COMMISSIONE EUROPEA
Bruxelles, 24.9.2020
COM(2020) 596 final
2020/0268(COD)
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
che modifica le direttive 2006/43/EC, 2009/65/EC, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 and EU/2016/2341
(Testo rilevante ai fini del SEE)
{SEC(2020) 309 final} - {SWD(2020) 203 final} - {SWD(2020) 204 final}
RELAZIONE
1.CONTESTO DELLA PROPOSTA
·Motivi e obiettivi della proposta
La presente proposta fa parte di un pacchetto di misure volte a realizzare e promuovere ulteriormente il potenziale della finanza digitale in termini di innovazione e concorrenza, attenuando nel contempo i rischi. È in linea con le priorità della Commissione per l'Europa all'era digitale e costruire un'economia pronta per il futuro che operi a vantaggio dei cittadini. Il pacchetto sulla finanza digitale comprende una nuova strategia sulla finanza digitale per il settore finanziario dell'UE 1 , allo scopo di garantire che l'Unione abbracci la rivoluzione digitale e la guidi con imprese europee innovative affinché i consumatori e il settore economico possano beneficiarne. Oltre alla presente proposta, il pacchetto comprende anche una proposta di regolamento sui mercati delle cripto-attività 2 , una proposta di regolamento relativo a un regime pilota per le infrastrutture di mercato basate sulla tecnologia di registro distribuito (DLT) 3 e una proposta di regolamento sulla resilienza operativa digitale per il settore finanziario 4 .
I motivi e gli obiettivi delle due serie di misure legislative sono stati illustrati nelle relazioni che introducono la proposta di regolamento relativo a un regime pilota per le infrastrutture di mercato della tecnologia di registro distribuito, la proposta di regolamento sui mercati delle cripto-attività e la proposta di regolamento sulla resilienza operativa digitale, e si applicano anche in questo caso. La presente proposta di direttiva è motivata in particolare dal fatto che, al fine di garantire la certezza del diritto per quanto riguarda le cripto-attività e conseguire l'obiettivo di rafforzare la resilienza operativa digitale, è necessario stabilire un'esenzione temporanea per i sistemi multilaterali di negoziazione e modificare o chiarire talune disposizioni delle vigenti direttive UE relative ai servizi finanziari.
·Coerenza con le disposizioni vigenti nel settore normativo interessato
La presente proposta, analogamente alle proposte di regolamento che accompagna, fa parte di un più ampio lavoro in corso a livello europeo e internazionale volto a i) rafforzare la cibersicurezza nei servizi finanziari e affrontare rischi operativi più ampi, e ii) fornire un quadro normativo dell'UE chiaro, proporzionato e favorevole per i fornitori di servizi di cripto-attività.
·Coerenza con le altre politiche dell'Unione
Come ha affermato la presidente von der Leyen nei suoi orientamenti politici 5 e come si legge nella comunicazione "Plasmare il futuro digitale dell'Europa" 6 , è fondamentale che l'Europa colga tutti i vantaggi dell'era digitale e rafforzi la sua industria e la sua capacità di innovazione entro limiti sicuri ed etici.
Per quanto riguarda le cripto-attività, la presente proposta è strettamente collegata a politiche più ampie della Commissione in materia di tecnologia blockchain, poiché le cripto-attività, in quanto principale applicazione delle tecnologie blockchain, sono indissolubilmente legate alla promozione della tecnologia blockchain in tutta Europa.
Per quanto riguarda la resilienza operativa, la strategia europea per i dati 7 stabilisce quattro pilastri, ovvero protezione dei dati, diritti fondamentali, sicurezza e cibersicurezza, come prerequisiti essenziali per una società che, grazie all'uso dei dati, disponga di maggiori strumenti. Un quadro legislativo che rafforzi la resilienza operativa digitale dei soggetti finanziari dell'Unione è coerente con tali obiettivi strategici. La proposta sosterrebbe inoltre le politiche volte a favorire la ripresa dopo la pandemia di COVID‑19, in quanto garantirebbe che una maggiore dipendenza dalla finanza digitale vada di pari passo con la resilienza operativa. Entrambe le proposte rispondono anche agli inviti, formulati dal Forum ad alto livello sull'Unione dei mercati dei capitali, a stabilire norme chiare per l'uso delle cripto-attività (raccomandazione 7) e a introdurre nuove norme sulla resilienza informatica (raccomandazione 10). 8
2. BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
·Base giuridica
La presente proposta di direttiva si basa sull'articolo 53, paragrafo 1, e sull'articolo 114, TFUE.
·Sussidiarietà (per la competenza non esclusiva)
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Proporzionalità
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle criptoattività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Scelta dell'atto giuridico
La presente proposta di direttiva accompagna le proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale. Tali regolamenti stabiliscono le norme fondamentali che disciplinano
i) i fornitori di servizi di cripto-attività, ii) le condizioni che disciplinano il regime pilota per le infrastrutture di mercato DLT e iii) le norme fondamentali che disciplinano la gestione dei rischi relativi alle TIC, la segnalazione degli incidenti, i test e la sorveglianza. Per conseguire gli obiettivi sanciti da tali regolamenti è inoltre necessario stabilire un'esenzione temporanea per i sistemi multilaterali di negoziazione e modificare diverse direttive del Parlamento europeo e del Consiglio adottate sulla base dell'articolo 53, paragrafo 1, e dell'articolo 114, TFUE. Si rende pertanto necessaria una proposta di direttiva per modificare le direttive in questione.
