Preambolo

Considerando che:

del 14 dicembre 2022

sulla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114, vista la proposta della Commissione europea, previa trasmissione del progetto di atto legislativo ai parlamenti nazionali, visto il parere della Banca centrale europea (1), visto il parere del Comitato economico e sociale europeo (2), deliberando secondo la procedura legislativa ordinaria (3),

Considerando che:

(1) Nell'era digitale, le tecnologie dell'informazione e della comunicazione (TIC) supportano sistemi complessi utilizzati per le attività quotidiane. Fanno funzionare le nostre economie in settori chiave, tra cui quello finanziario, e migliorano il funzionamento del mercato interno. L'aumento della digitalizzazione e dell'interconnessione amplifica anche le TIC. rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)rendendo la società nel suo complesso, e il sistema finanziario in particolare, più vulnerabile alle minacce informatiche o alle interruzioni delle TIC. Mentre l'uso onnipresente dei sistemi TIC e l'elevata digitalizzazione e connettività sono oggi caratteristiche fondamentali delle attività degli enti finanziari dell'Unione, la loro resilienza digitale deve ancora essere affrontata meglio e integrata nei loro quadri operativi più ampi.

(2) Negli ultimi decenni l'uso delle TIC ha acquisito un ruolo centrale nella fornitura di servizi finanziari, al punto da assumere un'importanza critica nel funzionamento delle tipiche funzioni quotidiane di tutte le entità finanziarie. La digitalizzazione riguarda, ad esempio, i pagamenti, che sono passati sempre più dal contante e dai metodi cartacei all'uso di soluzioni digitali, così come la compensazione e il regolamento dei titoli, il trading elettronico e algoritmico, le operazioni di prestito e di finanziamento, la finanza peer-to-peer, il rating del credito, la gestione dei sinistri e le operazioni di back-office. Anche il settore assicurativo è stato trasformato dall'uso delle TIC, dall'emergere di intermediari assicurativi che offrono i loro servizi online operando con InsurTech, alla sottoscrizione assicurativa digitale. La finanza non solo è diventata ampiamente digitale in tutto il settore, ma la digitalizzazione ha anche approfondito le interconnessioni e le dipendenze all'interno del settore finanziario e con i fornitori di infrastrutture e servizi di terze parti.

(3) Il Comitato europeo per il rischio sistemico (CERS) ha ribadito, in una relazione del 2020 sul rischio informatico sistemico, che l'elevato livello di interconnessione esistente tra le entità finanziarie, i mercati finanziari e le infrastrutture dei mercati finanziari, e in particolare le interdipendenze dei loro sistemi TIC, potrebbero costituire un rischio sistemico. vulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) perché gli incidenti informatici localizzati potrebbero rapidamente diffondersi da una qualsiasi delle circa 22 000 entità finanziarie dell'Unione all'intero sistema finanziario, senza essere ostacolati dai confini geografici. Le gravi violazioni delle TIC che si verificano nel settore finanziario non riguardano solo le entità finanziarie considerate isolatamente. Esse spianano anche la strada alla propagazione di vulnerabilità localizzate attraverso i canali di trasmissione finanziaria e potenzialmente innescano conseguenze negative per la stabilità del sistema finanziario dell'Unione, come la generazione di corse alla liquidità e una perdita generale di fiducia nei mercati finanziari.

(4) Negli ultimi anni, il rischio TIC ha attirato l'attenzione dei responsabili politici internazionali, dell'Unione e nazionali, delle autorità di regolamentazione e delle autorità di vigilanza. standardStandard Per "norma" si intende una specifica tecnica, adottata da un organismo di normalizzazione riconosciuto, per applicazione ripetuta o continua, la cui osservanza non è obbligatoria e che è una delle seguenti: (a) "norma internazionale": una norma adottata da un organismo internazionale di normalizzazione; (b) "norma europea": una norma adottata da un organismo europeo di normalizzazione; (c) "norma armonizzata": una norma europea adottata sulla base di una richiesta presentata dalla Commissione per l'applicazione della normativa di armonizzazione dell'Unione; (d) "norma nazionale": una norma adottata da un organismo nazionale di normalizzazione - Definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio.-Nel tentativo di migliorare la resilienza digitale, di stabilire standard e di coordinare il lavoro di regolamentazione o di vigilanza, sono stati istituiti organismi di regolamentazione. A livello internazionale, il Comitato di Basilea per la vigilanza bancaria, il Comitato per i pagamenti e le infrastrutture di mercato, il Consiglio per la stabilità finanziaria, l'Istituto per la stabilità finanziaria, nonché il G7 e il G20 mirano a fornire alle autorità competenti e agli operatori di mercato di varie giurisdizioni gli strumenti per rafforzare la resilienza dei loro sistemi finanziari. Questo lavoro è stato guidato anche dalla necessità di tenere in debita considerazione il rischio TIC nel contesto di un sistema finanziario globale altamente interconnesso e di ricercare una maggiore coerenza delle migliori prassi in materia.

(5) Nonostante le iniziative politiche e legislative mirate a livello nazionale e dell'Unione, il rischio TIC continua a rappresentare una sfida per la resilienza operativa, le prestazioni e la stabilità del sistema finanziario dell'Unione. Le riforme che hanno fatto seguito alla crisi finanziaria del 2008 hanno principalmente rafforzato la resilienza finanziaria del settore finanziario dell'Unione e mirato a salvaguardare la competitività e la stabilità dell'Unione dal punto di vista economico, prudenziale e della condotta del mercato. Sebbene la sicurezza delle TIC e la resilienza digitale facciano parte del rischio operativo, sono state meno al centro dell'agenda normativa post-crisi finanziaria e si sono sviluppate solo in alcune aree della politica dei servizi finanziari e del panorama normativo dell'Unione, o solo in alcuni Stati membri.

(6) Nella comunicazione dell'8 marzo 2018 intitolata "Piano d'azione FinTech: Per un settore finanziario europeo più competitivo e innovativo", la Commissione ha sottolineato l'importanza fondamentale di rendere il settore finanziario dell'Unione più resiliente, anche da un punto di vista operativo, per garantirne la sicurezza tecnologica e il buon funzionamento, il rapido recupero da violazioni e incidenti delle TIC, consentendo in ultima analisi la fornitura efficace e regolare di servizi finanziari in tutta l'Unione, anche in situazioni di stress, preservando al contempo la fiducia dei consumatori e del mercato.

(7) Nell'aprile 2019, l'Autorità europea di vigilanza (Autorità bancaria europea) (EBA), istituita dal regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (4), l'Autorità europea di vigilanza (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali) ("EIOPA"), istituita dal regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio (5) e l'Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), ("ESMA") istituita dal regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (6) (note collettivamente come "Autorità di vigilanza europee" o "AEV") hanno emesso congiuntamente un parere tecnico in cui si chiede un approccio coerente al rischio TIC nella finanza e si raccomanda di rafforzare, in modo proporzionato, la resilienza operativa digitale del settore dei servizi finanziari attraverso un'iniziativa settoriale dell'Unione.

(8) Il settore finanziario dell'Unione è regolamentato da un Single Rulebook e disciplinato da un sistema europeo di vigilanza finanziaria. Tuttavia, le disposizioni relative alla resilienza operativa digitale e alla sicurezza delle TIC non sono ancora pienamente o coerentemente armonizzate, nonostante la resilienza operativa digitale sia fondamentale per garantire la stabilità finanziaria e l'integrità del mercato nell'era digitale, e non meno importante, ad esempio, di norme prudenziali o di condotta del mercato comuni. Il Single Rulebook e il sistema di vigilanza dovrebbero quindi essere sviluppati per coprire anche la resilienza operativa digitale, rafforzando i mandati delle autorità competenti per consentire loro di supervisionare la gestione del rischio TIC nel settore finanziario al fine di proteggere l'integrità e l'efficienza del mercato interno e di facilitarne il regolare funzionamento.

(9) Le disparità legislative e gli approcci nazionali disomogenei alla regolamentazione o alla vigilanza in materia di rischio TIC creano ostacoli al funzionamento del mercato interno dei servizi finanziari, impedendo il regolare esercizio della libertà di stabilimento e la prestazione di servizi per le entità finanziarie che operano su base transfrontaliera. Anche la concorrenza tra lo stesso tipo di entità finanziarie che operano in diversi Stati membri potrebbe essere distorta. Questo è il caso, in particolare, delle aree in cui l'armonizzazione dell'Unione è stata molto limitata, come i test di resilienza operativa digitale, o assente, come il monitoraggio del rischio di terzi per le TIC. Le disparità derivanti dagli sviluppi previsti a livello nazionale potrebbero generare ulteriori ostacoli al funzionamento del mercato interno a scapito dei partecipanti al mercato e della stabilità finanziaria.

(10) Ad oggi, poiché le disposizioni relative ai rischi legati alle TIC sono state affrontate solo in parte a livello dell'Unione, vi sono lacune o sovrapposizioni in settori importanti, come quello delle TIC. incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) e le incoerenze dovute all'emergere di norme nazionali divergenti o all'applicazione inefficace dal punto di vista dei costi di norme che si sovrappongono. Ciò è particolarmente dannoso per un utente ad alta intensità di TIC come il settore finanziario, poiché i rischi tecnologici non hanno confini e il settore finanziario distribuisce i propri servizi su un'ampia base transfrontaliera all'interno e all'esterno dell'Unione. Le singole entità finanziarie che operano su base transfrontaliera o che sono in possesso di più autorizzazioni (ad esempio, una società finanziaria o un'altra società finanziaria) non sono in grado di gestire i propri servizi. entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) possono avere una licenza bancaria, di impresa di investimento e di istituto di pagamento, ciascuna rilasciata da una diversa autorità competente in uno o più Stati membri) si trovano ad affrontare sfide operative nell'affrontare il rischio TIC e nell'attenuare gli impatti negativi degli incidenti TIC in modo autonomo e coerente dal punto di vista dei costi.

(11) Poiché il Single Rulebook non è stato accompagnato da un quadro completo in materia di TIC o di rischio operativo, è necessaria un'ulteriore armonizzazione dei principali requisiti di resilienza operativa digitale per tutti i soggetti finanziari. Lo sviluppo delle capacità TIC e della resilienza complessiva da parte dei soggetti finanziari, sulla base di tali requisiti chiave, al fine di resistere alle interruzioni operative, contribuirebbe a preservare la stabilità e l'integrità dei mercati finanziari dell'Unione e quindi a garantire un elevato livello di protezione degli investitori e dei consumatori nell'Unione. Poiché il presente regolamento mira a contribuire al buon funzionamento del mercato interno, è opportuno che si basi sulle disposizioni dell'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), interpretato conformemente alla giurisprudenza costante della Corte di giustizia dell'Unione europea (Corte di giustizia).

(12) Il presente regolamento mira a consolidare e aggiornare i requisiti in materia di rischio TIC nell'ambito dei requisiti in materia di rischio operativo che, fino a questo momento, sono stati trattati separatamente in vari atti giuridici dell'Unione. Tali atti coprivano le principali categorie di rischio finanziario (ad esempio, rischio di credito, rischio di mercato, rischio di credito e di liquidità della controparte, rischio di condotta del mercato), ma non affrontavano in modo esaustivo, al momento della loro adozione, tutte le componenti della resilienza operativa. Le norme sul rischio operativo, quando sono state ulteriormente sviluppate negli atti giuridici dell'Unione, hanno spesso privilegiato un approccio quantitativo tradizionale per affrontare il rischio (ossia la fissazione di un requisito patrimoniale per coprire il rischio TIC) piuttosto che norme qualitative mirate per le capacità di protezione, rilevamento, contenimento, recupero e riparazione contro gli incidenti legati alle TIC, o per le capacità di segnalazione e di test digitale. Tali atti erano destinati principalmente a coprire e aggiornare le norme essenziali in materia di vigilanza prudenziale, integrità del mercato o condotta. Consolidando e aggiornando le diverse norme sul rischio TIC, per la prima volta tutte le disposizioni relative al rischio digitale nel settore finanziario dovrebbero essere riunite in modo coerente in un unico atto legislativo. Pertanto, il presente regolamento colma le lacune o rimedia alle incoerenze di alcuni atti giuridici precedenti, anche in relazione alla terminologia utilizzata, e fa esplicito riferimento al rischio TIC attraverso norme mirate sulle capacità di gestione del rischio TIC, sulla segnalazione degli incidenti, sui test di resilienza operativa e sul monitoraggio del rischio TIC di terzi. Il regolamento dovrebbe quindi anche sensibilizzare sul rischio TIC e riconoscere che gli incidenti TIC e la mancanza di resilienza operativa possono mettere a repentaglio la solidità delle entità finanziarie.

