This document is an excerpt from the EUR-Lex website
Document 32024R1502
Commission Delegated Regulation (EU) 2024/1502 of 22 February 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council by specifying the criteria for the designation of ICT third-party service providers as critical for financial entities
Regolamento delegato (UE) 2024/1502 della Commissione, del 22 febbraio 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio specificando i criteri per la designazione dei fornitori terzi di servizi TIC come critici per le entità finanziarie
Regolamento delegato (UE) 2024/1502 della Commissione, del 22 febbraio 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio specificando i criteri per la designazione dei fornitori terzi di servizi TIC come critici per le entità finanziarie
C/2024/896
GU L, 2024/1502, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Gazzetta ufficiale |
IT Serie L |
|
2024/1502 |
30.5.2024 |
REGOLAMENTO DELEGATO (UE) 2024/1502 DELLA COMMISSIONE
del 22 febbraio 2024
che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio specificando i criteri per la designazione dei fornitori terzi di servizi TIC come critici per le entità finanziarie
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (1), in particolare l’articolo 31, paragrafo 6,
considerando quanto segue:
|
(1) |
Per valutare se un fornitore terzo di servizi TIC sia critico per le entità finanziarie, e tenendo conto dei criteri di cui all’articolo 31, paragrafo 2, del regolamento (UE) 2022/2554, le autorità europee di vigilanza (AEV) dovrebbero utilizzare sottocriteri nel quadro di un approccio di valutazione in due fasi. Considerando l’elevato numero di servizi TIC come pure la diversità e il numero di enti finanziari che utilizzano tali servizi, è opportuno adottare tale approccio in due fasi per filtrare la popolazione di fornitori terzi di servizi TIC e individuare quelli più critici. I sottocriteri quantitativi da considerare nell’ambito della prima fase della valutazione sono necessari per effettuare una prima selezione della popolazione di fornitori terzi di servizi TIC; tale popolazione dovrebbe in seguito essere sottoposta ad un’ulteriore analisi approfondita in funzione dei sottocriteri qualitativi da considerare nell’ambito della seconda fase della valutazione. |
|
(2) |
La misura in cui un servizio TIC prestato da un fornitore terzo di servizi TIC supporta funzioni essenziali o importanti dell’entità finanziaria è considerata un elemento cruciale della valutazione generale della criticità. È pertanto opportuno che l’importanza delle attività delle entità finanziarie supportate dai servizi TIC sia integrata in tutti i sottocriteri considerati nell’ambito della prima fase. Di conseguenza la prima fase della valutazione non dovrebbe prevedere una valutazione quantitativa distinta in relazione alla criticità delle funzioni delle entità finanziarie. È invece opportuno che le AEV considerino la criticità e l’importanza delle funzioni delle entità finanziarie supportate dai servizi TIC nell’ambito della seconda fase, qualitativa, della valutazione. |
|
(3) |
La valutazione dovrebbe essere effettuata per singolo fornitore terzo di servizi TIC o, se del caso, per gruppo di fornitori terzi di servizi TIC se il fornitore terzo appartiene a un gruppo ai sensi dell’articolo 31, paragrafo 3, del regolamento (UE) 2022/2554. Ai fini di una valutazione globale del potenziale impatto sistemico sul settore finanziario dell’Unione, è opportuno assoggettare alla valutazione delle AEV anche i subappaltatori di TIC di fornitori terzi e, se del caso, designarli come fornitori terzi critici di servizi TIC. |
|
(4) |
