1.   Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:

2.   Quanto alle entità finanziarie identificate come soggetti essenziali o importanti ai sensi delle norme nazionali che recepiscono l’articolo 3 della direttiva 2022/2555, il presente regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 di tale direttiva.

3.   Il presente regolamento lascia impregiudicata la responsabilità degli Stati membri per quanto riguarda le funzioni essenziali dello Stato concernenti la sicurezza pubblica, la difesa e la sicurezza nazionale conformemente al diritto dell’Unione.

1.   Fatti salvi i paragrafi 3 e 4, il presente regolamento si applica alle entità seguenti:

2.   Ai fini del presente regolamento le entità di cui al paragrafo 1 lettere da a) a t) sono definite collettivamente «entità finanziarie».

3.   Il presente regolamento non si applica a:

4.   Gli Stati membri possono escludere dall’ambito di applicazione del presente regolamento le entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE che sono situati nei rispettivi territori. Qualora uno Stato membro si avvalga di tale facoltà, e in occasione di ogni successiva modifica, ne informa la Commissione. La Commissione mette tali informazioni a disposizione del pubblico sul suo sito web o attraverso altri canali facilmente accessibili.

1.   Le entità finanziarie attuano le norme di cui al capo II conformemente al principio di proporzionalità, tenendo conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, delle loro attività e della loro operatività.

2.   Inoltre, l’applicazione dei capi III e IV e del capo V, sezione I, da parte delle entità finanziarie è proporzionata alle loro dimensioni e al loro profilo di rischio complessivo, nonché alla natura, alla portata e alla complessità dei loro servizi, delle loro attività e della loro operatività, come specificamente previsto dalle pertinenti norme di tali capi.

3.   Le autorità competenti prendono in considerazione l’applicazione del principio di proporzionalità da parte delle entità finanziarie in sede di riesame della coerenza del quadro per la gestione dei rischi informatici sulla base delle relazioni presentate su richiesta delle autorità competenti a norma dell’articolo 6, paragrafo 5, e dell’articolo 16, paragrafo 2.

1.   Le entità finanziarie predispongono un quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente di tutti i rischi informatici, conformemente all’articolo 6, paragrafo 4, al fine di acquisire un elevato livello di resilienza operativa digitale.

2.   L’organo di gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, vigila su tale attuazione e ne è responsabile.

Ai fini del primo comma, l’organo di gestione:

3.   Le entità finanziarie diverse dalle microimprese istituiscono un ruolo al fine di monitorare gli accordi conclusi con i fornitori terzi di servizi TIC per l’uso di tali servizi, oppure designano un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente.

4.   I membri dell’organo di gestione dell’entità finanziaria mantengono attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi informatici gestiti.

1.   Nell’ambito del sistema di gestione globale del rischio, le entità finanziarie predispongono un quadro per la gestione dei rischi informatici solido, esaustivo e adeguatamente documentato, che consenta loro di affrontare i rischi informatici in maniera rapida, efficiente ed esaustiva, assicurando un elevato livello di resilienza operativa digitale.

2.   Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e i risorse TIC, compresi software, hardware e server, nonché tutte le pertinenti infrastrutture e componenti fisiche, quali i locali, i centri di elaborazione dati e le aree designate come sensibili, così da garantire che tutti i patrimoni informativi e i risorse TIC siano adeguatamente protetti contro i rischi, compresi i danneggiamenti e l’accesso o l’uso non autorizzati.

3.   Conformemente al proprio quadro per la gestione dei rischi informatici, le entità finanziarie riducono al minimo l’impatto dei rischi informatici applicando strategie, politiche, procedure, protocolli e strumenti in materia di TIC adeguati. Forniscono alle autorità competenti, su richiesta di queste ultime, informazioni complete e aggiornate sui rischi informatici e sul proprio quadro per la gestione dei rischi informatici.

4.   Le entità finanziarie diverse dalle microimprese attribuiscono la responsabilità della gestione e della sorveglianza dei rischi informatici a una funzione di controllo, di cui assicurano un livello appropriato d’indipendenza per evitare conflitti d’interessi. Le entità finanziarie garantiscono un’opportuna separazione e indipendenza tra funzioni di gestione dei rischi informatici, funzioni di controllo e funzioni di audit interno, secondo il modello delle tre linee di difesa o secondo un modello interno di controllo e gestione del rischio.

5.   Il quadro per la gestione dei rischi informatici è documentato e riesaminato almeno una volta all’anno, o periodicamente in caso di microimprese, nonché in occasione di gravi incidenti TIC e in seguito a indicazioni o conclusioni delle autorità di vigilanza formulate a seguito di pertinenti test di resilienza operativa digitale o di processi di audit. Il quadro è costantemente migliorato sulla base degli insegnamenti tratti dall’attuazione e dal monitoraggio. È presentata all’autorità competente, su sua richiesta, una relazione in merito al riesame del quadro per la gestione dei rischi informatici.

6.   Il quadro per la gestione dei rischi informatici delle entità finanziarie, diverse dalle microimprese, è sottoposto periodicamente a verifiche di audit interne effettuate da addetti all’audit in linea con i piani di audit delle entità finanziarie. Tali addetti all’audit possiedono conoscenze, competenze ed esperienze adeguate in materia di rischi informatici, nonché un’adeguata indipendenza. La frequenza e l’oggetto delle verifiche di audit in materia di TIC sono commisurati ai rischi connessi alle TIC cui è esposta l’entità finanziaria.

7.   Sulla base delle conclusioni dell’audit interno in materia di TIC, le entità finanziarie istituiscono un procedimento formale per darvi seguito, comprendente regole per la verifica tempestiva delle risultanze critiche e l’adozione di rimedi.

