This document is an excerpt from the EUR-Lex website
Document 32022L2556
Directive (EU) 2022/2556 of the European Parliament and of the Council of 14 December 2022 amending Directives 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 and (EU) 2016/2341 as regards digital operational resilience for the financial sector (Text with EEA relevance)
Direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022 che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario (Testo rilevante ai fini del SEE)
Direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022 che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario (Testo rilevante ai fini del SEE)
PE/42/2022/REV/1
GU L 333 del 27.12.2022, p. 153–163
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
27.12.2022 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 333/153 |
DIRETTIVA (UE) 2022/2556 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 14 dicembre 2022
che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 53, paragrafo 1, e l’articolo 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere della Banca centrale europea (1),
visto il parere del Comitato economico e sociale europeo (2),
deliberando secondo la procedura legislativa ordinaria (3),
considerando quanto segue:
(1) |
L’Unione deve affrontare in modo adeguato e completo i rischi digitali cui sono esposte tutte le entità finanziarie a causa di un maggiore uso delle tecnologie dell’informazione e della comunicazione (TIC) nella fornitura e nel consumo di servizi finanziari, contribuendo così alla realizzazione del potenziale della finanza digitale in termini di stimolazione dell’innovazione e promozione della concorrenza in un ambiente digitale sicuro. |
(2) |
Le entità finanziarie dipendono fortemente dall’uso delle tecnologie digitali nella loro attività quotidiana. È pertanto essenziale garantire la resilienza operativa delle loro operazioni digitali a fronte dei rischi informatici. Tale necessità è diventata ancora più pressante a causa della crescita delle tecnologie innovative nel mercato, in particolare le tecnologie che consentono di trasferire e archiviare elettronicamente le rappresentazioni digitali di valore o di diritti utilizzando il registro distribuito o tecnologie analoghe (cripto-attività), nonché della crescita dei servizi connessi a tali attività. |
(3) |
A livello di Unione, i requisiti connessi alla gestione dei rischi informatici nel settore finanziario sono attualmente previsti dalle direttive 2009/65/CE (4), 2009/138/CE (5), 2011/61/UE (6), 2013/36/UE (7), 2014/59/UE (8), 2014/65/UE (9), (UE) 2015/2366 (10) e (UE) 2016/2341 (11) del Parlamento europeo e del Consiglio. Tali requisiti sono diversi e talvolta incompleti. In alcuni casi, i rischi informatici sono stati affrontati solo implicitamente come parte del rischio operativo e in altri casi non sono stati affrontati affatto. A tale situazione si è posto rimedio con l’adozione del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (12). È pertanto opportuno che tali direttive siano modificate per garantire la coerenza con detto regolamento. La presente direttiva attua una serie di modifiche che sono necessarie per apportare chiarezza giuridica e coerenza in relazione all’applicazione, da parte delle entità finanziarie autorizzate e sottoposte a vigilanza conformemente a tali direttive, dei vari requisiti di resilienza operativa digitale necessari per lo svolgimento delle loro attività e per la prestazione di servizi, garantendo in tal modo il corretto funzionamento del mercato interno. È necessario assicurare l’adeguatezza di tali requisiti agli sviluppi del mercato incoraggiando nel contempo la proporzionalità, in particolare per quanto riguarda le dimensioni delle entità finanziarie e dei regimi specifici ai quali sono soggetti, al fine di ridurre i costi di adeguamento alla normativa. |
(4) |