(13) I soggetti finanziari devono seguire lo stesso approccio e le stesse regole basate sui principi nell'affrontare il rischio TIC, tenendo conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, attività e operazioni. La coerenza contribuisce a rafforzare la fiducia nel sistema finanziario e a preservarne la stabilità, soprattutto in tempi in cui si fa grande affidamento su sistemi, piattaforme e infrastrutture TIC, il che comporta un aumento del rischio digitale. L'osservanza dell'igiene informatica di base dovrebbe anche evitare di imporre costi pesanti all'economia, riducendo al minimo l'impatto e i costi delle interruzioni delle TIC.

(14) Un regolamento aiuta a ridurre la complessità normativa, favorisce la convergenza in materia di vigilanza e aumenta la certezza del diritto, contribuendo inoltre a limitare i costi di conformità, soprattutto per le entità finanziarie che operano a livello transfrontaliero, e a ridurre le distorsioni della concorrenza. Pertanto, la scelta di un regolamento per l'istituzione di un quadro comune per la resilienza operativa digitale delle entità finanziarie è il modo più appropriato per garantire un'applicazione omogenea e coerente di tutte le componenti della gestione del rischio TIC da parte del settore finanziario dell'Unione.

(15) La Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (7) è stata la prima direttiva orizzontale sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; quadro normativo emanato a livello dell'Unione, che si applica anche a tre tipi di soggetti finanziari, ossia gli enti creditizi, le sedi di negoziazione e le controparti centrali. Tuttavia, poiché la direttiva (UE) 2016/1148 ha stabilito un meccanismo di identificazione a livello nazionale degli operatori di servizi essenziali, solo alcuni enti creditizi, sedi di negoziazione e controparti centrali identificati dagli Stati membri sono stati fatti rientrare nel suo ambito di applicazione e quindi tenuti a rispettare i requisiti di sicurezza delle TIC e di notifica degli incidenti in essa previsti. La Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (8) stabilisce un criterio uniforme per determinare i soggetti che rientrano nel suo ambito di applicazione (regola del tetto dimensionale), mantenendo anche i tre tipi di soggetti finanziari nel suo ambito di applicazione.

(16) Tuttavia, poiché il presente regolamento aumenta il livello di armonizzazione delle varie componenti della resilienza digitale, introducendo requisiti sulla gestione del rischio TIC e sulla segnalazione degli incidenti connessi alle TIC più rigorosi rispetto a quelli previsti dall'attuale diritto dell'Unione in materia di servizi finanziari, questo livello più elevato costituisce una maggiore armonizzazione anche rispetto ai requisiti stabiliti dalla direttiva (UE) 2022/2555. Di conseguenza, il presente regolamento costituisce una lex specialis rispetto alla direttiva (UE) 2022/2555. Allo stesso tempo, è fondamentale mantenere una forte relazione tra il settore finanziario e il quadro orizzontale dell'Unione in materia di cibersicurezza, come attualmente previsto dalla direttiva (UE) 2022/2555, per garantire la coerenza con le strategie di cibersicurezza adottate dagli Stati membri e per consentire alle autorità di vigilanza finanziaria di essere informate degli incidenti informatici che interessano altri settori coperti da tale direttiva.

(17) Conformemente all'articolo 4, paragrafo 2, del trattato sull'Unione europea e fatto salvo il controllo giurisdizionale della Corte di giustizia, il presente regolamento non deve pregiudicare la responsabilità degli Stati membri per quanto riguarda le funzioni statali essenziali in materia di pubblica sicurezza, difesa e salvaguardia della sicurezza nazionale, ad esempio per quanto riguarda la fornitura di informazioni che sarebbero contrarie alla salvaguardia della sicurezza nazionale.

(18) Per consentire l'apprendimento intersettoriale e attingere efficacemente alle esperienze di altri settori nella gestione delle minacce informatiche, è opportuno che i soggetti finanziari di cui alla direttiva (UE) 2022/2555 continuino a far parte dell'"ecosistema" di tale direttiva (ad esempio, il gruppo di cooperazione e i gruppi di risposta agli incidenti di sicurezza informatica (CSIRT)). È opportuno che le AEV e le autorità nazionali competenti possano partecipare alle discussioni politiche strategiche e ai lavori tecnici del gruppo di cooperazione ai sensi di tale direttiva, nonché scambiare informazioni e cooperare ulteriormente con gli sportelli unici designati o istituiti in conformità a tale direttiva. Le autorità competenti ai sensi del presente regolamento dovrebbero inoltre consultare e cooperare con i CSIRT. Le autorità competenti dovrebbero inoltre poter richiedere consulenza tecnica alle autorità competenti designate o istituite in conformità alla direttiva (UE) 2022/2555 e stabilire accordi di cooperazione volti a garantire meccanismi di coordinamento efficaci e rapidi.

(19) Date le forti interconnessioni tra la resilienza digitale e la resilienza fisica degli enti finanziari, è necessario un approccio coerente per quanto riguarda la resilienza degli enti critici nel presente regolamento e nella direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio (9). Poiché la resilienza fisica degli enti finanziari è affrontata in modo completo dagli obblighi di gestione e segnalazione del rischio TIC contemplati dal presente regolamento, gli obblighi di cui ai capi III e IV della direttiva (UE) 2022/2557 non dovrebbero applicarsi agli enti finanziari che rientrano nell'ambito di applicazione di tale direttiva.

(20) Servizio di cloud computingServizio di cloud computing Un servizio digitale che consente l'amministrazione on-demand e un ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche nel caso in cui tali risorse siano distribuite su più sedi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) I fornitori di servizi di cloud computing sono una delle categorie di infrastrutture digitali coperte dalla Direttiva (UE) 2022/2555. Il quadro di vigilanza dell'Unione ("quadro di vigilanza") istituito dal presente regolamento si applica a tutti i fornitori terzi di servizi TIC critici, compresi i fornitori di servizi di cloud computing che forniscono servizi TIC a soggetti finanziari, e dovrebbe essere considerato complementare alla vigilanza effettuata ai sensi della direttiva (UE) 2022/2555. Inoltre, il quadro di vigilanza istituito dal presente regolamento dovrebbe coprire i fornitori di servizi di cloud computing in assenza di un quadro orizzontale dell'Unione che istituisca un'autorità di vigilanza digitale.

(21) Per mantenere il pieno controllo sul rischio TIC, le entità finanziarie devono disporre di capacità complete che consentano una gestione forte ed efficace del rischio TIC, nonché di meccanismi e politiche specifiche per la gestione di tutti gli incidenti legati alle TIC e per la segnalazione degli incidenti più gravi legati alle TIC. Allo stesso modo, le entità finanziarie dovrebbero disporre di politiche per la verifica dei sistemi, dei controlli e dei processi ICT, nonché per la gestione del rischio ICT di terzi. La resilienza operativa digitale di base per le entità finanziarie dovrebbe essere aumentata, consentendo al contempo un'applicazione proporzionata dei requisiti per alcune entità finanziarie, in particolare le microimprese, nonché per le entità finanziarie soggette a un quadro semplificato di gestione del rischio TIC. Per agevolare una vigilanza efficiente degli enti pensionistici aziendali e professionali che sia proporzionata e risponda alla necessità di ridurre gli oneri amministrativi per le autorità competenti, le pertinenti disposizioni nazionali in materia di vigilanza di tali enti finanziari dovrebbero tenere conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, attività e operazioni, anche quando vengono superate le soglie pertinenti stabilite all'articolo 5 della direttiva (UE) 2016/2341 del Parlamento europeo e del Consiglio (10). In particolare, le attività di vigilanza dovrebbero concentrarsi principalmente sulla necessità di affrontare i rischi gravi associati alla gestione del rischio ICT di un determinato ente.

Le autorità competenti dovrebbero inoltre mantenere un approccio vigile ma proporzionato in relazione alla vigilanza degli enti pensionistici aziendali e professionali che, ai sensi dell'articolo 31 della direttiva (UE) 2016/2341, esternalizzano una parte significativa della loro attività principale, come la gestione delle attività, i calcoli attuariali, la contabilità e la gestione dei dati, a fornitori di servizi.

(22) Le soglie e le tassonomie per la segnalazione degli incidenti legati alle TIC variano notevolmente a livello nazionale. Sebbene sia possibile raggiungere un terreno comune grazie al lavoro intrapreso dall'Agenzia dell'Unione europea per la sicurezza informatica (ENISA), istituita dal regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (11), e dal gruppo di cooperazione di cui alla direttiva (UE) 2022/2555, esistono ancora, o possono emergere, approcci divergenti per quanto riguarda la definizione delle soglie e l'uso delle tassonomie per il resto degli enti finanziari. A causa di queste divergenze, i requisiti che le entità finanziarie devono rispettare sono molteplici, soprattutto quando operano in diversi Stati membri e quando fanno parte di un gruppo finanziario. Inoltre, tali divergenze possono potenzialmente ostacolare la creazione di ulteriori meccanismi uniformi o centralizzati a livello dell'Unione che accelerino il processo di segnalazione e favoriscano uno scambio rapido e agevole di informazioni tra le autorità competenti, fondamentale per affrontare il rischio informatico in caso di attacchi su larga scala con conseguenze potenzialmente sistemiche.

(23) Per ridurre l'onere amministrativo e gli obblighi di segnalazione potenzialmente duplicati per alcuni soggetti finanziari, è opportuno che l'obbligo di segnalazione degli incidenti ai sensi della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio (12) cessi di applicarsi ai prestatori di servizi di pagamento che rientrano nell'ambito di applicazione del presente regolamento. Di conseguenza, gli enti creditizi, gli istituti di moneta elettronica, gli istituti di pagamento e i prestatori di servizi di informazione sui conti, di cui all'articolo 33, paragrafo 1, di tale direttiva, dovrebbero, a partire dalla data di applicazione del presente regolamento, segnalare ai sensi del presente regolamento tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti che sono stati precedentemente segnalati ai sensi di tale direttiva, indipendentemente dal fatto che tali incidenti siano legati alle TIC.

(24) Per consentire alle autorità competenti di svolgere le funzioni di vigilanza acquisendo una visione completa della natura, della frequenza, dell'importanza e dell'impatto degli incidenti legati alle TIC e per migliorare lo scambio di informazioni tra le autorità pubbliche competenti, comprese le autorità di contrasto e le autorità di risoluzione delle crisi, occorre che il presente regolamento stabilisca un solido regime di segnalazione degli incidenti legati alle TIC in cui i requisiti pertinenti rispondano alle attuali lacune della normativa in materia di servizi finanziari ed eliminino le sovrapposizioni e le duplicazioni esistenti per ridurre i costi. È essenziale armonizzare il regime di segnalazione degli incidenti legati alle TIC, imponendo a tutti i soggetti finanziari di riferire alle rispettive autorità competenti attraverso un unico quadro semplificato, come stabilito nel presente regolamento. Inoltre, le autorità di vigilanza europee dovrebbero essere autorizzate a specificare ulteriormente gli elementi rilevanti per il quadro di segnalazione degli incidenti legati alle TIC, come la tassonomia, i tempi, gli insiemi di dati, i modelli e le soglie applicabili. Per garantire la piena coerenza con la direttiva (UE) 2022/2555, è opportuno che le entità finanziarie siano autorizzate, su base volontaria, a notificare le minacce informatiche significative all'autorità competente pertinente, quando ritengono che le minacce informatiche significative siano minaccia informaticaMinaccia informatica qualsiasi potenziale circostanza, evento o azione che potrebbe danneggiare, interrompere o avere un impatto negativo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e su altre persone - Definizione ai sensi dell'articolo 2, punto (8), del Regolamento (UE) 2019/881 è rilevante per il sistema finanziario, gli utenti del servizio o i clienti.

(25) In alcuni sottosettori finanziari sono stati sviluppati requisiti di verifica della resilienza operativa digitale che definiscono quadri non sempre pienamente allineati. Ciò comporta una potenziale duplicazione dei costi per le entità finanziarie transfrontaliere e rende complesso il riconoscimento reciproco dei risultati dei test di resilienza operativa digitale che, a sua volta, può frammentare il mercato interno.

(26) Inoltre, se non è richiesta la verifica delle TIC, le vulnerabilità rimangono non individuate, esponendo un'entità finanziaria al rischio TIC e creando, in ultima analisi, un rischio maggiore per la stabilità e l'integrità del settore finanziario. Senza l'intervento dell'Unione, i test di resilienza operativa digitale continuerebbero a essere incoerenti e mancherebbe un sistema di riconoscimento reciproco dei risultati dei test TIC nelle diverse giurisdizioni. Inoltre, poiché è improbabile che altri sottosettori finanziari adottino sistemi di test su scala significativa, essi non potrebbero beneficiare dei potenziali vantaggi di un quadro di test, in termini di rivelazione delle vulnerabilità e dei rischi delle TIC e di verifica delle capacità di difesa e della continuità operativa, che contribuiscono ad aumentare la fiducia di clienti, fornitori e partner commerciali. Per porre rimedio a queste sovrapposizioni, divergenze e lacune, è necessario stabilire regole per un regime di test coordinato e facilitare così il riconoscimento reciproco dei test avanzati per le entità finanziarie che soddisfano i criteri stabiliti nel presente regolamento.