Onde determinare l’impatto sistemico del fornitore terzo di servizi TIC sulla stabilità, la continuità o la qualità della fornitura di servizi finanziari, è estremamente importante sviluppare una visione chiara della portata e della natura dell’impatto sistemico che una disfunzione operativa su vasta scala di detto fornitore terzo eserciterebbe sulle entità finanziarie — le quali dipendono dai servizi forniti dal fornitore terzo di servizi TIC — e sul sistema finanziario. È pertanto opportuno che all’interno di una determinata categoria di entità finanziarie si considerino quelle che utilizzano gli stessi servizi TIC come pure il valore delle loro attività per valutare se sia pertinente designare come critico il fornitore terzo che offre tali servizi. Onde determinare l’impatto sistemico dei fornitori terzi di servizi TIC sull’attività delle entità finanziarie, è altresì opportuno valutare qualitativamente l’importanza sistemica e l’interconnessione di detti fornitori come pure l’importanza che i servizi TIC da essi prestati rivestono per i servizi finanziari forniti dalle entità finanziarie, tenendo conto della stabilità e della continuità di tali servizi. |
|
(5) |
Per determinare il carattere sistemico e l’importanza delle entità finanziarie che dipendono dai servizi TIC, è necessario tenere conto della natura di tali entità. Qualora entità finanziarie classificate come enti a rilevanza sistemica a livello globale (G-SII) o come altri enti a rilevanza sistemica (O-SII) o ancora identificate come «sistemiche» dipendano dagli stessi servizi TIC per supportare le loro funzioni essenziali o importanti, è auspicabile valutare se il fornitore terzo che presta i servizi TIC debba essere considerato critico per il settore finanziario dell’Unione. È opportuno valutare anche l’interconnessione tra le entità finanziarie all’interno del settore finanziario dell’Unione che dipendono dai servizi TIC prestati dallo stesso fornitore terzo, al fine di determinare la dipendenza di tali entità da detto fornitore. |
|
(6) |
Nel valutare i servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie è opportuno tenere conto della tipologia e della natura critica di tali servizi, elementi necessari affinché le entità finanziarie possano svolgere le proprie attività senza perturbazioni. |
|
(7) |
Onde determinare il grado di sostituibilità del fornitore terzo di servizi TIC, è necessario che le AEV, nel quadro della loro valutazione, tengano conto del numero di fornitori terzi di servizi TIC attivi su un mercato specifico, dell’esistenza di soluzioni alternative per lo stesso servizio TIC, nonché dei costi della migrazione di dati e di carichi di lavoro relativi alle TIC ad altri fornitori terzi di servizi TIC. |
|
(8) |
Per assicurare la solidità del processo di valutazione, nel determinare se i fornitori terzi di servizi TIC debbano essere designati come critici è importante che le AEV si basino sui dati dei registri di informazioni di cui all’articolo 28, paragrafo 3, del regolamento (UE) 2022/2554 e su qualsiasi altra informazione prontamente disponibile, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Approccio di valutazione
1. Nel considerare i criteri di cui all’articolo 31, paragrafo 2, del regolamento (UE) 2022/2554 per designare un fornitore terzo di servizi TIC che è critico per le entità finanziarie, le autorità europee di vigilanza (AEV) applicano l’approccio seguente:
|
a) |
nella prima fase le AEV valutano se il fornitore terzo di servizi TIC soddisfa tutti i sottocriteri della «fase 1» di cui all’articolo 2, paragrafo 1, all’articolo 3, paragrafo 1, e all’articolo 5, paragrafo 1; |
|
b) |
nella seconda fase, per i fornitori terzi di servizi TIC che soddisfano tutti i sottocriteri della «fase 1» di cui alla lettera a), le AEV effettuano la valutazione in funzione dei sottocriteri della «fase 2» di cui all’articolo 2, paragrafo 5, all’articolo 3, paragrafo 4, all’articolo 4, paragrafo 1, e all’articolo 5, paragrafo 5. |
In deroga al primo comma, per la valutazione del criterio di cui all’articolo 31, paragrafo 2, lettera c), del regolamento (UE) 2022/2554, la prima fase corrisponde alla valutazione da effettuare per i criteri di cui all’articolo 31, paragrafo 2, lettere a), b) e d), del medesimo regolamento.