8.   Il quadro per la gestione dei rischi informatici comprende una strategia di resilienza operativa digitale che definisce le modalità di attuazione del quadro. A tal fine, la strategia di resilienza operativa digitale include metodi per affrontare i rischi informatici e conseguire specifici obiettivi in materia di TIC:

9.   Le entità finanziarie possono, nel contesto della strategia di resilienza operativa digitale di cui al paragrafo 8, definire una strategia olistica per le TIC a livello di gruppo o di entità, basata su una varietà di fornitori, che indichi le principali dipendenze da fornitori terzi di servizi TIC e che spieghi la logica sottesa alla ripartizione degli appalti tra i fornitori terzi di servizi TIC.

10.   Le entità finanziarie possono, conformemente alla normativa settoriale dell’Unione e nazionale, esternalizzare a imprese interne o esterne al gruppo i compiti di verifica della conformità ai requisiti in materia di gestione dei rischi informatici. In caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di verificare la conformità ai requisiti in materia di gestione dei rischi informatici.

1.   Nell’ambito del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie identificano, classificano e documentano adeguatamente tutte le funzioni commerciali supportate dalle TIC, i ruoli e le responsabilità, i patrimoni informativi e le risorse TIC a supporto delle suddette funzioni, nonché i ruoli e le dipendenze rispettivi in materia di rischi informatici. Le entità finanziarie riesaminano, secondo necessità e almeno una volta all’anno, l’adeguatezza di tale classificazione e di altri documenti eventualmente pertinenti.

2.   Le entità finanziarie identificano costantemente tutte le fonti di rischio relative alle TIC, in particolare l’esposizione al rischio da e verso altre entità finanziarie, e valutano le minacce informatiche e le vulnerabilità in materia di TIC pertinenti per le loro funzioni commerciali supportate dalle TIC, per i loro patrimoni informativi e per i loro risorse TIC. Le entità finanziarie riesaminano periodicamente, e almeno una volta all’anno, gli scenari di rischio che esercitano un impatto su di loro.

3.   Le entità finanziarie diverse dalle microimprese effettuano una valutazione del rischio in occasione di ogni modifica di rilievo dell’infrastruttura del sistema informatico e di rete, dei processi o delle procedure che incidono sulle loro funzioni commerciali supportate dalle TIC, sui loro patrimoni informativi o sulle loro risorse TIC.

4.   Le entità finanziarie identificano tutti i patrimoni informativi e le risorse TIC, compresi quelli su siti remoti, le risorse di rete e le attrezzature hardware, e mappano quelle considerate essenziali. Effettuano la mappatura della configurazione dei patrimoni informativi e delle risorse TIC, nonché dei collegamenti e delle interdipendenze tra i diversi patrimoni informativi e risorse TIC.

5.   Le entità finanziarie identificano e documentano tutti i processi dipendenti da fornitori terzi di servizi TIC e identificano le interconnessioni con detti fornitori che offrono servizi a supporto di funzioni essenziali o importanti.

6.   Ai fini dei paragrafi 1, 4 e 5, le entità finanziarie mantengono inventari pertinenti e li aggiornano periodicamente e in occasione di ogni modifica di rilievo di cui al paragrafo 3.

7.   Le entità finanziarie diverse dalle microimprese effettuano periodicamente, almeno una volta all’anno e in ogni caso prima e dopo la connessione di tecnologie, applicazioni o sistemi, una valutazione del rischio specifica per tutti i sistemi legacy.

1.   Allo scopo di proteggere adeguatamente i sistemi di TIC e nella prospettiva di organizzare misure di risposta, le entità finanziarie monitorano e controllano costantemente la sicurezza e il funzionamento dei sistemi e degli strumenti di TIC e riducono al minimo l’impatto dei rischi informatici sui sistemi di TIC adottando politiche, procedure e strumenti adeguati per la sicurezza delle TIC.

2.   Le entità finanziarie definiscono, acquisiscono e attuano politiche, procedure, protocolli e strumenti per la sicurezza delle TIC miranti a garantire la resilienza, la continuità e la disponibilità dei sistemi di TIC, in particolare quelli a supporto di funzioni essenziali o importanti, nonché a mantenere standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati conservati, in uso o in transito.

3.   Al fine di conseguire gli obiettivi di cui al paragrafo 2 le entità finanziarie usano soluzioni e processi TIC appropriati conformemente all’articolo 4. Tali soluzioni e processi TIC:

4.   All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie:

Ai fini della lettera b) del primo comma, le entità finanziarie progettano l’infrastruttura di connessione di rete in modo che sia possibile isolarla o segmentarla istantaneamente, al fine di ridurre al minimo e prevenire il contagio, soprattutto per i processi finanziari interconnessi.

Ai fini della lettera e) del primo comma, il processo di gestione delle modifiche delle TIC è approvato da linee di gestione adeguate e comprende protocolli specifici in essere.

1.   Le entità finanziarie predispongono meccanismi per individuare tempestivamente le attività anomale, conformemente all’articolo 17, compresi i problemi di prestazione della rete delle TIC e gli incidenti a esse connessi, nonché per individuare i potenziali singoli punti di vulnerabilità (points of failure) importanti.

Tutti i meccanismi di individuazione di cui al primo comma sono periodicamente testati in conformità dell’articolo 25.

2.   I meccanismi di individuazione di cui al paragrafo 1 prevedono molteplici livelli di controllo, definiscono soglie di allarme e criteri per l’attivazione e l’avvio dei processi di risposta agli incidenti connessi alle TIC, compresi meccanismi di allarme automatico per il personale incaricato della risposta agli incidenti connessi alle TIC.

