:

diritti incondizionati di accesso, ispezione e audit da parte dell’entità finanziaria — o di un terzo designato a tal fine — e dell’autorità competente nonché il diritto di ottenere copia della documentazione pertinente in loco, se di importanza critica per le operazioni del fornitore_terzo_di_servizi_TIC, il cui effettivo esercizio non sia impedito o limitato da altri accordi contrattuali o politiche di attuazione;

ii)	il diritto di concordare livelli di garanzia alternativi, qualora siano interessati i diritti di altri clienti;

iii)	l’obbligo per il fornitore_terzo_di_servizi_TIC di cooperare senza riserve nel corso delle ispezioni e degli audit in loco svolti dalle autorità competenti, dall’ autorità_di_sorveglianza_capofila, dall’entità finanziaria o da un terzo designato; e

iv)	l’obbligo di fornire dettagli sull’ambito di applicazione, sulle procedure da seguire e sulla frequenza di tali ispezioni e audit;

le strategie di uscita, in particolare la definizione di un adeguato periodo di transizione obbligatorio:

i)	durante il quale il fornitore_terzo_di_servizi_TIC continuerà a prestare i suoi servizi_TIC o a esercitare le sue funzioni allo scopo di ridurre il rischio di perturbazioni presso l’entità finanziaria o di garantire la sua efficace risoluzione e ristrutturazione;

ii)	che permetta all’entità finanziaria di migrare verso un altro fornitore_terzo_di_servizi_TIC oppure di adottare soluzioni interne coerenti con la complessità del servizio prestato.

In deroga alla lettera e), il fornitore_terzo_di_servizi_TIC e l’entità finanziaria che è una microimpresa possono convenire che i diritti di accesso, ispezione e audit dell’entità finanziaria possano essere delegati a un terzo indipendente, nominato dal fornitore_terzo_di_servizi_TIC, e che l’entità finanziaria possa richiedere in qualsiasi momento al terzo informazioni e garanzie sulle prestazioni del fornitore terzo di servizi TIC.

4. All’atto della negoziazione degli accordi contrattuali, le entità finanziarie e i fornitori terzi di servizi_TIC prendono in considerazione il ricorso a clausole contrattuali standard elaborate dalle autorità pubbliche per servizi specifici.

5. Le AEV, tramite il comitato_congiunto, elaborano progetti di norme tecniche di regolamentazione per specificare ulteriormente gli elementi di cui al paragrafo 2, lettera a), che l’entità finanziaria deve determinare e valutare quando subappalta servizi_TIC a supporto di funzioni essenziali o importanti.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 luglio 2024.

Sezione II

Quadro di sorveglianza dei fornitori terzi critici di servizi_TIC

Articolo 31

Designazione dei fornitori terzi critici di servizi_TIC

1. Le AEV, tramite il comitato_congiunto e su raccomandazione del forum di sorveglianza istituito ai sensi dell’articolo 32, paragrafo 1:

a)	designano i fornitori terzi di servizi_TIC che sono critici per le entità finanziarie, a seguito di una valutazione che tiene conto dei criteri di cui al paragrafo 2;

nominano quale autorità_di_sorveglianza_capofila di ciascun fornitore terzo critico di servizi_TIC la AEV che è responsabile, a norma dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, delle entità finanziarie che possiedono complessivamente la quota maggiore delle attività totali rispetto al valore delle attività totali di tutte le entità finanziarie che utilizzano i servizi del pertinente fornitore terzo critico di servizi_TIC, secondo quanto risulta dalla somma dei singoli bilanci di quelle entità finanziarie.

2. La designazione di cui al paragrafo 1, lettera a), si fonda su tutti i criteri indicati di seguito in relazione ai servizi_TIC prestati da un fornitore terzo di servizi TIC:

l’impatto sistemico sulla stabilità, la continuità o la qualità della fornitura di servizi finanziari qualora il fornitore_terzo_di_servizi_TIC pertinente sia interessato da una disfunzione operativa su vasta scala che gli impedisca di fornire i suoi servizi, tenendo conto del numero di entità finanziarie e del valore totale delle attività delle entità finanziarie cui quel fornitore_terzo_di_servizi_TIC presta servizi;

il carattere sistemico o l’importanza delle entità finanziarie che dipendono da quel fornitore_terzo_di_servizi_TIC, valutati in conformità dei parametri seguenti:

i)	il numero di enti a rilevanza sistemica a livello globale (G-SII) o di altri enti a rilevanza sistemica (O-SII) che dipendono dal rispettivo fornitore terzo di servizi TIC;

ii)	l’interdipendenza tra i G-SII o gli O-SII di cui al punto i) e altre entità finanziarie, comprese le situazioni in cui i G-SII o gli O-SII prestano servizi finanziari infrastrutturali ad altre entità finanziarie;

la dipendenza delle entità finanziarie dai servizi prestati dal pertinente fornitore_terzo_di_servizi_TIC in rapporto alle funzioni essenziali o importanti delle entità finanziarie che in ultima analisi coinvolgono quel medesimo fornitore_terzo_di_servizi_TIC, indipendentemente dal fatto che le entità finanziarie dipendano da tali servizi direttamente o indirettamente, mediante accordi di subappalto;

il grado di sostituibilità del fornitore_terzo_di_servizi_TIC, prendendo in considerazione i parametri seguenti:

la mancanza di alternative reali, anche parziali, dovuta al limitato numero di fornitori terzi di servizi_TIC attivi su un mercato specifico, alla quota di mercato del fornitore_terzo_di_servizi_TIC in questione, o ancora alla complessità tecnica o al grado di sofisticazione, anche in relazione a eventuali tecnologie proprietarie, o alle caratteristiche specifiche dell’organizzazione o dell’attività del fornitore terzo di servizi TIC;

ii)

difficoltà inerenti alla migrazione, totale o parziale, dei dati e dei carichi di lavoro dal fornitore_terzo_di_servizi_TIC pertinente a un altro, a causa dei cospicui costi finanziari, del tempo o di altre risorse che possono essere necessarie per il processo di migrazione, oppure dei maggiori rischi_informatici o di altri rischi operativi cui l’entità finanziaria può esporsi a causa di tale migrazione.

3. Laddove il fornitore_terzo_di_servizi_TIC appartenga a un gruppo, i criteri di cui al paragrafo 2 sono presi in considerazione in relazione ai servizi_TIC prestati dal gruppo nel suo insieme.

4. I fornitori terzi critici di servizi_TIC che fanno parte di un gruppo designano una persona giuridica come punto di coordinamento per garantire un’adeguata rappresentanza e la comunicazione con l’ autorità_di_sorveglianza_capofila.

5. L’ autorità_di_sorveglianza_capofila informa il fornitore_terzo_di_servizi_TIC in merito all’esito della valutazione che ha portato alla designazione di cui al paragrafo 1, lettera a). Entro sei settimane dalla data della notifica, il fornitore_terzo_di_servizi_TIC può presentare all’ autorità_di_sorveglianza_capofila una dichiarazione motivata contenente tutte le informazioni pertinenti ai fini della valutazione. L’ autorità_di_sorveglianza_capofila esamina la dichiarazione motivata e può richiedere ulteriori informazioni da presentare entro 30 giorni di calendario dal ricevimento di detta dichiarazione.

Dopo aver designato un fornitore_terzo_di_servizi_TIC come critico, le AEV, tramite il comitato_congiunto, notificano al fornitore_terzo_di_servizi_TIC tale designazione e la data di inizio a partire dalla quale sarà effettivamente soggetto ad attività di sorveglianza. La data di inizio è fissata a non più di un mese dall’avvenuta notifica. Il fornitore_terzo_di_servizi_TIC notifica alle entità finanziarie a cui presta servizi la propria designazione come critico.

6. Alla Commissione è conferito il potere di adottare un atto delegato, conformemente all’articolo 57, per integrare il presente regolamento specificando ulteriormente i criteri di cui al paragrafo 2 del presente articolo, entro il 17 luglio 2024.

7. Il meccanismo di designazione di cui al paragrafo 1, lettera a), non è utilizzato fino a quando la Commissione non abbia adottato un atto delegato in conformità del paragrafo 6.

8. Il meccanismo di designazione di cui al paragrafo 1, lettera a), non si applica:

i)	alle entità finanziarie che forniscono servizi_TIC ad altre entità finanziarie;

ii)	ai fornitori terzi di servizi_TIC che sono soggetti a quadri di sorveglianza istituiti a supporto dei compiti di cui all’articolo 127, paragrafo 2, del trattato sul funzionamento dell’Unione europea;

iii)	ai fornitori intra gruppo di servizi_TIC;

iv)	ai fornitori terzi di servizi_TIC che prestano servizi_TIC unicamente in uno Stato membro a entità finanziarie attive solo in tale Stato membro.

