{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"preambolo","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/it\/direttiva-4\/preambolo\/","title":{"rendered":"Preambolo"},"content":{"rendered":"
Considerando che:<\/p>\n\n\n\n
del 14 dicembre 2022<\/p>\n\n\n\n
sulla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060\/2009, (UE) n. 648\/2012, (UE) n. 600\/2014, (UE) n. 909\/2014 e (UE) 2016\/1011<\/p>\n\n\n\n
(Testo rilevante ai fini del SEE)<\/p>\n\n\n\n
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,<\/p>\n\n\n\n
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114, vista la proposta della Commissione europea, previa trasmissione del progetto di atto legislativo ai parlamenti nazionali, visto il parere della Banca centrale europea (1), visto il parere del Comitato economico e sociale europeo (2), deliberando secondo la procedura legislativa ordinaria (3),<\/p>\n\n\n\n
Considerando che:<\/p>\n\n\n\n
(1) Nell'era digitale, le tecnologie dell'informazione e della comunicazione (TIC) supportano sistemi complessi utilizzati per le attivit\u00e0 quotidiane. Fanno funzionare le nostre economie in settori chiave, tra cui quello finanziario, e migliorano il funzionamento del mercato interno. L'aumento della digitalizzazione e dell'interconnessione amplifica anche le TIC. rischioIl rischio<\/span> Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entit\u00e0 di tale perdita o perturbazione e della probabilit\u00e0 che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span>rendendo la societ\u00e0 nel suo complesso, e il sistema finanziario in particolare, pi\u00f9 vulnerabile alle minacce informatiche o alle interruzioni delle TIC. Mentre l'uso onnipresente dei sistemi TIC e l'elevata digitalizzazione e connettivit\u00e0 sono oggi caratteristiche fondamentali delle attivit\u00e0 degli enti finanziari dell'Unione, la loro resilienza digitale deve ancora essere affrontata meglio e integrata nei loro quadri operativi pi\u00f9 ampi.<\/p>\n\n\n\n (2) Negli ultimi decenni l'uso delle TIC ha acquisito un ruolo centrale nella fornitura di servizi finanziari, al punto da assumere un'importanza critica nel funzionamento delle tipiche funzioni quotidiane di tutte le entit\u00e0 finanziarie. La digitalizzazione riguarda, ad esempio, i pagamenti, che sono passati sempre pi\u00f9 dal contante e dai metodi cartacei all'uso di soluzioni digitali, cos\u00ec come la compensazione e il regolamento dei titoli, il trading elettronico e algoritmico, le operazioni di prestito e di finanziamento, la finanza peer-to-peer, il rating del credito, la gestione dei sinistri e le operazioni di back-office. Anche il settore assicurativo \u00e8 stato trasformato dall'uso delle TIC, dall'emergere di intermediari assicurativi che offrono i loro servizi online operando con InsurTech, alla sottoscrizione assicurativa digitale. La finanza non solo \u00e8 diventata ampiamente digitale in tutto il settore, ma la digitalizzazione ha anche approfondito le interconnessioni e le dipendenze all'interno del settore finanziario e con i fornitori di infrastrutture e servizi di terze parti.<\/p>\n\n\n\n (3) Il Comitato europeo per il rischio sistemico (CERS) ha ribadito, in una relazione del 2020 sul rischio informatico sistemico, che l'elevato livello di interconnessione esistente tra le entit\u00e0 finanziarie, i mercati finanziari e le infrastrutture dei mercati finanziari, e in particolare le interdipendenze dei loro sistemi TIC, potrebbero costituire un rischio sistemico. vulnerabilit\u00e0Vulnerabilit\u00e0<\/span> Si intende una debolezza, una suscettibilit\u00e0 o un difetto dei prodotti o dei servizi ICT che pu\u00f2 essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> perch\u00e9 gli incidenti informatici localizzati potrebbero rapidamente diffondersi da una qualsiasi delle circa 22 000 entit\u00e0 finanziarie dell'Unione all'intero sistema finanziario, senza essere ostacolati dai confini geografici. Le gravi violazioni delle TIC che si verificano nel settore finanziario non riguardano solo le entit\u00e0 finanziarie considerate isolatamente. Esse spianano anche la strada alla propagazione di vulnerabilit\u00e0 localizzate attraverso i canali di trasmissione finanziaria e potenzialmente innescano conseguenze negative per la stabilit\u00e0 del sistema finanziario dell'Unione, come la generazione di corse alla liquidit\u00e0 e una perdita generale di fiducia nei mercati finanziari.<\/p>\n\n\n\n (4) Negli ultimi anni, il rischio TIC ha attirato l'attenzione dei responsabili politici internazionali, dell'Unione e nazionali, delle autorit\u00e0 di regolamentazione e delle autorit\u00e0 di vigilanza. standardStandard<\/span> Per \"norma\" si intende una specifica tecnica, adottata da un organismo di normalizzazione riconosciuto, per applicazione ripetuta o continua, la cui osservanza non \u00e8 obbligatoria e che \u00e8 una delle seguenti:\r(a) \"norma internazionale\": una norma adottata da un organismo internazionale di normalizzazione; (b) \"norma europea\": una norma adottata da un organismo europeo di normalizzazione; (c) \"norma armonizzata\": una norma europea adottata sulla base di una richiesta presentata dalla Commissione per l'applicazione della normativa di armonizzazione dell'Unione; (d) \"norma nazionale\": una norma adottata da un organismo nazionale di normalizzazione - Definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) n. 1025\/2012 del Parlamento europeo e del Consiglio.<\/span><\/span><\/span>-Nel tentativo di migliorare la resilienza digitale, di stabilire standard e di coordinare il lavoro di regolamentazione o di vigilanza, sono stati istituiti organismi di regolamentazione. A livello internazionale, il Comitato di Basilea per la vigilanza bancaria, il Comitato per i pagamenti e le infrastrutture di mercato, il Consiglio per la stabilit\u00e0 finanziaria, l'Istituto per la stabilit\u00e0 finanziaria, nonch\u00e9 il G7 e il G20 mirano a fornire alle autorit\u00e0 competenti e agli operatori di mercato di varie giurisdizioni gli strumenti per rafforzare la resilienza dei loro sistemi finanziari. Questo lavoro \u00e8 stato guidato anche dalla necessit\u00e0 di tenere in debita considerazione il rischio TIC nel contesto di un sistema finanziario globale altamente interconnesso e di ricercare una maggiore coerenza delle migliori prassi in materia.<\/p>\n\n\n\n (5) Nonostante le iniziative politiche e legislative mirate a livello nazionale e dell'Unione, il rischio TIC continua a rappresentare una sfida per la resilienza operativa, le prestazioni e la stabilit\u00e0 del sistema finanziario dell'Unione. Le riforme che hanno fatto seguito alla crisi finanziaria del 2008 hanno principalmente rafforzato la resilienza finanziaria del settore finanziario dell'Unione e mirato a salvaguardare la competitivit\u00e0 e la stabilit\u00e0 dell'Unione dal punto di vista economico, prudenziale e della condotta del mercato. Sebbene la sicurezza delle TIC e la resilienza digitale facciano parte del rischio operativo, sono state meno al centro dell'agenda normativa post-crisi finanziaria e si sono sviluppate solo in alcune aree della politica dei servizi finanziari e del panorama normativo dell'Unione, o solo in alcuni Stati membri.<\/p>\n\n\n\n (6) Nella comunicazione dell'8 marzo 2018 intitolata \"Piano d'azione FinTech: Per un settore finanziario europeo pi\u00f9 competitivo e innovativo\", la Commissione ha sottolineato l'importanza fondamentale di rendere il settore finanziario dell'Unione pi\u00f9 resiliente, anche da un punto di vista operativo, per garantirne la sicurezza tecnologica e il buon funzionamento, il rapido recupero da violazioni e incidenti delle TIC, consentendo in ultima analisi la fornitura efficace e regolare di servizi finanziari in tutta l'Unione, anche in situazioni di stress, preservando al contempo la fiducia dei consumatori e del mercato.<\/p>\n\n\n\n (7) Nell'aprile 2019, l'Autorit\u00e0 europea di vigilanza (Autorit\u00e0 bancaria europea) (EBA), istituita dal regolamento (UE) n. 1093\/2010 del Parlamento europeo e del Consiglio (4), l'Autorit\u00e0 europea di vigilanza (Autorit\u00e0 europea delle assicurazioni e delle pensioni aziendali e professionali) (\"EIOPA\"), istituita dal regolamento (UE) n. 1094\/2010 del Parlamento europeo e del Consiglio (5) e l'Autorit\u00e0 europea di vigilanza (Autorit\u00e0 europea degli strumenti finanziari e dei mercati), (\"ESMA\") istituita dal regolamento (UE) n. 1095\/2010 del Parlamento europeo e del Consiglio (6) (note collettivamente come \"Autorit\u00e0 di vigilanza europee\" o \"AEV\") hanno emesso congiuntamente un parere tecnico in cui si chiede un approccio coerente al rischio TIC nella finanza e si raccomanda di rafforzare, in modo proporzionato, la resilienza operativa digitale del settore dei servizi finanziari attraverso un'iniziativa settoriale dell'Unione.<\/p>\n\n\n\n (8) Il settore finanziario dell'Unione \u00e8 regolamentato da un Single Rulebook e disciplinato da un sistema europeo di vigilanza finanziaria. Tuttavia, le disposizioni relative alla resilienza operativa digitale e alla sicurezza delle TIC non sono ancora pienamente o coerentemente armonizzate, nonostante la resilienza operativa digitale sia fondamentale per garantire la stabilit\u00e0 finanziaria e l'integrit\u00e0 del mercato nell'era digitale, e non meno importante, ad esempio, di norme prudenziali o di condotta del mercato comuni. Il Single Rulebook e il sistema di vigilanza dovrebbero quindi essere sviluppati per coprire anche la resilienza operativa digitale, rafforzando i mandati delle autorit\u00e0 competenti per consentire loro di supervisionare la gestione del rischio TIC nel settore finanziario al fine di proteggere l'integrit\u00e0 e l'efficienza del mercato interno e di facilitarne il regolare funzionamento.<\/p>\n\n\n\n (9) Le disparit\u00e0 legislative e gli approcci nazionali disomogenei alla regolamentazione o alla vigilanza in materia di rischio TIC creano ostacoli al funzionamento del mercato interno dei servizi finanziari, impedendo il regolare esercizio della libert\u00e0 di stabilimento e la prestazione di servizi per le entit\u00e0 finanziarie che operano su base transfrontaliera. Anche la concorrenza tra lo stesso tipo di entit\u00e0 finanziarie che operano in diversi Stati membri potrebbe essere distorta. Questo \u00e8 il caso, in particolare, delle aree in cui l'armonizzazione dell'Unione \u00e8 stata molto limitata, come i test di resilienza operativa digitale, o assente, come il monitoraggio del rischio di terzi per le TIC. Le disparit\u00e0 derivanti dagli sviluppi previsti a livello nazionale potrebbero generare ulteriori ostacoli al funzionamento del mercato interno a scapito dei partecipanti al mercato e della stabilit\u00e0 finanziaria.<\/p>\n\n\n\n (10) Ad oggi, poich\u00e9 le disposizioni relative ai rischi legati alle TIC sono state affrontate solo in parte a livello dell'Unione, vi sono lacune o sovrapposizioni in settori importanti, come quello delle TIC. incidenteIncidente<\/span> Si intende un evento che compromette la disponibilit\u00e0, l'autenticit\u00e0, l'integrit\u00e0 o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> e le incoerenze dovute all'emergere di norme nazionali divergenti o all'applicazione inefficace dal punto di vista dei costi di norme che si sovrappongono. Ci\u00f2 \u00e8 particolarmente dannoso per un utente ad alta intensit\u00e0 di TIC come il settore finanziario, poich\u00e9 i rischi tecnologici non hanno confini e il settore finanziario distribuisce i propri servizi su un'ampia base transfrontaliera all'interno e all'esterno dell'Unione. Le singole entit\u00e0 finanziarie che operano su base transfrontaliera o che sono in possesso di pi\u00f9 autorizzazioni (ad esempio, una societ\u00e0 finanziaria o un'altra societ\u00e0 finanziaria) non sono in grado di gestire i propri servizi. entit\u00e0Entit\u00e0<\/span> Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che pu\u00f2, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> possono avere una licenza bancaria, di impresa di investimento e di istituto di pagamento, ciascuna rilasciata da una diversa autorit\u00e0 competente in uno o pi\u00f9 Stati membri) si trovano ad affrontare sfide operative nell'affrontare il rischio TIC e nell'attenuare gli impatti negativi degli incidenti TIC in modo autonomo e coerente dal punto di vista dei costi.<\/p>\n\n\n\n (11) Poich\u00e9 il Single Rulebook non \u00e8 stato accompagnato da un quadro completo in materia di TIC o di rischio operativo, \u00e8 necessaria un'ulteriore armonizzazione dei principali requisiti di resilienza operativa digitale per tutti i soggetti finanziari. Lo sviluppo delle capacit\u00e0 TIC e della resilienza complessiva da parte dei soggetti finanziari, sulla base di tali requisiti chiave, al fine di resistere alle interruzioni operative, contribuirebbe a preservare la stabilit\u00e0 e l'integrit\u00e0 dei mercati finanziari dell'Unione e quindi a garantire un elevato livello di protezione degli investitori e dei consumatori nell'Unione. Poich\u00e9 il presente regolamento mira a contribuire al buon funzionamento del mercato interno, \u00e8 opportuno che si basi sulle disposizioni dell'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), interpretato conformemente alla giurisprudenza costante della Corte di giustizia dell'Unione europea (Corte di giustizia).<\/p>\n\n\n\n (12) Il presente regolamento mira a consolidare e aggiornare i requisiti in materia di rischio TIC nell'ambito dei requisiti in materia di rischio operativo che, fino a questo momento, sono stati trattati separatamente in vari atti giuridici dell'Unione. Tali atti coprivano le principali categorie di rischio finanziario (ad esempio, rischio di credito, rischio di mercato, rischio di credito e di liquidit\u00e0 della controparte, rischio di condotta del mercato), ma non affrontavano in modo esaustivo, al momento della loro adozione, tutte le componenti della resilienza operativa. Le norme sul rischio operativo, quando sono state ulteriormente sviluppate negli atti giuridici dell'Unione, hanno spesso privilegiato un approccio quantitativo tradizionale per affrontare il rischio (ossia la fissazione di un requisito patrimoniale per coprire il rischio TIC) piuttosto che norme qualitative mirate per le capacit\u00e0 di protezione, rilevamento, contenimento, recupero e riparazione contro gli incidenti legati alle TIC, o per le capacit\u00e0 di segnalazione e di test digitale. Tali atti erano destinati principalmente a coprire e aggiornare le norme essenziali in materia di vigilanza prudenziale, integrit\u00e0 del mercato o condotta. Consolidando e aggiornando le diverse norme sul rischio TIC, per la prima volta tutte le disposizioni relative al rischio digitale nel settore finanziario dovrebbero essere riunite in modo coerente in un unico atto legislativo. Pertanto, il presente regolamento colma le lacune o rimedia alle incoerenze di alcuni atti giuridici precedenti, anche in relazione alla terminologia utilizzata, e fa esplicito riferimento al rischio TIC attraverso norme mirate sulle capacit\u00e0 di gestione del rischio TIC, sulla segnalazione degli incidenti, sui test di resilienza operativa e sul monitoraggio del rischio TIC di terzi. Il regolamento dovrebbe quindi anche sensibilizzare sul rischio TIC e riconoscere che gli incidenti TIC e la mancanza di resilienza operativa possono mettere a repentaglio la solidit\u00e0 delle entit\u00e0 finanziarie.<\/p>\n\n\n\n (13) I soggetti finanziari devono seguire lo stesso approccio e le stesse regole basate sui principi nell'affrontare il rischio TIC, tenendo conto delle loro dimensioni e del loro profilo di rischio complessivo, nonch\u00e9 della natura, della portata e della complessit\u00e0 dei loro servizi, attivit\u00e0 e operazioni. La coerenza contribuisce a rafforzare la fiducia nel sistema finanziario e a preservarne la stabilit\u00e0, soprattutto in tempi in cui si fa grande affidamento su sistemi, piattaforme e infrastrutture TIC, il che comporta un aumento del rischio digitale. L'osservanza dell'igiene informatica di base dovrebbe anche evitare di imporre costi pesanti all'economia, riducendo al minimo l'impatto e i costi delle interruzioni delle TIC.<\/p>\n\n\n\n (14) Un regolamento aiuta a ridurre la complessit\u00e0 normativa, favorisce la convergenza in materia di vigilanza e aumenta la certezza del diritto, contribuendo inoltre a limitare i costi di conformit\u00e0, soprattutto per le entit\u00e0 finanziarie che operano a livello transfrontaliero, e a ridurre le distorsioni della concorrenza. Pertanto, la scelta di un regolamento per l'istituzione di un quadro comune per la resilienza operativa digitale delle entit\u00e0 finanziarie \u00e8 il modo pi\u00f9 appropriato per garantire un'applicazione omogenea e coerente di tutte le componenti della gestione del rischio TIC da parte del settore finanziario dell'Unione.