(27) L'affidamento delle entità finanziarie all'uso dei servizi TIC è in parte motivato dalla necessità di adattarsi all'emergente economia globale digitale competitiva, di aumentare l'efficienza aziendale e di soddisfare la domanda dei consumatori. La natura e l'entità di tale ricorso si è evoluta continuamente negli ultimi anni, favorendo la riduzione dei costi nell'intermediazione finanziaria, consentendo l'espansione del business e la scalabilità nella distribuzione delle attività finanziarie e offrendo un'ampia gamma di strumenti TIC per la gestione di processi interni complessi.

(28) L'ampio uso dei servizi TIC è evidenziato da accordi contrattuali complessi, per cui gli enti finanziari spesso incontrano difficoltà nel negoziare condizioni contrattuali adeguate agli standard prudenziali o ad altri requisiti normativi a cui sono soggetti, o comunque nel far valere diritti specifici, come i diritti di accesso o di revisione, anche quando questi ultimi sono sanciti nei loro accordi contrattuali. Inoltre, molti di questi accordi contrattuali non prevedono sufficienti garanzie che consentano un monitoraggio completo dei processi di subappalto, privando così l'entità finanziaria della capacità di valutare i rischi associati. Inoltre, poiché i fornitori di servizi ICT di terze parti spesso forniscono servizi standardizzati a diversi tipi di clienti, tali accordi contrattuali non sempre soddisfano adeguatamente le esigenze individuali o specifiche degli operatori del settore finanziario.

(29) Anche se il diritto dei servizi finanziari dell'Unione contiene alcune norme generali sull'esternalizzazione, il monitoraggio della dimensione contrattuale non è pienamente ancorato nel diritto dell'Unione. In assenza di norme dell'Unione chiare e specifiche che si applichino agli accordi contrattuali conclusi con i fornitori terzi di servizi TIC, la fonte esterna del rischio TIC non è affrontata in modo completo. Di conseguenza, è necessario stabilire alcuni principi chiave per guidare la gestione del rischio TIC di terzi da parte delle entità finanziarie, che sono di particolare importanza quando le entità finanziarie ricorrono a fornitori di servizi TIC di terzi per supportare le loro funzioni critiche o importanti. Tali principi dovrebbero essere accompagnati da una serie di diritti contrattuali fondamentali in relazione a diversi elementi nell'esecuzione e nella risoluzione degli accordi contrattuali, al fine di fornire alcune garanzie minime per rafforzare la capacità delle entità finanziarie di monitorare efficacemente tutti i rischi TIC che emergono a livello di fornitori di servizi terzi. Questi principi sono complementari alla legge settoriale applicabile all'outsourcing.

(30) Oggi è evidente una certa mancanza di omogeneità e convergenza per quanto riguarda il monitoraggio del rischio di terzi per le TIC e le dipendenze da terzi per le TIC. Nonostante gli sforzi per affrontare il tema dell'esternalizzazione, come gli orientamenti dell'ABE sull'esternalizzazione del 2019 e gli orientamenti dell'ESMA sull'esternalizzazione a fornitori di servizi cloud del 2021, la questione più ampia di contrastare il rischio sistemico che potrebbe essere innescato dall'esposizione del settore finanziario a un numero limitato di fornitori terzi di servizi ICT critici non è sufficientemente affrontata dal diritto dell'Unione. La mancanza di norme a livello dell'Unione è aggravata dall'assenza di norme nazionali sui mandati e sugli strumenti che consentano alle autorità di vigilanza finanziaria di acquisire una buona comprensione delle dipendenze di terzi in materia di TIC e di monitorare adeguatamente i rischi derivanti dalla concentrazione delle dipendenze di terzi in materia di TIC.

(31) Tenendo conto del potenziale rischio sistemico derivante dall'aumento delle pratiche di esternalizzazione e dalla concentrazione di terzi nel settore delle TIC e considerando l'insufficienza dei meccanismi nazionali nel fornire alle autorità di vigilanza finanziaria strumenti adeguati per quantificare, qualificare e rimediare alle conseguenze del rischio TIC che si verifica presso i fornitori critici di servizi TIC terzi, è necessario istituire un quadro di vigilanza appropriato che consenta un monitoraggio continuo delle attività dei fornitori terzi di servizi TIC che sono fornitori critici di servizi TIC terzi per gli enti finanziari, garantendo al contempo la riservatezza e la sicurezza dei clienti diversi dagli enti finanziari. Sebbene la fornitura di servizi TIC all'interno di un gruppo comporti rischi e benefici specifici, non dovrebbe essere considerata automaticamente meno rischiosa della fornitura di servizi TIC da parte di fornitori esterni a un gruppo finanziario e dovrebbe quindi essere soggetta allo stesso quadro normativo. Tuttavia, quando i servizi TIC sono forniti all'interno dello stesso gruppo finanziario, le entità finanziarie potrebbero avere un livello di controllo più elevato sui fornitori infragruppo, che dovrebbe essere preso in considerazione nella valutazione del rischio complessivo.

(32) Con il rischio TIC sempre più complesso e sofisticato, le buone misure per l'individuazione e la prevenzione del rischio TIC dipendono in larga misura dalla regolare condivisione tra le entità finanziarie delle informazioni sulle minacce e sulle vulnerabilità. La condivisione delle informazioni contribuisce a creare una maggiore consapevolezza delle minacce informatiche. A sua volta, ciò aumenta la capacità delle entità finanziarie di impedire che le minacce informatiche si trasformino in veri e propri incidenti legati alle TIC e consente alle entità finanziarie di contenere più efficacemente l'impatto degli incidenti legati alle TIC e di riprendersi più rapidamente. In assenza di orientamenti a livello dell'Unione, diversi fattori sembrano aver ostacolato tale condivisione di intelligence, in particolare l'incertezza sulla sua compatibilità con le norme in materia di protezione dei dati, antitrust e responsabilità.

(33) Inoltre, i dubbi sul tipo di informazioni che possono essere condivise con gli altri partecipanti al mercato o con le autorità non di vigilanza (come l'ENISA, per i contributi analitici, o l'Europol, per le attività di contrasto) portano a non fornire informazioni utili. Pertanto, la portata e la qualità della condivisione delle informazioni rimane attualmente limitata e frammentata, con scambi rilevanti per lo più a livello locale (attraverso iniziative nazionali) e senza accordi coerenti di condivisione delle informazioni a livello dell'Unione adattati alle esigenze di un sistema finanziario integrato. È quindi importante rafforzare questi canali di comunicazione.

(34) È opportuno incoraggiare i soggetti finanziari a scambiarsi informazioni e intelligence sulle minacce informatiche e a sfruttare collettivamente le loro conoscenze individuali e la loro esperienza pratica a livello strategico, tattico e operativo al fine di migliorare le loro capacità di valutare, monitorare, difendere e rispondere adeguatamente alle minacce informatiche, partecipando ad accordi di condivisione delle informazioni. È pertanto necessario consentire l'emergere a livello dell'Unione di meccanismi per la condivisione volontaria delle informazioni che, se condotti in ambienti fidati, aiutino la comunità del settore finanziario a prevenire e a rispondere collettivamente alle minacce informatiche, limitando rapidamente la diffusione del rischio informatico e impedendo il potenziale contagio attraverso i canali finanziari. Tali meccanismi dovrebbero essere conformi alle norme applicabili dell'Unione in materia di diritto della concorrenza, stabilite nella comunicazione della Commissione del 14 gennaio 2011 intitolata "Linee direttrici sull'applicabilità dell'articolo 101 del trattato sul funzionamento dell'Unione europea agli accordi di cooperazione orizzontale", nonché alle norme dell'Unione in materia di protezione dei dati, in particolare al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (13). Dovrebbero operare sulla base dell'utilizzo di una o più delle basi giuridiche di cui all'articolo 6 di tale regolamento, ad esempio nel contesto del trattamento dei dati personali necessario ai fini del legittimo interesse perseguito dal titolare del trattamento o da un terzo, come indicato all'articolo 6, paragrafo 1, lettera f), di tale regolamento, nonché nell'ambito del trattamento dei dati personali necessario per adempiere a un obbligo legale al quale è soggetto il responsabile del trattamento, necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento, come indicato all'articolo 6, paragrafo 1, lettere c) ed e), rispettivamente, di tale regolamento.

(35) Al fine di mantenere un elevato livello di resilienza operativa digitale per l'intero settore finanziario e, al contempo, di tenere il passo con gli sviluppi tecnologici, il presente regolamento dovrebbe affrontare il rischio derivante da tutti i tipi di servizi TIC. A tal fine, la definizione di servizi TIC nel contesto del presente regolamento dovrebbe essere intesa in modo ampio, comprendendo i servizi digitali e di dati forniti attraverso i sistemi TIC a uno o più utenti interni o esterni su base continuativa. Tale definizione dovrebbe, ad esempio, includere i cosiddetti servizi "over the top", che rientrano nella categoria dei servizi di comunicazione elettronica. Dovrebbe escludere solo la categoria limitata dei servizi telefonici analogici tradizionali, quali i servizi di rete telefonica pubblica commutata (PSTN), i servizi di linea fissa, i servizi telefonici tradizionali (POTS) o i servizi di telefonia fissa.

(36) Nonostante l'ampia copertura prevista dal presente regolamento, l'applicazione delle norme sulla resilienza operativa digitale dovrebbe tenere conto delle differenze significative tra le entità finanziarie in termini di dimensioni e profilo di rischio complessivo. Come principio generale, nel distribuire le risorse e le capacità per l'attuazione del quadro di gestione del rischio TIC, i soggetti finanziari dovrebbero bilanciare debitamente le loro esigenze in materia di TIC con le loro dimensioni e il loro profilo di rischio complessivo, nonché con la natura, la portata e la complessità dei loro servizi, attività e operazioni, mentre le autorità competenti dovrebbero continuare a valutare e rivedere l'approccio di tale distribuzione.

(37) I prestatori di servizi di informazione sui conti, di cui all'articolo 33, paragrafo 1, della direttiva (UE) 2015/2366, sono esplicitamente inclusi nell'ambito di applicazione del presente regolamento, tenendo conto della natura specifica delle loro attività e dei rischi che ne derivano. Inoltre, gli istituti di moneta elettronica e gli istituti di pagamento esentati ai sensi dell'articolo 9, paragrafo 1, della direttiva 2009/110/CE del Parlamento europeo e del Consiglio (14) e dell'articolo 32, paragrafo 1, della direttiva (UE) 2015/2366 sono inclusi nell'ambito di applicazione del presente regolamento anche se non hanno ottenuto l'autorizzazione a emettere moneta elettronica ai sensi della direttiva 2009/110/CE o se non hanno ottenuto l'autorizzazione a prestare ed eseguire servizi di pagamento ai sensi della direttiva (UE) 2015/2366. Tuttavia, gli uffici dei conti correnti postali, di cui all'articolo 2, paragrafo 5, punto 3, della direttiva 2013/36/UE del Parlamento europeo e del Consiglio (15), sono esclusi dall'ambito di applicazione del presente regolamento. L'autorità competente per gli istituti di pagamento esentati ai sensi della direttiva (UE) 2015/2366, gli istituti di moneta elettronica esentati ai sensi della direttiva 2009/110/CE e i prestatori di servizi di informazione sui conti di cui all'articolo 33, paragrafo 1, della direttiva (UE) 2015/2366, dovrebbe essere l'autorità competente designata ai sensi dell'articolo 22 della direttiva (UE) 2015/2366.

(38) Poiché le entità finanziarie più grandi possono disporre di risorse più ampie e possono impiegare rapidamente i fondi per sviluppare le strutture di governance e impostare varie strategie aziendali, solo le entità finanziarie che non sono microimprese ai sensi del presente regolamento dovrebbero essere tenute a stabilire accordi di governance più complessi. Tali entità sono meglio attrezzate, in particolare, per istituire funzioni di gestione dedicate alla supervisione degli accordi con i fornitori terzi di servizi TIC o alla gestione delle crisi, per organizzare la gestione del rischio TIC secondo il modello delle tre linee di difesa o per istituire un modello di gestione e controllo del rischio interno e per sottoporre il proprio quadro di gestione del rischio TIC a revisioni interne.

(39) Alcuni soggetti finanziari beneficiano di esenzioni o sono soggetti a un quadro normativo molto leggero ai sensi del diritto dell'Unione specifico del settore. Tali entità finanziarie comprendono i gestori di fondi di investimento alternativi di cui all'articolo 3, paragrafo 2, della direttiva 2011/61/UE del Parlamento europeo e del Consiglio (16), le imprese di assicurazione e riassicurazione di cui all'articolo 4 della direttiva 2009/138/CE del Parlamento europeo e del Consiglio (17) e gli enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che complessivamente non contano più di 15 iscritti. Alla luce di tali esenzioni, non sarebbe proporzionato includere tali entità finanziarie nell'ambito di applicazione del presente regolamento. Inoltre, il presente regolamento riconosce le specificità della struttura del mercato dell'intermediazione assicurativa, con il risultato che gli intermediari assicurativi, gli intermediari riassicurativi e gli intermediari assicurativi ausiliari che si qualificano come microimprese o come piccole o medie imprese non dovrebbero essere soggetti al presente regolamento.