3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO
·Valutazioni ex post/Vaglio di adeguatezza della legislazione vigente
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Consultazioni dei portatori di interessi
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Assunzione e uso di perizie
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Valutazione d'impatto
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Efficienza normativa e semplificazione
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Diritti fondamentali
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
4.INCIDENZA SUL BILANCIO
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
5.ALTRI ELEMENTI
·Piani attuativi e modalità di monitoraggio, valutazione e informazione
Si vedano le relazioni delle proposte di regolamento in materia di mercati delle cripto-attività, regime temporaneo sulle infrastrutture di mercato DLT e resilienza operativa digitale.
·Illustrazione dettagliata delle singole disposizioni della proposta
Tutti gli articoli riguardano e integrano la proposta di regolamento sulla resilienza operativa digitale. Modificano i vari requisiti in materia di rischio operativo o di gestione del rischio previsti dalle direttive 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 del Parlamento europeo e del Consiglio, introducendo riferimenti incrociati precisi in tali disposizioni e conseguendo così chiarezza giuridica. Più specificatamente:
–gli articoli da 2 a 4, 6 e 8 modificano la direttiva 2009/65/CE concernente il coordinamento delle disposizioni legislative, regolamentari e amministrative in materia di taluni organismi d'investimento collettivo in valori mobiliari (OICVM) 9 , la direttiva 2009/138/CE in materia di accesso ed esercizio delle attività di assicurazione e di riassicurazione (solvibilità II) 10 , la direttiva 2011/61/UE sui gestori di fondi di investimento alternativi 11 , la direttiva 2014/56/UE relativa alle revisioni legali dei conti annuali e dei conti consolidati 12 e la direttiva (UE) 2016/2341 relativa alle attività e alla vigilanza degli enti pensionistici aziendali o professionali (EPAP) 13 , al fine di introdurre, in ciascuna di tali direttive, specifici riferimenti incrociati al regolamento (UE) 2021/xx [DORA] in relazione alla gestione, da parte di questi soggetti finanziari, di strumenti e sistemi TIC che dovrebbe realizzarsi ai sensi delle disposizioni di tale regolamento;
–l'articolo 5 modifica i requisiti della direttiva 2013/36/UE (direttiva sui requisiti patrimoniali, CRD) 14 in materia di piani di emergenza e di continuità operativa al fine di includere i piani di continuità operativa in materia di TIC e di ripristino in caso di disastro istituiti conformemente alle disposizioni del regolamento (UE) 2021/xx [DORA];
–l'articolo 6 modifica la direttiva 2014/65/UE relativa ai mercati degli strumenti finanziari (MIFID 2) aggiungendo riferimenti incrociati al regolamento (UE) 2021/xx [DORA] e modificando le disposizioni relative alla continuità e alla regolarità nella prestazione di servizi e nell'esercizio di attività di investimento, alla resilienza e alla capacità sufficiente dei sistemi di negoziazione e infine a efficaci dispositivi in materia di continuità operativa e gestione del rischio;
–l'articolo 7 modifica la direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (PSD2) 15 e più precisamente le norme di autorizzazione, introducendo un riferimento incrociato al regolamento (UE) 2021/xx [DORA]. Inoltre, le norme in materia di notifica degli incidenti contenute in tale direttiva dovrebbero escludere la notifica di incidenti connessi alle TIC che il regolamento (UE) 2021/xx [DORA] armonizza pienamente;
Il primo paragrafo dell'articolo 6 contribuisce inoltre a chiarire il trattamento giuridico delle cripto-attività ammissibili come strumenti finanziari. A tal fine modifica la definizione di "strumento finanziario" di cui alla direttiva 2014/65/UE relativa ai mercati degli strumenti finanziari per chiarire, al di là di ogni dubbio giuridico, che tali strumenti possono essere emessi utilizzando una tecnologia di registro distribuito.
L'articolo 6, paragrafo 4, integra la proposta di regolamento relativo a un regime pilota per le infrastrutture di mercato basate sulle tecnologie di registro distribuito esentandole temporaneamente da talune disposizioni della direttiva 2014/65/UE, al fine di consentire loro di sviluppare soluzioni per la negoziazione e il regolamento delle operazioni in cripto-attività ammissibili come strumenti finanziari.
2020/0268 (COD)
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
che modifica le direttive 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 e UE 2016/2341
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 53, paragrafo 1, e l'articolo 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere della Banca centrale europea 16 ,
visto il parere del Comitato economico e sociale europeo 17 ,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
(1)L'Unione deve affrontare in modo adeguato e completo i rischi digitali cui sono esposti tutti i soggetti finanziari a causa di un maggiore uso delle tecnologie dell'informazione e della comunicazione (TIC) nella fornitura e nel consumo di servizi finanziari.