Nel settore dei servizi bancari, la direttiva 2013/36/UE stabilisce attualmente solo norme generali di governance interna e disposizioni sul rischio operativo contenenti requisiti per i piani di emergenza e di continuità operativa che fungono implicitamente da base per affrontare i rischi informatici. Per affrontare i rischi informatici esplicitamente e chiaramente, è però opportuno modificare i requisiti per i piani di emergenza e di continuità operativa al fine di includere anche piani di continuità operativa e di risposta e ripristino riguardanti i rischi informatici, conformemente agli obblighi stabiliti dal regolamento (UE) 2022/2554 Inoltre, i rischi informatici sono inclusi solo implicitamente, nell’ambito del rischio operativo, nel processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation process - SREP) svolto dalle autorità competenti, e i criteri per la sua valutazione sono attualmente definiti negli Orientamenti sulla valutazione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology - ICT) a norma del processo di revisione e valutazione prudenziale (SREP), emessi dall’Autorità europea di vigilanza (Autorità bancaria europea) (ABE), istituita dal regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (13). Al fine di fornire chiarezza giuridica e assicurare che le autorità di vigilanza bancaria individuino i rischi informatici e ne monitorino efficacemente la gestione da parte delle entità finanziarie, in linea con il nuovo quadro sulla resilienza operativa digitale, l’ambito di applicazione dello SREP dovrebbe essere modificato anche per fare riferimento esplicitamente agli obblighi stabiliti dal regolamento (UE) 2022/2554 e coprire in particolare i rischi evidenziati dalle segnalazioni di incidenti gravi connessi alle TIC e dai risultati delle verifiche della resilienza operativa digitale effettuate dalle entità finanziarie conformemente a tale regolamento. |
(5) |
La resilienza operativa digitale è fondamentale per preservare le funzioni essenziali e le linee di business principali di un’entità finanziaria in caso di risoluzione ed evitare in tal modo di perturbare l’economia reale e il sistema finanziario. Gli incidenti operativi gravi possono ostacolare la capacità di un’entità finanziaria di continuare a operare e possono compromettere gli obiettivi della risoluzione. Taluni accordi contrattuali per l’utilizzo di servizi TIC sono essenziali per garantire la continuità operativa e fornire i dati necessari in caso di risoluzione. Al fine di rispettare gli obiettivi del quadro dell’Unione per la resilienza operativa, la direttiva 2014/59/UE dovrebbe essere modificata di conseguenza per garantire che le informazioni relative alla resilienza operativa siano prese in considerazione nel contesto della pianificazione della risoluzione e della valutazione della possibilità di risoluzione delle entità finanziarie. |
(6) |
La direttiva 2014/65/UE stabilisce norme più rigorose in materia di rischi informatici per le imprese di investimento e le sedi di negoziazione che effettuano negoziazioni algoritmiche. Requisiti meno dettagliati si applicano ai servizi di comunicazione dei dati e ai repertori di dati sulle negoziazioni. Inoltre, la direttiva 2014/65/UE contiene solo riferimenti limitati ai dispositivi di controllo e di salvaguardia per sistemi di elaborazione delle informazioni e all’uso di sistemi, risorse e procedure adeguati per garantire la continuità e la regolarità dei servizi alle imprese. Inoltre, tale direttiva dovrebbe essere allineata al regolamento (UE) 2022/2554 per quanto riguarda la continuità e la regolarità nell’erogazione di servizi e nello svolgimento delle attività di investimento, la resilienza operativa, la capacità dei sistemi di negoziazione e l’efficacia dei dispositivi di continuità operativa e della gestione del rischio. |
(7) |
La direttiva (UE) 2015/2366 stabilisce norme specifiche per quanto riguarda le misure di controllo e di mitigazione in materia di sicurezza delle TIC ai fini di ottenere un’autorizzazione a erogare servizi di pagamento. È opportuno modificare tali norme in materia di autorizzazione per allinearle al regolamento (UE) 2022/2554 Inoltre, al fine di ridurre gli oneri amministrativi ed evitare la complessità e la duplicazione degli obblighi di segnalazione, le norme in materia di segnalazione degli incidenti di cui a tale direttiva dovrebbero cessare di applicarsi ai prestatori di servizi di pagamento disciplinati da tale direttiva e soggetti al regolamento (UE) 2022/2554 in modo da permettere a tali prestatori di servizi di pagamento di beneficiare di un meccanismo unico, pienamente armonizzato di notifica degli incidenti per tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti, indipendentemente dal fatto che si tratti di incidenti connessi alle TIC. |
(8) |