(40) Poiché gli enti di cui all'articolo 2, paragrafo 5, punti da 4 a 23, della direttiva 2013/36/UE sono esclusi dall'ambito di applicazione di tale direttiva, gli Stati membri dovrebbero di conseguenza poter scegliere di esentare dall'applicazione del presente regolamento tali enti situati nei rispettivi territori.

(41) Analogamente, per allineare il presente regolamento all'ambito di applicazione della direttiva 2014/65/UE del Parlamento europeo e del Consiglio (18), è opportuno escludere dall'ambito di applicazione del presente regolamento le persone fisiche e giuridiche di cui agli articoli 2 e 3 di tale direttiva che possono prestare servizi di investimento senza dover ottenere un'autorizzazione ai sensi della direttiva 2014/65/UE. Tuttavia, l'articolo 2 della direttiva 2014/65/UE esclude dall'ambito di applicazione di tale direttiva anche le entità che si qualificano come entità finanziarie ai fini del presente regolamento, quali i depositari centrali di titoli, gli organismi di investimento collettivo o le imprese di assicurazione e riassicurazione. L'esclusione dall'ambito di applicazione del presente regolamento delle persone ed entità di cui agli articoli 2 e 3 di tale direttiva non dovrebbe comprendere i depositari centrali di titoli, gli organismi di investimento collettivo o le imprese di assicurazione e riassicurazione.

(42) Ai sensi del diritto dell'Unione specifico del settore, alcuni enti finanziari sono soggetti a requisiti più leggeri o a esenzioni per motivi legati alle loro dimensioni o ai servizi che forniscono. Tale categoria di soggetti finanziari comprende le imprese di investimento di piccole dimensioni e non interconnesse, i piccoli enti pensionistici aziendali o professionali che possono essere esclusi dall'ambito di applicazione della direttiva (UE) 2016/2341 alle condizioni stabilite dallo Stato membro interessato all'articolo 5 di tale direttiva e gestiscono schemi pensionistici che complessivamente non hanno più di 100 iscritti, nonché gli enti esentati ai sensi della direttiva 2013/36/UE. Pertanto, in conformità al principio di proporzionalità e per preservare lo spirito del diritto dell'Unione specifico del settore, è opportuno assoggettare anche tali soggetti finanziari a un quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento. Il carattere proporzionato del quadro di gestione del rischio TIC che copre tali soggetti finanziari non dovrebbe essere alterato dalle norme tecniche di regolamentazione che devono essere elaborate dalle AEV. Inoltre, in conformità al principio di proporzionalità, è opportuno assoggettare a un quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento anche gli istituti di pagamento di cui all'articolo 32, paragrafo 1, della direttiva (UE) 2015/2366 e gli istituti di moneta elettronica di cui all'articolo 9 della direttiva 2009/110/CE esentati in conformità al diritto nazionale di recepimento di tali atti giuridici dell'Unione, mentre gli istituti di pagamento e gli istituti di moneta elettronica che non sono stati esentati in conformità al rispettivo diritto nazionale di recepimento del diritto settoriale dell'Unione dovrebbero conformarsi al quadro generale stabilito dal presente regolamento.

(43) Analogamente, i soggetti finanziari che si qualificano come microimprese o che sono soggetti al quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento non devono essere tenuti a istituire un ruolo di monitoraggio degli accordi conclusi con i fornitori terzi di servizi TIC sull'utilizzo dei servizi TIC, né a designare un membro dell'alta dirigenza responsabile della supervisione della relativa esposizione al rischio e della relativa documentazione; assegnare la responsabilità della gestione e della supervisione del rischio TIC a una funzione di controllo e garantire un adeguato livello di indipendenza di tale funzione di controllo al fine di evitare conflitti di interesse; documentare e riesaminare almeno una volta all'anno il quadro di gestione del rischio TIC; sottoporre regolarmente a revisione interna il quadro di gestione del rischio TIC; effettuare valutazioni approfondite dopo importanti cambiamenti nella propria organizzazione. rete e sistema informativoRete e sistema informativo (a) una rete di comunicazione elettronica come definita all'articolo 2, punto 1, della direttiva (UE) 2018/1972; b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali, in base a un programma, effettuano il trattamento automatico di dati digitali; oppure c) i dati digitali memorizzati, elaborati, recuperati o trasmessi dagli elementi di cui alle lettere a) e b) ai fini del loro funzionamento, uso, protezione e manutenzione Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) infrastrutture e processi; condurre regolarmente analisi dei rischi sui sistemi TIC preesistenti; sottoporre l'attuazione dei piani di risposta e ripristino delle TIC a revisioni interne indipendenti; disporre di una funzione di gestione delle crisi, ampliare la verifica della continuità operativa e dei piani di risposta e ripristino per prevedere scenari di commutazione tra l'infrastruttura TIC primaria e le strutture ridondanti; riferire alle autorità competenti, su loro richiesta, una stima dei costi e delle perdite annuali aggregati causati da gravi incidenti legati alle TIC, mantenere capacità TIC ridondanti; comunicare alle autorità nazionali competenti le modifiche attuate a seguito di revisioni successive a incidenti legati alle TIC; monitorare costantemente gli sviluppi tecnologici pertinenti, istituire un programma completo di test di resilienza operativa digitale come parte integrante del quadro di gestione del rischio TIC previsto dal presente regolamento, o adottare e rivedere regolarmente una strategia sul rischio di terzi per le TIC. Inoltre, le microimprese dovrebbero essere tenute a valutare la necessità di mantenere tali capacità TIC ridondanti solo in base al loro profilo di rischio. Le microimprese dovrebbero beneficiare di un regime più flessibile per quanto riguarda i programmi di verifica della resilienza operativa digitale. Nel considerare il tipo e la frequenza dei test da eseguire, dovrebbero bilanciare adeguatamente l'obiettivo di mantenere un'elevata resilienza operativa digitale, le risorse disponibili e il loro profilo di rischio complessivo. Le microimprese e gli enti finanziari soggetti al quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento dovrebbero essere esentati dall'obbligo di eseguire test avanzati di strumenti, sistemi e processi TIC basati su test di penetrazione guidati dalle minacce (TLPT), poiché solo gli enti finanziari che soddisfano i criteri stabiliti nel presente regolamento dovrebbero essere tenuti a eseguire tali test. Alla luce delle loro capacità limitate, le microimprese dovrebbero poter concordare con il fornitore di servizi TIC di terze parti di delegare i diritti di accesso, ispezione e audit dell'entità finanziaria a una terza parte indipendente, nominata dal fornitore di servizi TIC di terze parti, a condizione che l'entità finanziaria sia in grado di richiedere, in qualsiasi momento, tutte le informazioni pertinenti e la garanzia sulle prestazioni del fornitore di servizi TIC di terze parti.

(44) Poiché solo i soggetti finanziari identificati ai fini dei test avanzati di resilienza digitale devono essere tenuti a condurre test di penetrazione guidati dalle minacce, i processi amministrativi e i costi finanziari derivanti dall'esecuzione di tali test devono essere sostenuti da una piccola percentuale di soggetti finanziari.

(45) Per garantire il pieno allineamento e la coerenza complessiva tra le strategie aziendali delle entità finanziarie, da un lato, e la gestione del rischio TIC, dall'altro, occorre che gli organi di gestione delle entità finanziarie mantengano un ruolo centrale e attivo nell'indirizzare e adattare il quadro di gestione del rischio TIC e la strategia complessiva di resilienza operativa digitale. L'approccio che gli organi di gestione devono adottare non deve concentrarsi solo sui mezzi per garantire la resilienza dei sistemi ICT, ma deve riguardare anche le persone e i processi attraverso un insieme di politiche che coltivino, a ogni livello aziendale e per tutto il personale, un forte senso di consapevolezza dei rischi informatici e un impegno a osservare una rigorosa igiene informatica a tutti i livelli. La responsabilità finale dell'organo direttivo nella gestione del rischio informatico di un'entità finanziaria dovrebbe essere un principio fondamentale di questo approccio globale, che si traduce ulteriormente nell'impegno continuo dell'organo direttivo nel controllo del monitoraggio della gestione del rischio informatico.

(46) Inoltre, il principio della piena e ultima responsabilità dell'organo di gestione per la gestione del rischio TIC dell'entità finanziaria va di pari passo con la necessità di garantire un livello di investimenti legati alle TIC e un budget complessivo per l'entità finanziaria che le consenta di raggiungere un elevato livello di resilienza operativa digitale.

(47) Ispirandosi alle migliori pratiche, agli orientamenti, alle raccomandazioni e agli approcci alla gestione del rischio informatico a livello internazionale, nazionale e di settore, il presente regolamento promuove una serie di principi che facilitano la struttura complessiva della gestione del rischio informatico. Di conseguenza, fintanto che le principali capacità messe in atto dagli enti finanziari rispondono alle varie funzioni della gestione del rischio TIC (identificazione, protezione e prevenzione, rilevamento, risposta e recupero, apprendimento ed evoluzione e comunicazione) definite nel presente regolamento, gli enti finanziari dovrebbero rimanere liberi di utilizzare modelli di gestione del rischio TIC diversamente inquadrati o categorizzati.

(48) Per tenere il passo con l'evoluzione del panorama delle minacce informatiche, i soggetti finanziari devono mantenere sistemi TIC aggiornati, affidabili e in grado non solo di garantire il trattamento dei dati necessari per i loro servizi, ma anche di assicurare una resilienza tecnologica sufficiente per consentire loro di far fronte adeguatamente a esigenze di trattamento aggiuntive dovute a condizioni di mercato stressanti o ad altre situazioni avverse.

(49) Piani efficienti di continuità operativa e di ripristino sono necessari per consentire alle entità finanziarie di risolvere prontamente e rapidamente gli incidenti legati alle TIC, in particolare gli attacchi informatici, limitando i danni e dando priorità alla ripresa delle attività e alle azioni di ripristino in conformità alle loro politiche di back-up. Tuttavia, tale ripresa non deve in alcun modo mettere a rischio l'integrità e la sicurezza della rete e dei sistemi informativi o la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati.

(50) Sebbene il presente regolamento consenta agli enti finanziari di determinare i propri obiettivi in materia di tempi e punti di ripristino in modo flessibile e quindi di fissare tali obiettivi tenendo pienamente conto della natura e della criticità delle funzioni pertinenti e di eventuali esigenze aziendali specifiche, esso dovrebbe tuttavia imporre loro di effettuare una valutazione del potenziale impatto complessivo sull'efficienza del mercato nel determinare tali obiettivi.

(51) I propagatori degli attacchi informatici tendono a perseguire guadagni finanziari direttamente alla fonte, esponendo così le entità finanziarie a conseguenze significative. Per evitare che i sistemi TIC perdano la loro integrità o diventino indisponibili, e quindi per evitare violazioni dei dati e danni alle infrastrutture fisiche TIC, la segnalazione dei principali incidenti legati alle TIC da parte delle entità finanziarie dovrebbe essere significativamente migliorata e semplificata. La segnalazione degli incidenti legati alle TIC dovrebbe essere armonizzata attraverso l'introduzione dell'obbligo per tutti i soggetti finanziari di riferire direttamente alle rispettive autorità competenti. Qualora un'entità finanziaria sia soggetta alla vigilanza di più di un'autorità nazionale competente, gli Stati membri dovrebbero designare un'unica autorità competente come destinataria di tali segnalazioni. Gli enti creditizi classificati come significativi ai sensi dell'articolo 6, paragrafo 4, del Regolamento (UE) n. 1024/2013 del Consiglio (19) dovrebbero presentare tali segnalazioni alle autorità nazionali competenti, che dovrebbero successivamente trasmetterle alla Banca centrale europea (BCE).

(52) Occorre che la segnalazione diretta consenta alle autorità di vigilanza finanziaria di avere accesso immediato alle informazioni sugli incidenti rilevanti connessi alle TIC. Le autorità di vigilanza finanziaria dovrebbero a loro volta trasmettere i dettagli degli incidenti rilevanti connessi alle TIC alle autorità pubbliche non finanziarie (come le autorità competenti e i punti di contatto unici ai sensi della direttiva (UE) 2022/2555, le autorità nazionali per la protezione dei dati e le autorità di contrasto per gli incidenti rilevanti connessi alle TIC di natura penale), al fine di sensibilizzare tali autorità su tali incidenti e, nel caso dei CSIRT, di facilitare la pronta assistenza che può essere fornita ai soggetti finanziari, a seconda dei casi. Gli Stati membri dovrebbero inoltre essere in grado di stabilire che le entità finanziarie stesse debbano fornire tali informazioni alle autorità pubbliche al di fuori dell'area dei servizi finanziari. Tali flussi di informazioni dovrebbero consentire alle entità finanziarie di beneficiare rapidamente di qualsiasi contributo tecnico pertinente, di consulenza sui rimedi e del successivo follow-up da parte di tali autorità. Le informazioni sugli incidenti più gravi legati alle TIC dovrebbero essere convogliate reciprocamente: le autorità di vigilanza finanziaria dovrebbero fornire tutti i feedback o gli orientamenti necessari all'entità finanziaria, mentre le AEV dovrebbero condividere i dati anonimizzati sulle minacce informatiche e sulle vulnerabilità relative a un incidente, per favorire una più ampia difesa collettiva.