3.   Le entità finanziarie dedicano risorse e capacità sufficienti al monitoraggio dell’attività degli utenti e di eventuali anomalie e incidenti connessi alle TIC, in particolare attacchi informatici.

4.   I fornitori di servizi di comunicazione dati predispongono inoltre sistemi in grado di controllare efficacemente le comunicazioni sulle operazioni per verificarne la completezza, individuare omissioni ed errori palesi e chiederne la ritrasmissione.

1.   All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, e in base ai requisiti di identificazione stabiliti all’articolo 8, le entità finanziarie predispongono una politica di continuità operativa delle TIC esaustiva, la quale può essere adottata come una politica specifica dedicata che costituisce parte integrante della politica generale di continuità operativa dell’entità finanziaria.

2.   Le entità finanziarie attuano la politica di continuità operativa delle TIC tramite accordi, piani, procedure e meccanismi appositi, appropriati e documentati, miranti a:

3.   All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie attuano i piani di risposta e ripristino relativi alle TIC associati; per le entità finanziarie diverse dalle microimprese tali piani sono soggetti a un audit interno indipendente.

4.   Le entità finanziarie predispongono, mantengono e testano periodicamente opportuni piani di continuità operativa delle TIC, in particolare per quanto riguarda le funzioni essenziali o importanti esternalizzate o appaltate tramite accordi con fornitori terzi di servizi TIC.

5.   Nell’ambito della politica generale di continuità operativa, le entità finanziarie effettuano un’analisi dell’impatto sulle attività aziendali (Business Impact Analysis — BIA) delle loro esposizioni a gravi perturbazioni delle attività. Nel quadro della BIA, le entità finanziarie valutano l’impatto potenziale di gravi perturbazioni delle attività mediante criteri quantitativi e qualitativi, utilizzando, se del caso, dati interni ed esterni e analisi di scenario. La BIA tiene conto della criticità delle funzioni commerciali, dei processi di supporto, delle dipendenze da terzi e dei patrimoni informativi individuati e mappati, nonché delle loro interdipendenze. Le entità finanziarie provvedono affinché le risorse TIC e i servizi TIC siano progettati e utilizzati in piena conformità con la BIA, in particolare garantendo adeguatamente la ridondanza di tutte le componenti essenziali.

6.   All’interno della gestione complessiva dei rischi informatici, le entità finanziarie:

Ai fini del primo comma, lettera a), le entità finanziarie diverse dalle microimprese inseriscono nei piani dei test scenari di attacchi informatici e del passaggio tra le infrastrutture delle TIC primarie e la capacità ridondante, i backup e le attrezzature ridondanti necessarie per soddisfare gli obblighi di cui all’articolo 12.

Le entità finanziarie riesaminano periodicamente la politica di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC, tenendo conto dei risultati dei test svolti in conformità del primo comma e delle raccomandazioni formulate sulla base dei controlli di audit o degli esami di vigilanza.

7.   Le entità finanziarie diverse dalle microimprese si dotano di una funzione di gestione delle crisi che, in caso di attivazione dei piani di continuità operativa delle TIC o dei piani di risposta e ripristino relativi alle TIC, fissa, tra l’altro, procedure chiare per la gestione della comunicazione interna ed esterna delle crisi, in conformità dell’articolo 14.

8.   Le entità finanziarie rendono prontamente accessibili le registrazioni delle attività svolte prima e durante le perturbazioni in cui vengono attivati i piani di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC.

9.   Le controparti centrali trasmettono alle autorità competenti copie dei risultati dei test di continuità operativa delle TIC o di esercizi analoghi.

10.   Le entità finanziarie, diverse dalle microimprese, comunicano alle autorità competenti, su loro richiesta di queste ultime, una stima dei costi e delle perdite annuali aggregati causati da incidenti gravi connessi alle TIC.

11.   A norma dell’articolo 16 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010, le AEV elaborano, tramite il comitato congiunto, entro il 17 luglio 2024 orientamenti comuni sulla stima dei costi e delle perdite annuali aggregati di cui al paragrafo 10.

1.   Al fine di assicurare che i sistemi e i dati di TIC siano ripristinati riducendo al minimo il periodo di inattività e limitando la perturbazione e le perdite, all’interno del proprio quadro per la gestione dei rischi informatici le entità finanziarie elaborano e documentano:

2.   Le entità finanziarie si dotano di sistemi di backup che possono essere attivati conformemente alle politiche e alle procedure di backup, come pure alle procedure e ai metodi di ripristino e recupero. L’attivazione dei sistemi di backup non mette a repentaglio la sicurezza dei sistemi informatici e di rete né, la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. I test delle procedure di backup e di ripristino nonché delle procedure e dei metodi di recupero sono effettuati periodicamente.

3.   Nel ripristino dei dati di backup effettuato utilizzando i propri sistemi, le entità finanziarie impiegano sistemi di TIC che sono fisicamente e logicamente segregati dal sistema di TIC sorgente. I sistemi di TIC sono protetti in maniera sicura da qualsiasi accesso non autorizzato o corruzione delle TIC e consentono il tempestivo ripristino dei servizi attraverso il backup dei dati e dei sistemi ove necessario.

Per le controparti centrali, i piani di ripristino consentono il ripristino di tutte le operazioni in corso al momento della perturbazione, così da permettere alla controparte centrale di continuare a operare con certezza e di completare la liquidazione alla data programmata.

I fornitori di servizi di comunicazione dati mantengono inoltre risorse adeguate e dispongono di attrezzature di back-up e ripristino per offrire e mantenere in ogni momento i loro servizi.

4.   Le entità finanziarie, diverse dalle microimprese, mantengono capacità di TIC ridondanti, dotate di risorse e funzioni sufficienti e adeguate a soddisfare le esigenze commerciali. Le microimprese valutano la necessità di mantenere tali capacità di TIC ridondanti sulla base del loro profilo di rischio.

