Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Resilienza operativa digitale per il settore finanziario

Resilienza operativa digitale per il settore finanziario

 

SINTESI DI:

Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario

QUAL È L’OBIETTIVO DEL REGOLAMENTO?

Stabilisce norme uniformi sulla sicurezza dei sistemi informatici e di rete delle entità finanziarie, quali banche, compagnie di assicurazione e imprese di investimento.

Il regolamento riguarda una vasta gamma di entità finanziarie regolamentate dell’Unione europea (Unione), imponendo loro di resistere, rispondere e recuperare da qualsiasi perturbazione o minaccia relativa alle tecnologie dell’informazione e della comunicazione (TIC).

PUNTI CHIAVE

Ambito di applicazione

Il regolamento riguarda:

  • crediti, pagamenti, moneta elettronica ed enti pensionistici aziendali o professionali;
  • fornitori di servizi di informazione sui conti, cripto-attività, comunicazione dati, crowdfunding e terze parti TIC;
  • imprese di investimento, fondi di investimento alternativi, società di gestione, agenzie di rating del credito e amministratori di indici di riferimento critici;
  • repertori di dati sulle negoziazioni e sulle cartolarizzazioni, depositari centrali di titoli, controparti centrali e sedi di negoziazione;
  • imprese di assicurazione, intermediari assicurativi e imprese di riassicurazione.

Gestione dei rischi informatici

Le entità finanziarie che non sono microimprese devono:

  • attuare misure interne di governance e controllo che garantiscano una gestione efficace e prudente dei rischi informatici;
  • garantire che il loro organo di gestione definisca, approva, sovrintenda e sia responsabile di tutte le disposizioni pertinenti;
  • disporre di un quadro solido, completo e ben documentato per la gestione dei rischi informatici che comprenda le strategie, le politiche, le procedure, i protocolli e gli strumenti necessari per rispondere rapidamente ed efficacemente;
  • utilizzare e mantenere aggiornati sistemi informatici, protocolli e strumenti che siano appropriati, affidabili, tecnologicamente resilienti e dotati di capacità sufficienti;
  • individuare, classificare e documentare adeguatamente tutte le funzioni, i ruoli e le responsabilità delle imprese supportate dalle TIC e rivedere gli scenari di rischio;
  • monitorare in modo continuativo la sicurezza e il funzionamento dei sistemi e degli strumenti TIC per ridurre al minimo l’impatto di qualsiasi rischio informatico;
  • individuare tempestivamente le attività anomale e identificare i potenziali punti di vulnerabilità;
  • attuare una politica di continuità operativa delle TIC esaustiva, che disponga di piani, procedure e meccanismi adeguati;
  • sviluppare e documentare politiche di backup e procedure di ripristino e recupero;
  • impiegare risorse e personale per valutare vulnerabilità e minacce informatiche, incidenti connessi alle TIC, in particolare attacchi informatici, e analizzarne il potenziale impatto sulla resilienza operativa digitale delle entità;
  • elaborare piani di comunicazione delle crisi per comunicare almeno i principali incidenti o vulnerabilità connessi alle TIC ai clienti, alle controparti e al pubblico.

Gestione, classificazione e segnalazione degli incidenti informatici

Le entità finanziarie devono:

  • definire, stabilire e attuare misure volte a individuare, gestire, registrare e notificare gli incidenti connessi alle TIC;
  • classificare gli incidenti e determinarne l’impatto utilizzando criteri quali il numero di clienti e controparti interessati, la durata, la diffusione geografica e le perdite di dati;
  • segnalare i principali incidenti connessi alle TIC alla loro autorità competente designata, che la inoltrerà a un organismo più elevato come la Banca centrale europea o l’Autorità bancaria europea.

Test di resilienza operativa digitale

Le entità finanziarie che non sono microimprese devono:

  • stabilire, mantenere e riesaminare un programma di test di resilienza operativa digitale solido ed esaustivo che comprenda le valutazioni, i test, le metodologie, le pratiche e gli strumenti necessari;
  • effettuare, almeno ogni tre anni, test di penetrazione delle minacce in base al loro profilo di rischio e tenendo conto delle circostanze operative, nonché utilizzare solo soggetti incaricati dello svolgimento dei test certificati, in possesso delle competenze e idoneità necessarie e coperti da un’assicurazione di responsabilità professionale.

Gestione dei rischi informatici derivanti da terzi

Le entità finanziarie devono:

  • gestire i rischi derivanti da terzi come componente integrante della loro gestione complessiva dei rischi informatici;
  • avere in atto accordi contrattuali di servizi TIC per svolgere le proprie attività commerciali nel pieno rispetto della legislazione pertinente;
  • tenere conto della natura, della portata, della complessità e dell’importanza delle dipendenza connesse alle TIC e di ogni potenziale rischio;
  • vagliare i benefici e i costi di soluzioni alternative al momento dell’individuazione e della valutazione dei rischi presenti;
  • includere nel contratto i diritti e gli obblighi di ciascuna parte e l’accordo di servizio.