(53) Sebbene tutti gli enti finanziari debbano essere tenuti a effettuare la segnalazione degli incidenti, tale obbligo non dovrebbe riguardare tutti allo stesso modo. In effetti, le soglie di rilevanza e le scadenze per la segnalazione dovrebbero essere debitamente adeguate, nel contesto degli atti delegati basati sulle norme tecniche di regolamentazione che devono essere sviluppate dalle AEV, al fine di coprire solo gli incidenti gravi legati alle TIC. Inoltre, le specificità delle entità finanziarie dovrebbero essere prese in considerazione quando si stabiliscono le scadenze per gli obblighi di segnalazione.

(54) È opportuno che il presente regolamento imponga agli enti creditizi, agli istituti di pagamento, ai prestatori di servizi di informazione sui conti e agli istituti di moneta elettronica di segnalare tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti - precedentemente segnalati ai sensi della direttiva (UE) 2015/2366 - indipendentemente dalla natura TIC dell'incidente.

(55) Le autorità di vigilanza europee dovrebbero essere incaricate di valutare la fattibilità e le condizioni per un'eventuale centralizzazione delle segnalazioni di incidenti legati alle TIC a livello dell'Unione. Tale centralizzazione potrebbe consistere in un unico centro dell'UE per la segnalazione di incidenti rilevanti legati alle TIC che riceva direttamente le segnalazioni pertinenti e ne informi automaticamente le autorità nazionali competenti, oppure che si limiti a centralizzare le segnalazioni pertinenti trasmesse dalle autorità nazionali competenti, svolgendo così un ruolo di coordinamento. Le AEV dovrebbero essere incaricate di preparare, in consultazione con la BCE e l'ENISA, una relazione congiunta che esamini la fattibilità dell'istituzione di un hub unico dell'UE.

(56) Al fine di raggiungere un livello elevato di resilienza operativa digitale e in linea sia con gli standard internazionali pertinenti (ad esempio, gli elementi fondamentali del G7 per i test di penetrazione basati sulle minacce) sia con i quadri applicati nell'Unione, come il TIBER-UE, gli enti finanziari dovrebbero sottoporre regolarmente a test i loro sistemi TIC e il personale che ha responsabilità in materia di TIC per quanto riguarda l'efficacia delle loro capacità di prevenzione, rilevamento, risposta e ripristino, per individuare e affrontare le potenziali vulnerabilità delle TIC. Per riflettere le differenze esistenti tra i vari sottosettori finanziari e all'interno di essi per quanto riguarda il livello di preparazione delle entità finanziarie in materia di cybersecurity, i test dovrebbero includere un'ampia varietà di strumenti e azioni, che vanno dalla valutazione dei requisiti di base (ad esempio, valutazioni e scansioni delle vulnerabilità, analisi delle fonti aperte, valutazioni della sicurezza della rete, analisi delle lacune, revisioni della sicurezza fisica, questionari e scansioni di soluzioni software, revisioni del codice sorgente, ove possibile, test basati su scenari, test di compatibilità, test delle prestazioni o test end-to-end) a test più avanzati mediante TLPT. Tali test avanzati dovrebbero essere richiesti solo alle entità finanziarie che sono sufficientemente mature dal punto di vista delle TIC per poterli ragionevolmente effettuare. I test di resilienza operativa digitale richiesti dal presente regolamento dovrebbero quindi essere più impegnativi per i soggetti finanziari che soddisfano i criteri stabiliti nel presente regolamento (ad esempio, istituti di credito di grandi dimensioni, sistemici e maturi dal punto di vista delle TIC, borse valori, depositari centrali di titoli e controparti centrali) che per gli altri soggetti finanziari. Allo stesso tempo, la verifica della resilienza operativa digitale tramite TLPT dovrebbe essere più rilevante per i soggetti finanziari che operano nei sottosettori principali dei servizi finanziari e che svolgono un ruolo sistemico (ad esempio, pagamenti, banche, compensazione e regolamento), e meno rilevante per altri sottosettori (ad esempio, gestori di attività e agenzie di rating del credito).

(57) I soggetti finanziari che partecipano ad attività transfrontaliere e che esercitano la libertà di stabilimento o di prestazione di servizi all'interno dell'Unione devono conformarsi a un'unica serie di requisiti di test avanzati (ossia il TLPT) nel loro Stato membro d'origine, che dovrebbe includere le infrastrutture TIC in tutte le giurisdizioni in cui il gruppo finanziario transfrontaliero opera all'interno dell'Unione, consentendo così a tali gruppi finanziari transfrontalieri di sostenere i relativi costi di test TIC in una sola giurisdizione.

(58) Per sfruttare le competenze già acquisite da alcune autorità competenti, in particolare per quanto riguarda l'attuazione del quadro TIBER-UE, è opportuno che il presente regolamento consenta agli Stati membri di designare un'unica autorità pubblica come responsabile nel settore finanziario, a livello nazionale, per tutte le questioni relative alla TPL, o alle autorità competenti di delegare, in assenza di tale designazione, l'esercizio dei compiti relativi alla TPL a un'altra autorità finanziaria nazionale competente.

(59) Poiché il presente regolamento non impone agli enti finanziari di coprire tutte le funzioni critiche o importanti in un unico test di penetrazione guidato dalle minacce, gli enti finanziari dovrebbero essere liberi di determinare quali e quante funzioni critiche o importanti dovrebbero essere incluse nell'ambito di tale test.

(60) I test in pool ai sensi del presente regolamento - che comportano la partecipazione di diversi soggetti finanziari a un TLPT e per i quali un fornitore di servizi TIC di terzi può stipulare direttamente accordi contrattuali con un tester esterno - dovrebbero essere consentiti solo quando si prevede ragionevolmente che la qualità o la sicurezza dei servizi forniti dal fornitore di servizi TIC di terzi a clienti che sono soggetti che non rientrano nell'ambito di applicazione del presente regolamento, o la riservatezza dei dati relativi a tali servizi, subiscano un impatto negativo. Anche i test in pool dovrebbero essere soggetti a salvaguardie (direzione da parte di un soggetto finanziario designato, a seconda del numero di soggetti finanziari partecipanti) per garantire un esercizio di test rigoroso per i soggetti finanziari coinvolti, che soddisfi gli obiettivi del TLPT ai sensi del presente regolamento.

(61) Al fine di sfruttare le risorse interne disponibili a livello aziendale, il presente regolamento deve consentire l'utilizzo di tester interni ai fini dell'esecuzione del TLPT, a condizione che vi sia l'approvazione dell'autorità di vigilanza, che non vi siano conflitti di interesse e che vi sia un'alternanza periodica dell'utilizzo di tester interni ed esterni (ogni tre test), richiedendo inoltre che il fornitore di informazioni sulle minacce nel TLPT sia sempre esterno all'entità finanziaria. La responsabilità della conduzione del TLPT deve rimanere interamente in capo all'entità finanziaria. Le attestazioni fornite dalle autorità dovrebbero essere esclusivamente a scopo di riconoscimento reciproco e non dovrebbero precludere alcuna azione di follow-up necessaria per affrontare il rischio TIC a cui l'entità finanziaria è esposta, né dovrebbero essere considerate come un'approvazione da parte dell'autorità di vigilanza delle capacità di gestione e mitigazione del rischio TIC di un'entità finanziaria.

(62) Per garantire un solido monitoraggio del rischio TIC di terzi nel settore finanziario, è necessario stabilire una serie di regole basate su principi che guidino le entità finanziarie nel monitoraggio del rischio derivante dalle funzioni esternalizzate a fornitori di servizi TIC di terzi, in particolare per i servizi TIC che supportano funzioni critiche o importanti, nonché, più in generale, nel contesto di tutte le dipendenze TIC di terzi.

(63) Per affrontare la complessità delle varie fonti di rischio TIC, tenendo conto della molteplicità e della diversità dei fornitori di soluzioni tecnologiche che consentono una fornitura agevole di servizi finanziari, il presente regolamento deve coprire un'ampia gamma di fornitori terzi di servizi TIC, compresi i fornitori di servizi di cloud computing, di software, di servizi di analisi dei dati e di servizi di data center. Analogamente, poiché gli enti finanziari dovrebbero identificare e gestire in modo efficace e coerente tutti i tipi di rischio, anche nel contesto dei servizi TIC acquistati all'interno di un gruppo finanziario, è opportuno chiarire che le imprese che fanno parte di un gruppo finanziario e che forniscono servizi TIC prevalentemente alla loro impresa madre, o a filiali o succursali della loro impresa madre, nonché gli enti finanziari che forniscono servizi TIC ad altri enti finanziari, dovrebbero essere considerati fornitori terzi di servizi TIC ai sensi del presente regolamento. Infine, alla luce dell'evoluzione del mercato dei servizi di pagamento, sempre più dipendente da soluzioni tecniche complesse, e in considerazione dei tipi emergenti di servizi di pagamento e di soluzioni connesse ai pagamenti, anche i partecipanti all'ecosistema dei servizi di pagamento, che forniscono attività di trattamento dei pagamenti o gestiscono infrastrutture di pagamento, dovrebbero essere considerati prestatori terzi di servizi TIC ai sensi del presente regolamento, ad eccezione delle banche centrali quando gestiscono sistemi di pagamento o di regolamento titoli e delle autorità pubbliche quando forniscono servizi connessi alle TIC nel contesto dell'adempimento di funzioni statali.

(64) Un'entità finanziaria deve rimanere in ogni momento pienamente responsabile del rispetto degli obblighi previsti dal presente regolamento. I soggetti finanziari devono applicare un approccio proporzionato al monitoraggio dei rischi che emergono a livello dei fornitori di servizi TIC terzi, considerando debitamente la natura, la portata, la complessità e l'importanza delle loro dipendenze in materia di TIC, la criticità o l'importanza dei servizi, dei processi o delle funzioni oggetto degli accordi contrattuali e, in ultima analisi, sulla base di un'attenta valutazione di qualsiasi impatto potenziale sulla continuità e sulla qualità dei servizi finanziari a livello individuale e di gruppo, a seconda dei casi.

(65) La conduzione di tale monitoraggio dovrebbe seguire un approccio strategico al rischio TIC di terzi formalizzato attraverso l'adozione da parte dell'organo di gestione dell'entità finanziaria di una strategia dedicata al rischio TIC di terzi, radicata in uno screening continuo di tutte le dipendenze TIC di terzi. Per aumentare la consapevolezza delle dipendenze di terzi in materia di TIC da parte delle autorità di vigilanza, e al fine di sostenere ulteriormente il lavoro nel contesto del quadro di vigilanza istituito dal presente regolamento, tutti gli enti finanziari dovrebbero essere tenuti a mantenere un registro di informazioni con tutti gli accordi contrattuali sull'uso dei servizi TIC forniti da fornitori di servizi TIC terzi. Le autorità di vigilanza finanziaria dovrebbero poter richiedere il registro completo o sezioni specifiche dello stesso, ottenendo così informazioni essenziali per acquisire una comprensione più ampia delle dipendenze dalle TIC delle entità finanziarie.

(66) Un'accurata analisi precontrattuale dovrebbe sostenere e precedere la conclusione formale degli accordi contrattuali, in particolare concentrandosi su elementi quali la criticità o l'importanza dei servizi supportati dal contratto TIC previsto, le necessarie autorizzazioni di vigilanza o altre condizioni, il possibile rischio di concentrazione che ne deriva, nonché applicando la dovuta diligenza nel processo di selezione e valutazione dei fornitori terzi di servizi TIC e valutando i potenziali conflitti di interesse. Per quanto riguarda gli accordi contrattuali relativi a funzioni critiche o importanti, le entità finanziarie devono prendere in considerazione l'utilizzo da parte dei fornitori di servizi ICT di terzi degli standard di sicurezza delle informazioni più aggiornati e più elevati. La risoluzione degli accordi contrattuali potrebbe essere indotta almeno da una serie di circostanze che mostrino carenze a livello del fornitore di servizi TIC di terzi, in particolare violazioni significative di leggi o termini contrattuali, circostanze che rivelino una potenziale alterazione dello svolgimento delle funzioni previste dagli accordi contrattuali, prove di debolezze del fornitore di servizi TIC di terzi nella sua gestione complessiva del rischio TIC, o circostanze che indichino l'incapacità dell'autorità competente pertinente di supervisionare efficacemente l'entità finanziaria.