5.   I depositari centrali di titoli mantengono almeno un sito secondario di trattamento dati dotato di risorse, capacità, funzioni e personale adeguati a soddisfare le esigenze commerciali.

Il sito secondario di trattamento dati è:

6.   Nel determinare gli obiettivi in materia di punti di ripristino e tempi di ripristino di ciascuna funzione, le entità finanziarie tengono conto del fatto che si tratti di una funzione essenziale o importante e del potenziale impatto complessivo sull’efficienza del mercato. Questi obiettivi in materia di tempi garantiscono che i livelli di servizi concordati siano rispettati anche in scenari estremi.

7.   Durante il ripristino successivo a un incidente connesso alle TIC, le entità finanziarie effettuano le verifiche necessarie, comprese eventuali verifiche multiple e controlli incrociati, per assicurare che sia mantenuto il più elevato livello di integrità dei dati. Questi controlli sono effettuati anche al momento di ricostruire i dati provenienti da portatori di interessi esterni, per assicurare la piena coerenza di tutti i dati tra i sistemi.

1.   Le entità finanziare dispongono capacità e personale per raccogliere informazioni in relazione alle vulnerabilità e alle minacce informatiche, agli incidenti connessi alle TIC, in particolare agli attacchi informatici, e analizzarne i probabili effetti sulla loro resilienza operativa digitale.

2.   Dopo che un grave incidente connesso alle TIC ha perturbato le loro attività principali, le entità finanziarie svolgono un riesame successivo a tale incidente che analizzi le cause della perturbazione e identifichi i miglioramenti che è necessario apportare alle operazioni riguardanti le TIC o nell’ambito della politica di continuità operativa delle TIC di cui all’articolo 11.

Le entità finanziarie diverse dalle microimprese comunicano, su richiesta, alle autorità competenti le modifiche attuate a seguito del riesame successivo all’incidente connesso alle TIC di cui al primo comma.

Il riesame successivo all’incidente connesso alle TIC di cui al primo comma determina se le procedure stabilite siano state seguite e se le azioni adottate siano state efficaci, anche in relazione:

3.   Gli insegnamenti tratti dai test sulla resilienza operativa digitale effettuati in conformità degli articoli 26 e 27 e da incidenti connessi alle TIC realmente avvenuti, in particolare attacchi informatici, insieme alle difficoltà riscontrate al momento dell’attivazione dei piani di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC, nonché le informazioni pertinenti scambiate con le controparti e valutate nel corso degli esami di vigilanza sono debitamente e costantemente integrati nel processo di valutazione dei rischi informatici. Tali risultanze costituiscono la base per opportune revisioni delle relative componenti del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1.

4.   Le entità finanziarie monitorano l’efficacia dell’attuazione della loro strategia di resilienza operativa digitale stabilita all’articolo 6, paragrafo 8. Tracciano l’evoluzione nel tempo dei rischi informatici, analizzano la frequenza, i tipi, le dimensioni e l’evoluzione degli incidenti connessi alle TIC, in particolare gli attacchi informatici e i relativi schemi, al fine di comprendere il livello di esposizione ai rischi informatici — segnatamente in relazione alle funzioni essenziali o importanti — e migliorare la maturità informatica e la preparazione dell’entità finanziaria.

5.   Il personale addetto alle TIC di grado più elevato comunica almeno una volta all’anno all’organo di gestione le risultanze di cui al paragrafo 3 e formula raccomandazioni.

6.   Le entità finanziarie elaborano programmi di sensibilizzazione sulla sicurezza delle TIC nonché attività di formazione sulla resilienza operativa digitale, che rappresentano moduli obbligatori nei programmi di formazione del personale. Tali programmi e attività di formazione riguardano tutti i dipendenti e gli alti dirigenti, e presentano un livello di complessità commisurato all’ambito delle loro funzioni. Se del caso, le entità finanziarie includono anche i fornitori terzi di servizi TIC nei loro sistemi di formazione pertinenti, conformemente all’articolo 30, paragrafo 2, lettera i).

7.   Le entità finanziarie diverse dalle microimprese monitorano costantemente i pertinenti sviluppi tecnologici, anche al fine di comprendere i possibili effetti dell’impiego di tali nuove tecnologie sui requisiti in materia di sicurezza delle TIC e sulla resilienza operativa digitale. Si tengono aggiornate sui più recenti processi di gestione dei rischi informatici, in modo da contrastare efficacemente le forme nuove o già esistenti di attacchi informatici.

1.   All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie predispongono piani di comunicazione delle crisi che consentano una divulgazione responsabile di informazioni riguardanti, almeno, gravi incidenti connessi alle TIC o vulnerabilità ai clienti e alle controparti nonché al pubblico, a seconda dei casi.

2.   All’interno del quadro per la gestione dei rischi informatici, le entità finanziarie attuano politiche di comunicazione per il personale interno e per i portatori di interessi esterni. Le politiche di comunicazione per il personale tengono conto dell’esigenza di operare un distinguo tra il personale coinvolto nella gestione dei rischi informatici, in particolare il personale responsabile della risposta e del ripristino, e il personale che è necessario informare.

3.   Nell’entità finanziaria vi è almeno una persona incaricata di attuare la strategia di comunicazione per gli incidenti connessi alle TIC e assolvere a tal fine la funzione di informazione al pubblico e ai media.

1.   Gli articoli da 5 a 15 del presente regolamento non si applicano alle imprese di investimento piccole e non interconnesse e agli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366; agli istituti esentati a norma della direttiva 2013/36/UE per i quali gli Stati membri hanno deciso di non applicare l’opzione di cui all’articolo 2, paragrafo 4, del presente regolamento; agli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE; e ai piccoli enti pensionistici aziendali o professionali.