9. Le AEV, tramite il comitato_congiunto, redigono, pubblicano e aggiornano ogni anno l’elenco dei fornitori terzi critici di servizi_TIC a livello di Unione.

10. Ai fini del paragrafo 1, lettera a), le autorità competenti, con cadenza annuale e in forma aggregata, trasmettono le relazioni di cui all’articolo 28, paragrafo 3, terzo comma, al forum di sorveglianza istituito ai sensi dell’articolo 32. Il forum di sorveglianza valuta la dipendenza delle entità finanziarie da terzi nel settore delle TIC sulla base delle informazioni ricevute dalle autorità competenti.

11. I fornitori terzi di servizi_TIC che non sono inseriti nell’elenco di cui al paragrafo 9 possono chiedere di essere designati come critici conformemente al paragrafo 1, lettera a).

Ai fini del primo comma, il fornitore_terzo_di_servizi_TIC presenta una domanda motivata all’ABE, all’ESMA o all’EIOPA; queste ultime, tramite il comitato_congiunto, decidono se designare tale fornitore_terzo_di_servizi_TIC come critico conformemente al paragrafo 1, lettera a).

La decisione di cui al secondo comma è adottata e notificata al fornitore_terzo_di_servizi_TIC entro sei mesi dalla data in cui è stata ricevuta la domanda.

12. Le entità finanziarie ricorrono ai servizi di un fornitore_terzo_di_servizi_TIC stabilito in un paese terzo e che è stato designato come critico conformemente al paragrafo 1, lettera a), soltanto se detto fornitore ha istituito un’ impresa_figlia nell’Unione entro 12 mesi dalla designazione.

13. Il fornitore terzo critico di servizi_TIC di cui al paragrafo 12 notifica all’ autorità_di_sorveglianza_capofila eventuali cambiamenti nella struttura gestionale dell’ impresa_figlia istituita nell’Unione.

Articolo 33

Compiti dell’ autorità_di_sorveglianza_capofila

1. L’ autorità_di_sorveglianza_capofila, nominata conformemente all’articolo 31, paragrafo 1, lettera b), effettua la sorveglianza dei fornitori terzi critici di servizi_TIC assegnati e, ai fini di tutte le questioni relative alla sorveglianza, è il principale punto di contatto per tali fornitori terzi critici di servizi TIC.

2. Ai fini del paragrafo 1, l’ autorità_di_sorveglianza_capofila valuta se ciascun fornitore terzo critico di servizi_TIC abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci per gestire i rischi_informatici cui esso può esporre le entità finanziarie.

La valutazione di cui al primo comma si concentra principalmente sui servizi_TIC forniti dal fornitore terzo critico di servizi_TIC a supporto di funzioni essenziali o importanti delle entità finanziarie. Se necessario per affrontare tutti i rischi pertinenti, tale valutazione si estende ai servizi_TIC a supporto di funzioni diverse da quelle essenziali o importanti.

3. La valutazione di cui al paragrafo 2 riguarda:

requisiti in materia di TIC atti a garantire, in particolare, la sicurezza, la disponibilità, la continuità, la scalabilità e la qualità dei servizi che il fornitore terzo critico di servizi_TIC presta alle entità finanziarie, nonché la capacità di mantenere standard di, disponibilità, autenticità, integrità o riservatezza dei dati costantemente elevati;

b)	la sicurezza fisica che contribuisce a mantenere la sicurezza delle TIC, compresa la sicurezza dei locali, delle attrezzature e dei centri di elaborazione dati;

c)	i processi di gestione del rischio, comprese le politiche di gestione dei rischi_informatici, la politica di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC;

d)	i meccanismi di governance, compresa una struttura organizzativa dotata di linee e norme in materia di responsabilità chiare, trasparenti e coerenti che consentano un’efficace gestione dei rischi_informatici;

e)	l’identificazione, il monitoraggio e la tempestiva segnalazione alle entità finanziarie di incidenti significativi connessi alle TIC, la gestione e la risoluzione di tali incidenti, in particolare degli attacchi informatici;

f)	i meccanismi per la portabilità dei dati, la portabilità e l’interoperabilità delle applicazioni, per assicurare un effettivo esercizio dei diritti di risoluzione da parte delle entità finanziarie;

g)	i test su sistemi, infrastrutture e controlli relativi alle TIC;

h)	gli audit in materia di TIC;

i)	l’utilizzo dei pertinenti standard nazionali e internazionali applicabili alla fornitura dei servizi_TIC alle entità finanziarie.