(2)Gli operatori del settore finanziario dipendono fortemente dall'uso delle tecnologie digitali nella loro attività quotidiana ed è pertanto essenziale garantire la resilienza operativa delle loro operazioni digitali a fronte dei rischi legati alle TIC. Tale necessità è diventata ancora più pressante a causa della crescita del mercato delle tecnologie innovative, che in particolare consentono di trasferire e archiviare elettronicamente le rappresentazioni digitali di valore o di diritti utilizzando il registro distribuito o tecnologie analoghe ("cripto-attività"), nonché della crescita del mercato dei servizi connessi a tali attività.
(3)A livello di Unione, i requisiti relativi al rischio TIC per il settore finanziario sono attualmente ripartiti tra le direttive 2006/43/CE 18 , 2009/65/CE 19 , 2009/138/CE 20 , 2011/61/UE 21 , 2013/36/UE 22 , 2014/65/UE 23 , (UE) 2015/2366 24 , (UE) 2016/2341 25 del Parlamento europeo e del Consiglio e sono diversi e talvolta incompleti. In alcuni casi, il rischio TIC è stato affrontato solo implicitamente come parte del rischio operativo, mentre in altri non è stato affrontato affatto. È opportuno porre rimedio a tale situazione, allineando il regolamento (UE) xx/20xx del Parlamento europeo e del Consiglio 26 [DORA] e tali atti. La presente direttiva contiene una serie di modifiche che appaiono necessarie per apportare chiarezza giuridica e coerenza in relazione all'applicazione, da parte dei soggetti finanziari autorizzati e sottoposti a vigilanza conformemente a tali direttive, dei vari requisiti di resilienza operativa digitale necessari per lo svolgimento delle loro attività, garantendo in tal modo il corretto funzionamento del mercato interno.
(4)Nel settore dei servizi bancari, la direttiva 2013/36/UE sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento stabilisce attualmente solo norme generali di governance interna e disposizioni sul rischio operativo contenenti requisiti per i piani di emergenza e di continuità operativa che fungono implicitamente da base per affrontare la gestione del rischio TIC. Per garantire che il rischio TIC sia affrontato esplicitamente è però opportuno modificare i requisiti per i piani di emergenza e di continuità operativa al fine di includere piani di continuità operativa e di ripristino in caso di disastro anche per il rischio TIC, conformemente ai requisiti di cui al regolamento (UE) 2021/xx [DORA].
(5)La direttiva 2014/65/UE relativa ai mercati degli strumenti finanziari stabilisce norme più rigorose in materia di TIC per le imprese di investimento e le sedi di negoziazione solo quando effettuano negoziazioni algoritmiche. Requisiti meno dettagliati si applicano ai servizi di comunicazione dei dati e ai repertori di dati sulle negoziazioni. Inoltre, la direttiva contiene solo riferimenti limitati ai dispositivi di controllo e di salvaguardia per i sistemi di elaborazione delle informazioni e all'uso di sistemi, risorse e procedure adeguati per garantire la continuità e la regolarità dei servizi alle imprese. Tale direttiva dovrebbe essere allineata al regolamento (UE) 2021/xx [DORA] per quanto riguarda la continuità e la regolarità della prestazione di servizi e delle attività di investimento, la resilienza operativa, la capacità dei sistemi di negoziazione e l'efficacia dei dispositivi di continuità operativa e la gestione del rischio.
(6)Attualmente la definizione di "strumento finanziario" di cui alla direttiva 2014/65/UE non include esplicitamente gli strumenti finanziari emessi utilizzando una classe di tecnologie che supportano la registrazione distribuita di dati criptati (tecnologia di registro distribuito, "DLT"). Per garantire la possibilità di negoziare tali strumenti finanziari sul mercato nell'ambito dell'attuale quadro giuridico, è opportuno modificare la definizione di cui alla direttiva 2014/65/UE in modo da includerli.
(7)In particolare, per consentire lo sviluppo di cripto-attività ammissibili come strumenti finanziari e DLT, mantenendo nel contempo un elevato livello di stabilità finanziaria, integrità del mercato, trasparenza e protezione degli investitori, sarebbe utile creare un regime temporaneo per le infrastrutture di mercato DLT. Grazie a tale quadro giuridico temporaneo, le autorità competenti potrebbero consentire temporaneamente alle infrastrutture di mercato DLT di operare sulla base di una serie di requisiti in materia di accesso a tali infrastrutture alternativi rispetto a quelli altrimenti applicabili ai sensi della normativa dell'Unione in materia di servizi finanziari, che potrebbero impedire loro di sviluppare soluzioni per la negoziazione e il regolamento delle operazioni di cripto-attività ammissibili come strumenti finanziari. Tale quadro giuridico dovrebbe essere temporaneo per consentire alle autorità europee di vigilanza (AEV) e alle autorità nazionali competenti di acquisire esperienza sulle opportunità e sui rischi specifici creati dalle cripto-attività negoziate su tali infrastrutture. La presente direttiva accompagna pertanto il regolamento [su un regime pilota per le infrastrutture di mercato basate sulla tecnologia di registro distribuito], sostenendo questo nuovo quadro normativo dell'Unione relativo alle infrastrutture di mercato DLT con un'esenzione mirata dalle disposizioni specifiche della legislazione dell'Unione in materia di servizi finanziari applicabili alle attività e ai servizi in relazione agli strumenti finanziari quali definiti all'articolo 4, paragrafo 1, punto 15, della direttiva 2014/65/UE, che altrimenti non offrirebbero la piena flessibilità necessaria per introdurre soluzioni nelle fasi di negoziazione e post-negoziazione delle operazioni relative alle cripto-attività.