(67) Per affrontare l'impatto sistemico del rischio di concentrazione di terzi nel settore delle TIC, il presente regolamento promuove una soluzione equilibrata adottando un approccio flessibile e graduale a tale rischio di concentrazione, poiché l'imposizione di massimali rigidi o limitazioni rigorose potrebbe ostacolare la conduzione degli affari e limitare la libertà contrattuale. Le entità finanziarie dovrebbero valutare attentamente gli accordi contrattuali previsti per individuare la probabilità che tale rischio emerga, anche attraverso un'analisi approfondita degli accordi di subappalto, in particolare se conclusi con fornitori terzi di servizi TIC stabiliti in un Paese terzo. In questa fase, e al fine di trovare un giusto equilibrio tra l'imperativo di preservare la libertà contrattuale e quello di garantire la stabilità finanziaria, non si ritiene appropriato stabilire regole su tetti e limiti rigorosi alle esposizioni di terzi nel settore delle TIC. Nel contesto del quadro di vigilanza, un sorvegliante capofila, nominato ai sensi del presente regolamento, dovrebbe, in relazione ai fornitori critici di servizi TIC di terzi, prestare particolare attenzione a cogliere appieno l'entità delle interdipendenze, scoprire i casi specifici in cui un elevato grado di concentrazione di fornitori critici di servizi TIC di terzi nell'Unione potrebbe mettere a dura prova la stabilità e l'integrità del sistema finanziario dell'Unione e mantenere un dialogo con i fornitori critici di servizi TIC di terzi laddove sia identificato tale rischio specifico.

(68) Per valutare e monitorare regolarmente la capacità di un fornitore di servizi TIC di terzi di fornire servizi sicuri a un'entità finanziaria senza effetti negativi sulla resilienza operativa digitale dell'entità finanziaria, occorre armonizzare diversi elementi contrattuali chiave con i fornitori di servizi TIC di terzi. Tale armonizzazione dovrebbe riguardare aree minime che sono cruciali per consentire un monitoraggio completo da parte dell'entità finanziaria dei rischi che potrebbero emergere dal fornitore di servizi ICT di terze parti, dal punto di vista della necessità di un'entità finanziaria di garantire la propria resilienza digitale, poiché essa dipende profondamente dalla stabilità, funzionalità, disponibilità e sicurezza dei servizi ICT ricevuti.

(69) Quando rinegoziano gli accordi contrattuali per cercare di allinearsi ai requisiti del presente regolamento, i soggetti finanziari e i fornitori terzi di servizi TIC devono garantire la copertura delle principali disposizioni contrattuali previste dal presente regolamento.

(70) La definizione di "funzione critica o importante" di cui al presente regolamento comprende le "funzioni critiche" quali definite all'articolo 2, paragrafo 1, punto 35, della direttiva 2014/59/UE del Parlamento europeo e del Consiglio (20). Di conseguenza, le funzioni considerate critiche ai sensi della direttiva 2014/59/UE sono incluse nella definizione di funzioni critiche ai sensi del presente regolamento.

(71) Indipendentemente dalla criticità o dall'importanza della funzione supportata dai servizi TIC, gli accordi contrattuali dovrebbero, in particolare, prevedere una specifica delle descrizioni complete delle funzioni e dei servizi, dei luoghi in cui tali funzioni sono fornite e in cui i dati devono essere elaborati, nonché un'indicazione delle descrizioni dei livelli di servizio. Altri elementi essenziali per consentire all'entità finanziaria di monitorare il rischio ICT di terzi sono: disposizioni contrattuali che specificano come l'accessibilità, la disponibilità, l'integrità, la sicurezza e la protezione dei dati personali sono assicurate dal fornitore di servizi ICT di terzi, disposizioni che stabiliscono le garanzie pertinenti per consentire l'accesso, il recupero e la restituzione dei dati in caso di insolvenza, risoluzione o cessazione delle attività commerciali del fornitore di servizi ICT di terzi, nonché disposizioni che richiedono al fornitore di servizi ICT di terzi di fornire assistenza in caso di incidenti ICT in relazione ai servizi forniti, senza costi aggiuntivi o a un costo determinato ex-ante; disposizioni sull'obbligo del fornitore di servizi ICT di terzi di cooperare pienamente con le autorità competenti e le autorità di risoluzione delle crisi dell'entità finanziaria; e disposizioni sui diritti di risoluzione e sui relativi periodi minimi di preavviso per la cessazione degli accordi contrattuali, in conformità alle aspettative delle autorità competenti e delle autorità di risoluzione delle crisi.

(72) Oltre a tali disposizioni contrattuali, e al fine di garantire che gli enti finanziari mantengano il pieno controllo di tutti gli sviluppi che si verificano a livello di terzi e che possono compromettere la sicurezza delle loro TIC, i contratti per la fornitura di servizi TIC a supporto di funzioni critiche o importanti devono prevedere anche quanto segue: la specificazione delle descrizioni complete dei livelli di servizio, con precisi obiettivi di performance quantitativi e qualitativi, per consentire senza indebiti ritardi le opportune azioni correttive quando i livelli di servizio concordati non vengono raggiunti; i relativi periodi di preavviso e gli obblighi di comunicazione del fornitore di servizi ICT di terze parti in caso di sviluppi con un potenziale impatto materiale sulla capacità del fornitore di servizi ICT di terze parti di fornire efficacemente i rispettivi servizi ICT; l'obbligo per il fornitore di servizi ICT di terze parti di implementare e testare i piani di emergenza aziendali e di disporre di misure, strumenti e politiche di sicurezza ICT che consentano la fornitura sicura dei servizi, nonché di partecipare e collaborare pienamente al TLPT condotto dall'entità finanziaria.

(73) I contratti per la fornitura di servizi TIC a supporto di funzioni critiche o importanti dovrebbero contenere anche disposizioni che consentano i diritti di accesso, ispezione e revisione da parte dell'ente finanziario, o di una terza parte designata, e il diritto di prendere copie come strumenti cruciali nel monitoraggio continuo delle prestazioni del fornitore di servizi TIC terzo da parte dell'ente finanziario, insieme alla piena collaborazione del fornitore di servizi durante le ispezioni. Allo stesso modo, l'autorità competente dell'entità finanziaria dovrebbe avere il diritto, sulla base di avvisi, di ispezionare e verificare il fornitore di servizi ICT di terzi, fatta salva la protezione delle informazioni riservate.

(74) Tali accordi contrattuali dovrebbero anche prevedere strategie di uscita specifiche per consentire, in particolare, periodi di transizione obbligatori durante i quali i fornitori di servizi TIC di terzi dovrebbero continuare a fornire i servizi pertinenti al fine di ridurre il rischio di interruzioni a livello dell'entità finanziaria, o per consentire a quest'ultima di passare effettivamente all'uso di altri fornitori di servizi TIC di terzi o, in alternativa, di passare a soluzioni interne, coerentemente con la complessità dei servizi forniti. Servizio ICTServizio ICT Si intende un servizio che consiste interamente o principalmente nella trasmissione, memorizzazione, recupero o elaborazione di informazioni mediante reti e sistemi informativi - Definizione ai sensi dell'articolo 2, punto (13), del Regolamento (UE) 2019/881. Inoltre, le entità finanziarie che rientrano nell'ambito di applicazione della Direttiva 2014/59/UE dovrebbero garantire che i contratti pertinenti per i servizi TIC siano solidi e pienamente applicabili in caso di risoluzione di tali entità finanziarie. Pertanto, in linea con le aspettative delle autorità di risoluzione delle crisi, tali entità finanziarie dovrebbero garantire che i contratti pertinenti per i servizi TIC siano resistenti alla risoluzione delle crisi. Fintanto che continueranno a rispettare i loro obblighi di pagamento, tali entità finanziarie dovrebbero garantire, tra gli altri requisiti, che i contratti pertinenti per i servizi TIC contengano clausole di non risoluzione, non sospensione e non modifica per motivi di ristrutturazione o risoluzione.

(75) Inoltre, l'uso volontario di clausole contrattuali standard sviluppate dalle autorità pubbliche o dalle istituzioni dell'Unione, in particolare l'uso di clausole contrattuali sviluppate dalla Commissione per i servizi di cloud computing, potrebbe fornire ulteriore conforto agli enti finanziari e ai fornitori terzi di servizi TIC, aumentando il loro livello di certezza giuridica per quanto riguarda l'uso dei servizi di cloud computing nel settore finanziario, in pieno allineamento con i requisiti e le aspettative stabiliti dalla normativa dell'Unione sui servizi finanziari. Lo sviluppo di clausole contrattuali standard si basa sulle misure già previste nel Piano d'azione Fintech del 2018, che annunciava l'intenzione della Commissione di incoraggiare e facilitare lo sviluppo di clausole contrattuali standard per l'utilizzo dei servizi di cloud computing in outsourcing da parte degli enti finanziari, basandosi sugli sforzi intersettoriali delle parti interessate ai servizi di cloud computing, che la Commissione ha facilitato con l'aiuto del coinvolgimento del settore finanziario.

(76) Al fine di promuovere la convergenza e l'efficienza in relazione agli approcci di vigilanza nell'affrontare il rischio di terzietà delle TIC nel settore finanziario, nonché di rafforzare la resilienza operativa digitale degli enti finanziari che si affidano a fornitori terzi di servizi TIC critici per la fornitura di servizi TIC a sostegno della fornitura di servizi finanziari, e quindi di contribuire a preservare la stabilità del sistema finanziario dell'Unione e l'integrità del mercato interno dei servizi finanziari, è opportuno che i fornitori terzi di servizi TIC critici siano soggetti a un quadro di vigilanza dell'Unione. Sebbene l'istituzione del quadro di supervisione sia giustificata dal valore aggiunto di un'azione a livello dell'Unione e in virtù del ruolo intrinseco e delle specificità dell'uso dei servizi TIC nella fornitura di servizi finanziari, va ricordato, allo stesso tempo, che questa soluzione appare adatta solo nel contesto del presente regolamento che tratta specificamente della resilienza operativa digitale nel settore finanziario. Tuttavia, tale quadro di supervisione non dovrebbe essere considerato un nuovo modello per la vigilanza dell'Unione in altri settori dei servizi e delle attività finanziarie.

(77) Il quadro di vigilanza dovrebbe applicarsi solo ai fornitori terzi di servizi TIC critici. Occorre pertanto prevedere un meccanismo di designazione che tenga conto della dimensione e della natura dell'affidamento del settore finanziario su tali fornitori terzi di servizi TIC. Tale meccanismo dovrebbe prevedere una serie di criteri quantitativi e qualitativi per stabilire i parametri di criticità come base per l'inclusione nell'Oversight Framework. Al fine di garantire l'accuratezza di tale valutazione, e indipendentemente dalla struttura aziendale del fornitore di servizi ICT di terzi, tali criteri dovrebbero, nel caso di un fornitore di servizi ICT di terzi che fa parte di un gruppo più ampio, prendere in considerazione l'intera struttura del gruppo del fornitore di servizi ICT di terzi. Da un lato, i fornitori critici di servizi TIC di terzi, che non sono automaticamente designati in virtù dell'applicazione di tali criteri, dovrebbero avere la possibilità di aderire all'Oversight Framework su base volontaria, dall'altro, i fornitori di servizi TIC di terzi, che sono già soggetti a meccanismi di sorveglianza a sostegno dell'adempimento dei compiti del Sistema europeo di banche centrali di cui all'articolo 127, paragrafo 2, del TFUE, dovrebbero essere esentati.

(78) Analogamente, anche i soggetti finanziari che forniscono servizi TIC ad altri soggetti finanziari, pur appartenendo alla categoria dei fornitori di servizi TIC di terzi ai sensi del presente regolamento, dovrebbero essere esentati dal quadro di vigilanza in quanto già soggetti ai meccanismi di vigilanza stabiliti dalla pertinente normativa dell'Unione in materia di servizi finanziari. Ove applicabile, le autorità competenti dovrebbero prendere in considerazione, nel contesto delle loro attività di vigilanza, il rischio TIC posto ai soggetti finanziari dai soggetti finanziari che forniscono servizi TIC. Allo stesso modo, in virtù dei meccanismi di monitoraggio del rischio esistenti a livello di gruppo, la stessa esenzione dovrebbe essere introdotta per i fornitori terzi di servizi TIC che forniscono servizi prevalentemente alle entità del proprio gruppo. Anche i fornitori terzi di servizi TIC che forniscono servizi TIC esclusivamente in uno Stato membro a entità finanziarie che operano solo in quello Stato membro dovrebbero essere esentati dal meccanismo di designazione a causa delle loro attività limitate e della mancanza di impatto transfrontaliero.