4. Sulla base della valutazione di cui al paragrafo 2, e in coordinamento con la rete di sorveglianza comune di cui all’articolo 34, paragrafo 1, l’ autorità_di_sorveglianza_capofila adotta un piano di sorveglianza individuale chiaro, dettagliato e motivato che descrive gli obiettivi annuali in materia di sorveglianza e le principali azioni di sorveglianza previste per ciascun fornitore terzo critico di servizi_TIC. Tale piano è comunicato annualmente al fornitore terzo critico di servizi TIC.

Prima dell’adozione del piano di sorveglianza, l’ autorità_di_sorveglianza_capofila comunica il progetto di piano di sorveglianza al fornitore terzo critico di servizi TIC.

Al ricevimento del progetto di piano di sorveglianza, il fornitore terzo critico di servizi_TIC può presentare, entro 15 giorni di calendario, una dichiarazione motivata che dimostri l’impatto previsto sui clienti che sono entità che non rientrano nell’ambito di applicazione del presente regolamento e, se del caso, formuli soluzioni per attenuare i rischi.

5. Allorché i piani di sorveglianza annuali di cui al paragrafo 4 sono stati adottati e notificati ai fornitori terzi critici di servizi_TIC, le autorità competenti possono adottare misure concernenti tali fornitori terzi critici di servizi_TIC soltanto in accordo con l’ autorità_di_sorveglianza_capofila.

Articolo 35

Poteri dell’ autorità_di_sorveglianza_capofila

1. Ai fini dello svolgimento dei compiti previsti dalla presente sezione, all’ autorità_di_sorveglianza_capofila sono conferiti i poteri indicati di seguito riguardo ai fornitori terzi critici di servizi TIC:

a)	richiedere tutte le informazioni e la documentazione pertinenti ai sensi dell’articolo 37;

b)	condurre indagini e ispezioni di carattere generale ai sensi degli articoli 38 e 39 rispettivamente;

c)	richiedere, dopo il completamento delle attività di sorveglianza, relazioni in cui si specifichino le azioni adottate o i rimedi applicati da parte dei fornitori terzi critici di servizi_TIC in relazione alle raccomandazioni di cui alla lettera d) del presente paragrafo;

formulare raccomandazioni concernenti i settori di cui all’articolo 33, paragrafo 3, in particolare per quanto riguarda gli elementi indicati di seguito:

l’impiego di specifici processi o requisiti di sicurezza e qualità delle TIC, segnatamente per il rilascio di correzioni, aggiornamenti, cifratura e altre misure di sicurezza che l’ autorità_di_sorveglianza_capofila giudichi pertinenti per garantire la sicurezza delle TIC dei servizi forniti alle entità finanziarie;

ii)

l’uso di termini e condizioni, compresa la relativa attuazione tecnica, in base ai quali i fornitori terzi critici di servizi_TIC prestano servizi_TIC alle entità finanziarie, che l’ autorità_di_sorveglianza_capofila giudichi importanti per prevenire il prodursi di singoli punti di vulnerabilità (points of failure), l’amplificazione degli stessi, oppure per ridurre al minimo il possibile impatto sistemico in tutto il settore finanziario dell’Unione in caso di rischio di concentrazione delle TIC;

iii)

eventuali subappalti previsti, ove l’ autorità_di_sorveglianza_capofila ritenga che ulteriori subappalti, compresi gli accordi di subappalto che i fornitori terzi critici di servizi_TIC intendano stipulare con fornitori terzi di servizi_TIC o con subappaltatori di TIC stabiliti in un paese terzo, possano produrre rischi per la fornitura di servizi da parte dell’entità finanziaria o rischi per la stabilità finanziaria, sulla base dell’esame delle informazioni raccolte a norma degli articoli 37 e 38;

iv)

la rinuncia a stipulare un ulteriore accordo di subappalto qualora siano soddisfatte le condizioni cumulative seguenti:

—	il subappaltatore designato è un fornitore_terzo_di_servizi_TIC oppure un subappaltatore di TIC stabilito in un paese terzo;

—	il subappalto riguarda funzioni essenziali o importanti dell’entità finanziaria; nonché

—

l’ autorità_di_sorveglianza_capofila ritiene che il ricorso a tale subappalto rappresenti un rischio grave e chiaro per la stabilità finanziaria dell’Unione o per le entità finanziarie, anche per quanto riguarda la capacità delle entità finanziarie di rispettare i requisiti in materia di sorveglianza.