Le direttive 2009/138/CE e (UE) 2016/2341 tengono parzialmente conto dei rischi informatici nelle rispettive disposizioni generali in materia di governance e gestione del rischio, lasciando che determinati requisiti siano specificati mediante atti delegati con o senza riferimenti specifici ai rischi informatici. Analogamente, ai gestori di fondi di investimento alternativi soggetti alla direttiva 2011/61/UE e alle società di gestione soggette alla direttiva 2009/65/CE si applicano soltanto norme molto generali. È pertanto opportuno allineare tali direttive agli obblighi stabiliti nel regolamento (UE) 2022/2554 per quanto riguarda la gestione dei sistemi e degli strumenti TIC. |
(9) |
In molti casi, ulteriori requisiti in materia di rischi informatici sono già stati stabiliti in atti delegati e di esecuzione, adottati sulla base di progetti di norme tecniche di regolamentazione e di attuazione elaborati dalla competente autorità europea di vigilanza. Dato che le disposizioni del regolamento (UE) 2022/2554 costituiscono la base giuridica in materia di rischi informatici nel settore finanziario, è opportuno modificare determinate competenze ad adottare atti delegati e di esecuzione di cui alle direttive 2009/65/CE, 2009/138/CE, 2011/61/UE e 2014/65/EU al fine di eliminare le disposizioni in materia di rischi informatici dall’ambito di applicazione di tali competenze. |
(10) |
Al fine di garantire un’attuazione coerente del nuovo quadro sulla resilienza operativa digitale per il settore finanziario, gli Stati membri dovrebbero applicare le disposizioni di diritto nazionale che recepiscono la presente direttiva a decorrere dalla data di applicazione del regolamento (UE) 2022/2554 |
(11) |
Le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 sono state adottate sulla base dell’articolo 53, paragrafo 1, o dell’articolo 114 del trattato sul funzionamento dell’Unione europea (TFUE) o di entrambi. Le modifiche contenute nella presente direttiva sono state incluse in un unico atto legislativo a causa dell’interconnessione dell’oggetto e degli obiettivi delle modifiche. Di conseguenza, la presente direttiva dovrebbe essere adottata sulla base dell’articolo 53, paragrafo 1, e dell’articolo 114 TFUE. |
(12) |
Poiché gli obiettivi della presente direttiva non possono essere conseguiti in misura sufficiente dagli Stati membri in quanto comportano l’armonizzazione degli obblighi già contenuti nelle direttive ma, a motivo della portata e degli effetti dell’azione, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo. |
(13) |
Conformemente alla dichiarazione politica comune del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi (14), gli Stati membri si sono impegnati ad accompagnare, in casi giustificati, la notifica delle loro misure di recepimento con uno o più documenti che chiariscano il rapporto tra gli elementi costitutivi di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata, |
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
Articolo 1
Modifiche della direttiva 2009/65/CE
Il testo dell’articolo 12 della direttiva 2009/65/CE è così modificato:
1) |
al paragrafo 1, secondo comma, la lettera a) è sostituita dalla seguente:
(*1) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).»;" |
2) |
il paragrafo 3 è sostituito dal seguente: «3. Fatto salvo l’articolo 116, la Commissione adotta, mediante atti delegati conformemente all’articolo 112 bis, misure che precisano:
|
Articolo 2
Modifiche della direttiva 2009/138/CE
La direttiva 2009/138/CE è così modificata:
1) |
all’articolo 41, il paragrafo 4 è sostituito dal seguente: «4. Le imprese di assicurazione e di riassicurazione adottano misure ragionevoli atte a garantire la continuità e la regolarità dello svolgimento delle loro attività, tra cui l’elaborazione di piani di emergenza. A tal fine, le imprese in questione utilizzano sistemi, risorse e procedure adeguati e proporzionati e, in particolare, istituiscono e gestiscono sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*2). (*2) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).»;" |
2) |
all’articolo 50, paragrafo 1, le lettere a) e b) sono sostituite dalle seguenti:
|
Articolo 3
Modifica della direttiva 2011/61/UE
L’articolo 18 della direttiva 2011/61/UE è sostituito dal seguente:
«Articolo 18
Principi generali
1. Gli Stati membri impongono ai GEFIA di ricorrere in ogni momento a risorse umane e tecniche adeguate e adatte per la buona gestione dei FIA.