2. Una volto trascorso il termine per presentare la dichiarazione motivata di cui all’articolo 31, paragrafo 5, primo comma, del regolamento (UE) 2022/2554, le AEV, tramite il comitato congiunto e su raccomandazione del forum di sorveglianza, designano un fornitore terzo di servizi TIC come critico per le entità finanziarie se questo soddisfa tutti i sottocriteri della «fase 1» di cui al paragrafo 1, lettera a), e a seguito dell’esito positivo della valutazione effettuata in relazione ai sottocriteri della «fase 2» di cui al paragrafo 1, lettera b).
Articolo 2
Impatto sistemico dei fornitori terzi di servizi TIC sulla stabilità, la continuità o la qualità della fornitura di servizi finanziari
1. Nel considerare il criterio di cui all’articolo 31, paragrafo 2, lettera a), del regolamento (UE) 2022/2554, le AEV valutano se il fornitore terzo di servizi TIC soddisfa i seguenti sottocriteri della «fase 1»:
|
a) |
sottocriterio 1.1: rispetto al numero di entità finanziarie, ripartite per le categorie di entità finanziarie elencate all’articolo 2, paragrafo 1, del regolamento (UE) 2022/2554, la quota di entità finanziarie che ricevono dallo stesso fornitore terzo servizi TIC che supportano funzioni essenziali o importanti; |
|
b) |
sottocriterio 1.2: rispetto al valore totale delle attività delle entità finanziarie, ripartite per le categorie di entità finanziarie elencate all’articolo 2, paragrafo 1, del regolamento (UE) 2022/2554, la quota rappresentata dal valore totale delle attività delle entità finanziarie che ricevono dallo stesso fornitore terzo servizi TIC che supportano funzioni essenziali o importanti delle entità finanziarie. |
2. Il sottocriterio 1.1 di cui al paragrafo 1, lettera a), è calcolato come segue:
|
number of financial entities of a category of financial entities numero delle entità finanziarie di una delle categorie di entità finanziarie di cui all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554, che ricevono dallo stesso fornitore terzo servizi TIC che supportano funzioni essenziali o importanti delle entità finanziarie |
|
numero totale delle entità finanziarie di una delle categorie di entità finanziarie di cui all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554 |
3. Il sottocriterio 1.2 di cui al paragrafo 1, lettera b), è calcolato come segue:
|
(valore totale delle attività delle entità finanziarie di una delle categorie di entità finanziarie elencate all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554, che ricevono dallo stesso fornitore terzo servizi TIC che supportano funzioni essenziali o importanti delle entità finanziarie) |
|
(valore totale delle attività di tutte le entità finanziarie dell'UE della stessa categoria di cui all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554) |
4. Si considera che un fornitore terzo di servizi TIC abbia soddisfatto i sottocriteri della «fase 1» di cui al paragrafo 1 se entrambe le quote calcolate conformemente ai paragrafi 2 e 3 rappresentano almeno il 10 % del numero totale per almeno una categoria di entità finanziarie di cui all’articolo 2, paragrafo 1, del regolamento (UE) 2022/2554.
5. Nel considerare il criterio di cui all’articolo 31, paragrafo 2, lettera a), del regolamento (UE) 2022/2554 e se il fornitore terzo di servizi TIC soddisfa i sottocriteri della «fase 1» di cui al paragrafo 1 del presente articolo, le AEV effettuano la valutazione in funzione dei seguenti sottocriteri della «fase 2»:
|
a) |
sottocriterio 1.3: l’intensità dell’impatto che l’interruzione dei servizi TIC prestati dal fornitore terzo di servizi TIC esercita sull’attività e sulle operazioni delle entità finanziarie individuate nei sottocriteri della «fase 1» di cui al paragrafo 1 del presente articolo e il numero di entità finanziarie interessate; |
|
b) |
sottocriterio 1.4: la dipendenza del fornitore terzo critico di servizi TIC dagli stessi subappaltatori che forniscono servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie. |
Articolo 3
Carattere sistemico e importanza dei servizi TIC forniti alle entità finanziarie
1. Nel considerare il criterio di cui all’articolo 31, paragrafo 2, lettera b), del regolamento (UE) 2022/2554, le AEV valutano se il fornitore terzo di servizi TIC soddisfa i seguenti sottocriteri della «fase 1»:
|
a) |
sottocriterio 2.1: numero di enti a rilevanza sistemica a livello globale (G-SII) e di altri enti a rilevanza sistemica (O-SII) che sono enti creditizi che ricevono dallo stesso fornitore terzo servizi TIC che supportano funzioni essenziali o importanti; |
|
b) |
sottocriterio 2.2: numero di entità finanziarie diverse dagli enti creditizi, dai G-SII e dagli O-SII di cui alla precedente lettera a), identificate come sistemiche dalle autorità competenti di cui all’articolo 46 del regolamento (UE) 2022/2554 e che ricevono dallo stesso fornitore terzo servizi TIC che supportano funzioni essenziali o importanti. |
2. Si considera che un fornitore terzo di servizi TIC abbia soddisfatto il sottocriterio di cui al paragrafo 1, lettera a), se i servizi TIC che fornisce sono utilizzati almeno da:
|
a) |
un G-SII; o |
|
b) |
almeno tre O-SII; o |
|
c) |
almeno un O-SII con un punteggio per gli O-SII superiore a 3 000 calcolato conformemente all’articolo 131, paragrafo 3, della direttiva 2013/36/UE del Parlamento europeo e del Consiglio (2). |
3. Si considera che un fornitore terzo di servizi TIC abbia soddisfatto il sottocriterio di cui al paragrafo 1, lettera b), se i servizi TIC che fornisce sono utilizzati almeno da:
|
a) |
un’entità finanziaria che è un’entità finanziaria di cui all’articolo 2, paragrafo 1, lettera g), h), i) o j), del regolamento (UE) 2022/2554 e che è identificata come «sistemica» dalle autorità competenti; o |
|
b) |
almeno tre entità finanziarie, diverse dagli enti creditizi e dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettera g), h), i) o j), del regolamento (UE) 2022/2554 e che sono identificate come «sistemiche» dalle autorità competenti. |
4. Nel considerare il criterio di cui all’articolo 31, paragrafo 2, lettera b), del regolamento (UE) 2022/2554 e se il fornitore terzo di servizi TIC soddisfa i sottocriteri della «fase 1» di cui al paragrafo 1 del presente articolo, le AEV effettuano la valutazione in funzione del seguente sottocriterio della «fase 2»:
|
— |
sottocriterio 2.3: sono interdipendenti i G-SII o gli O-SII e le altre entità finanziarie rientranti nella valutazione in funzione dei sottocriteri della «fase 1» di cui al paragrafo 1 del presente articolo che dipendono da un servizio TIC prestato dallo stesso fornitore terzo di servizi TIC, anche laddove tali G-SII o O-SII prestino servizi finanziari infrastrutturali ad altre entità finanziarie. |
Articolo 4
Criticità o importanza delle funzioni
Nel considerare il criterio di cui all’articolo 31, paragrafo 2, lettera c), del regolamento (UE) 2022/2554, le AEV effettuano la valutazione in funzione del seguente sottocriterio della «fase 2»:
|
— |
sottocriterio 3.1: il servizio TIC prestato in ultima analisi dallo stesso fornitore terzo di servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie è di natura critica per l’attività di dette entità. |
Articolo 5
Grado di sostituibilità
1. Nel considerare il criterio di cui all’articolo 31, paragrafo 2, lettera d), del regolamento (UE) 2022/2554, le AEV valutano se il fornitore terzo di servizi TIC soddisfa i seguenti sottocriteri della «fase 1»:
|
a) |