Fermo restando il primo comma, le entità elencate al primo comma:

2.   Il quadro per la gestione dei rischi informatici di cui al paragrafo 1, secondo comma, lettera a), è documentato e riesaminato periodicamente e al verificarsi di incidenti gravi connessi alle TIC conformemente alle istruzioni delle autorità di vigilanza. Il quadro è costantemente migliorato sulla base degli insegnamenti tratti dall’attuazione e dal monitoraggio. Su sua richiesta, è presentata all’autorità competente una relazione sul riesame del quadro per la gestione dei rischi informatici.

3.   Tramite il comitato congiunto e in consultazione con l’ENISA, le AEV elaborano progetti di norme tecniche di regolamentazione comuni al fine di:

All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 gennaio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

1.   Le entità finanziarie definiscono, stabiliscono e attuano un processo di gestione degli incidenti connessi alle TIC al fine di individuare, gestire e notificare tali incidenti.

2.   Le entità finanziarie registrano tutti gli incidenti connessi alle TIC e le minacce informatiche significative. Le entità finanziarie istituiscono procedure e processi appropriati per garantire, in maniera coerente e integrata, il monitoraggio e il trattamento degli incidenti connessi alle TIC, nonché il relativo seguito, in modo da identificare, documentare e affrontare le cause di fondo e prevenire il verificarsi di tali incidenti.

3.   Il processo di gestione degli incidenti connessi alle TIC di cui al paragrafo 1:

1.   Le entità finanziarie classificano gli incidenti connessi alle TIC e ne determinano l’impatto in base ai criteri seguenti:

2.   Le entità finanziarie classificano le minacce informatiche come significative in base alla criticità dei servizi a rischio, comprese le operazioni dell’entità finanziaria, il numero e/o la rilevanza di clienti o controparti finanziarie interessati e l’estensione geografica delle aree a rischio.

3.   In consultazione con la BCE e l’ENISA, le AEV elaborano, tramite il comitato congiunto, progetti di norme tecniche di regolamentazione comuni che specificano ulteriormente gli aspetti seguenti:

4.   All’atto dell’elaborazione dei progetti di norme tecniche di regolamentazione comuni di cui al paragrafo 3 del presente articolo, le AEV tengono conto dei criteri di cui all’articolo 4, paragrafo 2, come pure delle norme internazionali, degli orientamenti e delle specifiche elaborati e pubblicati dall’ENISA, tra cui, se del caso, le specifiche riguardanti altri settori economici. Ai fini dell’applicazione dei criteri di cui all’articolo 4, paragrafo 2, le AEV tengono debitamente conto della necessità delle microimprese e delle piccole e medie imprese di mobilitare risorse e capacità sufficienti per garantire una gestione rapida degli incidenti connessi alle TIC.

Le AEV presentano tali progetti di norme tecniche di regolamentazione comuni alla Commissione entro il 17 gennaio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al paragrafo 3 in conformità degli articoli da 0 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

1.   Le entità finanziarie segnalano gli gravi incidenti TIC all’autorità competente interessata di cui all’articolo 46 a norma del paragrafo 4 del presente articolo.

Se un’entità finanziaria è soggetta alla vigilanza di più di un’autorità nazionale competente di cui all’articolo 46, gli Stati membri designano un’unica autorità competente quale autorità competente interessata responsabile dell’espletamento delle funzioni e dei compiti di cui al presente articolo.

Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 segnalano i gravi incidenti TIC all’autorità nazionale competente designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente tale segnalazione alla BCE.

Ai fini del primo comma, le entità finanziarie redigono, dopo aver raccolto e analizzato tutte le informazioni pertinenti, la notifica iniziale e le relazioni di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 e le trasmettono all’autorità competente. Qualora un impedimento tecnico non consenta la trasmissione della notifica iniziale utilizzando il modello, le entità finanziarie informano in merito l’autorità competente con mezzi alternativi.

La notifica iniziale e le relazioni di cui al paragrafo 4 contengono tutte le informazioni necessarie all’autorità competente per determinare la rilevanza dell’grave incidente TIC e valutarne i possibili impatti transfrontalieri.

Fatta salva la segnalazione a norma del primo comma da parte dell’entità finanziaria all’autorità competente interessata, gli Stati membri possono stabilire, in aggiunta, che alcune o tutte le entità finanziarie forniscano altresì la notifica iniziale e ciascuna relazione di cui al paragrafo 4 del presente articolo utilizzando i modelli di cui all’articolo 20 alle autorità competenti o ai gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — CSIRT) designati o istituiti a norma della direttiva (UE) 2022/2555.

2.   Le entità finanziarie possono, su base volontaria, notificare le minacce informatiche significative all’autorità competente interessata qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. L’autorità competente interessata può fornire tali informazioni alle altre autorità pertinenti di cui al paragrafo 6.

Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 possono notificare, su base volontaria, le minacce informatiche significative all’autorità nazionale competente, designata ai sensi dell’articolo 4 della direttiva 2013/36/UE, che trasmette immediatamente la notifica alla BCE.

Gli Stati membri possono stabilire che le entità finanziarie che procedono alla notifica su base volontaria e a norma del primo comma possano altresì trasmettere tale notifica ai CSIRT nazionali designati o istituiti a norma della direttiva (UE) 2022/2555.

3.   Qualora si verifichi un grave incidente TIC che eserciti un impatto sugli interessi finanziari dei clienti, le entità finanziarie, senza indebito ritardo e non appena ne vengono a conoscenza, informano i loro clienti in merito a tale incidente e alle misure che sono state adottate per attenuare gli effetti avversi dell’incidente.