(79) La trasformazione digitale dei servizi finanziari ha portato a un livello senza precedenti di utilizzo e di dipendenza dai servizi TIC. Poiché è diventato inconcepibile fornire servizi finanziari senza l'uso di servizi di cloud computing, soluzioni software e servizi legati ai dati, l'ecosistema finanziario dell'Unione è diventato intrinsecamente co-dipendente da alcuni servizi TIC forniti da fornitori di servizi TIC. Alcuni di questi fornitori, innovatori nello sviluppo e nell'applicazione di tecnologie basate sulle TIC, svolgono un ruolo significativo nell'erogazione dei servizi finanziari o si sono integrati nella catena del valore dei servizi finanziari. Sono quindi diventati fondamentali per la stabilità e l'integrità del sistema finanziario dell'Unione. Questo ampio affidamento sui servizi forniti da fornitori terzi di servizi TIC critici, unito all'interdipendenza dei sistemi informativi dei vari operatori di mercato, crea un rischio diretto e potenzialmente grave per il sistema dei servizi finanziari dell'Unione e per la continuità della fornitura di servizi finanziari se i fornitori terzi di servizi TIC critici dovessero essere colpiti da interruzioni operative o da gravi incidenti informatici. Gli incidenti informatici hanno la capacità peculiare di moltiplicarsi e propagarsi in tutto il sistema finanziario a un ritmo notevolmente più veloce rispetto ad altri tipi di rischio monitorati nel settore finanziario e possono estendersi tra i vari settori e oltre i confini geografici. Hanno il potenziale per evolvere in una crisi sistemica, in cui la fiducia nel sistema finanziario è stata erosa a causa dell'interruzione delle funzioni a sostegno dell'economia reale, o in perdite finanziarie sostanziali, che raggiungono un livello che il sistema finanziario non è in grado di sopportare o che richiede l'impiego di pesanti misure di assorbimento degli shock. Per evitare che questi scenari si verifichino e mettano in pericolo la stabilità finanziaria e l'integrità dell'Unione, è essenziale garantire la convergenza delle pratiche di vigilanza relative al rischio di terzi per le TIC nella finanza, in particolare attraverso nuove norme che consentano all'Unione di sorvegliare i fornitori terzi di servizi TIC critici.

(80) Il quadro di supervisione dipende in larga misura dal grado di collaborazione tra il sorvegliante principale e i fornitori terzi di servizi TIC critici che forniscono alle entità finanziarie servizi che influiscono sulla fornitura di servizi finanziari. Il successo della sorveglianza si basa, tra l'altro, sulla capacità del sorvegliante principale di condurre efficacemente missioni di monitoraggio e ispezioni per valutare le regole, i controlli e i processi utilizzati dai fornitori terzi di servizi ICT critici, nonché per valutare il potenziale impatto cumulativo delle loro attività sulla stabilità finanziaria e sull'integrità del sistema finanziario. Allo stesso tempo, è fondamentale che i fornitori terzi di servizi ICT critici seguano le raccomandazioni del Lead Overseer e rispondano alle sue preoccupazioni. Poiché la mancanza di cooperazione da parte di un fornitore critico di servizi TIC di terzi che fornisce servizi che influiscono sulla fornitura di servizi finanziari, come il rifiuto di concedere l'accesso ai propri locali o di fornire informazioni, finirebbe per privare il Lead Overseer dei suoi strumenti essenziali per valutare il rischio TIC di terzi e potrebbe avere un impatto negativo sulla stabilità finanziaria e sull'integrità del sistema finanziario, è necessario prevedere anche un regime sanzionatorio adeguato.

(81) In questo contesto, la necessità dell'autorità di sorveglianza capofila di imporre penalità per costringere i fornitori di servizi terzi di TIC critici a rispettare gli obblighi in materia di trasparenza e di accesso stabiliti nel presente regolamento non dovrebbe essere compromessa dalle difficoltà sollevate dall'applicazione di tali penalità in relazione ai fornitori di servizi terzi di TIC critici stabiliti in paesi terzi. Al fine di garantire l'esecutività di tali sanzioni e di consentire una rapida introduzione di procedure che sostengano i diritti di difesa dei fornitori critici di servizi TIC di terzi nel contesto del meccanismo di designazione e dell'emissione di raccomandazioni, è opportuno che tali fornitori critici di servizi TIC di terzi, che forniscono servizi a entità finanziarie che incidono sulla fornitura di servizi finanziari, siano tenuti a mantenere una presenza commerciale adeguata nell'Unione. A causa della natura della sorveglianza e dell'assenza di accordi comparabili in altre giurisdizioni, non esistono meccanismi alternativi adeguati che garantiscano questo obiettivo attraverso un'efficace cooperazione con le autorità di vigilanza finanziaria dei Paesi terzi in relazione al monitoraggio dell'impatto dei rischi operativi digitali posti dai fornitori sistemici di servizi TIC di terzi, qualificati come fornitori critici di servizi TIC di terzi stabiliti in Paesi terzi. Pertanto, al fine di continuare a fornire servizi TIC a soggetti finanziari nell'Unione, un fornitore di servizi TIC di terzi stabilito in un paese terzo che è stato designato come critico ai sensi del presente regolamento dovrebbe intraprendere, entro 12 mesi da tale designazione, tutte le disposizioni necessarie per garantire la sua incorporazione nell'Unione, mediante la costituzione di una filiazione, come definito nell'acquis dell'Unione, in particolare nella direttiva 2013/34/UE del Parlamento europeo e del Consiglio (21).

(82) L'obbligo di costituire una filiale nell'Unione non deve impedire al fornitore terzo di servizi TIC critici di fornire servizi TIC e relativa assistenza tecnica da strutture e infrastrutture situate al di fuori dell'Unione. Il presente regolamento non impone un obbligo di localizzazione dei dati in quanto non richiede che l'archiviazione o il trattamento dei dati siano effettuati nell'Unione.

(83) I fornitori terzi di servizi TIC critici devono essere in grado di fornire servizi TIC da qualsiasi parte del mondo, non necessariamente o non solo da locali situati nell'Unione. Le attività di supervisione dovrebbero essere condotte in primo luogo in locali situati nell'Unione e interagendo con soggetti situati nell'Unione, comprese le filiali costituite da fornitori di servizi TIC critici di terzi ai sensi del presente regolamento. Tuttavia, tali azioni all'interno dell'Unione potrebbero essere insufficienti per consentire al sorvegliante principale di svolgere pienamente ed efficacemente i propri compiti ai sensi del presente regolamento. Il sorvegliante capofila dovrebbe quindi essere in grado di esercitare i propri poteri di sorveglianza anche in paesi terzi. L'esercizio di tali poteri nei Paesi terzi dovrebbe consentire al Lead Overseer di esaminare le strutture da cui i servizi TIC o i servizi di assistenza tecnica sono effettivamente forniti o gestiti dal fornitore di servizi TIC critici di terzi e dovrebbe consentire al Lead Overseer una comprensione completa e operativa della gestione del rischio TIC del fornitore di servizi TIC critici di terzi. La possibilità per il Lead Overseer, in quanto agenzia dell'Unione, di esercitare poteri al di fuori del territorio dell'Unione dovrebbe essere debitamente inquadrata da condizioni pertinenti, in particolare il consenso del fornitore di servizi ICT critici di terzi interessato. Allo stesso modo, le autorità competenti del Paese terzo dovrebbero essere informate dell'esercizio delle attività del sorvegliante principale sul loro territorio e non dovrebbero aver sollevato obiezioni. Tuttavia, al fine di garantire un'attuazione efficiente e fatte salve le rispettive competenze delle istituzioni dell'Unione e degli Stati membri, tali poteri devono essere pienamente ancorati alla conclusione di accordi di cooperazione amministrativa con le autorità competenti del Paese terzo interessato. Il presente regolamento dovrebbe pertanto consentire alle AEV di concludere accordi di cooperazione amministrativa con le autorità competenti dei Paesi terzi, che non dovrebbero altrimenti creare obblighi giuridici nei confronti dell'Unione e dei suoi Stati membri.

(84) Per facilitare la comunicazione con il Supervisore principale e garantire una rappresentanza adeguata, i fornitori terzi di servizi TIC critici che fanno parte di un gruppo devono designare una persona giuridica come punto di coordinamento.

(85) Il quadro di supervisione non dovrebbe pregiudicare la competenza degli Stati membri a condurre le proprie missioni di supervisione o monitoraggio nei confronti dei fornitori terzi di servizi TIC che non sono designati come critici ai sensi del presente regolamento, ma che sono considerati importanti a livello nazionale.

(86) Per sfruttare l'architettura istituzionale multilivello nel settore dei servizi finanziari, è opportuno che il comitato congiunto delle AEV continui a garantire un coordinamento generale intersettoriale in relazione a tutte le questioni riguardanti il rischio TIC, conformemente ai suoi compiti in materia di cibersicurezza. Dovrebbe essere supportato da un nuovo sottocomitato (il "Forum di supervisione") che svolga lavori preparatori sia per le singole decisioni rivolte ai fornitori terzi di servizi TIC critici, sia per la formulazione di raccomandazioni collettive, in particolare per quanto riguarda l'analisi comparativa dei programmi di supervisione per i fornitori terzi di servizi TIC critici e l'identificazione delle migliori pratiche per affrontare le questioni relative al rischio di concentrazione delle TIC.

(87) Per garantire che i fornitori terzi di servizi TIC critici siano sorvegliati in modo appropriato ed efficace a livello dell'Unione, il presente regolamento prevede che una qualsiasi delle tre AEV possa essere designata come sorvegliante principale. L'assegnazione individuale di un fornitore critico di servizi TIC di terzi a una delle tre autorità di vigilanza europee dovrebbe risultare da una valutazione della preponderanza di soggetti finanziari che operano nei settori finanziari per i quali tale autorità di vigilanza europea ha responsabilità. Questo approccio dovrebbe portare a una ripartizione equilibrata dei compiti e delle responsabilità tra le tre ESA, nel contesto dell'esercizio delle funzioni di sorveglianza, e dovrebbe fare il miglior uso delle risorse umane e delle competenze tecniche disponibili in ciascuna delle tre ESA.

(88) Ai sorveglianti delegati dovrebbero essere conferiti i poteri necessari per condurre indagini, effettuare ispezioni in loco e fuori sede presso i locali e le sedi dei fornitori di servizi TIC critici di terzi e ottenere informazioni complete e aggiornate. Tali poteri dovrebbero consentire al sorvegliante principale di acquisire una visione reale del tipo, della dimensione e dell'impatto del rischio TIC di terzi per le entità finanziarie e, in ultima analisi, per il sistema finanziario dell'Unione. Affidare alle AEV il ruolo di supervisione principale è un prerequisito per comprendere e affrontare la dimensione sistemica del rischio TIC nella finanza. L'impatto dei fornitori terzi di servizi TIC critici sul settore finanziario dell'Unione e i potenziali problemi causati dal rischio di concentrazione delle TIC richiedono un approccio collettivo a livello dell'Unione. L'esecuzione simultanea di molteplici audit e diritti di accesso, eseguiti separatamente da numerose autorità competenti, con scarso o nullo coordinamento tra loro, impedirebbe alle autorità di vigilanza finanziaria di ottenere una panoramica completa ed esaustiva del rischio TIC di terzi nell'Unione, creando inoltre ridondanza, oneri e complessità per i fornitori critici di servizi TIC di terzi, qualora fossero soggetti a numerose richieste di monitoraggio e ispezione.

(89) A causa dell'impatto significativo della designazione come critica, il presente regolamento dovrebbe garantire che i diritti dei fornitori terzi di servizi TIC critici siano rispettati durante l'attuazione del quadro di supervisione. Prima di essere designati come critici, tali fornitori dovrebbero, ad esempio, avere il diritto di presentare al Lead Overseer una dichiarazione motivata contenente tutte le informazioni pertinenti ai fini della valutazione relativa alla loro designazione. Poiché il sorvegliante capofila dovrebbe avere il potere di presentare raccomandazioni su questioni relative al rischio TIC e sui rimedi adeguati, tra cui il potere di opporsi a determinati accordi contrattuali che in ultima analisi incidono sulla stabilità dell'entità finanziaria o del sistema finanziario, i fornitori terzi di servizi TIC critici dovrebbero anche avere la possibilità di fornire, prima della finalizzazione di tali raccomandazioni, spiegazioni in merito all'impatto atteso delle soluzioni, previste nelle raccomandazioni, sui clienti che sono entità che non rientrano nell'ambito di applicazione del presente regolamento e di formulare soluzioni per mitigare i rischi. I fornitori di servizi ICT critici di terze parti che non sono d'accordo con le raccomandazioni devono presentare una spiegazione motivata della loro intenzione di non approvare la raccomandazione. Nel caso in cui tale spiegazione motivata non venga presentata o sia considerata insufficiente, il Lead Overseer dovrebbe emettere un avviso pubblico che descriva sommariamente la questione della non conformità.

