{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"preambolo","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/it\/direttiva-4\/preambolo\/","title":{"rendered":"Preambolo"},"content":{"rendered":"
\n

IL PARLAMENTO EUROPEO E IL CONSIGLIO<\/h2>\n\n\n\n
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,
Vista la proposta della Commissione europea,
Dopo la trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo,
visto il parere del Comitato delle regioni,
Agendo secondo la procedura legislativa ordinaria,<\/div>\n<\/div>\n\n\n\n

Considerando che:<\/p>\n\n\n\n

del 14 dicembre 2022<\/p>\n\n\n\n

sulla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060\/2009, (UE) n. 648\/2012, (UE) n. 600\/2014, (UE) n. 909\/2014 e (UE) 2016\/1011<\/p>\n\n\n\n

(Testo rilevante ai fini del SEE)<\/p>\n\n\n\n

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,<\/p>\n\n\n\n

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114, vista la proposta della Commissione europea, previa trasmissione del progetto di atto legislativo ai parlamenti nazionali, visto il parere della Banca centrale europea (1), visto il parere del Comitato economico e sociale europeo (2), deliberando secondo la procedura legislativa ordinaria (3),<\/p>\n\n\n\n

Considerando che:<\/p>\n\n\n\n

(1) Nell'era digitale, le tecnologie dell'informazione e della comunicazione (TIC) supportano sistemi complessi utilizzati per le attivit\u00e0 quotidiane. Fanno funzionare le nostre economie in settori chiave, tra cui quello finanziario, e migliorano il funzionamento del mercato interno. L'aumento della digitalizzazione e dell'interconnessione amplifica anche le TIC. rischioIl rischio<\/span> Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entit\u00e0 di tale perdita o perturbazione e della probabilit\u00e0 che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span>rendendo la societ\u00e0 nel suo complesso, e il sistema finanziario in particolare, pi\u00f9 vulnerabile alle minacce informatiche o alle interruzioni delle TIC. Mentre l'uso onnipresente dei sistemi TIC e l'elevata digitalizzazione e connettivit\u00e0 sono oggi caratteristiche fondamentali delle attivit\u00e0 degli enti finanziari dell'Unione, la loro resilienza digitale deve ancora essere affrontata meglio e integrata nei loro quadri operativi pi\u00f9 ampi.<\/p>\n\n\n\n

(2) Negli ultimi decenni l'uso delle TIC ha acquisito un ruolo centrale nella fornitura di servizi finanziari, al punto da assumere un'importanza critica nel funzionamento delle tipiche funzioni quotidiane di tutte le entit\u00e0 finanziarie. La digitalizzazione riguarda, ad esempio, i pagamenti, che sono passati sempre pi\u00f9 dal contante e dai metodi cartacei all'uso di soluzioni digitali, cos\u00ec come la compensazione e il regolamento dei titoli, il trading elettronico e algoritmico, le operazioni di prestito e di finanziamento, la finanza peer-to-peer, il rating del credito, la gestione dei sinistri e le operazioni di back-office. Anche il settore assicurativo \u00e8 stato trasformato dall'uso delle TIC, dall'emergere di intermediari assicurativi che offrono i loro servizi online operando con InsurTech, alla sottoscrizione assicurativa digitale. La finanza non solo \u00e8 diventata ampiamente digitale in tutto il settore, ma la digitalizzazione ha anche approfondito le interconnessioni e le dipendenze all'interno del settore finanziario e con i fornitori di infrastrutture e servizi di terze parti.<\/p>\n\n\n\n

(3) Il Comitato europeo per il rischio sistemico (CERS) ha ribadito, in una relazione del 2020 sul rischio informatico sistemico, che l'elevato livello di interconnessione esistente tra le entit\u00e0 finanziarie, i mercati finanziari e le infrastrutture dei mercati finanziari, e in particolare le interdipendenze dei loro sistemi TIC, potrebbero costituire un rischio sistemico. vulnerabilit\u00e0Vulnerabilit\u00e0<\/span> Si intende una debolezza, una suscettibilit\u00e0 o un difetto dei prodotti o dei servizi ICT che pu\u00f2 essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> perch\u00e9 gli incidenti informatici localizzati potrebbero rapidamente diffondersi da una qualsiasi delle circa 22 000 entit\u00e0 finanziarie dell'Unione all'intero sistema finanziario, senza essere ostacolati dai confini geografici. Le gravi violazioni delle TIC che si verificano nel settore finanziario non riguardano solo le entit\u00e0 finanziarie considerate isolatamente. Esse spianano anche la strada alla propagazione di vulnerabilit\u00e0 localizzate attraverso i canali di trasmissione finanziaria e potenzialmente innescano conseguenze negative per la stabilit\u00e0 del sistema finanziario dell'Unione, come la generazione di corse alla liquidit\u00e0 e una perdita generale di fiducia nei mercati finanziari.<\/p>\n\n\n\n

(4) Negli ultimi anni, il rischio TIC ha attirato l'attenzione dei responsabili politici internazionali, dell'Unione e nazionali, delle autorit\u00e0 di regolamentazione e delle autorit\u00e0 di vigilanza. standardStandard<\/span> Per \"norma\" si intende una specifica tecnica, adottata da un organismo di normalizzazione riconosciuto, per applicazione ripetuta o continua, la cui osservanza non \u00e8 obbligatoria e che \u00e8 una delle seguenti:\r(a) \"norma internazionale\": una norma adottata da un organismo internazionale di normalizzazione; (b) \"norma europea\": una norma adottata da un organismo europeo di normalizzazione; (c) \"norma armonizzata\": una norma europea adottata sulla base di una richiesta presentata dalla Commissione per l'applicazione della normativa di armonizzazione dell'Unione; (d) \"norma nazionale\": una norma adottata da un organismo nazionale di normalizzazione - Definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) n. 1025\/2012 del Parlamento europeo e del Consiglio.<\/span><\/span><\/span>-Nel tentativo di migliorare la resilienza digitale, di stabilire standard e di coordinare il lavoro di regolamentazione o di vigilanza, sono stati istituiti organismi di regolamentazione. A livello internazionale, il Comitato di Basilea per la vigilanza bancaria, il Comitato per i pagamenti e le infrastrutture di mercato, il Consiglio per la stabilit\u00e0 finanziaria, l'Istituto per la stabilit\u00e0 finanziaria, nonch\u00e9 il G7 e il G20 mirano a fornire alle autorit\u00e0 competenti e agli operatori di mercato di varie giurisdizioni gli strumenti per rafforzare la resilienza dei loro sistemi finanziari. Questo lavoro \u00e8 stato guidato anche dalla necessit\u00e0 di tenere in debita considerazione il rischio TIC nel contesto di un sistema finanziario globale altamente interconnesso e di ricercare una maggiore coerenza delle migliori prassi in materia.<\/p>\n\n\n\n

(5) Nonostante le iniziative politiche e legislative mirate a livello nazionale e dell'Unione, il rischio TIC continua a rappresentare una sfida per la resilienza operativa, le prestazioni e la stabilit\u00e0 del sistema finanziario dell'Unione. Le riforme che hanno fatto seguito alla crisi finanziaria del 2008 hanno principalmente rafforzato la resilienza finanziaria del settore finanziario dell'Unione e mirato a salvaguardare la competitivit\u00e0 e la stabilit\u00e0 dell'Unione dal punto di vista economico, prudenziale e della condotta del mercato. Sebbene la sicurezza delle TIC e la resilienza digitale facciano parte del rischio operativo, sono state meno al centro dell'agenda normativa post-crisi finanziaria e si sono sviluppate solo in alcune aree della politica dei servizi finanziari e del panorama normativo dell'Unione, o solo in alcuni Stati membri.<\/p>\n\n\n\n

(6) Nella comunicazione dell'8 marzo 2018 intitolata \"Piano d'azione FinTech: Per un settore finanziario europeo pi\u00f9 competitivo e innovativo\", la Commissione ha sottolineato l'importanza fondamentale di rendere il settore finanziario dell'Unione pi\u00f9 resiliente, anche da un punto di vista operativo, per garantirne la sicurezza tecnologica e il buon funzionamento, il rapido recupero da violazioni e incidenti delle TIC, consentendo in ultima analisi la fornitura efficace e regolare di servizi finanziari in tutta l'Unione, anche in situazioni di stress, preservando al contempo la fiducia dei consumatori e del mercato.<\/p>\n\n\n\n

(7) Nell'aprile 2019, l'Autorit\u00e0 europea di vigilanza (Autorit\u00e0 bancaria europea) (EBA), istituita dal regolamento (UE) n. 1093\/2010 del Parlamento europeo e del Consiglio (4), l'Autorit\u00e0 europea di vigilanza (Autorit\u00e0 europea delle assicurazioni e delle pensioni aziendali e professionali) (\"EIOPA\"), istituita dal regolamento (UE) n. 1094\/2010 del Parlamento europeo e del Consiglio (5) e l'Autorit\u00e0 europea di vigilanza (Autorit\u00e0 europea degli strumenti finanziari e dei mercati), (\"ESMA\") istituita dal regolamento (UE) n. 1095\/2010 del Parlamento europeo e del Consiglio (6) (note collettivamente come \"Autorit\u00e0 di vigilanza europee\" o \"AEV\") hanno emesso congiuntamente un parere tecnico in cui si chiede un approccio coerente al rischio TIC nella finanza e si raccomanda di rafforzare, in modo proporzionato, la resilienza operativa digitale del settore dei servizi finanziari attraverso un'iniziativa settoriale dell'Unione.<\/p>\n\n\n\n

(8) Il settore finanziario dell'Unione \u00e8 regolamentato da un Single Rulebook e disciplinato da un sistema europeo di vigilanza finanziaria. Tuttavia, le disposizioni relative alla resilienza operativa digitale e alla sicurezza delle TIC non sono ancora pienamente o coerentemente armonizzate, nonostante la resilienza operativa digitale sia fondamentale per garantire la stabilit\u00e0 finanziaria e l'integrit\u00e0 del mercato nell'era digitale, e non meno importante, ad esempio, di norme prudenziali o di condotta del mercato comuni. Il Single Rulebook e il sistema di vigilanza dovrebbero quindi essere sviluppati per coprire anche la resilienza operativa digitale, rafforzando i mandati delle autorit\u00e0 competenti per consentire loro di supervisionare la gestione del rischio TIC nel settore finanziario al fine di proteggere l'integrit\u00e0 e l'efficienza del mercato interno e di facilitarne il regolare funzionamento.<\/p>\n\n\n\n

(9) Le disparit\u00e0 legislative e gli approcci nazionali disomogenei alla regolamentazione o alla vigilanza in materia di rischio TIC creano ostacoli al funzionamento del mercato interno dei servizi finanziari, impedendo il regolare esercizio della libert\u00e0 di stabilimento e la prestazione di servizi per le entit\u00e0 finanziarie che operano su base transfrontaliera. Anche la concorrenza tra lo stesso tipo di entit\u00e0 finanziarie che operano in diversi Stati membri potrebbe essere distorta. Questo \u00e8 il caso, in particolare, delle aree in cui l'armonizzazione dell'Unione \u00e8 stata molto limitata, come i test di resilienza operativa digitale, o assente, come il monitoraggio del rischio di terzi per le TIC. Le disparit\u00e0 derivanti dagli sviluppi previsti a livello nazionale potrebbero generare ulteriori ostacoli al funzionamento del mercato interno a scapito dei partecipanti al mercato e della stabilit\u00e0 finanziaria.<\/p>\n\n\n\n

(10) Ad oggi, poich\u00e9 le disposizioni relative ai rischi legati alle TIC sono state affrontate solo in parte a livello dell'Unione, vi sono lacune o sovrapposizioni in settori importanti, come quello delle TIC. incidenteIncidente<\/span> Si intende un evento che compromette la disponibilit\u00e0, l'autenticit\u00e0, l'integrit\u00e0 o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> e le incoerenze dovute all'emergere di norme nazionali divergenti o all'applicazione inefficace dal punto di vista dei costi di norme che si sovrappongono. Ci\u00f2 \u00e8 particolarmente dannoso per un utente ad alta intensit\u00e0 di TIC come il settore finanziario, poich\u00e9 i rischi tecnologici non hanno confini e il settore finanziario distribuisce i propri servizi su un'ampia base transfrontaliera all'interno e all'esterno dell'Unione. Le singole entit\u00e0 finanziarie che operano su base transfrontaliera o che sono in possesso di pi\u00f9 autorizzazioni (ad esempio, una societ\u00e0 finanziaria o un'altra societ\u00e0 finanziaria) non sono in grado di gestire i propri servizi. entit\u00e0Entit\u00e0<\/span> Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che pu\u00f2, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> possono avere una licenza bancaria, di impresa di investimento e di istituto di pagamento, ciascuna rilasciata da una diversa autorit\u00e0 competente in uno o pi\u00f9 Stati membri) si trovano ad affrontare sfide operative nell'affrontare il rischio TIC e nell'attenuare gli impatti negativi degli incidenti TIC in modo autonomo e coerente dal punto di vista dei costi.<\/p>\n\n\n\n

(11) Poich\u00e9 il Single Rulebook non \u00e8 stato accompagnato da un quadro completo in materia di TIC o di rischio operativo, \u00e8 necessaria un'ulteriore armonizzazione dei principali requisiti di resilienza operativa digitale per tutti i soggetti finanziari. Lo sviluppo delle capacit\u00e0 TIC e della resilienza complessiva da parte dei soggetti finanziari, sulla base di tali requisiti chiave, al fine di resistere alle interruzioni operative, contribuirebbe a preservare la stabilit\u00e0 e l'integrit\u00e0 dei mercati finanziari dell'Unione e quindi a garantire un elevato livello di protezione degli investitori e dei consumatori nell'Unione. Poich\u00e9 il presente regolamento mira a contribuire al buon funzionamento del mercato interno, \u00e8 opportuno che si basi sulle disposizioni dell'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), interpretato conformemente alla giurisprudenza costante della Corte di giustizia dell'Unione europea (Corte di giustizia).<\/p>\n\n\n\n

(12) Il presente regolamento mira a consolidare e aggiornare i requisiti in materia di rischio TIC nell'ambito dei requisiti in materia di rischio operativo che, fino a questo momento, sono stati trattati separatamente in vari atti giuridici dell'Unione. Tali atti coprivano le principali categorie di rischio finanziario (ad esempio, rischio di credito, rischio di mercato, rischio di credito e di liquidit\u00e0 della controparte, rischio di condotta del mercato), ma non affrontavano in modo esaustivo, al momento della loro adozione, tutte le componenti della resilienza operativa. Le norme sul rischio operativo, quando sono state ulteriormente sviluppate negli atti giuridici dell'Unione, hanno spesso privilegiato un approccio quantitativo tradizionale per affrontare il rischio (ossia la fissazione di un requisito patrimoniale per coprire il rischio TIC) piuttosto che norme qualitative mirate per le capacit\u00e0 di protezione, rilevamento, contenimento, recupero e riparazione contro gli incidenti legati alle TIC, o per le capacit\u00e0 di segnalazione e di test digitale. Tali atti erano destinati principalmente a coprire e aggiornare le norme essenziali in materia di vigilanza prudenziale, integrit\u00e0 del mercato o condotta. Consolidando e aggiornando le diverse norme sul rischio TIC, per la prima volta tutte le disposizioni relative al rischio digitale nel settore finanziario dovrebbero essere riunite in modo coerente in un unico atto legislativo. Pertanto, il presente regolamento colma le lacune o rimedia alle incoerenze di alcuni atti giuridici precedenti, anche in relazione alla terminologia utilizzata, e fa esplicito riferimento al rischio TIC attraverso norme mirate sulle capacit\u00e0 di gestione del rischio TIC, sulla segnalazione degli incidenti, sui test di resilienza operativa e sul monitoraggio del rischio TIC di terzi. Il regolamento dovrebbe quindi anche sensibilizzare sul rischio TIC e riconoscere che gli incidenti TIC e la mancanza di resilienza operativa possono mettere a repentaglio la solidit\u00e0 delle entit\u00e0 finanziarie.<\/p>\n\n\n\n

(13) I soggetti finanziari devono seguire lo stesso approccio e le stesse regole basate sui principi nell'affrontare il rischio TIC, tenendo conto delle loro dimensioni e del loro profilo di rischio complessivo, nonch\u00e9 della natura, della portata e della complessit\u00e0 dei loro servizi, attivit\u00e0 e operazioni. La coerenza contribuisce a rafforzare la fiducia nel sistema finanziario e a preservarne la stabilit\u00e0, soprattutto in tempi in cui si fa grande affidamento su sistemi, piattaforme e infrastrutture TIC, il che comporta un aumento del rischio digitale. L'osservanza dell'igiene informatica di base dovrebbe anche evitare di imporre costi pesanti all'economia, riducendo al minimo l'impatto e i costi delle interruzioni delle TIC.<\/p>\n\n\n\n

(14) Un regolamento aiuta a ridurre la complessit\u00e0 normativa, favorisce la convergenza in materia di vigilanza e aumenta la certezza del diritto, contribuendo inoltre a limitare i costi di conformit\u00e0, soprattutto per le entit\u00e0 finanziarie che operano a livello transfrontaliero, e a ridurre le distorsioni della concorrenza. Pertanto, la scelta di un regolamento per l'istituzione di un quadro comune per la resilienza operativa digitale delle entit\u00e0 finanziarie \u00e8 il modo pi\u00f9 appropriato per garantire un'applicazione omogenea e coerente di tutte le componenti della gestione del rischio TIC da parte del settore finanziario dell'Unione.<\/p>\n\n\n\n

(15) La Direttiva (UE) 2016\/1148 del Parlamento europeo e del Consiglio (7) \u00e8 stata la prima direttiva orizzontale sicurezza informaticaSicurezza informatica<\/span> per \"cibersicurezza\" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019\/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a>\r\rper \"sicurezza informatica\" si intendono le attivit\u00e0 necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019\/881;<\/span><\/span><\/span> quadro normativo emanato a livello dell'Unione, che si applica anche a tre tipi di soggetti finanziari, ossia gli enti creditizi, le sedi di negoziazione e le controparti centrali. Tuttavia, poich\u00e9 la direttiva (UE) 2016\/1148 ha stabilito un meccanismo di identificazione a livello nazionale degli operatori di servizi essenziali, solo alcuni enti creditizi, sedi di negoziazione e controparti centrali identificati dagli Stati membri sono stati fatti rientrare nel suo ambito di applicazione e quindi tenuti a rispettare i requisiti di sicurezza delle TIC e di notifica degli incidenti in essa previsti. La Direttiva (UE) 2022\/2555 del Parlamento europeo e del Consiglio (8) stabilisce un criterio uniforme per determinare i soggetti che rientrano nel suo ambito di applicazione (regola del tetto dimensionale), mantenendo anche i tre tipi di soggetti finanziari nel suo ambito di applicazione.<\/p>\n\n\n\n

(16) Tuttavia, poich\u00e9 il presente regolamento aumenta il livello di armonizzazione delle varie componenti della resilienza digitale, introducendo requisiti sulla gestione del rischio TIC e sulla segnalazione degli incidenti connessi alle TIC pi\u00f9 rigorosi rispetto a quelli previsti dall'attuale diritto dell'Unione in materia di servizi finanziari, questo livello pi\u00f9 elevato costituisce una maggiore armonizzazione anche rispetto ai requisiti stabiliti dalla direttiva (UE) 2022\/2555. Di conseguenza, il presente regolamento costituisce una lex specialis rispetto alla direttiva (UE) 2022\/2555. Allo stesso tempo, \u00e8 fondamentale mantenere una forte relazione tra il settore finanziario e il quadro orizzontale dell'Unione in materia di cibersicurezza, come attualmente previsto dalla direttiva (UE) 2022\/2555, per garantire la coerenza con le strategie di cibersicurezza adottate dagli Stati membri e per consentire alle autorit\u00e0 di vigilanza finanziaria di essere informate degli incidenti informatici che interessano altri settori coperti da tale direttiva.<\/p>\n\n\n\n

(17) Conformemente all'articolo 4, paragrafo 2, del trattato sull'Unione europea e fatto salvo il controllo giurisdizionale della Corte di giustizia, il presente regolamento non deve pregiudicare la responsabilit\u00e0 degli Stati membri per quanto riguarda le funzioni statali essenziali in materia di pubblica sicurezza, difesa e salvaguardia della sicurezza nazionale, ad esempio per quanto riguarda la fornitura di informazioni che sarebbero contrarie alla salvaguardia della sicurezza nazionale.<\/p>\n\n\n\n

(18) Per consentire l'apprendimento intersettoriale e attingere efficacemente alle esperienze di altri settori nella gestione delle minacce informatiche, \u00e8 opportuno che i soggetti finanziari di cui alla direttiva (UE) 2022\/2555 continuino a far parte dell'\"ecosistema\" di tale direttiva (ad esempio, il gruppo di cooperazione e i gruppi di risposta agli incidenti di sicurezza informatica (CSIRT)). \u00c8 opportuno che le AEV e le autorit\u00e0 nazionali competenti possano partecipare alle discussioni politiche strategiche e ai lavori tecnici del gruppo di cooperazione ai sensi di tale direttiva, nonch\u00e9 scambiare informazioni e cooperare ulteriormente con gli sportelli unici designati o istituiti in conformit\u00e0 a tale direttiva. Le autorit\u00e0 competenti ai sensi del presente regolamento dovrebbero inoltre consultare e cooperare con i CSIRT. Le autorit\u00e0 competenti dovrebbero inoltre poter richiedere consulenza tecnica alle autorit\u00e0 competenti designate o istituite in conformit\u00e0 alla direttiva (UE) 2022\/2555 e stabilire accordi di cooperazione volti a garantire meccanismi di coordinamento efficaci e rapidi.<\/p>\n\n\n\n

(19) Date le forti interconnessioni tra la resilienza digitale e la resilienza fisica degli enti finanziari, \u00e8 necessario un approccio coerente per quanto riguarda la resilienza degli enti critici nel presente regolamento e nella direttiva (UE) 2022\/2557 del Parlamento europeo e del Consiglio (9). Poich\u00e9 la resilienza fisica degli enti finanziari \u00e8 affrontata in modo completo dagli obblighi di gestione e segnalazione del rischio TIC contemplati dal presente regolamento, gli obblighi di cui ai capi III e IV della direttiva (UE) 2022\/2557 non dovrebbero applicarsi agli enti finanziari che rientrano nell'ambito di applicazione di tale direttiva.<\/p>\n\n\n\n

(20) Servizio di cloud computingServizio di cloud computing<\/span> Un servizio digitale che consente l'amministrazione on-demand e un ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche nel caso in cui tali risorse siano distribuite su pi\u00f9 sedi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> I fornitori di servizi di cloud computing sono una delle categorie di infrastrutture digitali coperte dalla Direttiva (UE) 2022\/2555. Il quadro di vigilanza dell'Unione (\"quadro di vigilanza\") istituito dal presente regolamento si applica a tutti i fornitori terzi di servizi TIC critici, compresi i fornitori di servizi di cloud computing che forniscono servizi TIC a soggetti finanziari, e dovrebbe essere considerato complementare alla vigilanza effettuata ai sensi della direttiva (UE) 2022\/2555. Inoltre, il quadro di vigilanza istituito dal presente regolamento dovrebbe coprire i fornitori di servizi di cloud computing in assenza di un quadro orizzontale dell'Unione che istituisca un'autorit\u00e0 di vigilanza digitale.<\/p>\n\n\n\n

(21) Per mantenere il pieno controllo sul rischio TIC, le entit\u00e0 finanziarie devono disporre di capacit\u00e0 complete che consentano una gestione forte ed efficace del rischio TIC, nonch\u00e9 di meccanismi e politiche specifiche per la gestione di tutti gli incidenti legati alle TIC e per la segnalazione degli incidenti pi\u00f9 gravi legati alle TIC. Allo stesso modo, le entit\u00e0 finanziarie dovrebbero disporre di politiche per la verifica dei sistemi, dei controlli e dei processi ICT, nonch\u00e9 per la gestione del rischio ICT di terzi. La resilienza operativa digitale di base per le entit\u00e0 finanziarie dovrebbe essere aumentata, consentendo al contempo un'applicazione proporzionata dei requisiti per alcune entit\u00e0 finanziarie, in particolare le microimprese, nonch\u00e9 per le entit\u00e0 finanziarie soggette a un quadro semplificato di gestione del rischio TIC. Per agevolare una vigilanza efficiente degli enti pensionistici aziendali e professionali che sia proporzionata e risponda alla necessit\u00e0 di ridurre gli oneri amministrativi per le autorit\u00e0 competenti, le pertinenti disposizioni nazionali in materia di vigilanza di tali enti finanziari dovrebbero tenere conto delle loro dimensioni e del loro profilo di rischio complessivo, nonch\u00e9 della natura, della portata e della complessit\u00e0 dei loro servizi, attivit\u00e0 e operazioni, anche quando vengono superate le soglie pertinenti stabilite all'articolo 5 della direttiva (UE) 2016\/2341 del Parlamento europeo e del Consiglio (10). In particolare, le attivit\u00e0 di vigilanza dovrebbero concentrarsi principalmente sulla necessit\u00e0 di affrontare i rischi gravi associati alla gestione del rischio ICT di un determinato ente.<\/p>\n\n\n\n

Le autorit\u00e0 competenti dovrebbero inoltre mantenere un approccio vigile ma proporzionato in relazione alla vigilanza degli enti pensionistici aziendali e professionali che, ai sensi dell'articolo 31 della direttiva (UE) 2016\/2341, esternalizzano una parte significativa della loro attivit\u00e0 principale, come la gestione delle attivit\u00e0, i calcoli attuariali, la contabilit\u00e0 e la gestione dei dati, a fornitori di servizi.<\/p>\n\n\n\n

(22) Le soglie e le tassonomie per la segnalazione degli incidenti legati alle TIC variano notevolmente a livello nazionale. Sebbene sia possibile raggiungere un terreno comune grazie al lavoro intrapreso dall'Agenzia dell'Unione europea per la sicurezza informatica (ENISA), istituita dal regolamento (UE) 2019\/881 del Parlamento europeo e del Consiglio (11), e dal gruppo di cooperazione di cui alla direttiva (UE) 2022\/2555, esistono ancora, o possono emergere, approcci divergenti per quanto riguarda la definizione delle soglie e l'uso delle tassonomie per il resto degli enti finanziari. A causa di queste divergenze, i requisiti che le entit\u00e0 finanziarie devono rispettare sono molteplici, soprattutto quando operano in diversi Stati membri e quando fanno parte di un gruppo finanziario. Inoltre, tali divergenze possono potenzialmente ostacolare la creazione di ulteriori meccanismi uniformi o centralizzati a livello dell'Unione che accelerino il processo di segnalazione e favoriscano uno scambio rapido e agevole di informazioni tra le autorit\u00e0 competenti, fondamentale per affrontare il rischio informatico in caso di attacchi su larga scala con conseguenze potenzialmente sistemiche.<\/p>\n\n\n\n

(23) Per ridurre l'onere amministrativo e gli obblighi di segnalazione potenzialmente duplicati per alcuni soggetti finanziari, \u00e8 opportuno che l'obbligo di segnalazione degli incidenti ai sensi della direttiva (UE) 2015\/2366 del Parlamento europeo e del Consiglio (12) cessi di applicarsi ai prestatori di servizi di pagamento che rientrano nell'ambito di applicazione del presente regolamento. Di conseguenza, gli enti creditizi, gli istituti di moneta elettronica, gli istituti di pagamento e i prestatori di servizi di informazione sui conti, di cui all'articolo 33, paragrafo 1, di tale direttiva, dovrebbero, a partire dalla data di applicazione del presente regolamento, segnalare ai sensi del presente regolamento tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti che sono stati precedentemente segnalati ai sensi di tale direttiva, indipendentemente dal fatto che tali incidenti siano legati alle TIC.<\/p>\n\n\n\n

(24) Per consentire alle autorit\u00e0 competenti di svolgere le funzioni di vigilanza acquisendo una visione completa della natura, della frequenza, dell'importanza e dell'impatto degli incidenti legati alle TIC e per migliorare lo scambio di informazioni tra le autorit\u00e0 pubbliche competenti, comprese le autorit\u00e0 di contrasto e le autorit\u00e0 di risoluzione delle crisi, occorre che il presente regolamento stabilisca un solido regime di segnalazione degli incidenti legati alle TIC in cui i requisiti pertinenti rispondano alle attuali lacune della normativa in materia di servizi finanziari ed eliminino le sovrapposizioni e le duplicazioni esistenti per ridurre i costi. \u00c8 essenziale armonizzare il regime di segnalazione degli incidenti legati alle TIC, imponendo a tutti i soggetti finanziari di riferire alle rispettive autorit\u00e0 competenti attraverso un unico quadro semplificato, come stabilito nel presente regolamento. Inoltre, le autorit\u00e0 di vigilanza europee dovrebbero essere autorizzate a specificare ulteriormente gli elementi rilevanti per il quadro di segnalazione degli incidenti legati alle TIC, come la tassonomia, i tempi, gli insiemi di dati, i modelli e le soglie applicabili. Per garantire la piena coerenza con la direttiva (UE) 2022\/2555, \u00e8 opportuno che le entit\u00e0 finanziarie siano autorizzate, su base volontaria, a notificare le minacce informatiche significative all'autorit\u00e0 competente pertinente, quando ritengono che le minacce informatiche significative siano minaccia informaticaMinaccia informatica<\/span> qualsiasi potenziale circostanza, evento o azione che potrebbe danneggiare, interrompere o avere un impatto negativo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e su altre persone - Definizione ai sensi dell'articolo 2, punto (8), del Regolamento (UE) 2019\/881<\/span><\/span><\/span> \u00e8 rilevante per il sistema finanziario, gli utenti del servizio o i clienti.<\/p>\n\n\n\n

(25) In alcuni sottosettori finanziari sono stati sviluppati requisiti di verifica della resilienza operativa digitale che definiscono quadri non sempre pienamente allineati. Ci\u00f2 comporta una potenziale duplicazione dei costi per le entit\u00e0 finanziarie transfrontaliere e rende complesso il riconoscimento reciproco dei risultati dei test di resilienza operativa digitale che, a sua volta, pu\u00f2 frammentare il mercato interno.<\/p>\n\n\n\n

(26) Inoltre, se non \u00e8 richiesta la verifica delle TIC, le vulnerabilit\u00e0 rimangono non individuate, esponendo un'entit\u00e0 finanziaria al rischio TIC e creando, in ultima analisi, un rischio maggiore per la stabilit\u00e0 e l'integrit\u00e0 del settore finanziario. Senza l'intervento dell'Unione, i test di resilienza operativa digitale continuerebbero a essere incoerenti e mancherebbe un sistema di riconoscimento reciproco dei risultati dei test TIC nelle diverse giurisdizioni. Inoltre, poich\u00e9 \u00e8 improbabile che altri sottosettori finanziari adottino sistemi di test su scala significativa, essi non potrebbero beneficiare dei potenziali vantaggi di un quadro di test, in termini di rivelazione delle vulnerabilit\u00e0 e dei rischi delle TIC e di verifica delle capacit\u00e0 di difesa e della continuit\u00e0 operativa, che contribuiscono ad aumentare la fiducia di clienti, fornitori e partner commerciali. Per porre rimedio a queste sovrapposizioni, divergenze e lacune, \u00e8 necessario stabilire regole per un regime di test coordinato e facilitare cos\u00ec il riconoscimento reciproco dei test avanzati per le entit\u00e0 finanziarie che soddisfano i criteri stabiliti nel presente regolamento.<\/p>\n\n\n\n

(27) L'affidamento delle entit\u00e0 finanziarie all'uso dei servizi TIC \u00e8 in parte motivato dalla necessit\u00e0 di adattarsi all'emergente economia globale digitale competitiva, di aumentare l'efficienza aziendale e di soddisfare la domanda dei consumatori. La natura e l'entit\u00e0 di tale ricorso si \u00e8 evoluta continuamente negli ultimi anni, favorendo la riduzione dei costi nell'intermediazione finanziaria, consentendo l'espansione del business e la scalabilit\u00e0 nella distribuzione delle attivit\u00e0 finanziarie e offrendo un'ampia gamma di strumenti TIC per la gestione di processi interni complessi.<\/p>\n\n\n\n

(28) L'ampio uso dei servizi TIC \u00e8 evidenziato da accordi contrattuali complessi, per cui gli enti finanziari spesso incontrano difficolt\u00e0 nel negoziare condizioni contrattuali adeguate agli standard prudenziali o ad altri requisiti normativi a cui sono soggetti, o comunque nel far valere diritti specifici, come i diritti di accesso o di revisione, anche quando questi ultimi sono sanciti nei loro accordi contrattuali. Inoltre, molti di questi accordi contrattuali non prevedono sufficienti garanzie che consentano un monitoraggio completo dei processi di subappalto, privando cos\u00ec l'entit\u00e0 finanziaria della capacit\u00e0 di valutare i rischi associati. Inoltre, poich\u00e9 i fornitori di servizi ICT di terze parti spesso forniscono servizi standardizzati a diversi tipi di clienti, tali accordi contrattuali non sempre soddisfano adeguatamente le esigenze individuali o specifiche degli operatori del settore finanziario.<\/p>\n\n\n\n

(29) Anche se il diritto dei servizi finanziari dell'Unione contiene alcune norme generali sull'esternalizzazione, il monitoraggio della dimensione contrattuale non \u00e8 pienamente ancorato nel diritto dell'Unione. In assenza di norme dell'Unione chiare e specifiche che si applichino agli accordi contrattuali conclusi con i fornitori terzi di servizi TIC, la fonte esterna del rischio TIC non \u00e8 affrontata in modo completo. Di conseguenza, \u00e8 necessario stabilire alcuni principi chiave per guidare la gestione del rischio TIC di terzi da parte delle entit\u00e0 finanziarie, che sono di particolare importanza quando le entit\u00e0 finanziarie ricorrono a fornitori di servizi TIC di terzi per supportare le loro funzioni critiche o importanti. Tali principi dovrebbero essere accompagnati da una serie di diritti contrattuali fondamentali in relazione a diversi elementi nell'esecuzione e nella risoluzione degli accordi contrattuali, al fine di fornire alcune garanzie minime per rafforzare la capacit\u00e0 delle entit\u00e0 finanziarie di monitorare efficacemente tutti i rischi TIC che emergono a livello di fornitori di servizi terzi. Questi principi sono complementari alla legge settoriale applicabile all'outsourcing.<\/p>\n\n\n\n

(30) Oggi \u00e8 evidente una certa mancanza di omogeneit\u00e0 e convergenza per quanto riguarda il monitoraggio del rischio di terzi per le TIC e le dipendenze da terzi per le TIC. Nonostante gli sforzi per affrontare il tema dell'esternalizzazione, come gli orientamenti dell'ABE sull'esternalizzazione del 2019 e gli orientamenti dell'ESMA sull'esternalizzazione a fornitori di servizi cloud del 2021, la questione pi\u00f9 ampia di contrastare il rischio sistemico che potrebbe essere innescato dall'esposizione del settore finanziario a un numero limitato di fornitori terzi di servizi ICT critici non \u00e8 sufficientemente affrontata dal diritto dell'Unione. La mancanza di norme a livello dell'Unione \u00e8 aggravata dall'assenza di norme nazionali sui mandati e sugli strumenti che consentano alle autorit\u00e0 di vigilanza finanziaria di acquisire una buona comprensione delle dipendenze di terzi in materia di TIC e di monitorare adeguatamente i rischi derivanti dalla concentrazione delle dipendenze di terzi in materia di TIC.<\/p>\n\n\n\n

(31) Tenendo conto del potenziale rischio sistemico derivante dall'aumento delle pratiche di esternalizzazione e dalla concentrazione di terzi nel settore delle TIC e considerando l'insufficienza dei meccanismi nazionali nel fornire alle autorit\u00e0 di vigilanza finanziaria strumenti adeguati per quantificare, qualificare e rimediare alle conseguenze del rischio TIC che si verifica presso i fornitori critici di servizi TIC terzi, \u00e8 necessario istituire un quadro di vigilanza appropriato che consenta un monitoraggio continuo delle attivit\u00e0 dei fornitori terzi di servizi TIC che sono fornitori critici di servizi TIC terzi per gli enti finanziari, garantendo al contempo la riservatezza e la sicurezza dei clienti diversi dagli enti finanziari. Sebbene la fornitura di servizi TIC all'interno di un gruppo comporti rischi e benefici specifici, non dovrebbe essere considerata automaticamente meno rischiosa della fornitura di servizi TIC da parte di fornitori esterni a un gruppo finanziario e dovrebbe quindi essere soggetta allo stesso quadro normativo. Tuttavia, quando i servizi TIC sono forniti all'interno dello stesso gruppo finanziario, le entit\u00e0 finanziarie potrebbero avere un livello di controllo pi\u00f9 elevato sui fornitori infragruppo, che dovrebbe essere preso in considerazione nella valutazione del rischio complessivo.<\/p>\n\n\n\n

(32) Con il rischio TIC sempre pi\u00f9 complesso e sofisticato, le buone misure per l'individuazione e la prevenzione del rischio TIC dipendono in larga misura dalla regolare condivisione tra le entit\u00e0 finanziarie delle informazioni sulle minacce e sulle vulnerabilit\u00e0. La condivisione delle informazioni contribuisce a creare una maggiore consapevolezza delle minacce informatiche. A sua volta, ci\u00f2 aumenta la capacit\u00e0 delle entit\u00e0 finanziarie di impedire che le minacce informatiche si trasformino in veri e propri incidenti legati alle TIC e consente alle entit\u00e0 finanziarie di contenere pi\u00f9 efficacemente l'impatto degli incidenti legati alle TIC e di riprendersi pi\u00f9 rapidamente. In assenza di orientamenti a livello dell'Unione, diversi fattori sembrano aver ostacolato tale condivisione di intelligence, in particolare l'incertezza sulla sua compatibilit\u00e0 con le norme in materia di protezione dei dati, antitrust e responsabilit\u00e0.<\/p>\n\n\n\n

(33) Inoltre, i dubbi sul tipo di informazioni che possono essere condivise con gli altri partecipanti al mercato o con le autorit\u00e0 non di vigilanza (come l'ENISA, per i contributi analitici, o l'Europol, per le attivit\u00e0 di contrasto) portano a non fornire informazioni utili. Pertanto, la portata e la qualit\u00e0 della condivisione delle informazioni rimane attualmente limitata e frammentata, con scambi rilevanti per lo pi\u00f9 a livello locale (attraverso iniziative nazionali) e senza accordi coerenti di condivisione delle informazioni a livello dell'Unione adattati alle esigenze di un sistema finanziario integrato. \u00c8 quindi importante rafforzare questi canali di comunicazione.<\/p>\n\n\n\n

(34) \u00c8 opportuno incoraggiare i soggetti finanziari a scambiarsi informazioni e intelligence sulle minacce informatiche e a sfruttare collettivamente le loro conoscenze individuali e la loro esperienza pratica a livello strategico, tattico e operativo al fine di migliorare le loro capacit\u00e0 di valutare, monitorare, difendere e rispondere adeguatamente alle minacce informatiche, partecipando ad accordi di condivisione delle informazioni. \u00c8 pertanto necessario consentire l'emergere a livello dell'Unione di meccanismi per la condivisione volontaria delle informazioni che, se condotti in ambienti fidati, aiutino la comunit\u00e0 del settore finanziario a prevenire e a rispondere collettivamente alle minacce informatiche, limitando rapidamente la diffusione del rischio informatico e impedendo il potenziale contagio attraverso i canali finanziari. Tali meccanismi dovrebbero essere conformi alle norme applicabili dell'Unione in materia di diritto della concorrenza, stabilite nella comunicazione della Commissione del 14 gennaio 2011 intitolata \"Linee direttrici sull'applicabilit\u00e0 dell'articolo 101 del trattato sul funzionamento dell'Unione europea agli accordi di cooperazione orizzontale\", nonch\u00e9 alle norme dell'Unione in materia di protezione dei dati, in particolare al regolamento (UE) 2016\/679 del Parlamento europeo e del Consiglio (13). Dovrebbero operare sulla base dell'utilizzo di una o pi\u00f9 delle basi giuridiche di cui all'articolo 6 di tale regolamento, ad esempio nel contesto del trattamento dei dati personali necessario ai fini del legittimo interesse perseguito dal titolare del trattamento o da un terzo, come indicato all'articolo 6, paragrafo 1, lettera f), di tale regolamento, nonch\u00e9 nell'ambito del trattamento dei dati personali necessario per adempiere a un obbligo legale al quale \u00e8 soggetto il responsabile del trattamento, necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui \u00e8 investito il responsabile del trattamento, come indicato all'articolo 6, paragrafo 1, lettere c) ed e), rispettivamente, di tale regolamento.<\/p>\n\n\n\n

(35) Al fine di mantenere un elevato livello di resilienza operativa digitale per l'intero settore finanziario e, al contempo, di tenere il passo con gli sviluppi tecnologici, il presente regolamento dovrebbe affrontare il rischio derivante da tutti i tipi di servizi TIC. A tal fine, la definizione di servizi TIC nel contesto del presente regolamento dovrebbe essere intesa in modo ampio, comprendendo i servizi digitali e di dati forniti attraverso i sistemi TIC a uno o pi\u00f9 utenti interni o esterni su base continuativa. Tale definizione dovrebbe, ad esempio, includere i cosiddetti servizi \"over the top\", che rientrano nella categoria dei servizi di comunicazione elettronica. Dovrebbe escludere solo la categoria limitata dei servizi telefonici analogici tradizionali, quali i servizi di rete telefonica pubblica commutata (PSTN), i servizi di linea fissa, i servizi telefonici tradizionali (POTS) o i servizi di telefonia fissa.<\/p>\n\n\n\n

(36) Nonostante l'ampia copertura prevista dal presente regolamento, l'applicazione delle norme sulla resilienza operativa digitale dovrebbe tenere conto delle differenze significative tra le entit\u00e0 finanziarie in termini di dimensioni e profilo di rischio complessivo. Come principio generale, nel distribuire le risorse e le capacit\u00e0 per l'attuazione del quadro di gestione del rischio TIC, i soggetti finanziari dovrebbero bilanciare debitamente le loro esigenze in materia di TIC con le loro dimensioni e il loro profilo di rischio complessivo, nonch\u00e9 con la natura, la portata e la complessit\u00e0 dei loro servizi, attivit\u00e0 e operazioni, mentre le autorit\u00e0 competenti dovrebbero continuare a valutare e rivedere l'approccio di tale distribuzione.<\/p>\n\n\n\n

(37) I prestatori di servizi di informazione sui conti, di cui all'articolo 33, paragrafo 1, della direttiva (UE) 2015\/2366, sono esplicitamente inclusi nell'ambito di applicazione del presente regolamento, tenendo conto della natura specifica delle loro attivit\u00e0 e dei rischi che ne derivano. Inoltre, gli istituti di moneta elettronica e gli istituti di pagamento esentati ai sensi dell'articolo 9, paragrafo 1, della direttiva 2009\/110\/CE del Parlamento europeo e del Consiglio (14) e dell'articolo 32, paragrafo 1, della direttiva (UE) 2015\/2366 sono inclusi nell'ambito di applicazione del presente regolamento anche se non hanno ottenuto l'autorizzazione a emettere moneta elettronica ai sensi della direttiva 2009\/110\/CE o se non hanno ottenuto l'autorizzazione a prestare ed eseguire servizi di pagamento ai sensi della direttiva (UE) 2015\/2366. Tuttavia, gli uffici dei conti correnti postali, di cui all'articolo 2, paragrafo 5, punto 3, della direttiva 2013\/36\/UE del Parlamento europeo e del Consiglio (15), sono esclusi dall'ambito di applicazione del presente regolamento. L'autorit\u00e0 competente per gli istituti di pagamento esentati ai sensi della direttiva (UE) 2015\/2366, gli istituti di moneta elettronica esentati ai sensi della direttiva 2009\/110\/CE e i prestatori di servizi di informazione sui conti di cui all'articolo 33, paragrafo 1, della direttiva (UE) 2015\/2366, dovrebbe essere l'autorit\u00e0 competente designata ai sensi dell'articolo 22 della direttiva (UE) 2015\/2366.<\/p>\n\n\n\n

(38) Poich\u00e9 le entit\u00e0 finanziarie pi\u00f9 grandi possono disporre di risorse pi\u00f9 ampie e possono impiegare rapidamente i fondi per sviluppare le strutture di governance e impostare varie strategie aziendali, solo le entit\u00e0 finanziarie che non sono microimprese ai sensi del presente regolamento dovrebbero essere tenute a stabilire accordi di governance pi\u00f9 complessi. Tali entit\u00e0 sono meglio attrezzate, in particolare, per istituire funzioni di gestione dedicate alla supervisione degli accordi con i fornitori terzi di servizi TIC o alla gestione delle crisi, per organizzare la gestione del rischio TIC secondo il modello delle tre linee di difesa o per istituire un modello di gestione e controllo del rischio interno e per sottoporre il proprio quadro di gestione del rischio TIC a revisioni interne.<\/p>\n\n\n\n

(39) Alcuni soggetti finanziari beneficiano di esenzioni o sono soggetti a un quadro normativo molto leggero ai sensi del diritto dell'Unione specifico del settore. Tali entit\u00e0 finanziarie comprendono i gestori di fondi di investimento alternativi di cui all'articolo 3, paragrafo 2, della direttiva 2011\/61\/UE del Parlamento europeo e del Consiglio (16), le imprese di assicurazione e riassicurazione di cui all'articolo 4 della direttiva 2009\/138\/CE del Parlamento europeo e del Consiglio (17) e gli enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che complessivamente non contano pi\u00f9 di 15 iscritti. Alla luce di tali esenzioni, non sarebbe proporzionato includere tali entit\u00e0 finanziarie nell'ambito di applicazione del presente regolamento. Inoltre, il presente regolamento riconosce le specificit\u00e0 della struttura del mercato dell'intermediazione assicurativa, con il risultato che gli intermediari assicurativi, gli intermediari riassicurativi e gli intermediari assicurativi ausiliari che si qualificano come microimprese o come piccole o medie imprese non dovrebbero essere soggetti al presente regolamento.<\/p>\n\n\n\n

(40) Poich\u00e9 gli enti di cui all'articolo 2, paragrafo 5, punti da 4 a 23, della direttiva 2013\/36\/UE sono esclusi dall'ambito di applicazione di tale direttiva, gli Stati membri dovrebbero di conseguenza poter scegliere di esentare dall'applicazione del presente regolamento tali enti situati nei rispettivi territori.<\/p>\n\n\n\n

(41) Analogamente, per allineare il presente regolamento all'ambito di applicazione della direttiva 2014\/65\/UE del Parlamento europeo e del Consiglio (18), \u00e8 opportuno escludere dall'ambito di applicazione del presente regolamento le persone fisiche e giuridiche di cui agli articoli 2 e 3 di tale direttiva che possono prestare servizi di investimento senza dover ottenere un'autorizzazione ai sensi della direttiva 2014\/65\/UE. Tuttavia, l'articolo 2 della direttiva 2014\/65\/UE esclude dall'ambito di applicazione di tale direttiva anche le entit\u00e0 che si qualificano come entit\u00e0 finanziarie ai fini del presente regolamento, quali i depositari centrali di titoli, gli organismi di investimento collettivo o le imprese di assicurazione e riassicurazione. L'esclusione dall'ambito di applicazione del presente regolamento delle persone ed entit\u00e0 di cui agli articoli 2 e 3 di tale direttiva non dovrebbe comprendere i depositari centrali di titoli, gli organismi di investimento collettivo o le imprese di assicurazione e riassicurazione.<\/p>\n\n\n\n

(42) Ai sensi del diritto dell'Unione specifico del settore, alcuni enti finanziari sono soggetti a requisiti pi\u00f9 leggeri o a esenzioni per motivi legati alle loro dimensioni o ai servizi che forniscono. Tale categoria di soggetti finanziari comprende le imprese di investimento di piccole dimensioni e non interconnesse, i piccoli enti pensionistici aziendali o professionali che possono essere esclusi dall'ambito di applicazione della direttiva (UE) 2016\/2341 alle condizioni stabilite dallo Stato membro interessato all'articolo 5 di tale direttiva e gestiscono schemi pensionistici che complessivamente non hanno pi\u00f9 di 100 iscritti, nonch\u00e9 gli enti esentati ai sensi della direttiva 2013\/36\/UE. Pertanto, in conformit\u00e0 al principio di proporzionalit\u00e0 e per preservare lo spirito del diritto dell'Unione specifico del settore, \u00e8 opportuno assoggettare anche tali soggetti finanziari a un quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento. Il carattere proporzionato del quadro di gestione del rischio TIC che copre tali soggetti finanziari non dovrebbe essere alterato dalle norme tecniche di regolamentazione che devono essere elaborate dalle AEV. Inoltre, in conformit\u00e0 al principio di proporzionalit\u00e0, \u00e8 opportuno assoggettare a un quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento anche gli istituti di pagamento di cui all'articolo 32, paragrafo 1, della direttiva (UE) 2015\/2366 e gli istituti di moneta elettronica di cui all'articolo 9 della direttiva 2009\/110\/CE esentati in conformit\u00e0 al diritto nazionale di recepimento di tali atti giuridici dell'Unione, mentre gli istituti di pagamento e gli istituti di moneta elettronica che non sono stati esentati in conformit\u00e0 al rispettivo diritto nazionale di recepimento del diritto settoriale dell'Unione dovrebbero conformarsi al quadro generale stabilito dal presente regolamento.<\/p>\n\n\n\n

(43) Analogamente, i soggetti finanziari che si qualificano come microimprese o che sono soggetti al quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento non devono essere tenuti a istituire un ruolo di monitoraggio degli accordi conclusi con i fornitori terzi di servizi TIC sull'utilizzo dei servizi TIC, n\u00e9 a designare un membro dell'alta dirigenza responsabile della supervisione della relativa esposizione al rischio e della relativa documentazione; assegnare la responsabilit\u00e0 della gestione e della supervisione del rischio TIC a una funzione di controllo e garantire un adeguato livello di indipendenza di tale funzione di controllo al fine di evitare conflitti di interesse; documentare e riesaminare almeno una volta all'anno il quadro di gestione del rischio TIC; sottoporre regolarmente a revisione interna il quadro di gestione del rischio TIC; effettuare valutazioni approfondite dopo importanti cambiamenti nella propria organizzazione. rete e sistema informativoRete e sistema informativo<\/span> (a) una rete di comunicazione elettronica come definita all'articolo 2, punto 1, della direttiva (UE) 2018\/1972; b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o pi\u00f9 dei quali, in base a un programma, effettuano il trattamento automatico di dati digitali; oppure c) i dati digitali memorizzati, elaborati, recuperati o trasmessi dagli elementi di cui alle lettere a) e b) ai fini del loro funzionamento, uso, protezione e manutenzione Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> infrastrutture e processi; condurre regolarmente analisi dei rischi sui sistemi TIC preesistenti; sottoporre l'attuazione dei piani di risposta e ripristino delle TIC a revisioni interne indipendenti; disporre di una funzione di gestione delle crisi, ampliare la verifica della continuit\u00e0 operativa e dei piani di risposta e ripristino per prevedere scenari di commutazione tra l'infrastruttura TIC primaria e le strutture ridondanti; riferire alle autorit\u00e0 competenti, su loro richiesta, una stima dei costi e delle perdite annuali aggregati causati da gravi incidenti legati alle TIC, mantenere capacit\u00e0 TIC ridondanti; comunicare alle autorit\u00e0 nazionali competenti le modifiche attuate a seguito di revisioni successive a incidenti legati alle TIC; monitorare costantemente gli sviluppi tecnologici pertinenti, istituire un programma completo di test di resilienza operativa digitale come parte integrante del quadro di gestione del rischio TIC previsto dal presente regolamento, o adottare e rivedere regolarmente una strategia sul rischio di terzi per le TIC. Inoltre, le microimprese dovrebbero essere tenute a valutare la necessit\u00e0 di mantenere tali capacit\u00e0 TIC ridondanti solo in base al loro profilo di rischio. Le microimprese dovrebbero beneficiare di un regime pi\u00f9 flessibile per quanto riguarda i programmi di verifica della resilienza operativa digitale. Nel considerare il tipo e la frequenza dei test da eseguire, dovrebbero bilanciare adeguatamente l'obiettivo di mantenere un'elevata resilienza operativa digitale, le risorse disponibili e il loro profilo di rischio complessivo. Le microimprese e gli enti finanziari soggetti al quadro semplificato di gestione del rischio TIC ai sensi del presente regolamento dovrebbero essere esentati dall'obbligo di eseguire test avanzati di strumenti, sistemi e processi TIC basati su test di penetrazione guidati dalle minacce (TLPT), poich\u00e9 solo gli enti finanziari che soddisfano i criteri stabiliti nel presente regolamento dovrebbero essere tenuti a eseguire tali test. Alla luce delle loro capacit\u00e0 limitate, le microimprese dovrebbero poter concordare con il fornitore di servizi TIC di terze parti di delegare i diritti di accesso, ispezione e audit dell'entit\u00e0 finanziaria a una terza parte indipendente, nominata dal fornitore di servizi TIC di terze parti, a condizione che l'entit\u00e0 finanziaria sia in grado di richiedere, in qualsiasi momento, tutte le informazioni pertinenti e la garanzia sulle prestazioni del fornitore di servizi TIC di terze parti.<\/p>\n\n\n\n

(44) Poich\u00e9 solo i soggetti finanziari identificati ai fini dei test avanzati di resilienza digitale devono essere tenuti a condurre test di penetrazione guidati dalle minacce, i processi amministrativi e i costi finanziari derivanti dall'esecuzione di tali test devono essere sostenuti da una piccola percentuale di soggetti finanziari.<\/p>\n\n\n\n

(45) Per garantire il pieno allineamento e la coerenza complessiva tra le strategie aziendali delle entit\u00e0 finanziarie, da un lato, e la gestione del rischio TIC, dall'altro, occorre che gli organi di gestione delle entit\u00e0 finanziarie mantengano un ruolo centrale e attivo nell'indirizzare e adattare il quadro di gestione del rischio TIC e la strategia complessiva di resilienza operativa digitale. L'approccio che gli organi di gestione devono adottare non deve concentrarsi solo sui mezzi per garantire la resilienza dei sistemi ICT, ma deve riguardare anche le persone e i processi attraverso un insieme di politiche che coltivino, a ogni livello aziendale e per tutto il personale, un forte senso di consapevolezza dei rischi informatici e un impegno a osservare una rigorosa igiene informatica a tutti i livelli. La responsabilit\u00e0 finale dell'organo direttivo nella gestione del rischio informatico di un'entit\u00e0 finanziaria dovrebbe essere un principio fondamentale di questo approccio globale, che si traduce ulteriormente nell'impegno continuo dell'organo direttivo nel controllo del monitoraggio della gestione del rischio informatico.<\/p>\n\n\n\n

(46) Inoltre, il principio della piena e ultima responsabilit\u00e0 dell'organo di gestione per la gestione del rischio TIC dell'entit\u00e0 finanziaria va di pari passo con la necessit\u00e0 di garantire un livello di investimenti legati alle TIC e un budget complessivo per l'entit\u00e0 finanziaria che le consenta di raggiungere un elevato livello di resilienza operativa digitale.<\/p>\n\n\n\n

(47) Ispirandosi alle migliori pratiche, agli orientamenti, alle raccomandazioni e agli approcci alla gestione del rischio informatico a livello internazionale, nazionale e di settore, il presente regolamento promuove una serie di principi che facilitano la struttura complessiva della gestione del rischio informatico. Di conseguenza, fintanto che le principali capacit\u00e0 messe in atto dagli enti finanziari rispondono alle varie funzioni della gestione del rischio TIC (identificazione, protezione e prevenzione, rilevamento, risposta e recupero, apprendimento ed evoluzione e comunicazione) definite nel presente regolamento, gli enti finanziari dovrebbero rimanere liberi di utilizzare modelli di gestione del rischio TIC diversamente inquadrati o categorizzati.<\/p>\n\n\n\n

(48) Per tenere il passo con l'evoluzione del panorama delle minacce informatiche, i soggetti finanziari devono mantenere sistemi TIC aggiornati, affidabili e in grado non solo di garantire il trattamento dei dati necessari per i loro servizi, ma anche di assicurare una resilienza tecnologica sufficiente per consentire loro di far fronte adeguatamente a esigenze di trattamento aggiuntive dovute a condizioni di mercato stressanti o ad altre situazioni avverse.<\/p>\n\n\n\n

(49) Piani efficienti di continuit\u00e0 operativa e di ripristino sono necessari per consentire alle entit\u00e0 finanziarie di risolvere prontamente e rapidamente gli incidenti legati alle TIC, in particolare gli attacchi informatici, limitando i danni e dando priorit\u00e0 alla ripresa delle attivit\u00e0 e alle azioni di ripristino in conformit\u00e0 alle loro politiche di back-up. Tuttavia, tale ripresa non deve in alcun modo mettere a rischio l'integrit\u00e0 e la sicurezza della rete e dei sistemi informativi o la disponibilit\u00e0, l'autenticit\u00e0, l'integrit\u00e0 o la riservatezza dei dati.<\/p>\n\n\n\n

(50) Sebbene il presente regolamento consenta agli enti finanziari di determinare i propri obiettivi in materia di tempi e punti di ripristino in modo flessibile e quindi di fissare tali obiettivi tenendo pienamente conto della natura e della criticit\u00e0 delle funzioni pertinenti e di eventuali esigenze aziendali specifiche, esso dovrebbe tuttavia imporre loro di effettuare una valutazione del potenziale impatto complessivo sull'efficienza del mercato nel determinare tali obiettivi.<\/p>\n\n\n\n

(51) I propagatori degli attacchi informatici tendono a perseguire guadagni finanziari direttamente alla fonte, esponendo cos\u00ec le entit\u00e0 finanziarie a conseguenze significative. Per evitare che i sistemi TIC perdano la loro integrit\u00e0 o diventino indisponibili, e quindi per evitare violazioni dei dati e danni alle infrastrutture fisiche TIC, la segnalazione dei principali incidenti legati alle TIC da parte delle entit\u00e0 finanziarie dovrebbe essere significativamente migliorata e semplificata. La segnalazione degli incidenti legati alle TIC dovrebbe essere armonizzata attraverso l'introduzione dell'obbligo per tutti i soggetti finanziari di riferire direttamente alle rispettive autorit\u00e0 competenti. Qualora un'entit\u00e0 finanziaria sia soggetta alla vigilanza di pi\u00f9 di un'autorit\u00e0 nazionale competente, gli Stati membri dovrebbero designare un'unica autorit\u00e0 competente come destinataria di tali segnalazioni. Gli enti creditizi classificati come significativi ai sensi dell'articolo 6, paragrafo 4, del Regolamento (UE) n. 1024\/2013 del Consiglio (19) dovrebbero presentare tali segnalazioni alle autorit\u00e0 nazionali competenti, che dovrebbero successivamente trasmetterle alla Banca centrale europea (BCE).<\/p>\n\n\n\n

(52) Occorre che la segnalazione diretta consenta alle autorit\u00e0 di vigilanza finanziaria di avere accesso immediato alle informazioni sugli incidenti rilevanti connessi alle TIC. Le autorit\u00e0 di vigilanza finanziaria dovrebbero a loro volta trasmettere i dettagli degli incidenti rilevanti connessi alle TIC alle autorit\u00e0 pubbliche non finanziarie (come le autorit\u00e0 competenti e i punti di contatto unici ai sensi della direttiva (UE) 2022\/2555, le autorit\u00e0 nazionali per la protezione dei dati e le autorit\u00e0 di contrasto per gli incidenti rilevanti connessi alle TIC di natura penale), al fine di sensibilizzare tali autorit\u00e0 su tali incidenti e, nel caso dei CSIRT, di facilitare la pronta assistenza che pu\u00f2 essere fornita ai soggetti finanziari, a seconda dei casi. Gli Stati membri dovrebbero inoltre essere in grado di stabilire che le entit\u00e0 finanziarie stesse debbano fornire tali informazioni alle autorit\u00e0 pubbliche al di fuori dell'area dei servizi finanziari. Tali flussi di informazioni dovrebbero consentire alle entit\u00e0 finanziarie di beneficiare rapidamente di qualsiasi contributo tecnico pertinente, di consulenza sui rimedi e del successivo follow-up da parte di tali autorit\u00e0. Le informazioni sugli incidenti pi\u00f9 gravi legati alle TIC dovrebbero essere convogliate reciprocamente: le autorit\u00e0 di vigilanza finanziaria dovrebbero fornire tutti i feedback o gli orientamenti necessari all'entit\u00e0 finanziaria, mentre le AEV dovrebbero condividere i dati anonimizzati sulle minacce informatiche e sulle vulnerabilit\u00e0 relative a un incidente, per favorire una pi\u00f9 ampia difesa collettiva.<\/p>\n\n\n\n

(53) Sebbene tutti gli enti finanziari debbano essere tenuti a effettuare la segnalazione degli incidenti, tale obbligo non dovrebbe riguardare tutti allo stesso modo. In effetti, le soglie di rilevanza e le scadenze per la segnalazione dovrebbero essere debitamente adeguate, nel contesto degli atti delegati basati sulle norme tecniche di regolamentazione che devono essere sviluppate dalle AEV, al fine di coprire solo gli incidenti gravi legati alle TIC. Inoltre, le specificit\u00e0 delle entit\u00e0 finanziarie dovrebbero essere prese in considerazione quando si stabiliscono le scadenze per gli obblighi di segnalazione.<\/p>\n\n\n\n

(54) \u00c8 opportuno che il presente regolamento imponga agli enti creditizi, agli istituti di pagamento, ai prestatori di servizi di informazione sui conti e agli istituti di moneta elettronica di segnalare tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti - precedentemente segnalati ai sensi della direttiva (UE) 2015\/2366 - indipendentemente dalla natura TIC dell'incidente.<\/p>\n\n\n\n

(55) Le autorit\u00e0 di vigilanza europee dovrebbero essere incaricate di valutare la fattibilit\u00e0 e le condizioni per un'eventuale centralizzazione delle segnalazioni di incidenti legati alle TIC a livello dell'Unione. Tale centralizzazione potrebbe consistere in un unico centro dell'UE per la segnalazione di incidenti rilevanti legati alle TIC che riceva direttamente le segnalazioni pertinenti e ne informi automaticamente le autorit\u00e0 nazionali competenti, oppure che si limiti a centralizzare le segnalazioni pertinenti trasmesse dalle autorit\u00e0 nazionali competenti, svolgendo cos\u00ec un ruolo di coordinamento. Le AEV dovrebbero essere incaricate di preparare, in consultazione con la BCE e l'ENISA, una relazione congiunta che esamini la fattibilit\u00e0 dell'istituzione di un hub unico dell'UE.<\/p>\n\n\n\n

(56) Al fine di raggiungere un livello elevato di resilienza operativa digitale e in linea sia con gli standard internazionali pertinenti (ad esempio, gli elementi fondamentali del G7 per i test di penetrazione basati sulle minacce) sia con i quadri applicati nell'Unione, come il TIBER-UE, gli enti finanziari dovrebbero sottoporre regolarmente a test i loro sistemi TIC e il personale che ha responsabilit\u00e0 in materia di TIC per quanto riguarda l'efficacia delle loro capacit\u00e0 di prevenzione, rilevamento, risposta e ripristino, per individuare e affrontare le potenziali vulnerabilit\u00e0 delle TIC. Per riflettere le differenze esistenti tra i vari sottosettori finanziari e all'interno di essi per quanto riguarda il livello di preparazione delle entit\u00e0 finanziarie in materia di cybersecurity, i test dovrebbero includere un'ampia variet\u00e0 di strumenti e azioni, che vanno dalla valutazione dei requisiti di base (ad esempio, valutazioni e scansioni delle vulnerabilit\u00e0, analisi delle fonti aperte, valutazioni della sicurezza della rete, analisi delle lacune, revisioni della sicurezza fisica, questionari e scansioni di soluzioni software, revisioni del codice sorgente, ove possibile, test basati su scenari, test di compatibilit\u00e0, test delle prestazioni o test end-to-end) a test pi\u00f9 avanzati mediante TLPT. Tali test avanzati dovrebbero essere richiesti solo alle entit\u00e0 finanziarie che sono sufficientemente mature dal punto di vista delle TIC per poterli ragionevolmente effettuare. I test di resilienza operativa digitale richiesti dal presente regolamento dovrebbero quindi essere pi\u00f9 impegnativi per i soggetti finanziari che soddisfano i criteri stabiliti nel presente regolamento (ad esempio, istituti di credito di grandi dimensioni, sistemici e maturi dal punto di vista delle TIC, borse valori, depositari centrali di titoli e controparti centrali) che per gli altri soggetti finanziari. Allo stesso tempo, la verifica della resilienza operativa digitale tramite TLPT dovrebbe essere pi\u00f9 rilevante per i soggetti finanziari che operano nei sottosettori principali dei servizi finanziari e che svolgono un ruolo sistemico (ad esempio, pagamenti, banche, compensazione e regolamento), e meno rilevante per altri sottosettori (ad esempio, gestori di attivit\u00e0 e agenzie di rating del credito).<\/p>\n\n\n\n

(57) I soggetti finanziari che partecipano ad attivit\u00e0 transfrontaliere e che esercitano la libert\u00e0 di stabilimento o di prestazione di servizi all'interno dell'Unione devono conformarsi a un'unica serie di requisiti di test avanzati (ossia il TLPT) nel loro Stato membro d'origine, che dovrebbe includere le infrastrutture TIC in tutte le giurisdizioni in cui il gruppo finanziario transfrontaliero opera all'interno dell'Unione, consentendo cos\u00ec a tali gruppi finanziari transfrontalieri di sostenere i relativi costi di test TIC in una sola giurisdizione.<\/p>\n\n\n\n

(58) Per sfruttare le competenze gi\u00e0 acquisite da alcune autorit\u00e0 competenti, in particolare per quanto riguarda l'attuazione del quadro TIBER-UE, \u00e8 opportuno che il presente regolamento consenta agli Stati membri di designare un'unica autorit\u00e0 pubblica come responsabile nel settore finanziario, a livello nazionale, per tutte le questioni relative alla TPL, o alle autorit\u00e0 competenti di delegare, in assenza di tale designazione, l'esercizio dei compiti relativi alla TPL a un'altra autorit\u00e0 finanziaria nazionale competente.<\/p>\n\n\n\n

(59) Poich\u00e9 il presente regolamento non impone agli enti finanziari di coprire tutte le funzioni critiche o importanti in un unico test di penetrazione guidato dalle minacce, gli enti finanziari dovrebbero essere liberi di determinare quali e quante funzioni critiche o importanti dovrebbero essere incluse nell'ambito di tale test.<\/p>\n\n\n\n

(60) I test in pool ai sensi del presente regolamento - che comportano la partecipazione di diversi soggetti finanziari a un TLPT e per i quali un fornitore di servizi TIC di terzi pu\u00f2 stipulare direttamente accordi contrattuali con un tester esterno - dovrebbero essere consentiti solo quando si prevede ragionevolmente che la qualit\u00e0 o la sicurezza dei servizi forniti dal fornitore di servizi TIC di terzi a clienti che sono soggetti che non rientrano nell'ambito di applicazione del presente regolamento, o la riservatezza dei dati relativi a tali servizi, subiscano un impatto negativo. Anche i test in pool dovrebbero essere soggetti a salvaguardie (direzione da parte di un soggetto finanziario designato, a seconda del numero di soggetti finanziari partecipanti) per garantire un esercizio di test rigoroso per i soggetti finanziari coinvolti, che soddisfi gli obiettivi del TLPT ai sensi del presente regolamento.<\/p>\n\n\n\n

(61) Al fine di sfruttare le risorse interne disponibili a livello aziendale, il presente regolamento deve consentire l'utilizzo di tester interni ai fini dell'esecuzione del TLPT, a condizione che vi sia l'approvazione dell'autorit\u00e0 di vigilanza, che non vi siano conflitti di interesse e che vi sia un'alternanza periodica dell'utilizzo di tester interni ed esterni (ogni tre test), richiedendo inoltre che il fornitore di informazioni sulle minacce nel TLPT sia sempre esterno all'entit\u00e0 finanziaria. La responsabilit\u00e0 della conduzione del TLPT deve rimanere interamente in capo all'entit\u00e0 finanziaria. Le attestazioni fornite dalle autorit\u00e0 dovrebbero essere esclusivamente a scopo di riconoscimento reciproco e non dovrebbero precludere alcuna azione di follow-up necessaria per affrontare il rischio TIC a cui l'entit\u00e0 finanziaria \u00e8 esposta, n\u00e9 dovrebbero essere considerate come un'approvazione da parte dell'autorit\u00e0 di vigilanza delle capacit\u00e0 di gestione e mitigazione del rischio TIC di un'entit\u00e0 finanziaria.<\/p>\n\n\n\n

(62) Per garantire un solido monitoraggio del rischio TIC di terzi nel settore finanziario, \u00e8 necessario stabilire una serie di regole basate su principi che guidino le entit\u00e0 finanziarie nel monitoraggio del rischio derivante dalle funzioni esternalizzate a fornitori di servizi TIC di terzi, in particolare per i servizi TIC che supportano funzioni critiche o importanti, nonch\u00e9, pi\u00f9 in generale, nel contesto di tutte le dipendenze TIC di terzi.<\/p>\n\n\n\n

(63) Per affrontare la complessit\u00e0 delle varie fonti di rischio TIC, tenendo conto della molteplicit\u00e0 e della diversit\u00e0 dei fornitori di soluzioni tecnologiche che consentono una fornitura agevole di servizi finanziari, il presente regolamento deve coprire un'ampia gamma di fornitori terzi di servizi TIC, compresi i fornitori di servizi di cloud computing, di software, di servizi di analisi dei dati e di servizi di data center. Analogamente, poich\u00e9 gli enti finanziari dovrebbero identificare e gestire in modo efficace e coerente tutti i tipi di rischio, anche nel contesto dei servizi TIC acquistati all'interno di un gruppo finanziario, \u00e8 opportuno chiarire che le imprese che fanno parte di un gruppo finanziario e che forniscono servizi TIC prevalentemente alla loro impresa madre, o a filiali o succursali della loro impresa madre, nonch\u00e9 gli enti finanziari che forniscono servizi TIC ad altri enti finanziari, dovrebbero essere considerati fornitori terzi di servizi TIC ai sensi del presente regolamento. Infine, alla luce dell'evoluzione del mercato dei servizi di pagamento, sempre pi\u00f9 dipendente da soluzioni tecniche complesse, e in considerazione dei tipi emergenti di servizi di pagamento e di soluzioni connesse ai pagamenti, anche i partecipanti all'ecosistema dei servizi di pagamento, che forniscono attivit\u00e0 di trattamento dei pagamenti o gestiscono infrastrutture di pagamento, dovrebbero essere considerati prestatori terzi di servizi TIC ai sensi del presente regolamento, ad eccezione delle banche centrali quando gestiscono sistemi di pagamento o di regolamento titoli e delle autorit\u00e0 pubbliche quando forniscono servizi connessi alle TIC nel contesto dell'adempimento di funzioni statali.<\/p>\n\n\n\n

(64) Un'entit\u00e0 finanziaria deve rimanere in ogni momento pienamente responsabile del rispetto degli obblighi previsti dal presente regolamento. I soggetti finanziari devono applicare un approccio proporzionato al monitoraggio dei rischi che emergono a livello dei fornitori di servizi TIC terzi, considerando debitamente la natura, la portata, la complessit\u00e0 e l'importanza delle loro dipendenze in materia di TIC, la criticit\u00e0 o l'importanza dei servizi, dei processi o delle funzioni oggetto degli accordi contrattuali e, in ultima analisi, sulla base di un'attenta valutazione di qualsiasi impatto potenziale sulla continuit\u00e0 e sulla qualit\u00e0 dei servizi finanziari a livello individuale e di gruppo, a seconda dei casi.<\/p>\n\n\n\n

(65) La conduzione di tale monitoraggio dovrebbe seguire un approccio strategico al rischio TIC di terzi formalizzato attraverso l'adozione da parte dell'organo di gestione dell'entit\u00e0 finanziaria di una strategia dedicata al rischio TIC di terzi, radicata in uno screening continuo di tutte le dipendenze TIC di terzi. Per aumentare la consapevolezza delle dipendenze di terzi in materia di TIC da parte delle autorit\u00e0 di vigilanza, e al fine di sostenere ulteriormente il lavoro nel contesto del quadro di vigilanza istituito dal presente regolamento, tutti gli enti finanziari dovrebbero essere tenuti a mantenere un registro di informazioni con tutti gli accordi contrattuali sull'uso dei servizi TIC forniti da fornitori di servizi TIC terzi. Le autorit\u00e0 di vigilanza finanziaria dovrebbero poter richiedere il registro completo o sezioni specifiche dello stesso, ottenendo cos\u00ec informazioni essenziali per acquisire una comprensione pi\u00f9 ampia delle dipendenze dalle TIC delle entit\u00e0 finanziarie.<\/p>\n\n\n\n

(66) Un'accurata analisi precontrattuale dovrebbe sostenere e precedere la conclusione formale degli accordi contrattuali, in particolare concentrandosi su elementi quali la criticit\u00e0 o l'importanza dei servizi supportati dal contratto TIC previsto, le necessarie autorizzazioni di vigilanza o altre condizioni, il possibile rischio di concentrazione che ne deriva, nonch\u00e9 applicando la dovuta diligenza nel processo di selezione e valutazione dei fornitori terzi di servizi TIC e valutando i potenziali conflitti di interesse. Per quanto riguarda gli accordi contrattuali relativi a funzioni critiche o importanti, le entit\u00e0 finanziarie devono prendere in considerazione l'utilizzo da parte dei fornitori di servizi ICT di terzi degli standard di sicurezza delle informazioni pi\u00f9 aggiornati e pi\u00f9 elevati. La risoluzione degli accordi contrattuali potrebbe essere indotta almeno da una serie di circostanze che mostrino carenze a livello del fornitore di servizi TIC di terzi, in particolare violazioni significative di leggi o termini contrattuali, circostanze che rivelino una potenziale alterazione dello svolgimento delle funzioni previste dagli accordi contrattuali, prove di debolezze del fornitore di servizi TIC di terzi nella sua gestione complessiva del rischio TIC, o circostanze che indichino l'incapacit\u00e0 dell'autorit\u00e0 competente pertinente di supervisionare efficacemente l'entit\u00e0 finanziaria.<\/p>\n\n\n\n

(67) Per affrontare l'impatto sistemico del rischio di concentrazione di terzi nel settore delle TIC, il presente regolamento promuove una soluzione equilibrata adottando un approccio flessibile e graduale a tale rischio di concentrazione, poich\u00e9 l'imposizione di massimali rigidi o limitazioni rigorose potrebbe ostacolare la conduzione degli affari e limitare la libert\u00e0 contrattuale. Le entit\u00e0 finanziarie dovrebbero valutare attentamente gli accordi contrattuali previsti per individuare la probabilit\u00e0 che tale rischio emerga, anche attraverso un'analisi approfondita degli accordi di subappalto, in particolare se conclusi con fornitori terzi di servizi TIC stabiliti in un Paese terzo. In questa fase, e al fine di trovare un giusto equilibrio tra l'imperativo di preservare la libert\u00e0 contrattuale e quello di garantire la stabilit\u00e0 finanziaria, non si ritiene appropriato stabilire regole su tetti e limiti rigorosi alle esposizioni di terzi nel settore delle TIC. Nel contesto del quadro di vigilanza, un sorvegliante capofila, nominato ai sensi del presente regolamento, dovrebbe, in relazione ai fornitori critici di servizi TIC di terzi, prestare particolare attenzione a cogliere appieno l'entit\u00e0 delle interdipendenze, scoprire i casi specifici in cui un elevato grado di concentrazione di fornitori critici di servizi TIC di terzi nell'Unione potrebbe mettere a dura prova la stabilit\u00e0 e l'integrit\u00e0 del sistema finanziario dell'Unione e mantenere un dialogo con i fornitori critici di servizi TIC di terzi laddove sia identificato tale rischio specifico.<\/p>\n\n\n\n

(68) Per valutare e monitorare regolarmente la capacit\u00e0 di un fornitore di servizi TIC di terzi di fornire servizi sicuri a un'entit\u00e0 finanziaria senza effetti negativi sulla resilienza operativa digitale dell'entit\u00e0 finanziaria, occorre armonizzare diversi elementi contrattuali chiave con i fornitori di servizi TIC di terzi. Tale armonizzazione dovrebbe riguardare aree minime che sono cruciali per consentire un monitoraggio completo da parte dell'entit\u00e0 finanziaria dei rischi che potrebbero emergere dal fornitore di servizi ICT di terze parti, dal punto di vista della necessit\u00e0 di un'entit\u00e0 finanziaria di garantire la propria resilienza digitale, poich\u00e9 essa dipende profondamente dalla stabilit\u00e0, funzionalit\u00e0, disponibilit\u00e0 e sicurezza dei servizi ICT ricevuti.<\/p>\n\n\n\n

(69) Quando rinegoziano gli accordi contrattuali per cercare di allinearsi ai requisiti del presente regolamento, i soggetti finanziari e i fornitori terzi di servizi TIC devono garantire la copertura delle principali disposizioni contrattuali previste dal presente regolamento.<\/p>\n\n\n\n

(70) La definizione di \"funzione critica o importante\" di cui al presente regolamento comprende le \"funzioni critiche\" quali definite all'articolo 2, paragrafo 1, punto 35, della direttiva 2014\/59\/UE del Parlamento europeo e del Consiglio (20). Di conseguenza, le funzioni considerate critiche ai sensi della direttiva 2014\/59\/UE sono incluse nella definizione di funzioni critiche ai sensi del presente regolamento.<\/p>\n\n\n\n

(71) Indipendentemente dalla criticit\u00e0 o dall'importanza della funzione supportata dai servizi TIC, gli accordi contrattuali dovrebbero, in particolare, prevedere una specifica delle descrizioni complete delle funzioni e dei servizi, dei luoghi in cui tali funzioni sono fornite e in cui i dati devono essere elaborati, nonch\u00e9 un'indicazione delle descrizioni dei livelli di servizio. Altri elementi essenziali per consentire all'entit\u00e0 finanziaria di monitorare il rischio ICT di terzi sono: disposizioni contrattuali che specificano come l'accessibilit\u00e0, la disponibilit\u00e0, l'integrit\u00e0, la sicurezza e la protezione dei dati personali sono assicurate dal fornitore di servizi ICT di terzi, disposizioni che stabiliscono le garanzie pertinenti per consentire l'accesso, il recupero e la restituzione dei dati in caso di insolvenza, risoluzione o cessazione delle attivit\u00e0 commerciali del fornitore di servizi ICT di terzi, nonch\u00e9 disposizioni che richiedono al fornitore di servizi ICT di terzi di fornire assistenza in caso di incidenti ICT in relazione ai servizi forniti, senza costi aggiuntivi o a un costo determinato ex-ante; disposizioni sull'obbligo del fornitore di servizi ICT di terzi di cooperare pienamente con le autorit\u00e0 competenti e le autorit\u00e0 di risoluzione delle crisi dell'entit\u00e0 finanziaria; e disposizioni sui diritti di risoluzione e sui relativi periodi minimi di preavviso per la cessazione degli accordi contrattuali, in conformit\u00e0 alle aspettative delle autorit\u00e0 competenti e delle autorit\u00e0 di risoluzione delle crisi.<\/p>\n\n\n\n

(72) Oltre a tali disposizioni contrattuali, e al fine di garantire che gli enti finanziari mantengano il pieno controllo di tutti gli sviluppi che si verificano a livello di terzi e che possono compromettere la sicurezza delle loro TIC, i contratti per la fornitura di servizi TIC a supporto di funzioni critiche o importanti devono prevedere anche quanto segue: la specificazione delle descrizioni complete dei livelli di servizio, con precisi obiettivi di performance quantitativi e qualitativi, per consentire senza indebiti ritardi le opportune azioni correttive quando i livelli di servizio concordati non vengono raggiunti; i relativi periodi di preavviso e gli obblighi di comunicazione del fornitore di servizi ICT di terze parti in caso di sviluppi con un potenziale impatto materiale sulla capacit\u00e0 del fornitore di servizi ICT di terze parti di fornire efficacemente i rispettivi servizi ICT; l'obbligo per il fornitore di servizi ICT di terze parti di implementare e testare i piani di emergenza aziendali e di disporre di misure, strumenti e politiche di sicurezza ICT che consentano la fornitura sicura dei servizi, nonch\u00e9 di partecipare e collaborare pienamente al TLPT condotto dall'entit\u00e0 finanziaria.<\/p>\n\n\n\n

(73) I contratti per la fornitura di servizi TIC a supporto di funzioni critiche o importanti dovrebbero contenere anche disposizioni che consentano i diritti di accesso, ispezione e revisione da parte dell'ente finanziario, o di una terza parte designata, e il diritto di prendere copie come strumenti cruciali nel monitoraggio continuo delle prestazioni del fornitore di servizi TIC terzo da parte dell'ente finanziario, insieme alla piena collaborazione del fornitore di servizi durante le ispezioni. Allo stesso modo, l'autorit\u00e0 competente dell'entit\u00e0 finanziaria dovrebbe avere il diritto, sulla base di avvisi, di ispezionare e verificare il fornitore di servizi ICT di terzi, fatta salva la protezione delle informazioni riservate.<\/p>\n\n\n\n

(74) Tali accordi contrattuali dovrebbero anche prevedere strategie di uscita specifiche per consentire, in particolare, periodi di transizione obbligatori durante i quali i fornitori di servizi TIC di terzi dovrebbero continuare a fornire i servizi pertinenti al fine di ridurre il rischio di interruzioni a livello dell'entit\u00e0 finanziaria, o per consentire a quest'ultima di passare effettivamente all'uso di altri fornitori di servizi TIC di terzi o, in alternativa, di passare a soluzioni interne, coerentemente con la complessit\u00e0 dei servizi forniti. Servizio ICTServizio ICT<\/span> Si intende un servizio che consiste interamente o principalmente nella trasmissione, memorizzazione, recupero o elaborazione di informazioni mediante reti e sistemi informativi - Definizione ai sensi dell'articolo 2, punto (13), del Regolamento (UE) 2019\/881<\/span><\/span><\/span>. Inoltre, le entit\u00e0 finanziarie che rientrano nell'ambito di applicazione della Direttiva 2014\/59\/UE dovrebbero garantire che i contratti pertinenti per i servizi TIC siano solidi e pienamente applicabili in caso di risoluzione di tali entit\u00e0 finanziarie. Pertanto, in linea con le aspettative delle autorit\u00e0 di risoluzione delle crisi, tali entit\u00e0 finanziarie dovrebbero garantire che i contratti pertinenti per i servizi TIC siano resistenti alla risoluzione delle crisi. Fintanto che continueranno a rispettare i loro obblighi di pagamento, tali entit\u00e0 finanziarie dovrebbero garantire, tra gli altri requisiti, che i contratti pertinenti per i servizi TIC contengano clausole di non risoluzione, non sospensione e non modifica per motivi di ristrutturazione o risoluzione.<\/p>\n\n\n\n

(75) Inoltre, l'uso volontario di clausole contrattuali standard sviluppate dalle autorit\u00e0 pubbliche o dalle istituzioni dell'Unione, in particolare l'uso di clausole contrattuali sviluppate dalla Commissione per i servizi di cloud computing, potrebbe fornire ulteriore conforto agli enti finanziari e ai fornitori terzi di servizi TIC, aumentando il loro livello di certezza giuridica per quanto riguarda l'uso dei servizi di cloud computing nel settore finanziario, in pieno allineamento con i requisiti e le aspettative stabiliti dalla normativa dell'Unione sui servizi finanziari. Lo sviluppo di clausole contrattuali standard si basa sulle misure gi\u00e0 previste nel Piano d'azione Fintech del 2018, che annunciava l'intenzione della Commissione di incoraggiare e facilitare lo sviluppo di clausole contrattuali standard per l'utilizzo dei servizi di cloud computing in outsourcing da parte degli enti finanziari, basandosi sugli sforzi intersettoriali delle parti interessate ai servizi di cloud computing, che la Commissione ha facilitato con l'aiuto del coinvolgimento del settore finanziario.<\/p>\n\n\n\n

(76) Al fine di promuovere la convergenza e l'efficienza in relazione agli approcci di vigilanza nell'affrontare il rischio di terziet\u00e0 delle TIC nel settore finanziario, nonch\u00e9 di rafforzare la resilienza operativa digitale degli enti finanziari che si affidano a fornitori terzi di servizi TIC critici per la fornitura di servizi TIC a sostegno della fornitura di servizi finanziari, e quindi di contribuire a preservare la stabilit\u00e0 del sistema finanziario dell'Unione e l'integrit\u00e0 del mercato interno dei servizi finanziari, \u00e8 opportuno che i fornitori terzi di servizi TIC critici siano soggetti a un quadro di vigilanza dell'Unione. Sebbene l'istituzione del quadro di supervisione sia giustificata dal valore aggiunto di un'azione a livello dell'Unione e in virt\u00f9 del ruolo intrinseco e delle specificit\u00e0 dell'uso dei servizi TIC nella fornitura di servizi finanziari, va ricordato, allo stesso tempo, che questa soluzione appare adatta solo nel contesto del presente regolamento che tratta specificamente della resilienza operativa digitale nel settore finanziario. Tuttavia, tale quadro di supervisione non dovrebbe essere considerato un nuovo modello per la vigilanza dell'Unione in altri settori dei servizi e delle attivit\u00e0 finanziarie.<\/p>\n\n\n\n

(77) Il quadro di vigilanza dovrebbe applicarsi solo ai fornitori terzi di servizi TIC critici. Occorre pertanto prevedere un meccanismo di designazione che tenga conto della dimensione e della natura dell'affidamento del settore finanziario su tali fornitori terzi di servizi TIC. Tale meccanismo dovrebbe prevedere una serie di criteri quantitativi e qualitativi per stabilire i parametri di criticit\u00e0 come base per l'inclusione nell'Oversight Framework. Al fine di garantire l'accuratezza di tale valutazione, e indipendentemente dalla struttura aziendale del fornitore di servizi ICT di terzi, tali criteri dovrebbero, nel caso di un fornitore di servizi ICT di terzi che fa parte di un gruppo pi\u00f9 ampio, prendere in considerazione l'intera struttura del gruppo del fornitore di servizi ICT di terzi. Da un lato, i fornitori critici di servizi TIC di terzi, che non sono automaticamente designati in virt\u00f9 dell'applicazione di tali criteri, dovrebbero avere la possibilit\u00e0 di aderire all'Oversight Framework su base volontaria, dall'altro, i fornitori di servizi TIC di terzi, che sono gi\u00e0 soggetti a meccanismi di sorveglianza a sostegno dell'adempimento dei compiti del Sistema europeo di banche centrali di cui all'articolo 127, paragrafo 2, del TFUE, dovrebbero essere esentati.<\/p>\n\n\n\n

(78) Analogamente, anche i soggetti finanziari che forniscono servizi TIC ad altri soggetti finanziari, pur appartenendo alla categoria dei fornitori di servizi TIC di terzi ai sensi del presente regolamento, dovrebbero essere esentati dal quadro di vigilanza in quanto gi\u00e0 soggetti ai meccanismi di vigilanza stabiliti dalla pertinente normativa dell'Unione in materia di servizi finanziari. Ove applicabile, le autorit\u00e0 competenti dovrebbero prendere in considerazione, nel contesto delle loro attivit\u00e0 di vigilanza, il rischio TIC posto ai soggetti finanziari dai soggetti finanziari che forniscono servizi TIC. Allo stesso modo, in virt\u00f9 dei meccanismi di monitoraggio del rischio esistenti a livello di gruppo, la stessa esenzione dovrebbe essere introdotta per i fornitori terzi di servizi TIC che forniscono servizi prevalentemente alle entit\u00e0 del proprio gruppo. Anche i fornitori terzi di servizi TIC che forniscono servizi TIC esclusivamente in uno Stato membro a entit\u00e0 finanziarie che operano solo in quello Stato membro dovrebbero essere esentati dal meccanismo di designazione a causa delle loro attivit\u00e0 limitate e della mancanza di impatto transfrontaliero.<\/p>\n\n\n\n

(79) La trasformazione digitale dei servizi finanziari ha portato a un livello senza precedenti di utilizzo e di dipendenza dai servizi TIC. Poich\u00e9 \u00e8 diventato inconcepibile fornire servizi finanziari senza l'uso di servizi di cloud computing, soluzioni software e servizi legati ai dati, l'ecosistema finanziario dell'Unione \u00e8 diventato intrinsecamente co-dipendente da alcuni servizi TIC forniti da fornitori di servizi TIC. Alcuni di questi fornitori, innovatori nello sviluppo e nell'applicazione di tecnologie basate sulle TIC, svolgono un ruolo significativo nell'erogazione dei servizi finanziari o si sono integrati nella catena del valore dei servizi finanziari. Sono quindi diventati fondamentali per la stabilit\u00e0 e l'integrit\u00e0 del sistema finanziario dell'Unione. Questo ampio affidamento sui servizi forniti da fornitori terzi di servizi TIC critici, unito all'interdipendenza dei sistemi informativi dei vari operatori di mercato, crea un rischio diretto e potenzialmente grave per il sistema dei servizi finanziari dell'Unione e per la continuit\u00e0 della fornitura di servizi finanziari se i fornitori terzi di servizi TIC critici dovessero essere colpiti da interruzioni operative o da gravi incidenti informatici. Gli incidenti informatici hanno la capacit\u00e0 peculiare di moltiplicarsi e propagarsi in tutto il sistema finanziario a un ritmo notevolmente pi\u00f9 veloce rispetto ad altri tipi di rischio monitorati nel settore finanziario e possono estendersi tra i vari settori e oltre i confini geografici. Hanno il potenziale per evolvere in una crisi sistemica, in cui la fiducia nel sistema finanziario \u00e8 stata erosa a causa dell'interruzione delle funzioni a sostegno dell'economia reale, o in perdite finanziarie sostanziali, che raggiungono un livello che il sistema finanziario non \u00e8 in grado di sopportare o che richiede l'impiego di pesanti misure di assorbimento degli shock. Per evitare che questi scenari si verifichino e mettano in pericolo la stabilit\u00e0 finanziaria e l'integrit\u00e0 dell'Unione, \u00e8 essenziale garantire la convergenza delle pratiche di vigilanza relative al rischio di terzi per le TIC nella finanza, in particolare attraverso nuove norme che consentano all'Unione di sorvegliare i fornitori terzi di servizi TIC critici.<\/p>\n\n\n\n

(80) Il quadro di supervisione dipende in larga misura dal grado di collaborazione tra il sorvegliante principale e i fornitori terzi di servizi TIC critici che forniscono alle entit\u00e0 finanziarie servizi che influiscono sulla fornitura di servizi finanziari. Il successo della sorveglianza si basa, tra l'altro, sulla capacit\u00e0 del sorvegliante principale di condurre efficacemente missioni di monitoraggio e ispezioni per valutare le regole, i controlli e i processi utilizzati dai fornitori terzi di servizi ICT critici, nonch\u00e9 per valutare il potenziale impatto cumulativo delle loro attivit\u00e0 sulla stabilit\u00e0 finanziaria e sull'integrit\u00e0 del sistema finanziario. Allo stesso tempo, \u00e8 fondamentale che i fornitori terzi di servizi ICT critici seguano le raccomandazioni del Lead Overseer e rispondano alle sue preoccupazioni. Poich\u00e9 la mancanza di cooperazione da parte di un fornitore critico di servizi TIC di terzi che fornisce servizi che influiscono sulla fornitura di servizi finanziari, come il rifiuto di concedere l'accesso ai propri locali o di fornire informazioni, finirebbe per privare il Lead Overseer dei suoi strumenti essenziali per valutare il rischio TIC di terzi e potrebbe avere un impatto negativo sulla stabilit\u00e0 finanziaria e sull'integrit\u00e0 del sistema finanziario, \u00e8 necessario prevedere anche un regime sanzionatorio adeguato.<\/p>\n\n\n\n

(81) In questo contesto, la necessit\u00e0 dell'autorit\u00e0 di sorveglianza capofila di imporre penalit\u00e0 per costringere i fornitori di servizi terzi di TIC critici a rispettare gli obblighi in materia di trasparenza e di accesso stabiliti nel presente regolamento non dovrebbe essere compromessa dalle difficolt\u00e0 sollevate dall'applicazione di tali penalit\u00e0 in relazione ai fornitori di servizi terzi di TIC critici stabiliti in paesi terzi. Al fine di garantire l'esecutivit\u00e0 di tali sanzioni e di consentire una rapida introduzione di procedure che sostengano i diritti di difesa dei fornitori critici di servizi TIC di terzi nel contesto del meccanismo di designazione e dell'emissione di raccomandazioni, \u00e8 opportuno che tali fornitori critici di servizi TIC di terzi, che forniscono servizi a entit\u00e0 finanziarie che incidono sulla fornitura di servizi finanziari, siano tenuti a mantenere una presenza commerciale adeguata nell'Unione. A causa della natura della sorveglianza e dell'assenza di accordi comparabili in altre giurisdizioni, non esistono meccanismi alternativi adeguati che garantiscano questo obiettivo attraverso un'efficace cooperazione con le autorit\u00e0 di vigilanza finanziaria dei Paesi terzi in relazione al monitoraggio dell'impatto dei rischi operativi digitali posti dai fornitori sistemici di servizi TIC di terzi, qualificati come fornitori critici di servizi TIC di terzi stabiliti in Paesi terzi. Pertanto, al fine di continuare a fornire servizi TIC a soggetti finanziari nell'Unione, un fornitore di servizi TIC di terzi stabilito in un paese terzo che \u00e8 stato designato come critico ai sensi del presente regolamento dovrebbe intraprendere, entro 12 mesi da tale designazione, tutte le disposizioni necessarie per garantire la sua incorporazione nell'Unione, mediante la costituzione di una filiazione, come definito nell'acquis dell'Unione, in particolare nella direttiva 2013\/34\/UE del Parlamento europeo e del Consiglio (21).<\/p>\n\n\n\n

(82) L'obbligo di costituire una filiale nell'Unione non deve impedire al fornitore terzo di servizi TIC critici di fornire servizi TIC e relativa assistenza tecnica da strutture e infrastrutture situate al di fuori dell'Unione. Il presente regolamento non impone un obbligo di localizzazione dei dati in quanto non richiede che l'archiviazione o il trattamento dei dati siano effettuati nell'Unione.<\/p>\n\n\n\n

(83) I fornitori terzi di servizi TIC critici devono essere in grado di fornire servizi TIC da qualsiasi parte del mondo, non necessariamente o non solo da locali situati nell'Unione. Le attivit\u00e0 di supervisione dovrebbero essere condotte in primo luogo in locali situati nell'Unione e interagendo con soggetti situati nell'Unione, comprese le filiali costituite da fornitori di servizi TIC critici di terzi ai sensi del presente regolamento. Tuttavia, tali azioni all'interno dell'Unione potrebbero essere insufficienti per consentire al sorvegliante principale di svolgere pienamente ed efficacemente i propri compiti ai sensi del presente regolamento. Il sorvegliante capofila dovrebbe quindi essere in grado di esercitare i propri poteri di sorveglianza anche in paesi terzi. L'esercizio di tali poteri nei Paesi terzi dovrebbe consentire al Lead Overseer di esaminare le strutture da cui i servizi TIC o i servizi di assistenza tecnica sono effettivamente forniti o gestiti dal fornitore di servizi TIC critici di terzi e dovrebbe consentire al Lead Overseer una comprensione completa e operativa della gestione del rischio TIC del fornitore di servizi TIC critici di terzi. La possibilit\u00e0 per il Lead Overseer, in quanto agenzia dell'Unione, di esercitare poteri al di fuori del territorio dell'Unione dovrebbe essere debitamente inquadrata da condizioni pertinenti, in particolare il consenso del fornitore di servizi ICT critici di terzi interessato. Allo stesso modo, le autorit\u00e0 competenti del Paese terzo dovrebbero essere informate dell'esercizio delle attivit\u00e0 del sorvegliante principale sul loro territorio e non dovrebbero aver sollevato obiezioni. Tuttavia, al fine di garantire un'attuazione efficiente e fatte salve le rispettive competenze delle istituzioni dell'Unione e degli Stati membri, tali poteri devono essere pienamente ancorati alla conclusione di accordi di cooperazione amministrativa con le autorit\u00e0 competenti del Paese terzo interessato. Il presente regolamento dovrebbe pertanto consentire alle AEV di concludere accordi di cooperazione amministrativa con le autorit\u00e0 competenti dei Paesi terzi, che non dovrebbero altrimenti creare obblighi giuridici nei confronti dell'Unione e dei suoi Stati membri.<\/p>\n\n\n\n

(84) Per facilitare la comunicazione con il Supervisore principale e garantire una rappresentanza adeguata, i fornitori terzi di servizi TIC critici che fanno parte di un gruppo devono designare una persona giuridica come punto di coordinamento.<\/p>\n\n\n\n

(85) Il quadro di supervisione non dovrebbe pregiudicare la competenza degli Stati membri a condurre le proprie missioni di supervisione o monitoraggio nei confronti dei fornitori terzi di servizi TIC che non sono designati come critici ai sensi del presente regolamento, ma che sono considerati importanti a livello nazionale.<\/p>\n\n\n\n

(86) Per sfruttare l'architettura istituzionale multilivello nel settore dei servizi finanziari, \u00e8 opportuno che il comitato congiunto delle AEV continui a garantire un coordinamento generale intersettoriale in relazione a tutte le questioni riguardanti il rischio TIC, conformemente ai suoi compiti in materia di cibersicurezza. Dovrebbe essere supportato da un nuovo sottocomitato (il \"Forum di supervisione\") che svolga lavori preparatori sia per le singole decisioni rivolte ai fornitori terzi di servizi TIC critici, sia per la formulazione di raccomandazioni collettive, in particolare per quanto riguarda l'analisi comparativa dei programmi di supervisione per i fornitori terzi di servizi TIC critici e l'identificazione delle migliori pratiche per affrontare le questioni relative al rischio di concentrazione delle TIC.<\/p>\n\n\n\n

(87) Per garantire che i fornitori terzi di servizi TIC critici siano sorvegliati in modo appropriato ed efficace a livello dell'Unione, il presente regolamento prevede che una qualsiasi delle tre AEV possa essere designata come sorvegliante principale. L'assegnazione individuale di un fornitore critico di servizi TIC di terzi a una delle tre autorit\u00e0 di vigilanza europee dovrebbe risultare da una valutazione della preponderanza di soggetti finanziari che operano nei settori finanziari per i quali tale autorit\u00e0 di vigilanza europea ha responsabilit\u00e0. Questo approccio dovrebbe portare a una ripartizione equilibrata dei compiti e delle responsabilit\u00e0 tra le tre ESA, nel contesto dell'esercizio delle funzioni di sorveglianza, e dovrebbe fare il miglior uso delle risorse umane e delle competenze tecniche disponibili in ciascuna delle tre ESA.<\/p>\n\n\n\n

(88) Ai sorveglianti delegati dovrebbero essere conferiti i poteri necessari per condurre indagini, effettuare ispezioni in loco e fuori sede presso i locali e le sedi dei fornitori di servizi TIC critici di terzi e ottenere informazioni complete e aggiornate. Tali poteri dovrebbero consentire al sorvegliante principale di acquisire una visione reale del tipo, della dimensione e dell'impatto del rischio TIC di terzi per le entit\u00e0 finanziarie e, in ultima analisi, per il sistema finanziario dell'Unione. Affidare alle AEV il ruolo di supervisione principale \u00e8 un prerequisito per comprendere e affrontare la dimensione sistemica del rischio TIC nella finanza. L'impatto dei fornitori terzi di servizi TIC critici sul settore finanziario dell'Unione e i potenziali problemi causati dal rischio di concentrazione delle TIC richiedono un approccio collettivo a livello dell'Unione. L'esecuzione simultanea di molteplici audit e diritti di accesso, eseguiti separatamente da numerose autorit\u00e0 competenti, con scarso o nullo coordinamento tra loro, impedirebbe alle autorit\u00e0 di vigilanza finanziaria di ottenere una panoramica completa ed esaustiva del rischio TIC di terzi nell'Unione, creando inoltre ridondanza, oneri e complessit\u00e0 per i fornitori critici di servizi TIC di terzi, qualora fossero soggetti a numerose richieste di monitoraggio e ispezione.<\/p>\n\n\n\n

(89) A causa dell'impatto significativo della designazione come critica, il presente regolamento dovrebbe garantire che i diritti dei fornitori terzi di servizi TIC critici siano rispettati durante l'attuazione del quadro di supervisione. Prima di essere designati come critici, tali fornitori dovrebbero, ad esempio, avere il diritto di presentare al Lead Overseer una dichiarazione motivata contenente tutte le informazioni pertinenti ai fini della valutazione relativa alla loro designazione. Poich\u00e9 il sorvegliante capofila dovrebbe avere il potere di presentare raccomandazioni su questioni relative al rischio TIC e sui rimedi adeguati, tra cui il potere di opporsi a determinati accordi contrattuali che in ultima analisi incidono sulla stabilit\u00e0 dell'entit\u00e0 finanziaria o del sistema finanziario, i fornitori terzi di servizi TIC critici dovrebbero anche avere la possibilit\u00e0 di fornire, prima della finalizzazione di tali raccomandazioni, spiegazioni in merito all'impatto atteso delle soluzioni, previste nelle raccomandazioni, sui clienti che sono entit\u00e0 che non rientrano nell'ambito di applicazione del presente regolamento e di formulare soluzioni per mitigare i rischi. I fornitori di servizi ICT critici di terze parti che non sono d'accordo con le raccomandazioni devono presentare una spiegazione motivata della loro intenzione di non approvare la raccomandazione. Nel caso in cui tale spiegazione motivata non venga presentata o sia considerata insufficiente, il Lead Overseer dovrebbe emettere un avviso pubblico che descriva sommariamente la questione della non conformit\u00e0.<\/p>\n\n\n\n

(90) Le autorit\u00e0 competenti dovrebbero includere debitamente il compito di verificare la conformit\u00e0 sostanziale alle raccomandazioni emesse dal Lead Overseer tra le loro funzioni di vigilanza prudenziale dei soggetti finanziari. Le autorit\u00e0 competenti dovrebbero essere in grado di richiedere ai soggetti finanziari di adottare misure aggiuntive per affrontare i rischi identificati nelle raccomandazioni del Lead Overseer e dovrebbero, a tempo debito, emettere notifiche a tal fine. Nel caso in cui il Lead Overseer rivolga le sue raccomandazioni a fornitori di servizi ICT critici di terzi che sono sottoposti a vigilanza ai sensi della Direttiva (UE) 2022\/2555, le autorit\u00e0 competenti dovrebbero essere in grado, su base volontaria e prima di adottare misure aggiuntive, di consultare le autorit\u00e0 competenti ai sensi di tale Direttiva, al fine di promuovere un approccio coordinato per trattare con i fornitori di servizi ICT critici di terzi in questione.<\/p>\n\n\n\n

(91) L'esercizio della sorveglianza dovrebbe essere guidato da tre principi operativi volti a garantire: (a) uno stretto coordinamento tra le AEV nel loro ruolo di supervisore principale, attraverso una rete di supervisione congiunta (JON), (b) la coerenza con il quadro istituito dalla direttiva (UE) 2022\/2555 (attraverso una consultazione volontaria degli organismi previsti da tale direttiva per evitare la duplicazione delle misure dirette ai fornitori terzi di servizi TIC critici) e (c) l'applicazione della diligenza per ridurre al minimo il rischio potenziale di interruzione dei servizi forniti dai fornitori terzi di servizi TIC critici ai clienti che sono soggetti che non rientrano nell'ambito di applicazione del presente regolamento.<\/p>\n\n\n\n

(92) Il quadro di vigilanza non deve sostituire, n\u00e9 in alcun modo o in alcuna parte, l'obbligo per i soggetti finanziari di gestire autonomamente i rischi derivanti dall'utilizzo di fornitori terzi di servizi TIC, compreso l'obbligo di mantenere un monitoraggio continuo degli accordi contrattuali conclusi con fornitori terzi di servizi TIC critici. Allo stesso modo, il Quadro di vigilanza non dovrebbe pregiudicare la piena responsabilit\u00e0 dei soggetti finanziari per il rispetto e l'adempimento di tutti gli obblighi legali previsti dal presente regolamento e dalla pertinente legge sui servizi finanziari.<\/p>\n\n\n\n

(93) Per evitare duplicazioni e sovrapposizioni, le autorit\u00e0 competenti dovrebbero astenersi dall'adottare individualmente misure volte a monitorare i rischi critici del fornitore di servizi TIC di terzi e dovrebbero, a tale riguardo, affidarsi alla valutazione del sorvegliante principale pertinente. Qualsiasi misura dovrebbe in ogni caso essere coordinata e concordata in anticipo con il Lead Overseer nell'ambito dell'esercizio dei compiti previsti dal quadro di supervisione.<\/p>\n\n\n\n

(94) Per promuovere la convergenza a livello internazionale per quanto riguarda l'uso delle migliori pratiche nell'esame e nel monitoraggio della gestione del rischio digitale da parte dei fornitori terzi di servizi TIC, le autorit\u00e0 di vigilanza europee dovrebbero essere incoraggiate a concludere accordi di cooperazione con le pertinenti autorit\u00e0 di vigilanza e di regolamentazione dei paesi terzi.<\/p>\n\n\n\n

(95) Per sfruttare le competenze specifiche, le capacit\u00e0 tecniche e l'esperienza del personale specializzato nel rischio operativo e nel rischio TIC all'interno delle autorit\u00e0 competenti, delle tre AEV e, su base volontaria, delle autorit\u00e0 competenti ai sensi della direttiva (UE) 2022\/2555, \u00e8 opportuno che il supervisore principale attinga alle capacit\u00e0 e alle conoscenze nazionali in materia di vigilanza e istituisca gruppi di esame dedicati per ciascun fornitore di servizi di terzi di TIC critici, riunendo gruppi multidisciplinari a sostegno della preparazione e dell'esecuzione delle attivit\u00e0 di supervisione, comprese le indagini e le ispezioni generali sui fornitori di servizi di terzi di TIC critici, nonch\u00e9 di qualsiasi follow-up necessario.<\/p>\n\n\n\n

(96) Mentre i costi derivanti dai compiti di sorveglianza sarebbero interamente finanziati dalle tariffe applicate ai fornitori terzi di servizi TIC di importanza critica, \u00e8 tuttavia probabile che le AEV debbano sostenere, prima dell'avvio del quadro di sorveglianza, costi per l'implementazione di sistemi TIC dedicati a sostegno dell'imminente sorveglianza, poich\u00e9 i sistemi TIC dedicati dovrebbero essere sviluppati e distribuiti in anticipo. Il presente regolamento prevede pertanto un modello di finanziamento ibrido, in base al quale il quadro di supervisione sarebbe, in quanto tale, interamente finanziato a pagamento, mentre lo sviluppo dei sistemi TIC delle ESA sarebbe finanziato dai contributi dell'Unione e delle autorit\u00e0 nazionali competenti.<\/p>\n\n\n\n

(97) Le autorit\u00e0 competenti devono disporre di tutti i poteri di vigilanza, di indagine e di sanzione necessari per garantire il corretto esercizio delle funzioni loro assegnate dal presente regolamento. In linea di principio, dovrebbero pubblicare gli avvisi delle sanzioni amministrative che impongono. Poich\u00e9 i soggetti finanziari e i fornitori terzi di servizi TIC possono essere stabiliti in diversi Stati membri e sottoposti alla vigilanza di diverse autorit\u00e0 competenti, l'applicazione del presente regolamento dovrebbe essere facilitata, da un lato, da una stretta collaborazione tra le autorit\u00e0 competenti pertinenti, compresa la BCE per quanto riguarda i compiti specifici ad essa conferiti dal Regolamento (UE) n. 1024\/2013 del Consiglio e, dall'altro, dalla consultazione con le AEV attraverso lo scambio reciproco di informazioni e la fornitura di assistenza nel contesto delle attivit\u00e0 di vigilanza pertinenti.<\/p>\n\n\n\n

(98) Al fine di quantificare e qualificare ulteriormente i criteri per la designazione dei fornitori di servizi TIC di terzi come critici e di armonizzare le commissioni di sorveglianza, occorre delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE per integrare il presente regolamento specificando ulteriormente l'impatto sistemico che un guasto o un'interruzione operativa di un fornitore di servizi TIC di terzi potrebbe avere sui soggetti finanziari a cui fornisce servizi TIC, il numero di istituti di rilevanza sistemica globale (G-SII) o di altri istituti di rilevanza sistemica (O-SII) che si affidano al fornitore di servizi TIC di terzi in questione, il numero di fornitori di servizi TIC di terzi attivi su un determinato mercato, i costi di migrazione dei dati e dei carichi di lavoro TIC verso altri fornitori di servizi TIC di terzi, nonch\u00e9 l'importo delle commissioni di sorveglianza e le modalit\u00e0 di pagamento. \u00c8 particolarmente importante che la Commissione svolga consultazioni adeguate durante i lavori preparatori, anche a livello di esperti, e che tali consultazioni siano condotte in conformit\u00e0 con i principi stabiliti nell'accordo interistituzionale del 13 aprile 2016 \"Legiferare meglio\" (22). In particolare, per garantire una partecipazione paritaria alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio dovrebbero ricevere tutti i documenti contemporaneamente agli esperti degli Stati membri e i loro esperti dovrebbero avere sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.<\/p>\n\n\n\n

(99) Gli standard tecnici di regolamentazione devono garantire l'armonizzazione coerente dei requisiti stabiliti nel presente regolamento. Nel loro ruolo di organismi dotati di competenze altamente specializzate, le AEV dovrebbero elaborare progetti di norme tecniche di regolamentazione che non comportino scelte politiche, da sottoporre alla Commissione. Gli standard tecnici di regolamentazione dovrebbero essere sviluppati nelle aree della gestione del rischio TIC, della segnalazione di incidenti gravi legati alle TIC, dei test, nonch\u00e9 in relazione ai requisiti chiave per un solido monitoraggio del rischio TIC di terzi. La Commissione e le AEV dovrebbero garantire che tali standard e requisiti possano essere applicati da tutte le entit\u00e0 finanziarie in modo proporzionato alle loro dimensioni e al loro profilo di rischio complessivo, nonch\u00e9 alla natura, alla portata e alla complessit\u00e0 dei loro servizi, attivit\u00e0 e operazioni. Alla Commissione dovrebbe essere conferito il potere di adottare tali norme tecniche di regolamentazione mediante atti delegati ai sensi dell'articolo 290 del TFUE e conformemente agli articoli da 10 a 14 dei regolamenti (UE) n. 1093\/2010, (UE) n. 1094\/2010 e (UE) n. 1095\/2010.<\/p>\n\n\n\n

(100) Per facilitare la comparabilit\u00e0 delle relazioni sugli incidenti rilevanti connessi alle TIC e sugli incidenti rilevanti connessi ai pagamenti operativi o di sicurezza, nonch\u00e9 per garantire la trasparenza degli accordi contrattuali per l'utilizzo dei servizi TIC forniti da fornitori terzi di servizi TIC, le AEV devono elaborare progetti di norme tecniche di attuazione che stabiliscano modelli, moduli e procedure standardizzati per le entit\u00e0 finanziarie che devono segnalare un incidente rilevante connesso alle TIC e un incidente rilevante connesso ai pagamenti operativi o di sicurezza, nonch\u00e9 modelli standardizzati per il registro delle informazioni. Nell'elaborare tali standard, le AEV dovrebbero tenere conto delle dimensioni e del profilo di rischio complessivo dell'entit\u00e0 finanziaria, nonch\u00e9 della natura, della portata e della complessit\u00e0 dei suoi servizi, attivit\u00e0 e operazioni. Alla Commissione dovrebbe essere conferito il potere di adottare tali standard tecnici di esecuzione mediante atti di esecuzione ai sensi dell'articolo 291 del TFUE e conformemente all'articolo 15 dei regolamenti (UE) n. 1093\/2010, (UE) n. 1094\/2010 e (UE) n. 1095\/2010.<\/p>\n\n\n\n

(101) Poich\u00e9 ulteriori requisiti sono gi\u00e0 stati specificati attraverso atti delegati e di esecuzione basati su norme tecniche di regolamentazione e di esecuzione nei regolamenti (CE) n. 1060\/2009 (23), (UE) n. 648\/2012 (24), (UE) n. 600\/2014 (25) e (UE) n. 909\/2014 (26) del Parlamento europeo e del Consiglio, \u00e8 opportuno incaricare le AEV, singolarmente o congiuntamente attraverso il comitato congiunto, di presentare alla Commissione norme tecniche di regolamentazione e di esecuzione per l'adozione di atti delegati e di esecuzione che riprendano e aggiornino le norme vigenti in materia di gestione del rischio TIC.<\/p>\n\n\n\n

(102) Poich\u00e9 il presente regolamento, insieme alla direttiva (UE) 2022\/2556 del Parlamento europeo e del Consiglio (27), comporta il consolidamento delle disposizioni in materia di gestione del rischio TIC in molteplici regolamenti e direttive dell'acquis dell'Unione in materia di servizi finanziari, tra cui i regolamenti (CE) n. 1060\/2009, (UE) n. 1060\/2009, (UE) n. 648\/2012, (UE) n. 600\/2014 e (UE) n. 909\/2014, e il regolamento (UE) 2016\/1011 del Parlamento europeo e del Consiglio (28), al fine di garantire la piena coerenza, tali regolamenti dovrebbero essere modificati per chiarire che le disposizioni applicabili in materia di rischio TIC sono stabilite nel presente regolamento.<\/p>\n\n\n\n

(103) Di conseguenza, \u00e8 opportuno restringere l'ambito di applicazione degli articoli pertinenti relativi al rischio operativo, sui quali i regolamenti (CE) n. 1060\/2009, (UE) n. 648\/2012, (UE) n. 600\/2014, (UE) n. 909\/2014 e (UE) 2016\/1011 avevano imposto l'adozione di atti delegati e di esecuzione, al fine di recepire nel presente regolamento tutte le disposizioni relative agli aspetti della resilienza operativa digitale che oggi fanno parte di tali regolamenti.<\/p>\n\n\n\n

(104) Il potenziale rischio informatico sistemico associato all'uso di infrastrutture TIC che consentono il funzionamento dei sistemi di pagamento e la prestazione di attivit\u00e0 di trattamento dei pagamenti dovrebbe essere debitamente affrontato a livello dell'Unione attraverso norme armonizzate sulla resilienza digitale. A tal fine, la Commissione dovrebbe valutare rapidamente la necessit\u00e0 di rivedere l'ambito di applicazione del presente regolamento, allineando tale revisione all'esito del riesame globale previsto dalla direttiva (UE) 2015\/2366. Numerosi attacchi su larga scala avvenuti nell'ultimo decennio dimostrano come i sistemi di pagamento siano diventati esposti alle minacce informatiche. Collocati al centro della catena dei servizi di pagamento e caratterizzati da forti interconnessioni con l'intero sistema finanziario, i sistemi di pagamento e le attivit\u00e0 di elaborazione dei pagamenti hanno acquisito un'importanza critica per il funzionamento dei mercati finanziari dell'Unione. Gli attacchi informatici a tali sistemi possono causare gravi interruzioni dell'attivit\u00e0 operativa con ripercussioni dirette su funzioni economiche fondamentali, come la facilitazione dei pagamenti, ed effetti indiretti sui processi economici correlati. In attesa di un regime armonizzato e della vigilanza degli operatori dei sistemi di pagamento e delle entit\u00e0 di trattamento a livello dell'Unione, gli Stati membri possono, al fine di applicare pratiche di mercato simili, ispirarsi ai requisiti di resilienza operativa digitale stabiliti dal presente regolamento, nell'applicare le norme agli operatori dei sistemi di pagamento e delle entit\u00e0 di trattamento soggetti a vigilanza nell'ambito delle proprie giurisdizioni.<\/p>\n\n\n\n

(105) Poich\u00e9 l'obiettivo del presente regolamento, vale a dire il conseguimento di un livello elevato di resilienza operativa digitale per le imprese finanziarie regolamentate, non pu\u00f2 essere conseguito in misura sufficiente dagli Stati membri, in quanto richiede l'armonizzazione di varie norme diverse nel diritto dell'Unione e nel diritto nazionale, ma pu\u00f2, a motivo della sua portata e dei suoi effetti, essere conseguito meglio a livello dell'Unione, quest'ultima pu\u00f2 adottare misure conformemente al principio di sussidiariet\u00e0 di cui all'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto \u00e8 necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalit\u00e0 enunciato nello stesso articolo.<\/p>\n\n\n\n

(106) Il Garante europeo della protezione dei dati \u00e8 stato consultato ai sensi dell'articolo 42, paragrafo 1, del regolamento (UE) 2018\/1725 del Parlamento europeo e del Consiglio (29) e ha espresso un parere il 10 maggio 2021 (30),<\/p>\n\n\n\n

HANNO ADOTTATO QUESTO REGOLAMENTO:<\/p>","protected":false},"excerpt":{"rendered":"

Whereas: of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060\/2009, (EU) No 648\/2012, (EU) No 600\/2014, (EU) No 909\/2014 and (EU) 2016\/1011 (Text with EEA relevance) THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, Having regard to the Treaty on the Functioning of the […]<\/p>","protected":false},"author":1,"featured_media":0,"parent":1133,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-1134","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"L'immagine in evidenza dovrebbe essere di almeno 200 x 200 pixel per essere ripresa da Facebook e altri siti di social media.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/it\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"nome utente","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["incredibile","sorprendente","meraviglioso","unico","bello","felicit\u00e0","brillante","affascinante","carismatico","scioccante","chiaro","completamente","riservato","fiducia","significativo","creativo","definitivamente","delizioso","dimostrare","sbrigati","determinato","degno","dinamico","impressionante","essenziale","ispiratore","innovativo","intenso","efficace","magico","magnifico","storico","importante","incredibile","indispensabile","indimenticabile","irresistibile","leggendario","luminoso","lusso","magico","magnifico","maestoso","memorabile","miracoloso","motivante","necessario","nuovo","ufficiale","perfetto","appassionato","persuasivo","fenomenale","piacere","popolare","potere","prestigioso","prodigioso","profondo","prospero","potente","qualit\u00e0","radiante","veloce","di successo","rivoluzionario","soddisfatto","sicurezza","sensazionale","sereno","lussuoso","splendido","sublime","sorprendente","talentuoso","terrificante","unico","valore","vibrante","vittorioso","vivace","veramente","zelante","autentico","avventuroso","spettacolare","esclusivo","garantito","straordinario","favoloso","affascinante","formidabile","geniale","grandioso","gratuito","abile","illimitato","impeccabile","infallibile","infinitamente","influente","ingegnoso","indimenticabile","insostituibile","leader","maestro","notevole","innovativo","pioniere","potente","riconosciuto","rivoluzionario","sorprendente","superiore","trionfante","ultra","coraggioso","prezioso","avanguardia","vigoroso","visionario","volont\u00e0","vitale","trionfo","glorioso","inarrestabile","ineguagliabile","intelligente","invincibile","libert\u00e0","orgoglio","pace","progresso","rinnovato","saggezza","soddisfazione","sicuro","serenit\u00e0","superamento","talento","trascendente","trasformativo","coraggio","vittoria"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u00C4\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u00D6\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u00DC\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u00E4\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u00F6\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u00FC\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/it","objectID":1134,"objectType":"post","locale":"it","localeFull":"it_IT","overlayImages":{"play":{"name":"Icona di riproduzione","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"Icona GIF","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Fit&r=https%3A%2F%2Fnis2resources.eu%2Fit%2Fwp-json%2Fwp%2Fv2%2Fpages%2F1134%2F%3Fnonce%3D7c2ab2316e&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"showKeywordIntent":true,"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Aggiorna","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["incredibile","sorprendente","meraviglioso","unico","bello","felicit\u00e0","brillante","affascinante","carismatico","scioccante","chiaro","completamente","riservato","fiducia","significativo","creativo","definitivamente","delizioso","dimostrare","sbrigati","determinato","degno","dinamico","impressionante","essenziale","ispiratore","innovativo","intenso","efficace","magico","magnifico","storico","importante","incredibile","indispensabile","indimenticabile","irresistibile","leggendario","luminoso","lusso","magico","magnifico","maestoso","memorabile","miracoloso","motivante","necessario","nuovo","ufficiale","perfetto","appassionato","persuasivo","fenomenale","piacere","popolare","potere","prestigioso","prodigioso","profondo","prospero","potente","qualit\u00e0","radiante","veloce","di successo","rivoluzionario","soddisfatto","sicurezza","sensazionale","sereno","lussuoso","splendido","sublime","sorprendente","talentuoso","terrificante","unico","valore","vibrante","vittorioso","vivace","veramente","zelante","autentico","avventuroso","spettacolare","esclusivo","garantito","straordinario","favoloso","affascinante","formidabile","geniale","grandioso","gratuito","abile","illimitato","impeccabile","infallibile","infinitamente","influente","ingegnoso","indimenticabile","insostituibile","leader","maestro","notevole","innovativo","pioniere","potente","riconosciuto","rivoluzionario","sorprendente","superiore","trionfante","ultra","coraggioso","prezioso","avanguardia","vigoroso","visionario","volont\u00e0","vitale","trionfo","glorioso","inarrestabile","ineguagliabile","intelligente","invincibile","libert\u00e0","orgoglio","pace","progresso","rinnovato","saggezza","soddisfazione","sicuro","serenit\u00e0","superamento","talento","trascendente","trasformativo","coraggio","vittoria"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"searchIntents":[],"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages\/1134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/comments?post=1134"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages\/1134\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/pages\/1133"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/it\/wp-json\/wp\/v2\/media?parent=1134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}