In caso di minaccia informatica significativa, le entità finanziarie, se del caso, informano i loro clienti potenzialmente interessati in merito alle opportune misure di protezione che i clienti stessi possono prendere in considerazione.

4.   Entro i termini da fissare a norma dell’articolo 20, primo comma, lettera a), punto ii), le entità finanziarie trasmettono all’autorità competente interessata:

5.   Ai sensi del presente articolo, le entità finanziarie possono esternalizzare, conformemente al diritto settoriale dell’Unione e nazionale, gli obblighi di segnalazione a un fornitore terzo di servizi. In caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di espletare gli obblighi di segnalazione degli incidenti.

6.   Dopo aver ricevuto la notifica iniziale e ciascuna delle relazioni di cui al paragrafo 4, l’autorità competente trasmette tempestivamente i dettagli dell’grave incidente TIC ai seguenti destinatari sulla base, ove applicabile, delle rispettive competenze:

7.   Una volta ricevute le informazioni conformemente al paragrafo 6, l’ABE, l’ESMA o l’EIOPA e la BCE, in consultazione con l’ENISA e in collaborazione con l’autorità competente interessata, valutano la pertinenza dell’grave incidente TIC rispetto alle autorità competenti in altri Stati membri. A seguito di tale valutazione, l’ABE, l’ESMA o l’EIOPA inviano una notifica al riguardo il prima possibile alle autorità competenti interessate in altri Stati membri. La BCE notifica i membri del Sistema europeo di banche centrali in merito a questioni afferenti il sistema di pagamenti. Sulla base di tale notifica, le autorità competenti adottano, se del caso, tutte le misure necessarie per proteggere l’immediata stabilità del sistema finanziario.

8.   La notifica che l’ESMA deve effettuare a norma del paragrafo 7 del presente articolo lascia impregiudicata la responsabilità dell’autorità competente di trasmettere urgentemente i dettagli dell’grave incidente TIC all’autorità pertinente dello Stato membro ospitante, laddove uno dei depositari centrali di titoli svolga una cospicua attività transfrontaliera nello Stato membro ospitante, laddove l’incidente grave connesso alle TIC possa comportare serie conseguenze per i mercati finanziari dello Stato membro ospitante e laddove vi siano accordi di cooperazione tra le autorità competenti in relazione alla vigilanza delle entità finanziarie.

1.   In consultazione con la BCE e l’ENISA, le AEV, tramite il comitato congiunto, redigono una relazione congiunta che valuta la fattibilità dell’ulteriore centralizzazione delle segnalazioni degli incidenti mediante l’istituzione di un polo UE unico per la segnalazione degli incidenti gravi connessi alle TIC da parte delle entità finanziarie. La relazione congiunta esamina i criteri per agevolare il flusso delle segnalazioni di incidenti connessi alle TIC, ridurre i costi associati e corroborare le analisi tematiche per migliorare la convergenza della vigilanza.

2.   La relazione congiunta di cui al paragrafo 1 comprende almeno gli elementi seguenti:

3.   Le AEV presentano la relazione di cui al paragrafo 1 al Parlamento europeo, al Consiglio e alla Commissione entro il 17 gennaio 2025.

1.   Fatti salvi il contributo tecnico, la consulenza o i rimedi e il successivo seguito dato che possono essere forniti, ove applicabile, conformemente al diritto nazionale, dai CSIRT ai sensi della direttiva (UE) 2022/2555, l’autorità competente, dopo aver ricevuto la notifica iniziale e ciascuna delle relazioni di cui all’articolo 19, paragrafo 4, ne accusa ricevuta e può, ove fattibile, fornire tempestivamente all’entità finanziaria riscontri pertinenti e proporzionali o orientamenti di alto livello, in particolare rendendo disponibili le informazioni e i dati pertinenti anonimizzati su minacce analoghe, e può discutere rimedi applicati a livello di entità finanziaria e metodi per ridurre al minimo e attenuare gli effetti avversi nel settore finanziario. Fatti salvi i riscontri ricevuti dalle autorità di vigilanza, le entità finanziarie restano pienamente responsabili del trattamento e delle conseguenze degli incidenti connessi alle TIC segnalati a norma dell’articolo 19, paragrafo 1.

2.   Le AEV, tramite il comitato congiunto, riferiscono con frequenza annuale, sulla base di dati anonimizzati e aggregati, in merito agli incidenti gravi connessi alle TIC, i cui dettagli sono forniti dalle autorità competenti a norma dell’articolo 19, paragrafo 6, indicando almeno il numero degli incidenti gravi connessi alle TIC, la natura, l’impatto sulle operazioni delle entità finanziarie o dei clienti, i costi sostenuti e le azioni di riparazione adottate.

Le AEV emanano segnalazioni di allerta e redigono statistiche di alto livello a supporto delle valutazioni della vulnerabilità e delle minacce connesse alle TIC.

1.   Allo scopo di valutare la preparazione alla gestione degli incidenti connessi alle TIC, di identificare punti deboli, carenze e lacune della resilienza operativa digitale e di attuare tempestivamente misure correttive, le entità finanziarie diverse dalle microimprese, tenuto conto dei criteri di cui all’articolo 4, paragrafo 2, stabiliscono, mantengono e riesaminano un programma di test di resilienza operativa digitale solido ed esaustivo quale parte integrante del quadro per la gestione dei rischi informatici di cui all’articolo 6.

2.   Il programma di test di resilienza operativa digitale comprende una serie di valutazioni, test, metodologie, pratiche e strumenti da applicare conformemente agli articoli 25 e 26.