(8)Un sistema multilaterale di negoziazione DLT dovrebbe essere un sistema multilaterale gestito da un'impresa di investimento o da un gestore del mercato autorizzati a norma della direttiva 2014/65/UE, che abbia ricevuto un'autorizzazione specifica a norma del regolamento (UE) n. xx/20xx del Parlamento europeo e del Consiglio 27 [proposta di regolamento relativo a un regime pilota sulle infrastrutture di mercato DLT]. I sistemi multilaterali di negoziazione DLT dovrebbero essere soggetti a tutti i requisiti applicabili a un sistema multilaterale di negoziazione a norma di tale direttiva, tranne nel caso in cui l'autorità nazionale competente conceda un'esenzione a norma della presente direttiva. Un potenziale ostacolo normativo allo sviluppo di un sistema multilaterale di negoziazione per i valori mobiliari emessi con una DLT potrebbe essere l'obbligo di intermediazione di cui alla direttiva 2014/65/UE. Un sistema multilaterale di negoziazione tradizionale può ammettere, come membri e partecipanti, solo imprese di investimento, enti creditizi e altre persone che dispongano di un livello sufficiente di capacità e competenza di negoziazione, nonché di risorse e dispositivi organizzativi adeguati. Un sistema multilaterale di negoziazione DLT dovrebbe essere autorizzato a chiedere una deroga a tale obbligo in modo da fornire agli investitori al dettaglio un facile accesso alla sede di negoziazione, a condizione che siano predisposte adeguate garanzie in termini di protezione degli investitori.
(9)La direttiva (UE) 2015/2366 sui servizi di pagamento stabilisce norme specifiche sui controlli di sicurezza delle TIC e sugli elementi di attenuazione ai fini dell'autorizzazione a prestare servizi di pagamento. È opportuno modificare tali norme in materia di autorizzazione per allinearle al regolamento (UE) 2021/xx [DORA]. Inoltre, le norme in materia di notifica degli incidenti contenute in tale direttiva non dovrebbero applicarsi alle notifiche di incidenti connesse alle TIC che il regolamento (UE) 2021/xx [DORA] armonizza pienamente.
(10)Le direttive 2009/138/CE in materia di accesso ed esercizio delle attività di assicurazione e di riassicurazione e (UE) 2016/2341 relativa alle attività e alla vigilanza degli enti pensionistici aziendali o professionali tengono parzialmente conto del rischio TIC nelle rispettive disposizioni generali in materia di governance e gestione del rischio, lasciando che determinati requisiti siano specificati mediante regolamenti delegati con o senza riferimenti specifici al rischio TIC. Disposizioni ancora meno specifiche si applicano ai revisori legali e alle imprese di revisione contabile in quanto la direttiva 2014/56/UE del Parlamento europeo e del Consiglio 28 contiene solo disposizioni generali sull'organizzazione interna. Analogamente, ai gestori di fondi di investimento alternativi e alle società di gestione soggetti alle direttive 2011/61/UE e 2009/65/CE si applicano soltanto norme molto generali. È opportuno pertanto allineare queste direttive agli obblighi stabiliti nel regolamento (UE) 2021/xx [DORA] per quanto riguarda la gestione dei sistemi e degli strumenti TIC.
(11)In molti casi, ulteriori requisiti in materia di TIC sono già stati stabiliti in atti delegati e di esecuzione, adottati sulla base di progetti di norme tecniche di regolamentazione e di attuazione elaborati dalle competenti autorità europee di vigilanza. Per fornire chiarezza giuridica sul fatto che la base giuridica delle disposizioni in materia di rischi TIC deriva ormai esclusivamente dal regolamento (UE) 2021/xx [DORA], è opportuno modificare le competenze conferite da tali direttive, spiegando che le disposizioni in materia di rischi relativi alle TIC non rientrano nell'ambito di applicazione di tali competenze.
(12)Al fine di garantire un'applicazione coerente e simultanea del regolamento xx/20xx [DORA] e della presente direttiva, che insieme costituiscono il nuovo quadro sulla resilienza operativa digitale per il settore finanziario, gli Stati membri dovrebbero applicare le disposizioni di diritto nazionale che recepiscono la presente direttiva a decorrere dalla data di applicazione di tale regolamento.