Quadro di sorveglianza dei fornitori terzi critici di servizi TIC

Il quadro:

  • affida alle autorità europee di vigilanza (AEV) i compiti di:
    • designare, sulla base di criteri chiari, i fornitori terzi di servizi TIC ritenuti critici per le entità finanziarie;
    • nominare, in qualità di autorità di sorveglianza capofila per ciascun fornitore terzo critico di servizi TIC, l’AEV responsabile dell’entità finanziaria interessata;
  • istituire un forum di sorveglianza per:
    • discutere i pertinenti sviluppi in materia di rischi e vulnerabilità relativi alle TIC e promuovere un approccio coerente al monitoraggio a livello dell’Unione;
    • valutare, con cadenza annuale, le attività di sorveglianza, promuovere le misure per aumentare la resilienza operativa digitale e favorire le migliori pratiche;
    • sottoporre parametri di riferimento generali per i fornitori terzi critici di servizi TIC;
  • incaricare l’autorità di sorveglianza capofila di:
    • essere il principale punto di contatto per i fornitori terzi critici di servizi TIC;
    • valutare se ciascun fornitore critico abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci;
    • richiedere tutte le informazioni e la documentazione pertinenti, condurre indagini e ispezioni (anche nei paesi terzi), specificare le azioni correttive ed emettere raccomandazioni;
  • consentire all’Autorità bancaria europea, all’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali e all’Autorità europea degli strumenti finanziari e dei mercati di collaborare con autorità di regolamentazione e di sorveglianza di paesi terzi sui rischi informatici derivanti da terzi;
  • richiedere alle AEV di presentare ogni 5 anni una relazione riservata al Parlamento europeo, al Consiglio dell’Unione europea e alla Commissione europea sulle loro relazioni con le autorità dei paesi terzi.

Meccanismi di condivisione delle informazioni

Le entità finanziarie possono scambiarsi reciprocamente informazioni e analisi delle minacce informatiche, nella misura in cui ciò:

  • miri a potenziare la loro resilienza operativa digitale;
  • si svolga entro le loro comunità fidate;
  • tuteli la riservatezza commerciale e i dati personali, nonché rispetti le norme della politica di concorrenza.

Sanzioni e misure di riparazione

Le autorità competenti:

  • dispongono di tutti i poteri di vigilanza, di indagine e sanzionatori necessari per adempiere i propri compiti;
  • impongono, e pubblicano sui loro siti web, le sanzioni amministrative e le misure di riparazione stabilite dal diritto nazionale.

Le AEV elaborano progetti di norme tecniche di regolamentazione per gli strumenti di gestione dei rischi informatici, la classificazione e la segnalazione degli incidenti connessi alle TIC e lo svolgimento di attività di sorveglianza.

La Commissione:

  • ha il potere di adottare atti delegati;
  • presenta al Parlamento e al Consiglio, entro il 17 gennaio 2028, una revisione del regolamento, previa consultazione con le AEV e il Comitato europeo per il rischio sistemico.

Il regolamento modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 909/2014, (UE) n. 600/2014 e (UE) 2016/1011.

A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?

Entrerà in vigore il 17 gennaio 2025.

CONTESTO

Le riforme successive alla crisi finanziaria del 2008 hanno in primo luogo rafforzato la stabilità finanziaria del settore. I rischi informatici sono stati affrontati solo indirettamente in alcuni settori, continuando a porre una sfida alla resilienza operativa, alle prestazioni e alla stabilità del sistema finanziario dell’Unione.

Il regolamento, noto come DORA, fa parte di un pacchetto finanziario digitale più ampio volto a promuovere lo sviluppo tecnologico e garantire la stabilità finanziaria e la protezione dei consumatori. Gli altri elementi comprendono una strategia finanziaria digitale, mercati di cripto-attività e tecnologie di registro distribuito.

Per ulteriori informazioni, si veda:

DOCUMENTO PRINCIPALE

Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).

DOCUMENTI CORRELATI

Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni su una strategia di finanziamento digitale per l’Unione [COM(2020) 591 final del 24.9.2020].

Regolamento (UE) 2016/1011 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sugli indici usati come indici di riferimento negli strumenti finanziari e nei contratti finanziari o per misurare la performance di fondi di investimento e recante modifica delle direttive 2008/48/CE e 2014/17/UE e del regolamento (UE) n. 596/2014 (GU L 171 del 29.6.2016, pag. 1).

Le successive modifiche al regolamento (UE) 2016/1011 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.

Regolamento (UE) n. 909/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, relativo al miglioramento del regolamento titoli nell’Unione europea e ai depositari centrali di titoli e recante modifica delle direttive 98/26/CE e 2014/65/UE e del regolamento (UE) n. 236/2012 (GU L 257 del 28.8.2014, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, pag. 84).

Si veda la versione consolidata.

Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, pag. 1).

Si veda la versione consolidata.

Regolamento (CE) n. 1060/2009 del Parlamento europeo e del Consiglio, del 16 settembre 2009, relativo alle agenzie di rating del credito (GU L 302 del 17.11.2009, pag. 1).

Si veda la versione consolidata.

Ultimo aggiornamento: 10.01.2024

Top