3.   Nello svolgimento del programma di test di resilienza operativa digitale di cui al paragrafo 1 del presente articolo, le entità finanziarie, diverse dalle microimprese, adottano un approccio basato sul rischio che prende in considerazione i criteri di cui all’articolo 4, paragrafo 2, tenendo debitamente conto del mutevole contesto dei rischi informatici, di eventuali rischi specifici cui l’entità finanziaria interessata è o potrebbe essere esposta, della criticità dei patrimoni informativi e dei servizi forniti, nonché di qualsiasi altro fattore giudicato rilevante dall’entità finanziaria stessa.

4.   Le entità finanziarie, diverse dalle microimprese, assicurano che i test siano svolti da soggetti indipendenti, interni o esterni. Se i test sono svolti da un soggetto incaricato dello svolgimento dei test interno, le entità finanziarie dedicano risorse sufficienti e garantiscono che siano evitati conflitti d’interessi durante le fasi di progettazione ed esecuzione del test.

5.   Le entità finanziarie, diverse dalle microimprese, definiscono procedure e politiche per dare un ordine di priorità ai problemi riscontrati durante lo svolgimento dei test, per classificarli e porvi rimedio; stabiliscono inoltre metodologie di convalida interne per accertare che tutti i punti deboli, le carenze o le lacune che sono stati individuati siano pienamente affrontati.

6.   Le entità finanziarie, diverse dalle microimprese, provvedono affinché, con cadenza almeno annuale, siano eseguiti test adeguati su tutti i sistemi e le applicazioni di TIC a supporto di funzioni essenziali o importanti.

1.   Il programma di test di resilienza operativa digitale di cui all’articolo 24 prevede, conformemente ai criteri di cui all’articolo 4, paragrafo 2, l’esecuzione di test adeguati, tra cui valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e test di penetrazione.

2.   I depositari centrali di titoli e le controparti centrali effettuano valutazioni della vulnerabilità prima di ciascun rilascio o nuovo rilascio di nuovi o già esistenti applicazioni e componenti infrastrutturali, e servizi TIC a supporto delle funzioni essenziali o importanti dell’entità finanziaria.

3.   Le microimprese eseguono i test di cui al paragrafo 1 combinando un approccio basato sul rischio con una pianificazione strategica dei test relativi alle TIC, tenendo debitamente conto della necessità di mantenere un approccio equilibrato tra l’entità delle risorse e il tempo da assegnare ai test relativi alle TIC di cui al presente articolo, da un lato, e l’urgenza, il tipo di rischio, la criticità dei patrimoni informativi e dei servizi forniti nonché qualsiasi altro fattore rilevante, compresa la capacità dell’entità finanziaria di assumere rischi calcolati, dall’altro.

1.   Le entità finanziarie, diverse dalle entità di cui all’articolo 16, paragrafo 1, primo comma, e dalle microimprese, che sono identificate conformemente al paragrafo 8, terzo comma, del presente articolo, effettuano test avanzati sotto forma di test di penetrazione basati su minacce con cadenza almeno triennale. Sulla base del profilo di rischio dell’entità finanziaria e tenuto conto delle circostanze operative, l’autorità competente può, se necessario, chiedere all’entità finanziaria di ridurre o aumentare tale frequenza.

2.   Ciascun test di penetrazione guidato dalla minaccia riguarda alcune o tutte le funzioni essenziali o importanti dell’entità finanziaria ed è effettuato sui sistemi attivi di produzione a supporto di tali funzioni.

Le entità finanziarie identificano tutti i sistemi, i processi e le tecnologie TIC sottostanti a supporto delle funzioni essenziali o importanti e tutti i pertinenti servizi TIC, compresi quelli a supporto di funzioni essenziali o importanti che sono stati esternalizzate o appaltate a fornitori terzi di servizi TIC.

Le entità finanziarie valutano quali funzioni essenziali o importanti debbano essere interessate dai TLPT. Il risultato della valutazione determina il preciso ambito di applicazione dei TLPT ed è convalidato dalle autorità competenti.

3.   Qualora i fornitori terzi di servizi TIC rientrino nell’ambito di applicazione dei TLPT, l’entità finanziaria adotta le misure e le salvaguardie necessarie per garantire la partecipazione di tali fornitori terzi di servizi TIC ai TLPT ed è sempre pienamente responsabile di garantire il rispetto del presente regolamento.

4.   Fatto salvo il paragrafo 2, primo e secondo comma, laddove si ritiene ragionevolmente che la partecipazione di un fornitore terzo di servizi TIC ai TLPT di cui al paragrafo 3 possa avere un impatto avverso sulla qualità o la sicurezza dei servizi offerti dal fornitore terzo di servizi TIC a clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento, ovvero sulla riservatezza dei dati relativi a tali servizi, l’entità finanziaria e il fornitore terzo di servizi TIC possono concordare per iscritto che il fornitore terzo di servizi TIC stipuli direttamente accordi contrattuali con un soggetto incaricato dello svolgimento dei test esterno, allo scopo di condurre, sotto la direzione di un’entità finanziaria designata, un TLPT congiunto che coinvolga diverse entità finanziarie (pooled testing) a cui il fornitore terzo di servizi TIC fornisce tali servizi.

Detto test congiunto riguarda la pertinente gamma di servizi TIC a supporto delle funzioni essenziali o importanti appaltate dalle entità finanziarie al rispettivo fornitore terzo di servizi TIC. I test congiunti sono considerati TLPT effettuati dalle entità finanziarie che partecipano ai test congiunti.

Il numero di entità finanziarie che partecipano ai test congiunti è debitamente calibrato tenendo conto della complessità e dei tipi di servizi interessati.

5.   Le entità finanziarie, cooperando con i fornitori terzi di servizi TIC e altre parti coinvolte, inclusi i soggetti incaricati dello svolgimento dei test ma escluse le autorità competenti, applicano efficaci controlli di gestione del rischio per attenuare i rischi di potenziali impatti sui dati, danni alle attività e perturbazioni delle funzioni essenziali o importanti, delle operazioni o dei servizi delle entità finanziarie, delle loro controparti o del settore finanziario.