Ai fini del punto iv) della presente lettera, i fornitori terzi di servizi_TIC trasmettono all’ autorità_di_sorveglianza_capofila, utilizzando il modello di cui all’articolo 41, paragrafo 1, lettera b), le informazioni relative al subappalto.

2. Nell’esercizio dei poteri di cui al presente articolo, l’ autorità_di_sorveglianza_capofila:

a)	assicura un coordinamento regolare all’interno della rete di sorveglianza comune e, in particolare, persegue approcci coerenti, se del caso, per quanto riguarda la sorveglianza dei fornitori terzi critici di servizi TIC;

tiene debitamente conto del quadro istituito dalla direttiva (UE) 2022/2555 e, se necessario, consulta le autorità competenti interessate designate o istituite in conformità di tale direttiva, al fine di evitare duplicazioni delle misure tecniche e organizzative che potrebbero applicarsi ai fornitori terzi critici di servizi_TIC ai sensi di tale direttiva;

c)	si adopera per ridurre al minimo, nella misura del possibile, il rischio di perturbazione dei servizi forniti da fornitori terzi critici di servizi_TIC a clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento.

3. L’ autorità_di_sorveglianza_capofila consulta il forum di sorveglianza prima di esercitare i poteri di cui al paragrafo 1.

Prima di formulare raccomandazioni a norma del paragrafo 1, lettera d), l’ autorità_di_sorveglianza_capofila dà al fornitore_terzo_di_servizi_TIC la possibilità di fornire entro 30 giorni di calendario informazioni pertinenti che dimostrino l’impatto previsto sui clienti che sono entità che non rientrano nell’ambito di applicazione del presente regolamento e, se del caso, formulino soluzioni per attenuare i rischi.

4. L’ autorità_di_sorveglianza_capofila informa la rete di sorveglianza comune dell’esito dell’esercizio dei poteri di cui al paragrafo 1, lettere a) e b). L’ autorità_di_sorveglianza_capofila trasmette, senza indebito ritardo, le relazioni di cui al paragrafo 1, lettera c), alla rete di sorveglianza comune e alle autorità competenti delle entità finanziarie che utilizzano i servizi_TIC di tale fornitore terzo critico di servizi TIC.

5. I fornitori terzi critici di servizi_TIC cooperano in buona fede con l’ autorità_di_sorveglianza_capofila e la coadiuvano nell’adempimento dei suoi compiti.

6. In caso di inosservanza totale o parziale delle misure che devono essere adottate ai sensi dell’esercizio dei poteri di cui al paragrafo 1, lettere a), b) e c), e dopo la scadenza di un periodo di almeno 30 giorni di calendario dalla data in cui il fornitore terzo critico di servizi_TIC ha ricevuto la notifica delle rispettive misure, l’ autorità_di_sorveglianza_capofila adotta una decisione che impone una penalità di mora al fine di costringere il fornitore terzo critico di servizi_TIC a conformarsi a tali misure.

7. La penalità di mora, di cui al paragrafo 6, è imposta su base giornaliera fino al conseguimento della conformità e per un periodo non superiore a sei mesi dalla notifica della decisione che impone una penalità di mora al fornitore terzo critico di servizi TIC.

8. L’importo della penalità di mora, calcolato a partire dalla data indicata nella decisione che la impone, è fino all’1 % del fatturato medio quotidiano realizzato a livello mondiale dal fornitore terzo critico di servizi_TIC nel precedente esercizio. Nel determinare l’importo della penalità, l’ autorità_di_sorveglianza_capofila tiene conto dei seguenti criteri per quanto riguarda l’inosservanza delle misure di cui al paragrafo 6:

a)	la gravità e la durata dell’inosservanza;

b)	se l’inosservanza sia stata commessa intenzionalmente o per negligenza;

c)	il livello di cooperazione del fornitore_terzo_di_servizi_TIC con l’ autorità_di_sorveglianza_capofila.