(13)Le direttive 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 sono state adottate sulla base dell'articolo 53, paragrafo 1, e dell'articolo 114 del trattato sul funzionamento dell'Unione europea. Le modifiche contenute nella presente direttiva dovrebbero essere incluse in un unico atto a causa dell'interconnessione dell'oggetto e degli obiettivi delle modifiche, e tale atto unico dovrebbe essere adottato sulla base dell'articolo 53, paragrafo 1, e dell'articolo 114 del trattato sul funzionamento dell'Unione europea.
(14)Poiché gli obiettivi della presente direttiva non possono essere conseguiti in misura sufficiente dagli Stati membri in quanto comportano l'armonizzazione mediante aggiornamenti e modifiche dei requisiti già contenuti nelle direttive, ma possono, a motivo della portata e degli effetti dell'azione in questione, essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
(15)Conformemente alla dichiarazione politica comune del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi 29 , gli Stati membri si sono impegnati ad accompagnare, in casi giustificati, la notifica delle loro misure di recepimento con uno o più documenti che chiariscano il rapporto tra gli elementi costitutivi di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata,
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
Articolo 1
Modifiche della direttiva 2006/43/CE
All'articolo 24 bis, paragrafo 1, della direttiva 2006/43/CE, la lettera b) è sostituita dalla seguente:
"b) un revisore legale o un'impresa di revisione contabile dispone di procedure amministrative e contabili solide, di meccanismi di controllo interno della qualità, di procedure efficaci per la valutazione del rischio e di meccanismi efficaci di controllo e di tutela per gestire i propri sistemi e strumenti TIC conformemente all'articolo 6 del regolamento (UE) 2021/xx [DORA] del Parlamento europeo e del Consiglio*.
___________________________________
* [titolo completo](GU L […] del […], pag. […]).".
Articolo 2
Modifiche della direttiva 2009/65/CE
Il testo dell'articolo 12 della direttiva 2009/65/CE è così modificato:
(1) al paragrafo 1, secondo comma, la lettera a) è sostituita dalla seguente:
"a) abbia una buona organizzazione amministrativa e contabile, meccanismi di controllo e di salvaguardia in materia di elaborazione elettronica dei dati, tra cui sistemi di tecnologie dell'informazione e della comunicazione istituiti e gestiti ai sensi dell'articolo 6 del regolamento (UE) 2021/xx del Parlamento europeo e del Consiglio* [DORA], nonché procedure adeguate di controllo interno che comprendano, in particolare, regole per le operazioni personali dei dipendenti o per la detenzione o la gestione di investimenti in strumenti finanziari a scopo di investimento in conto proprio e che assicurino, quanto meno, che qualunque transazione in cui intervenga l'OICVM possa essere ricostruita per quanto riguarda l'origine, le controparti, la natura nonché il luogo e il momento in cui è stata effettuata e che il patrimonio degli OICVM gestito dalla società di gestione sia investito conformemente al regolamento del fondo o al suo atto costitutivo e alle norme in vigore;
________________________________
* [titolo completo](GU L […] del […], pag. […]).";
(2) il paragrafo 3 è sostituito dal seguente:
"3. Fatto salvo l'articolo 116, la Commissione adotta, mediante atti delegati conformemente all'articolo 112 bis, misure che precisano:
a) le procedure e le disposizioni di cui al paragrafo 1, secondo comma, lettera a), diversi da quelli relativi alla gestione del rischio connesso alle tecnologie dell'informazione e della comunicazione;
b) le strutture e i requisiti organizzativi volti a ridurre al minimo i conflitti di interesse di cui al paragrafo 1, secondo comma, lettera b). ";
Articolo 3
Modifica della direttiva 2009/138/CE
La direttiva 2009/138/CE è così modificata:
(1)all'articolo 41, il paragrafo 4 è sostituito dal seguente:
"4. Le imprese di assicurazione e di riassicurazione adottano misure ragionevoli atte a garantire la continuità e la regolarità dello svolgimento delle loro attività, tra cui l'elaborazione di piani di emergenza. A tal fine, le imprese in questione utilizzano sistemi, risorse e procedure adeguati e proporzionati, istituiscono sistemi di tecnologie dell'informazione e della comunicazione e li gestiscono conformemente all'articolo 6 del regolamento (UE) 2021/xx del Parlamento europeo e del Consiglio* [DORA].";
____________________________
* * [titolo completo](GU L […] del […], pag. […]).".
(2)all'articolo 50, paragrafo 1, le lettere a) e b) sono sostituite dalle seguenti:
"a) gli elementi dei sistemi di cui agli articoli 41, 44, 46 e 47, diversi dagli elementi relativi alla gestione del rischio connesso alle tecnologie dell'informazione e della comunicazione, e i settori elencati all'articolo 44, paragrafo 2;";
b) le funzioni di cui agli articoli 44, 46, 47 e 48, diverse dalle funzioni relative alla gestione del rischio connesso alle tecnologie dell'informazione e della comunicazione.".
Articolo 4
Modifiche della direttiva 2011/61/CE
L'articolo 18 della direttiva 2011/61/CE è sostituito dal seguente:
"Articolo 18
Principi generali
1. Gli Stati membri impongono ai GEFIA di ricorrere in ogni momento a risorse umane e tecniche adeguate e adatte per la buona gestione dei FIA.
In particolare, le autorità competenti dello Stato membro d'origine del GEFIA, considerata anche la natura del FIA gestito dal GEFIA, impongono a quest'ultimo di possedere una buona organizzazione amministrativa e contabile, modalità di controllo e di salvaguardia per la gestione dei sistemi di tecnologie dell'informazione e della comunicazione richiesti dall'articolo 6 del [regolamento (UE) 2021/xx del Parlamento europeo e del Consiglio* [DORA]], nonché procedure di controllo interno adeguate che comprendano, in particolare, regole per le operazioni personali dei dipendenti o per la detenzione o la gestione di investimenti a scopo di investimento in conto proprio e che assicurino, quanto meno, che qualunque operazione in cui intervenga il FIA possa essere ricostruita per quanto riguarda l'origine, le parti, la natura nonché il luogo e il momento in cui è stata effettuata e che le attività del FIA gestito dal GEFIA siano investite conformemente al regolamento o ai suoi documenti costitutivi del FIA e alle disposizioni normative in vigore.
2. La Commissione adotta, mediante atti delegati in conformità dell'articolo 56 e alle condizioni di cui agli articoli 57 e 58, misure che specifichino le procedure e le modalità di cui al paragrafo 1 diverse dai sistemi di tecnologie dell'informazione e della comunicazione.
_________________________________
* [titolo completo] (GU L […] del […], pag. […]).".
Articolo 5
Modifica della direttiva 2013/36/UE
All'articolo 85 della direttiva 2013/36/UE, il paragrafo 2 è sostituito dal seguente:
"2. Le autorità competenti assicurano che gli enti dispongano di adeguati piani di emergenza e di continuità operativa, compresi piani di continuità operativa e piani di ripristino in caso di disastro per la tecnologia che utilizzano per comunicare le informazioni ("tecnologia dell'informazione e della comunicazione") a norma dell'articolo 6 del regolamento (UE) 2021/xx del Parlamento europeo e del Consiglio* [DORA], affinché possano continuare a operare in caso di grave interruzione dell'operatività e limitare le perdite subite a seguito di tale interruzione.
* * [titolo completo](GU L […] del […], pag. […])."
Articolo 6
Modifiche della direttiva 2014/65/UE
La direttiva 2014/65/UE è così modificata:
(1)all'articolo 4, paragrafo 1, il punto 15 è sostituito dal seguente:
"strumento finanziario": qualsiasi strumento riportato nella sezione C dell'allegato I, compresi gli strumenti emessi mediante tecnologia di registro distribuito;";
(2)l'articolo 16 è così modificato:
(a)il paragrafo 4 è sostituito dal seguente:
"4. Le imprese di investimento adottano misure ragionevoli per garantire la continuità e la regolarità nella prestazione di servizi e nell'esercizio di attività di investimento. A tal fine le imprese di investimento utilizzano sistemi appropriati e proporzionati, compresi sistemi di tecnologie dell'informazione e della comunicazione ("TIC") istituiti e gestiti conformemente all'articolo 6 del regolamento (UE) 2021/xx del Parlamento europeo e del Consiglio* [DORA], nonché risorse e procedure appropriate e proporzionate.";
(b)al paragrafo 5, il secondo e il terzo comma sono sostituiti dal testo seguente:
"Le imprese di investimento dispongono di procedure amministrative e contabili sane, di meccanismi di controllo interno e di procedure efficaci per la valutazione del rischio.
Ferma restando la facoltà delle autorità competenti di ottenere accesso alle comunicazioni conformemente alla presente direttiva e al regolamento (UE) n. 600/2014, le imprese di investimento adottano efficaci meccanismi di sicurezza finalizzati a garantire, conformemente agli obblighi di cui al regolamento (UE) 2021/xx del Parlamento europeo e del Consiglio* [DORA], la sicurezza e l'autenticazione dei mezzi per il trasferimento delle informazioni, a minimizzare i rischi di corruzione dei dati e di accesso non autorizzato e a prevenire la fuga di informazioni tutelando in ogni momento la riservatezza dei dati.";
(3)l'articolo 17 è così modificato:
(a)il paragrafo 1 è sostituito dal seguente:
"1. Le imprese di investimento che effettuano negoziazione algoritmica pongono in essere controlli dei sistemi e del rischio efficaci e idonei per l'attività esercitata volti a garantire che i propri sistemi di negoziazione siano resilienti e dispongano di sufficiente capacità conformemente agli obblighi di cui al capo II del regolamento (UE) 2021/xx [DORA], siano soggetti a soglie e limiti di negoziazione appropriati e impediscano l'invio di ordini erronei o comunque un funzionamento dei sistemi tale da creare un mercato disordinato o contribuirvi.
Tali imprese pongono in essere anche controlli efficaci dei sistemi e del rischio per garantire che i sistemi di negoziazione non possano essere utilizzati per finalità contrarie al regolamento (UE) n. 596/2014 o alle regole di una sede di negoziazione a cui esse sono collegate.
Esse dispongono di meccanismi efficaci di continuità operativa per rimediare a malfunzionamenti dei sistemi di negoziazione, compresi piani di continuità operativa e piani di ripristino in caso di disastro per le tecnologie dell'informazione e della comunicazione di cui all'articolo 6 del regolamento (UE) 2021/xx [DORA], e provvedono affinché i loro sistemi siano verificati a fondo e soggetti a un monitoraggio adeguato per garantirne la conformità ai requisiti generali di cui al presente paragrafo e ai requisiti specifici di cui ai capi II e IV del regolamento (UE) 2021/xx [DORA].";
(b) al paragrafo 7, la lettera a) è sostituita dalla seguente:
"a) precisare i requisiti organizzativi di cui ai paragrafi da 1 a 6, diversi da quelli connessi alla gestione del rischio TIC, da imporre alle imprese di investimento che prestano diversi servizi di investimento, attività di investimento, servizi accessori o combinazioni degli stessi; le informazioni che precisano i requisiti organizzativi di cui al paragrafo 5 indicano i requisiti specifici per l'accesso diretto al mercato e per l'accesso sponsorizzato in modo tale da garantire che i controlli applicati all'accesso sponsorizzato siano almeno equivalenti a quelli applicati all'accesso diretto al mercato;";
(4)all'articolo 19 è aggiunto il paragrafo seguente:
"3. Se tuttavia l'impresa di investimento o il gestore del mercato gestisce un sistema multilaterale di negoziazione basato su tecnologia di registro distribuito ("sistema multilaterale di negoziazione DLT") quale definito all'articolo 2, punto 3, del regolamento (UE) xx/20xx [proposta di regolamento relativo a un regime pilota per l'infrastruttura di mercato DLT], l'autorità competente può consentire che, in base alle sue regole che disciplinano l'accesso di cui all'articolo 18, paragrafo 3, e per un periodo massimo di quattro anni, l'impresa di investimento o il gestore del mercato ammetta persone fisiche nel sistema multilaterale di negoziazione DLT come membri o partecipanti, purché tali persone soddisfino i seguenti requisiti:
(a)godano di sufficiente buona reputazione e possiedano i requisiti di onorabilità e professionalità; e
(b)abbiano un livello sufficiente di capacità, competenza ed esperienza in materia di negoziazione, anche per quanto riguarda il funzionamento della tecnologia di registro distribuito ("DLT") e le negoziazioni su di essa basate.
Quando concede l'esenzione di cui al primo comma, l'autorità competente può imporre ulteriori misure di protezione degli investitori a tutela delle persone fisiche ammesse come membri o partecipanti nel sistema multilaterale di negoziazione DLT. Tali misure sono proporzionate al profilo di rischio dei partecipanti o dei membri.";
(5)all'articolo 47, il paragrafo 1 è così modificato:
(a) la lettera b) è sostituita dalla seguente:
"b) siano adeguatamente attrezzati per gestire i rischi ai quali sono esposti, compresi i rischi relativi ai sistemi e agli strumenti TIC ai sensi dell'articolo 6 del regolamento (UE) 2021/xx [DORA]*, si dotino di dispositivi e sistemi adeguati per identificare tutti i rischi che possano comprometterne il funzionamento e prendano misure efficaci per attenuare tali rischi;"
(b) la lettera c) è soppressa;
(6)l'articolo 48 è così modificato:
(a)il paragrafo 1 è sostituito dal seguente:
"1. Gli Stati membri si assicurano che i mercati regolamentati si dotino di resilienza operativa, conformemente agli obblighi di cui al capo II del regolamento (UE) 2021/xx [DORA], per garantire che i sistemi di negoziazione siano resilienti, abbiano capacità sufficiente per gestire i picchi di volume di ordini e messaggi, siano in grado di garantire negoziazioni ordinate in condizioni di mercato critiche, siano pienamente testati per garantire il rispetto di tali condizioni, siano soggetti a efficaci disposizioni in materia di continuità operativa per garantire la continuità dei servizi in caso di malfunzionamento dei loro sistemi di negoziazione.";
(b)il paragrafo 6 è sostituito dal seguente:
"6. Gli Stati membri si assicurano che i mercati regolamentati dispongano di sistemi, procedure e dispositivi efficaci, anche chiedendo ai membri o ai partecipanti di realizzare prove adeguate degli algoritmi e fornendo ambienti per facilitare la realizzazione di tali prove conformemente agli obblighi di cui ai capi II e IV del regolamento (UE) 2021/xx [DORA], per garantire che i sistemi algoritmici di negoziazione non possano creare o contribuire a creare condizioni di negoziazione anormali sul mercato e per gestire qualsiasi condizione di negoziazione anormale causata da tali sistemi algoritmici di negoziazione, tra cui sistemi per limitare il rapporto tra ordini non eseguiti e operazioni inserite nel sistema da un membro o partecipante, per poter rallentare il flusso di ordini in caso di rischio che sia raggiunta la capacità del sistema e per limitare la dimensione minima dello scostamento di prezzo che può essere eseguita sul mercato e garantirne il rispetto.";
(c)il paragrafo 12 è così modificato:
i) la lettera a) è sostituita dalla seguente
"a) gli obblighi volti a garantire che i sistemi di negoziazione dei mercati regolamentati siano resilienti e abbiano una capacità adeguata, ad eccezione degli obblighi relativi alla resilienza operativa digitale;";
ii) la lettera g) è sostituita dalla seguente:
"g) gli obblighi volti a garantire una verifica adeguata degli algoritmi, diversa dalla verifica della resilienza operativa digitale, in modo da assicurare che i sistemi di negoziazione algoritmica, inclusi i sistemi di negoziazione algoritmica ad alta frequenza, non possano creare o contribuire a creare condizioni di negoziazione anormali sul mercato.";
Articolo 7
Modifiche della direttiva (UE) 2015/2366
La direttiva (UE) 2015/2366 è così modificata:
(7)all'articolo 5, paragrafo 1, terzo comma, la prima frase è sostituita dalla seguente:
"Le misure di controllo e di mitigazione in materia di sicurezza di cui al primo comma, lettera j), indicano in che modo garantiscono un elevato livello di sicurezza tecnica e protezione dei dati, anche per il software e i sistemi informatici utilizzati dal richiedente o dalle imprese alle quali esternalizza la totalità o parte delle sue attività, conformemente al capo II del regolamento (UE) n. 2021/xx del Parlamento europeo e del Consiglio * [DORA]. Tali misure comprendono anche le misure di sicurezza di cui all'articolo 95, paragrafo 1. Tali misure tengono conto degli orientamenti dell'ABE relativi alle misure di sicurezza di cui all'articolo 95, paragrafo 3, una volta adottati."; ____________________________
* [titolo completo] (GU L […] del […], pag. […]).
(8)L'articolo 95 è così modificato:
(a)il paragrafo 1 è sostituito dal seguente:
"1. Gli Stati membri assicurano che i prestatori di servizi di pagamento istituiscano un quadro di misure di mitigazione e meccanismi di controllo adeguati per gestire i rischi operativi e di sicurezza relativi ai servizi di pagamento che prestano e, nell'ambito di tale quadro, i prestatori di servizi di pagamento stabiliscono e gestiscono procedure efficaci di gestione degli incidenti, anche per quanto concerne l'individuazione e la classificazione degli incidenti operativi e di sicurezza gravi, affrontando nel contempo i rischi per le tecnologie dell'informazione e della comunicazione conformemente al capo II del regolamento (UE) 2021/xx [DORA].";
(b)Il paragrafo 4 è soppresso;
(c)il paragrafo 5 è sostituito dal seguente:
"5. L'ABE promuove la cooperazione, compresa la condivisione delle informazioni, nel settore dei rischi operativi associati ai servizi di pagamento tra le autorità competenti e tra le autorità competenti e la BCE.";
(9)l'articolo 96 è così modificato:
(a)il paragrafo 1 è sostituito dal seguente:
"1. In caso di grave incidente operativo o relativo alla sicurezza, che non sia un incidente relativo alle TIC ai sensi dell'articolo 3, punto 6, del regolamento (UE) xx/20xx [DORA], i prestatori di servizi di pagamento lo notificano senza indugio all'autorità competente del loro Stato membro di origine.";
(b)il paragrafo 5 è soppresso;
(10)all'articolo 98, il paragrafo 5 è sostituito dal seguente:
"5. A norma dell'articolo 10 del regolamento (UE) n. 1093/2010, l'ABE periodicamente rivede e, se del caso, aggiorna le norme tecniche di regolamentazione tra l'altro per tenere conto dell'innovazione e dei progressi tecnologici, nonché delle disposizioni del capo II del regolamento (UE) 2021/xx [DORA].".
Articolo 8
Modifica della direttiva (UE) 2016/2341
Nell'articolo 21, paragrafo 5, della direttiva (UE) 2016/2341, la seconda frase è sostituita dalla seguente:
"A tal fine gli EPAP utilizzano sistemi, risorse e procedure adeguati e proporzionati, istituiscono sistemi di tecnologie dell'informazione e della comunicazione e li gestiscono conformemente all'articolo 6 del regolamento (UE) 2021/xx del Parlamento europeo e del Consiglio* [DORA].
_________________________________
* [titolo completo] (GU L […] del […], pag. […]).".
Articolo 9
Recepimento
1.Gli Stati membri adottano e pubblicano, entro [un anno dalla data di adozione], le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.
Applicano tali disposizioni a decorrere dal [data di entrata in vigore del DORA/data di applicazione se diversa].
Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate di un siffatto riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati membri.
2.Gli Stati membri comunicano alla Commissione il testo delle disposizioni fondamentali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.
Articolo 10
Entrata in vigore
La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Articolo 11
Destinatari
Gli Stati membri sono destinatari della presente direttiva.
Fatto a Bruxelles, il
Per il Parlamento europeo Per il Consiglio
Il presidente Il presidente