sottocriterio 4.1: rispetto al numero totale di entità finanziarie, ripartite per le categorie di entità finanziarie di cui all’articolo 2, paragrafo 1, del regolamento (UE) 2022/2554, la quota di entità finanziarie per le quali non è disponibile alcun fornitore terzo di servizi TIC alternativo dotato della capacità necessaria per fornire gli stessi servizi TIC a supporto delle funzioni essenziali o importanti delle entità finanziarie di quelli prestati dal pertinente fornitore terzo di servizi TIC; |
|
b) |
sottocriterio 4.2: rispetto al numero totale di entità finanziarie, ripartite per le categorie di entità finanziarie di cui all’articolo 2, paragrafo 1, del regolamento (UE) 2022/2554, la quota di entità finanziarie per le quali è estremamente difficile migrare a un altro fornitore terzo il servizio TIC che è prestato dal pertinente fornitore terzo di servizi TIC e che supporta le funzioni essenziali o importanti delle entità finanziarie. |
2. Il sottocriterio 4.1 di cui al paragrafo 1, lettera a), è calcolato come segue:
|
(numero delle entità finanziarie di una delle categorie di entità finanziarie di cui all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554, per le quali non è disponibile alcun fornitore terzo di servizi TIC alternativo dotato della capacità necessaria per fornire gli stessi servizi TIC a supporto delle funzioni essenziali o importanti delle entità finanziarie di quelli prestati dal pertinente fornitore terzo di servizi TIC) |
|
(numero totale delle entità finanziarie di tale categoria di entità finanziarie di cui all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554 ) |
3. Il sottocriterio 4.2 di cui al paragrafo 1, lettera b), è calcolato come segue:
|
(numero delle entità finanziarie di una delle categorie di entità finanziarie di cui all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554, per le quali è estremamente difficile migrare a un altro fornitore terzo o reintegrare il servizio TIC che è prestato dal pertinente fornitore terzo di servizi TIC e che supporta le funzioni essenziali o importanti delle entità finanziarie) |
|
(numero totale delle entità finanziarie dell'UE di tale categoria di entità finanziarie di cui all' articolo 2,paragrafo 1,del regolamento (UE) 2022/2554) |
4. Si considera che un fornitore terzo di servizi TIC abbia soddisfatto entrambi i sottocriteri 4.1 e 4.2 se è rispettata una delle condizioni seguenti:
|
a) |
la quota rappresentata dal numero totale di entità finanziarie di cui al paragrafo 1, lettera a), è pari ad almeno il 10 % del numero totale di entità finanziarie di una delle categorie di entità finanziarie di cui all’articolo 2, paragrafo 1, del regolamento (UE) 2022/2554; |
|
b) |
la quota rappresentata dal numero totale di entità finanziarie di cui al paragrafo 1, lettera b), è pari ad almeno il 10 % del numero totale di entità finanziarie di una delle categorie di entità finanziarie di cui all’articolo 2, paragrafo 1, del regolamento (UE) 2022/2554. |
5. Nel considerare il criterio di cui all’articolo 31, paragrafo 2, lettera d), del regolamento (UE) 2022/2554 e se il fornitore terzo di servizi TIC soddisfa i sottocriteri della «fase 1» di cui al paragrafo 1 del presente articolo, le AEV effettuano la valutazione in funzione del sottocriterio della «fase 2» specificato nell’articolo 31, paragrafo 2, lettera d), punto i), del predetto regolamento.
Articolo 6
Fonti di informazione per la valutazione della criticità
1. Per effettuare la valutazione in funzione dei sottocriteri elencati agli articoli da 2 a 5 le AEV utilizzano i dati forniti dai registri di informazioni di cui all’articolo 28, paragrafo 3, del regolamento (UE) 2022/2554. Per valutare la criticità le AEV possono altresì utilizzare dati aggiuntivi a loro disposizione ricavati da qualsiasi fonte di informazione.
2. Le AEV tengono conto dei dati più recenti di cui dispongono durante l’anno di valutazione o, se del caso, dei dati messi a loro disposizione al più tardi entro il 31 dicembre dell’anno precedente la valutazione della criticità.
Articolo 7
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Tuttavia l’autorità di sorveglianza capofila applica il sottocriterio 1.4 di cui all’articolo 2, paragrafo 5, lettera b), a decorrere dal 16 gennaio 2025.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 22 febbraio 2024
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 333 del 27.12.2022, pag. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj
(2) Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj
ISSN 1977-0707 (electronic edition)