In particolare, le autorità competenti dello Stato membro d’origine del GEFIA, considerata anche la natura del FIA gestito dal GEFIA, impongono a quest’ultimo di possedere una buona organizzazione amministrativa e contabile, modalità di controllo e di salvaguardia in materia di elaborazione elettronica dei dati, anche per quanto riguarda i sistemi informatici e di rete istituiti e gestiti ai sensi del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*3), nonché procedure di controllo interno adeguate che comprendano, in particolare, regole per le operazioni personali dei dipendenti o per la detenzione o la gestione di investimenti a scopo di investimento in conto proprio e che assicurino, quanto meno, che qualunque operazione in cui intervenga il FIA possa essere ricostruita per quanto riguarda l’origine, le parti, la natura nonché il luogo e il momento in cui è stata effettuata e che le attività del FIA gestito dal GEFIA siano investite conformemente al regolamento o ai documenti costitutivi del FIA e alle disposizioni normative in vigore.
2. La Commissione adotta, mediante atti delegati in conformità dell’articolo 56 e alle condizioni di cui agli articoli 57 e 58, misure che specifichino le procedure e le modalità di cui al paragrafo 1 del presente articolo diverse dalle procedure e modalità relative ai sistemi informatici e di rete.
Articolo 4
Modifiche della direttiva 2013/36/UE
La direttiva 2013/36/UE è così modificata:
1) |
all’articolo 65, paragrafo 3, lettera a), il punto vi) è sostituito dal seguente:
(*4) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).;»" |
2) |
all’articolo 74, paragrafo 1, il primo comma è sostituito dal seguente: «Gli enti sono dotati di solidi dispositivi di governance, ivi compresa una chiara struttura dell’organizzazione con linee di responsabilità ben definite, trasparenti e coerenti, di processi efficaci per l’identificazione, la gestione, la sorveglianza e la segnalazione dei rischi ai quali sono o potrebbero essere esposti, e di adeguati meccanismi di controllo interno, ivi compresi valide procedure amministrative e contabili, sistemi informatici e di rete istituiti e gestiti conformemente al regolamento (UE) 2022/2554 , nonché politiche e prassi di remunerazione che riflettano e promuovano una sana ed efficace gestione del rischio.»; |
3) |
all’articolo 85, il paragrafo 2 è sostituito dal seguente: «2. Le autorità competenti assicurano che gli enti dispongano di adeguati politiche e piani di emergenza e di continuità operativa, compresi le politiche e i piani di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC per la tecnologia che utilizzano per comunicare le informazioni e che tali piani siano istituiti, gestiti e testati a norma dell’articolo 11 del regolamento (UE) 2022/2554, affinché gli enti possano continuare a operare in caso di grave interruzione dell’operatività e limitare le perdite subite a seguito di tale interruzione.»; |
4) |
all’articolo 97, paragrafo 1, è aggiunta la lettera seguente:
|
Articolo 5
Modifiche della direttiva 2014/59/UE
La direttiva 2014/59/UE è così modificata:
1) |
l’articolo 10 è così modificato:
|
2) |
l’allegato è così modificato:
|
Articolo 6
Modifiche della direttiva 2014/65/UE
La direttiva 2014/65/UE è così modificata:
1) |
l’articolo 16 è così modificato:
|
2) |
l’articolo 17 è così modificato:
|
3) |
all’articolo 47, il paragrafo 1 è così modificato:
|
4) |
l’articolo 48 è così modificato:
|
Articolo 7
Modifiche della direttiva (UE) 2015/2366
La direttiva (UE) 2015/2366 è così modificata:
1) |
all’articolo 3, la lettera j) è sostituita dalla seguente:
|
2) |
all’articolo 5, il paragrafo 1 è così modificato:
|
3) |
all’articolo 19, paragrafo 6, il secondo comma è sostituito dal seguente: «L’esternalizzazione di funzioni operative importanti, tra cui i sistemi TIC, non deve mettere materialmente a repentaglio la qualità del controllo interno dell’istituto di pagamento né la capacità delle autorità competenti di controllare e documentare che l’istituto di pagamento adempia a tutti gli obblighi definiti dalla presente direttiva.»; |