(90) Le autorità competenti dovrebbero includere debitamente il compito di verificare la conformità sostanziale alle raccomandazioni emesse dal Lead Overseer tra le loro funzioni di vigilanza prudenziale dei soggetti finanziari. Le autorità competenti dovrebbero essere in grado di richiedere ai soggetti finanziari di adottare misure aggiuntive per affrontare i rischi identificati nelle raccomandazioni del Lead Overseer e dovrebbero, a tempo debito, emettere notifiche a tal fine. Nel caso in cui il Lead Overseer rivolga le sue raccomandazioni a fornitori di servizi ICT critici di terzi che sono sottoposti a vigilanza ai sensi della Direttiva (UE) 2022/2555, le autorità competenti dovrebbero essere in grado, su base volontaria e prima di adottare misure aggiuntive, di consultare le autorità competenti ai sensi di tale Direttiva, al fine di promuovere un approccio coordinato per trattare con i fornitori di servizi ICT critici di terzi in questione.

(91) L'esercizio della sorveglianza dovrebbe essere guidato da tre principi operativi volti a garantire: (a) uno stretto coordinamento tra le AEV nel loro ruolo di supervisore principale, attraverso una rete di supervisione congiunta (JON), (b) la coerenza con il quadro istituito dalla direttiva (UE) 2022/2555 (attraverso una consultazione volontaria degli organismi previsti da tale direttiva per evitare la duplicazione delle misure dirette ai fornitori terzi di servizi TIC critici) e (c) l'applicazione della diligenza per ridurre al minimo il rischio potenziale di interruzione dei servizi forniti dai fornitori terzi di servizi TIC critici ai clienti che sono soggetti che non rientrano nell'ambito di applicazione del presente regolamento.

(92) Il quadro di vigilanza non deve sostituire, né in alcun modo o in alcuna parte, l'obbligo per i soggetti finanziari di gestire autonomamente i rischi derivanti dall'utilizzo di fornitori terzi di servizi TIC, compreso l'obbligo di mantenere un monitoraggio continuo degli accordi contrattuali conclusi con fornitori terzi di servizi TIC critici. Allo stesso modo, il Quadro di vigilanza non dovrebbe pregiudicare la piena responsabilità dei soggetti finanziari per il rispetto e l'adempimento di tutti gli obblighi legali previsti dal presente regolamento e dalla pertinente legge sui servizi finanziari.

(93) Per evitare duplicazioni e sovrapposizioni, le autorità competenti dovrebbero astenersi dall'adottare individualmente misure volte a monitorare i rischi critici del fornitore di servizi TIC di terzi e dovrebbero, a tale riguardo, affidarsi alla valutazione del sorvegliante principale pertinente. Qualsiasi misura dovrebbe in ogni caso essere coordinata e concordata in anticipo con il Lead Overseer nell'ambito dell'esercizio dei compiti previsti dal quadro di supervisione.

(94) Per promuovere la convergenza a livello internazionale per quanto riguarda l'uso delle migliori pratiche nell'esame e nel monitoraggio della gestione del rischio digitale da parte dei fornitori terzi di servizi TIC, le autorità di vigilanza europee dovrebbero essere incoraggiate a concludere accordi di cooperazione con le pertinenti autorità di vigilanza e di regolamentazione dei paesi terzi.

(95) Per sfruttare le competenze specifiche, le capacità tecniche e l'esperienza del personale specializzato nel rischio operativo e nel rischio TIC all'interno delle autorità competenti, delle tre AEV e, su base volontaria, delle autorità competenti ai sensi della direttiva (UE) 2022/2555, è opportuno che il supervisore principale attinga alle capacità e alle conoscenze nazionali in materia di vigilanza e istituisca gruppi di esame dedicati per ciascun fornitore di servizi di terzi di TIC critici, riunendo gruppi multidisciplinari a sostegno della preparazione e dell'esecuzione delle attività di supervisione, comprese le indagini e le ispezioni generali sui fornitori di servizi di terzi di TIC critici, nonché di qualsiasi follow-up necessario.

(96) Mentre i costi derivanti dai compiti di sorveglianza sarebbero interamente finanziati dalle tariffe applicate ai fornitori terzi di servizi TIC di importanza critica, è tuttavia probabile che le AEV debbano sostenere, prima dell'avvio del quadro di sorveglianza, costi per l'implementazione di sistemi TIC dedicati a sostegno dell'imminente sorveglianza, poiché i sistemi TIC dedicati dovrebbero essere sviluppati e distribuiti in anticipo. Il presente regolamento prevede pertanto un modello di finanziamento ibrido, in base al quale il quadro di supervisione sarebbe, in quanto tale, interamente finanziato a pagamento, mentre lo sviluppo dei sistemi TIC delle ESA sarebbe finanziato dai contributi dell'Unione e delle autorità nazionali competenti.

(97) Le autorità competenti devono disporre di tutti i poteri di vigilanza, di indagine e di sanzione necessari per garantire il corretto esercizio delle funzioni loro assegnate dal presente regolamento. In linea di principio, dovrebbero pubblicare gli avvisi delle sanzioni amministrative che impongono. Poiché i soggetti finanziari e i fornitori terzi di servizi TIC possono essere stabiliti in diversi Stati membri e sottoposti alla vigilanza di diverse autorità competenti, l'applicazione del presente regolamento dovrebbe essere facilitata, da un lato, da una stretta collaborazione tra le autorità competenti pertinenti, compresa la BCE per quanto riguarda i compiti specifici ad essa conferiti dal Regolamento (UE) n. 1024/2013 del Consiglio e, dall'altro, dalla consultazione con le AEV attraverso lo scambio reciproco di informazioni e la fornitura di assistenza nel contesto delle attività di vigilanza pertinenti.

(98) Al fine di quantificare e qualificare ulteriormente i criteri per la designazione dei fornitori di servizi TIC di terzi come critici e di armonizzare le commissioni di sorveglianza, occorre delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE per integrare il presente regolamento specificando ulteriormente l'impatto sistemico che un guasto o un'interruzione operativa di un fornitore di servizi TIC di terzi potrebbe avere sui soggetti finanziari a cui fornisce servizi TIC, il numero di istituti di rilevanza sistemica globale (G-SII) o di altri istituti di rilevanza sistemica (O-SII) che si affidano al fornitore di servizi TIC di terzi in questione, il numero di fornitori di servizi TIC di terzi attivi su un determinato mercato, i costi di migrazione dei dati e dei carichi di lavoro TIC verso altri fornitori di servizi TIC di terzi, nonché l'importo delle commissioni di sorveglianza e le modalità di pagamento. È particolarmente importante che la Commissione svolga consultazioni adeguate durante i lavori preparatori, anche a livello di esperti, e che tali consultazioni siano condotte in conformità con i principi stabiliti nell'accordo interistituzionale del 13 aprile 2016 "Legiferare meglio" (22). In particolare, per garantire una partecipazione paritaria alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio dovrebbero ricevere tutti i documenti contemporaneamente agli esperti degli Stati membri e i loro esperti dovrebbero avere sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.

(99) Gli standard tecnici di regolamentazione devono garantire l'armonizzazione coerente dei requisiti stabiliti nel presente regolamento. Nel loro ruolo di organismi dotati di competenze altamente specializzate, le AEV dovrebbero elaborare progetti di norme tecniche di regolamentazione che non comportino scelte politiche, da sottoporre alla Commissione. Gli standard tecnici di regolamentazione dovrebbero essere sviluppati nelle aree della gestione del rischio TIC, della segnalazione di incidenti gravi legati alle TIC, dei test, nonché in relazione ai requisiti chiave per un solido monitoraggio del rischio TIC di terzi. La Commissione e le AEV dovrebbero garantire che tali standard e requisiti possano essere applicati da tutte le entità finanziarie in modo proporzionato alle loro dimensioni e al loro profilo di rischio complessivo, nonché alla natura, alla portata e alla complessità dei loro servizi, attività e operazioni. Alla Commissione dovrebbe essere conferito il potere di adottare tali norme tecniche di regolamentazione mediante atti delegati ai sensi dell'articolo 290 del TFUE e conformemente agli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

(100) Per facilitare la comparabilità delle relazioni sugli incidenti rilevanti connessi alle TIC e sugli incidenti rilevanti connessi ai pagamenti operativi o di sicurezza, nonché per garantire la trasparenza degli accordi contrattuali per l'utilizzo dei servizi TIC forniti da fornitori terzi di servizi TIC, le AEV devono elaborare progetti di norme tecniche di attuazione che stabiliscano modelli, moduli e procedure standardizzati per le entità finanziarie che devono segnalare un incidente rilevante connesso alle TIC e un incidente rilevante connesso ai pagamenti operativi o di sicurezza, nonché modelli standardizzati per il registro delle informazioni. Nell'elaborare tali standard, le AEV dovrebbero tenere conto delle dimensioni e del profilo di rischio complessivo dell'entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, attività e operazioni. Alla Commissione dovrebbe essere conferito il potere di adottare tali standard tecnici di esecuzione mediante atti di esecuzione ai sensi dell'articolo 291 del TFUE e conformemente all'articolo 15 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

(101) Poiché ulteriori requisiti sono già stati specificati attraverso atti delegati e di esecuzione basati su norme tecniche di regolamentazione e di esecuzione nei regolamenti (CE) n. 1060/2009 (23), (UE) n. 648/2012 (24), (UE) n. 600/2014 (25) e (UE) n. 909/2014 (26) del Parlamento europeo e del Consiglio, è opportuno incaricare le AEV, singolarmente o congiuntamente attraverso il comitato congiunto, di presentare alla Commissione norme tecniche di regolamentazione e di esecuzione per l'adozione di atti delegati e di esecuzione che riprendano e aggiornino le norme vigenti in materia di gestione del rischio TIC.

(102) Poiché il presente regolamento, insieme alla direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio (27), comporta il consolidamento delle disposizioni in materia di gestione del rischio TIC in molteplici regolamenti e direttive dell'acquis dell'Unione in materia di servizi finanziari, tra cui i regolamenti (CE) n. 1060/2009, (UE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014, e il regolamento (UE) 2016/1011 del Parlamento europeo e del Consiglio (28), al fine di garantire la piena coerenza, tali regolamenti dovrebbero essere modificati per chiarire che le disposizioni applicabili in materia di rischio TIC sono stabilite nel presente regolamento.

(103) Di conseguenza, è opportuno restringere l'ambito di applicazione degli articoli pertinenti relativi al rischio operativo, sui quali i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 avevano imposto l'adozione di atti delegati e di esecuzione, al fine di recepire nel presente regolamento tutte le disposizioni relative agli aspetti della resilienza operativa digitale che oggi fanno parte di tali regolamenti.

(104) Il potenziale rischio informatico sistemico associato all'uso di infrastrutture TIC che consentono il funzionamento dei sistemi di pagamento e la prestazione di attività di trattamento dei pagamenti dovrebbe essere debitamente affrontato a livello dell'Unione attraverso norme armonizzate sulla resilienza digitale. A tal fine, la Commissione dovrebbe valutare rapidamente la necessità di rivedere l'ambito di applicazione del presente regolamento, allineando tale revisione all'esito del riesame globale previsto dalla direttiva (UE) 2015/2366. Numerosi attacchi su larga scala avvenuti nell'ultimo decennio dimostrano come i sistemi di pagamento siano diventati esposti alle minacce informatiche. Collocati al centro della catena dei servizi di pagamento e caratterizzati da forti interconnessioni con l'intero sistema finanziario, i sistemi di pagamento e le attività di elaborazione dei pagamenti hanno acquisito un'importanza critica per il funzionamento dei mercati finanziari dell'Unione. Gli attacchi informatici a tali sistemi possono causare gravi interruzioni dell'attività operativa con ripercussioni dirette su funzioni economiche fondamentali, come la facilitazione dei pagamenti, ed effetti indiretti sui processi economici correlati. In attesa di un regime armonizzato e della vigilanza degli operatori dei sistemi di pagamento e delle entità di trattamento a livello dell'Unione, gli Stati membri possono, al fine di applicare pratiche di mercato simili, ispirarsi ai requisiti di resilienza operativa digitale stabiliti dal presente regolamento, nell'applicare le norme agli operatori dei sistemi di pagamento e delle entità di trattamento soggetti a vigilanza nell'ambito delle proprie giurisdizioni.

(105) Poiché l'obiettivo del presente regolamento, vale a dire il conseguimento di un livello elevato di resilienza operativa digitale per le imprese finanziarie regolamentate, non può essere conseguito in misura sufficiente dagli Stati membri, in quanto richiede l'armonizzazione di varie norme diverse nel diritto dell'Unione e nel diritto nazionale, ma può, a motivo della sua portata e dei suoi effetti, essere conseguito meglio a livello dell'Unione, quest'ultima può adottare misure conformemente al principio di sussidiarietà di cui all'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(106) Il Garante europeo della protezione dei dati è stato consultato ai sensi dell'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (29) e ha espresso un parere il 10 maggio 2021 (30),

HANNO ADOTTATO QUESTO REGOLAMENTO: