Resilienza operativa digitale per il settore finanziario

PUNTI CHIAVE

Ambito di applicazione

Il regolamento riguarda:

• crediti, pagamenti, moneta elettronica ed enti pensionistici aziendali o professionali;
• fornitori di servizi di informazione sui conti, cripto-attività, comunicazione dati, crowdfunding e terze parti TIC;
• imprese di investimento, fondi di investimento alternativi, società di gestione, agenzie di rating del credito e amministratori di indici di riferimento critici;
• repertori di dati sulle negoziazioni e sulle cartolarizzazioni, depositari centrali di titoli, controparti centrali e sedi di negoziazione;
• imprese di assicurazione, intermediari assicurativi e imprese di riassicurazione.

Gestione dei rischi informatici

Le entità finanziarie che non sono microimprese devono:

• attuare misure interne di governance e controllo che garantiscano una gestione efficace e prudente dei rischi informatici;
• garantire che il loro organo di gestione definisca, approva, sovrintenda e sia responsabile di tutte le disposizioni pertinenti;
• disporre di un quadro solido, completo e ben documentato per la gestione dei rischi informatici che comprenda le strategie, le politiche, le procedure, i protocolli e gli strumenti necessari per rispondere rapidamente ed efficacemente;
• utilizzare e mantenere aggiornati sistemi, protocolli e strumenti TIC adeguati, affidabili e tecnologicamente resilienti, dotati di capacità sufficienti;
• individuare, classificare e documentare adeguatamente tutte le funzioni, i ruoli e le responsabilità delle imprese supportate dalle TIC e rivedere gli scenari di rischio;
• monitorare in modo continuativo la sicurezza e il funzionamento dei sistemi e degli strumenti TIC per ridurre al minimo l’impatto di qualsiasi rischio informatico;
• individuare tempestivamente le attività anomale e identificare i potenziali punti di vulnerabilità;
• attuare una politica di continuità operativa delle TIC esaustiva, che disponga di piani, procedure e meccanismi adeguati;
• sviluppare e documentare politiche di backup e procedure di ripristino e recupero;
• impiegare risorse e personale per valutare le vulnerabilità, le minacce informatiche e gli incidenti legati alle TIC, in particolare gli attacchi informatici, e analizzare il loro potenziale impatto sulla resilienza operativa digitale dell’ente;
• elaborare piani di comunicazione delle crisi per comunicare almeno i principali incidenti o vulnerabilità connessi alle TIC ai clienti, alle controparti e al pubblico.

Gestione, classificazione e segnalazione degli incidenti informatici

Le entità finanziarie devono:

• definire, stabilire e attuare misure volte a individuare, gestire, registrare e notificare gli incidenti connessi alle TIC;
• classificare gli incidenti e determinarne l’impatto utilizzando criteri quali il numero di clienti e controparti interessati, la durata, la diffusione geografica e le perdite di dati;
• segnalare i principali incidenti connessi alle TIC alla loro autorità competente designata, che la inoltrerà a un organismo più elevato come la Banca centrale europea o l’Autorità bancaria europea.

Test di resilienza operativa digitale

Le entità finanziarie che non sono microimprese devono:

• stabilire, mantenere e riesaminare un programma di test di resilienza operativa digitale solido ed esaustivo che comprenda le valutazioni, i test, le metodologie, le pratiche e gli strumenti necessari;
• effettuare, almeno ogni tre anni, test di penetrazione del livello di minaccia basati sul loro profilo di rischio e tenendo conto delle circostanze operative, e utilizzare solo tester certificati, in possesso delle competenze e dell’idoneità necessarie e coperti da un’assicurazione di responsabilità civile professionale.

Gestione dei rischi informatici derivanti da terzi

Le entità finanziarie devono:

• gestire i rischi derivanti da terzi come componente integrante della loro gestione complessiva dei rischi informatici;
• avere in atto accordi contrattuali di servizi TIC per svolgere le proprie attività commerciali nel pieno rispetto della legislazione pertinente;
• tenere conto della natura, della portata, della complessità e dell’importanza delle dipendenza connesse alle TIC e di ogni potenziale rischio;
• vagliare i benefici e i costi di soluzioni alternative al momento dell’individuazione e della valutazione dei rischi presenti;
• includere nel contratto i diritti e gli obblighi di ciascuna parte e l’accordo di servizio.

Quadro di sorveglianza dei fornitori terzi critici di servizi TIC

Il quadro:

• affida alle autorità europee di vigilanza (AEV) i compiti di:
• • designare, sulla base di criteri chiari, i fornitori terzi di servizi TIC ritenuti critici per le entità finanziarie;
  • nominare, in qualità di autorità di sorveglianza capofila per ciascun fornitore terzo critico di servizi TIC, l’AEV responsabile dell’entità finanziaria interessata;
• istituire un forum di sorveglianza per:
• • discutere i pertinenti sviluppi in materia di rischi e vulnerabilità relativi alle TIC e promuovere un approccio coerente al monitoraggio a livello dell’Unione;
  • valutare annualmente le attività di vigilanza, promuovere iniziative volte ad aumentare la resilienza operativa digitale e favorire le migliori pratiche;
  • sottoporre parametri di riferimento generali per i fornitori terzi critici di servizi TIC;
• incaricare l’autorità di sorveglianza capofila di:
• • essere il principale punto di contatto per i fornitori terzi critici di servizi TIC;
  • valutare se ciascun fornitore critico abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci;
  • richiedere tutte le informazioni e la documentazione pertinenti, condurre indagini e ispezioni (anche nei paesi terzi), specificare le azioni correttive ed emettere raccomandazioni;
• consentire all’Autorità bancaria europea, all’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali e all’Autorità europea degli strumenti finanziari e dei mercati di collaborare con autorità di regolamentazione e di sorveglianza di paesi terzi sui rischi informatici derivanti da terzi;
• richiede alle ESA di presentare ogni cinque anni una relazione riservata al Parlamento europeo, al Consiglio dell’Unione europea e alla Commissione europea sulle loro relazioni con le autorità di paesi terzi.

Criteri per la designazione dei fornitori critici

A norma del regolamento delegato (UE) 2024/1502, i fornitori terzi di servizi TIC possono essere designati come critici e assoggettati alla supervisione diretta delle autorità europee di vigilanza a seguito di una valutazione in due fasi.

• Fase 1 – criteri quantitativi

Il fornitore deve rispettare soglie misurabili, quali:

• il numero di entità finanziarie, o la quota delle loro attività totali, che dipendono dai servizi del prestatore;
• se serve istituzioni sistemiche (enti di importanza sistemica globale (G-SII) o altri enti di importanza sistemica (O-SII));
• se i suoi servizi possono essere sostituiti o se il passaggio a un altro fornitore sarebbe difficile o costoso.

• Fase 2 – criteri qualitativi

I fornitori che soddisfano la fase 1 vengono poi valutati alla luce di considerazioni più ampie, tra cui:

• l’impatto sistemico potenziale qualora i loro servizi venissero interrotti;
• il grado di interdipendenza tra entità finanziarie che si avvalgono dello stesso fornitore;
• la criticità delle funzioni supportate;
• ricorso a subappaltatori comuni.

Un fornitore viene designato come critico solo se soddisfa i criteri previsti da entrambe le fasi.

Meccanismi di condivisione delle informazioni

Le entità finanziarie possono scambiarsi reciprocamente informazioni e analisi delle minacce informatiche, nella misura in cui ciò:

• miri a potenziare la loro resilienza operativa digitale;
• si svolga entro le loro comunità fidate;
• tuteli la riservatezza commerciale e i dati personali, nonché rispetti le norme della politica di concorrenza.

Sanzioni e misure di riparazione

Le autorità competenti:

• dispongono di tutti i poteri di vigilanza, di indagine e sanzionatori necessari per adempiere i propri compiti;
• impongono, e pubblicano sui loro siti web, le sanzioni amministrative e le misure di riparazione stabilite dal diritto nazionale.

Le AEV elaborano progetti di norme tecniche di regolamentazione per gli strumenti di gestione dei rischi informatici, la classificazione e la segnalazione degli incidenti connessi alle TIC e lo svolgimento di attività di sorveglianza.

La Commissione:

• ha il potere di adottare atti delegati;
• presenterà, entro il 17 gennaio 2028, una revisione del regolamento, previa consultazione delle ESA e del Comitato europeo per il rischio sistemico, al Parlamento e al Consiglio.

Il regolamento modifica il regolamento (CE) n. 1060/2009, i regolamenti (UE) nn. 648/2012, 909/2014 e 600/2014 e il regolamento (UE) 2016/1011.