4) |
all’articolo 95, paragrafo 1, è aggiunto il comma seguente: «Il primo comma lascia impregiudicata l’applicazione del capo II del regolamento (UE) 2022/2554:
|
5) |
all’articolo 96 è aggiunto il paragrafo seguente: «7. Gli Stati membri assicurano che i paragrafi da 1 a 5 del presente articolo non si applichino:
|
6) |
all’articolo 98, il paragrafo 5 è sostituito dal seguente: «5. A norma dell’articolo 10 del regolamento (UE) n. 1093/2010, l’ABE periodicamente rivede e, se del caso, aggiorna le norme tecniche di regolamentazione, tra l’altro, per tenere conto dell’innovazione e dei progressi tecnologici, nonché delle disposizioni del capo II del regolamento (UE) 2022/2554». |
Articolo 8
Modifica della direttiva (UE) 2016/2341
All’articolo 21 della direttiva (UE) 2016/2341, il paragrafo 5 è sostituito dal seguente:
«5. Gli Stati membri assicurano che gli EPAP adottino misure ragionevoli atte a garantire la continuità e la regolarità dello svolgimento delle loro attività, tra cui l’elaborazione di piani di emergenza. A tal fine gli EPAP utilizzano sistemi, risorse e procedure adeguati e proporzionati e, in particolare, istituiscono e gestiscono sistemi informatici e di rete conformemente al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (*8), ove applicabile.
Articolo 9
Recepimento
1. Entro il 17 gennaio 2025, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente direttiva. Essi ne informano immediatamente la Commissione.
Essi applicano tali misure a decorrere dal 17 gennaio 2025.
Le misure adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di un siffatto riferimento all’atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati membri.
2. Gli Stati membri comunicano alla Commissione il testo delle disposizioni principali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 10
Entrata in vigore
La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Articolo 11
Destinatari
Gli Stati membri sono destinatari della presente direttiva.
Fatto a Strasburgo, il 14 dicembre 2022
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
M. BEK
(1) GU C 343 del 26.8.2021, pag. 1.
(2) GU C 155 del 30.4.2021, pag. 38.
(3) Posizione del Parlamento europeo del 10 novembre 2022 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 28 novembre 2022.
(4) Direttiva 2009/65/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, concernente il coordinamento delle disposizioni legislative, regolamentari e amministrative in materia di taluni organismi d’investimento collettivo in valori mobiliari (OICVM) (GU L 302 del 17.11.2009, pag. 32).
(5) Direttiva 2009/138/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, in materia di accesso ed esercizio delle attività di assicurazione e di riassicurazione (solvibilità II) (GU L 335 del 17.12.2009, pag. 1).
(6) Direttiva 2011/61/UE del Parlamento europeo e del Consiglio, dell’8 giugno 2011, sui gestori di fondi di investimento alternativi, che modifica le direttive 2003/41/CE e 2009/65/CE e i regolamenti (CE) n. 1060/2009 e (UE) n. 1095/2010 (GU L 174 dell’1.7.2011, pag. 1).
(7) Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338).
(8) Direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento e che modifica la direttiva 82/891/CEE del Consiglio, e le direttive 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE e 2013/36/UE e i regolamenti (UE) n. 1093/2010 e (UE) n. 648/2012, del Parlamento europeo e del Consiglio (GU L 173 del 12.6.2014, pag. 190).
(9) Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349).
(10) Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).
(11) Direttiva (UE) 2016/2341 del Parlamento europeo e del Consiglio, del 14 dicembre 2016, relativa alle attività e alla vigilanza degli enti pensionistici aziendali o professionali (EPAP) (GU L 354 del 23.12.2016, pag. 37).
(12) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (cfr. pagina 1 della presente Gazzetta ufficiale).
(13) Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/78/CE della Commissione (GU L 331 del 15.12.2010, pag. 12).