<\/p>\n\n\n\n (15) La Direttiva (UE) 2016\/1148 del Parlamento europeo e del Consiglio (7) \u00e8 stata la prima direttiva orizzontale sicurezza informaticaSicurezza informatica<\/span> per \"cibersicurezza\" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019\/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a>\r\rper \"sicurezza informatica\" si intendono le attivit\u00e0 necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019\/881;<\/span><\/span><\/span> quadro normativo emanato a livello dell'Unione, che si applica anche a tre tipi di soggetti finanziari, ossia gli enti creditizi, le sedi di negoziazione e le controparti centrali. Tuttavia, poich\u00e9 la direttiva (UE) 2016\/1148 ha stabilito un meccanismo di identificazione a livello nazionale degli operatori di servizi essenziali, solo alcuni enti creditizi, sedi di negoziazione e controparti centrali identificati dagli Stati membri sono stati fatti rientrare nel suo ambito di applicazione e quindi tenuti a rispettare i requisiti di sicurezza delle TIC e di notifica degli incidenti in essa previsti. La Direttiva (UE) 2022\/2555 del Parlamento europeo e del Consiglio (8) stabilisce un criterio uniforme per determinare i soggetti che rientrano nel suo ambito di applicazione (regola del tetto dimensionale), mantenendo anche i tre tipi di soggetti finanziari nel suo ambito di applicazione.<\/p>\n\n\n\n (16) Tuttavia, poich\u00e9 il presente regolamento aumenta il livello di armonizzazione delle varie componenti della resilienza digitale, introducendo requisiti sulla gestione del rischio TIC e sulla segnalazione degli incidenti connessi alle TIC pi\u00f9 rigorosi rispetto a quelli previsti dall'attuale diritto dell'Unione in materia di servizi finanziari, questo livello pi\u00f9 elevato costituisce una maggiore armonizzazione anche rispetto ai requisiti stabiliti dalla direttiva (UE) 2022\/2555. Di conseguenza, il presente regolamento costituisce una lex specialis rispetto alla direttiva (UE) 2022\/2555. Allo stesso tempo, \u00e8 fondamentale mantenere una forte relazione tra il settore finanziario e il quadro orizzontale dell'Unione in materia di cibersicurezza, come attualmente previsto dalla direttiva (UE) 2022\/2555, per garantire la coerenza con le strategie di cibersicurezza adottate dagli Stati membri e per consentire alle autorit\u00e0 di vigilanza finanziaria di essere informate degli incidenti informatici che interessano altri settori coperti da tale direttiva.<\/p>\n\n\n\n (17) Conformemente all'articolo 4, paragrafo 2, del trattato sull'Unione europea e fatto salvo il controllo giurisdizionale della Corte di giustizia, il presente regolamento non deve pregiudicare la responsabilit\u00e0 degli Stati membri per quanto riguarda le funzioni statali essenziali in materia di pubblica sicurezza, difesa e salvaguardia della sicurezza nazionale, ad esempio per quanto riguarda la fornitura di informazioni che sarebbero contrarie alla salvaguardia della sicurezza nazionale.<\/p>\n\n\n\n (18) Per consentire l'apprendimento intersettoriale e attingere efficacemente alle esperienze di altri settori nella gestione delle minacce informatiche, \u00e8 opportuno che i soggetti finanziari di cui alla direttiva (UE) 2022\/2555 continuino a far parte dell'\"ecosistema\" di tale direttiva (ad esempio, il gruppo di cooperazione e i gruppi di risposta agli incidenti di sicurezza informatica (CSIRT)). \u00c8 opportuno che le AEV e le autorit\u00e0 nazionali competenti possano partecipare alle discussioni politiche strategiche e ai lavori tecnici del gruppo di cooperazione ai sensi di tale direttiva, nonch\u00e9 scambiare informazioni e cooperare ulteriormente con gli sportelli unici designati o istituiti in conformit\u00e0 a tale direttiva. Le autorit\u00e0 competenti ai sensi del presente regolamento dovrebbero inoltre consultare e cooperare con i CSIRT. Le autorit\u00e0 competenti dovrebbero inoltre poter richiedere consulenza tecnica alle autorit\u00e0 competenti designate o istituite in conformit\u00e0 alla direttiva (UE) 2022\/2555 e stabilire accordi di cooperazione volti a garantire meccanismi di coordinamento efficaci e rapidi.<\/p>\n\n\n\n (19) Date le forti interconnessioni tra la resilienza digitale e la resilienza fisica degli enti finanziari, \u00e8 necessario un approccio coerente per quanto riguarda la resilienza degli enti critici nel presente regolamento e nella direttiva (UE) 2022\/2557 del Parlamento europeo e del Consiglio (9). Poich\u00e9 la resilienza fisica degli enti finanziari \u00e8 affrontata in modo completo dagli obblighi di gestione e segnalazione del rischio TIC contemplati dal presente regolamento, gli obblighi di cui ai capi III e IV della direttiva (UE) 2022\/2557 non dovrebbero applicarsi agli enti finanziari che rientrano nell'ambito di applicazione di tale direttiva.<\/p>\n\n\n\n