Ai fini del primo comma, per garantire un approccio coerente, l’ autorità_di_sorveglianza_capofila avvia consultazioni nell’ambito della rete di sorveglianza comune.

9. Le penalità sono di natura amministrativa e sono esecutive. L’applicazione delle penalità è regolata dalle norme di procedura civile vigenti nello Stato membro sul cui territorio si svolgono le ispezioni e l’accesso. I giudici dello Stato membro interessato esercitano la giurisdizione sui reclami concernenti l’irregolarità dell’applicazione delle penalità. Gli importi delle penalità sono assegnati al bilancio generale dell’Unione europea.

10. L’ autorità_di_sorveglianza_capofila comunica al pubblico ogni penalità di mora inflitta, salvo il caso in cui tale comunicazione possa mettere gravemente a rischio i mercati finanziari o possa arrecare un danno sproporzionato alle parti coinvolte.

11. Prima di imporre una penalità di mora ai sensi del paragrafo 6, l’ autorità_di_sorveglianza_capofila concede ai rappresentanti del fornitore terzo critico di servizi_TIC oggetto del procedimento l’opportunità di essere sentiti in merito alle risultanze, e fonda le proprie decisioni unicamente sulle risultanze in merito alle quali il fornitore terzo critico di servizi_TIC oggetto del procedimento ha avuto la possibilità di esporre le proprie osservazioni.

Nel corso del procedimento sono pienamente garantiti i diritti della difesa delle persone interessate dal procedimento. Il fornitore terzo critico di servizi_TIC oggetto del procedimento ha diritto di accesso al fascicolo, fermo restando il legittimo interesse di altre persone alla tutela dei propri segreti aziendali. Il diritto di accesso al fascicolo non si estende alle informazioni riservate o ai documenti preparatori interni dell’ autorità_di_sorveglianza_capofila.

Articolo 42

Seguito dato dalle autorità competenti

1. Entro 60 giorni di calendario dalla ricezione delle raccomandazioni formulate dall’ autorità_di_sorveglianza_capofila ai sensi dell’articolo 35, paragrafo 1, lettera d), i fornitori terzi critici di servizi_TIC comunicano all’ autorità_di_sorveglianza_capofila la loro intenzione di attenersi alle raccomandazioni o forniscono una spiegazione articolata del motivo per cui non lo faranno. L’ autorità_di_sorveglianza_capofila trasmette immediatamente le informazioni alle autorità competenti delle entità finanziarie interessate.

2. L’ autorità_di_sorveglianza_capofila rende pubblici i casi in cui un fornitore terzo critico di servizi_TIC non dà notifica all’ autorità_di_sorveglianza_capofila conformemente al paragrafo 1 o se la spiegazione fornita dal fornitore terzo critico di servizi_TIC non è ritenuta sufficiente. Le informazioni pubblicate rivelano l’identità del fornitore terzo critico di servizi_TIC nonché informazioni sul tipo e la natura dell’inosservanza. Tali informazioni sono limitate a quanto è pertinente e proporzionato al fine di assicurare la sensibilizzazione del pubblico, salvo il caso in cui la pubblicazione possa arrecare un danno sproporzionato alle parti coinvolte o mettere gravemente a rischio il regolare funzionamento e l’integrità dei mercati finanziari o la stabilità dell’intero sistema finanziario dell’Unione o di parte di esso.

L’ autorità_di_sorveglianza_capofila informa il fornitore_terzo_di_servizi_TIC di tale divulgazione al pubblico.

3. Le autorità competenti informano le entità finanziarie interessate dei rischi individuati nelle raccomandazioni inviate ai fornitori terzi critici di servizi_TIC conformemente all’articolo 35, paragrafo 1, lettera d).

Nella gestione dei rischi_informatici derivanti da terzi, le entità finanziarie tengono conto dei rischi di cui al primo comma.

4. Qualora un’autorità competente ritenga che un’entità finanziaria non tenga conto dei rischi specifici individuati nelle raccomandazioni, o non li affronti in misura sufficiente, nell’ambito della sua gestione dei rischi_informatici derivanti da terzi, essa notifica all’entità finanziaria la possibilità di adottare una decisione, entro 60 giorni di calendario dal ricevimento di tale notifica, a norma del paragrafo 6, in assenza di adeguati accordi contrattuali volti a far fronte a tali rischi.

5. Dopo aver ricevuto le relazioni di cui all’articolo 35, paragrafo 1, lettera c), e prima di adottare una decisione di cui al paragrafo 6 del presente articolo, le autorità competenti possono, su base volontaria, consultare le autorità competenti designate o istituite in conformità della direttiva (UE) 2022/2555 responsabili della vigilanza di un soggetto essenziale o importante ai sensi di tale direttiva, che è stato designato come fornitore terzo critico di servizi_TIC.

6. A norma dell’articolo 50, le autorità competenti possono adottare, come misura di ultima istanza, a seguito della notifica e, se del caso, della consultazione di cui ai paragrafi 4 e 5 del presente articolo, una decisione che impone alle entità finanziarie di sospendere temporaneamente, in tutto o in parte, l’utilizzo o l’introduzione di un servizio prestato dal fornitore terzo critico di servizi_TIC, fino a quando non siano stati affrontati i rischi identificati nelle raccomandazioni trasmesse ai fornitori terzi critici di servizi_TIC. Laddove si renda necessario, le autorità competenti possono chiedere alle entità finanziarie di risolvere, in tutto o in parte, gli accordi contrattuali pertinenti stipulati con i fornitori terzi critici di servizi TIC.

7. Qualora un fornitore terzo critico di servizi_TIC rifiuti di accogliere raccomandazioni basandosi su un approccio diverso da quello raccomandato dall’ autorità_di_sorveglianza_capofila e qualora tale approccio diverso possa avere un impatto negativo su un numero considerevole di entità finanziarie, o su una parte significativa del settore finanziario, e le singole segnalazioni emesse dalle autorità competenti non abbiano dato luogo ad approcci coerenti che attenuino il rischio potenziale per la stabilità finanziaria, l’ autorità_di_sorveglianza_capofila può, previa consultazione del forum di sorveglianza, emettere pareri non vincolanti e non pubblici alle autorità competenti, al fine di promuovere, se del caso, misure di follow-up coerenti e convergenti in materia di vigilanza.

8. Dopo aver ricevuto le relazioni di cui all’articolo 35, paragrafo 1, lettera c), le autorità competenti tengono conto, al momento di adottare le decisioni di cui al paragrafo 6 del presente articolo, del tipo e delle dimensioni del rischio che non è stato affrontato dal fornitore terzo critico di servizi_TIC, nonché della gravità dell’inosservanza, in considerazione dei criteri seguenti:

a)	la gravità e la durata dell’inosservanza;

b)	se l’inosservanza abbia portato alla luce gravi carenze nelle procedure, nei sistemi di gestione, nella gestione dei rischi e nei controlli interni del fornitore terzo critico di servizi TIC;

c)	se l’inosservanza abbia favorito o generato un reato finanziario o se tale reato sia in qualche misura attribuibile all’inosservanza;

d)	se l’inosservanza sia stata commessa intenzionalmente o per negligenza;

e)	se la sospensione o la risoluzione degli accordi contrattuali comporti un rischio per la continuità delle operazioni commerciali dell’entità finanziaria malgrado gli sforzi dell’entità finanziaria per evitare perturbazioni nella fornitura dei suoi servizi;

se del caso, il parere, richiesto su base volontaria conformemente al paragrafo 5 del presente articolo, delle autorità competenti designate o istituite a norma della direttiva (UE) 2022/2555 responsabili della vigilanza di un soggetto essenziale o importante ai sensi di tale direttiva, che è stato designato come fornitore terzo critico di servizi TIC.

Le autorità competenti concedono alle entità finanziarie il periodo di tempo necessario per consentire loro di adeguare gli accordi contrattuali con i fornitori terzi critici di servizi_TIC al fine di evitare effetti negativi sulla loro resilienza_operativa_digitale e di consentire loro di attuare le strategie di uscita e i piani di transizione di cui all’articolo 28.

9. La decisione di cui al paragrafo 6 del presente articolo è notificata ai membri del forum di sorveglianza di cui all’articolo 32, paragrafo 4, lettere a), b) e c), e alla rete di sorveglianza comune.

I fornitori terzi critici di servizi_TIC interessati dalle decisioni di cui al paragrafo 6 cooperano pienamente con le entità finanziarie colpite, in particolare nel contesto del processo di sospensione o risoluzione dei loro accordi contrattuali.

10. Le autorità competenti informano l’ autorità_di_sorveglianza_capofila in merito alle misure e agli approcci adottati nell’ambito dei propri compiti di vigilanza in relazione alle entità finanziarie, nonché in merito agli accordi contrattuali conclusi da queste ultime qualora i fornitori terzi critici di servizi_TIC abbiano disatteso, in tutto o in parte, le raccomandazioni loro rivolte dall’ autorità_di_sorveglianza_capofila.

11. L’ autorità_di_sorveglianza_capofila può, su richiesta, fornire ulteriori chiarimenti sulle raccomandazioni formulate per orientare le autorità competenti sulle misure di follow-up.

Articolo 49

Comunicazione, cooperazione e attività finanziarie intersettoriali

1. Le AEV, tramite il comitato_congiunto e in collaborazione con le autorità competenti, le autorità di risoluzione di cui all’articolo 3 della direttiva 2014/59/UE, la BCE, il Comitato di risoluzione unico per quanto riguarda le informazioni relative alle entità che rientrano nell’ambito di applicazione del regolamento (UE) n. 806/2014, il CERS e l’ENISA, se del caso, possono istituire meccanismi che consentano la condivisione di pratiche efficaci tra i vari settori finanziari per migliorare la consapevolezza situazionale e identificare i rischi e le vulnerabilità informatiche comuni a tutti i settori.

Le AEV possono elaborare esercitazioni di gestione delle crisi e delle emergenze comprendenti scenari di attacchi informatici al fine di sviluppare canali di comunicazione e promuovere gradualmente una risposta efficace coordinata a livello dell’Unione nel caso di grave incidente transfrontaliero connesso alle TIC o relativa minaccia aventi un impatto sistemico sull’intero settore finanziario dell’Unione.

A seconda dei casi, tali esercitazioni possono anche servire come test delle dipendenze del settore finanziario da altri settori economici.

2. Le autorità competenti, le AEV e la BCE cooperano strettamente tra loro e si scambiano informazioni per svolgere i compiti di cui agli articoli da 47 a 54. Realizzano uno stretto coordinamento dell’attività di vigilanza per rilevare e correggere le violazioni del presente regolamento, sviluppare e promuovere migliori prassi, agevolare la collaborazione, promuovere la coerenza dell’interpretazione e formulare valutazioni transgiurisdizionali in caso di disaccordo.

Articolo 61

Modifiche del regolamento (UE) n. 909/2014

L’articolo 45 del regolamento (UE) n. 909/2014 è così modificato:

il paragrafo 1 è sostituito dal seguente:

«1. I CSD individuano le fonti di rischio operativo, interne ed esterne, e ne riducono al minimo l’impatto avvalendosi di strumenti, processi e politiche in materia di TIC adeguati, istituiti e gestiti ai sensi del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*3), nonché mediante qualsiasi altro tipo adeguato di strumenti, controlli e procedure per altri tipi di rischi operativi, anche per tutti i sistemi di regolamento titoli da essi operati.

(*3) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza_operativa_digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).»;"

2)	il paragrafo 2 è soppresso;

i paragrafi 3 e 4 sono sostituiti dai seguenti:

«3. Per i servizi che forniscono nonché per ciascun sistema di regolamento titoli da essi operato, i CSD stabiliscono, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendente una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC istituiti ai sensi del regolamento (UE) 2022/2554, allo scopo di preservare i servizi, assicurare la ripresa tempestiva delle attività e l’adempimento degli obblighi del CSD in caso di eventi che comportino un rischio significativo di perturbare le attività.

4. Il piano di cui al paragrafo 3 prevede il ripristino di tutte le operazioni e posizioni dei partecipanti al momento della perturbazione, in modo da permettere ai partecipanti al CSD di continuare ad operare con certezza e di completare il regolamento alla data prevista, anche assicurando che i sistemi informatici critici possano riprendere a funzionare dal momento della perturbazione, come previsto dall’articolo 12, paragrafi 5 e 7, del regolamento (UE) 2022/2554.»;

il paragrafo 6 è sostituito dal seguente:

«6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi_informatici.»;

al paragrafo 7, il primo comma è sostituito dal seguente:

«7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi_informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.».

whereas

keyboard_tab DORA 2022/2554 IT

DORA 2022/2554 IT