6.   Alla fine dei test, dopo che le relazioni e i piani correttivi siano stati concordati, l’entità finanziaria e, ove applicabile, i soggetti incaricato dello svolgimento dei test esterni trasmettono all’autorità, designata conformemente al paragrafo 9 o 10, una sintesi delle pertinenti risultanze, i piani correttivi e la documentazione attestante che i TLPT sono stati svolti conformemente ai requisiti.

7.   Le autorità forniscono alle entità finanziarie un attestato che conferma che i test sono stati svolti conformemente ai requisiti, come si evince dalla documentazione, in modo da consentire il riconoscimento reciproco dei TLPT tra le autorità competenti. L’entità finanziaria notifica all’autorità competente interessata l’attestato, la sintesi delle pertinenti risultanze e i piani correttivi.

Fatto salvo tale attestato, le entità finanziarie rimangono sempre pienamente responsabili degli impatti dei test di cui al paragrafo 4.

8.   Per l’effettuazione dei TLPT, le entità finanziarie si avvalgono di soggetti incaricati dello svolgimento dei test in conformità dell’articolo 27. Quando ricorrono a soggetti incaricati dello svolgimento dei test interni per l’effettuazione di TLPT, le entità finanziarie si avvalgono di un soggetto incaricato dello svolgimento dei test esterno ogni tre test.

Gli enti creditizi classificati come significativi a norma dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013, ricorrono esclusivamente a soggetto incaricato dello svolgimento dei test esterni conformemente all’articolo 27, paragrafo 1, lettere da a) a e).

Le autorità competenti identificano le entità finanziarie che hanno l’obbligo di svolgere TLPT tenendo conto dei criteri di cui all’articolo 4, paragrafo 2, sulla base della valutazione degli elementi seguenti:

9.   Gli Stati membri possono designare un’autorità pubblica unica nel settore finanziario responsabile delle questioni relative ai TLPT nel settore finanziario a livello nazionale e le affidano tutte le competenze e tutti i compiti a tal fine.

10.   In assenza di una designazione a norma del paragrafo 9 del presente articolo e fatto salvo il potere di identificare le entità finanziarie tenute a svolgere TLPT, un’autorità competente può delegare l’esercizio di alcuni o di tutti i compiti di cui al presente articolo e all’articolo 27 a un’altra autorità nazionale nel settore finanziario.

11.   Di concerto con la BCE, le AEV elaborano progetti di norme tecniche di regolamentazione comuni conformemente al quadro di riferimento TIBER-EU al fine di specificare ulteriormente quanto segue:

All’ atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono debitamente conto di eventuali caratteristiche specifiche derivanti dalla natura distinta delle attività nei diversi settori dei servizi finanziari.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 luglio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010.

1.   Per lo svolgimento dei test di penetrazione basati su minacce, le entità finanziarie ricorrono unicamente a soggetto incaricato dello svolgimento dei test che:

2.   Quando ricorrono a soggetto incaricato dello svolgimento dei test interni, le entità finanziare devono provvedere affinché, oltre all’obbligo di cui al paragrafo 1, siano soddisfatte le condizioni seguenti:

3.   Le entità finanziarie garantiscono che i contratti conclusi con i soggetti incaricati dello svolgimento dei test esterni prevedano una solida gestione dei risultati dei TLPT e che qualsiasi trattamento dei dati, comprese la generazione, la conservazione, l’aggregazione, l’elaborazione, la segnalazione, la comunicazione o la distruzione, non comporti rischi per l’entità finanziaria.

1.   Le entità finanziarie gestiscono i rischi informatici derivanti da terzi quali componenti integranti dei rischi informatici nel contesto del proprio quadro per la gestione di detti rischi di cui all’articolo 6, paragrafo 1, e conformemente ai principi indicati di seguito:

2.   Nel contesto del quadro per la gestione dei rischi informatici TIC, le entità finanziarie diverse dalle entità di cui all’articolo 16, paragrafo 1, primo comma, e dalle microimprese adottano e riesaminano periodicamente una strategia per i rischi informatici derivanti da terzi, tenendo conto della strategia basata su una varietà di fornitori di cui all’articolo 6, paragrafo 9, ove applicabile. Tale strategia comprende una politica per l’utilizzo dei servizi TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi e si applica su base individuale e, se del caso, su base subconsolidata e consolidata. Sulla base di una valutazione del profilo di rischio complessivo dell’entità finanziaria e della portata e della complessità dei servizi operativi, l’organo di gestione riesamina periodicamente i rischi individuati in relazione agli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti.

3.   Nel contesto del quadro per la gestione dei rischi informatici, le entità finanziarie mantengono e aggiornano a livello di entità, e su base subconsolidata e consolidata, un registro di informazioni su tutti gli accordi contrattuali per l’utilizzo di servizi TIC prestati da fornitori terzi.

Gli accordi contrattuali di cui al primo comma sono opportunamente documentati, distinguendo quelli che si riferiscono a servizi TIC a supporto di funzioni essenziali o importanti dagli altri.

Le entità finanziarie comunicano almeno una volta all’anno alle autorità competenti il numero di nuovi accordi per l’utilizzo di servizi TIC, le categorie di fornitori terzi di servizi TIC, il tipo di accordi contrattuali e le funzioni e i servizi TIC forniti.

Su richiesta, le entità finanziarie mettono a disposizione dell’autorità competente il registro delle informazioni completo o, a seconda della richiesta, determinate sezioni del registro insieme alle informazioni giudicate necessarie per consentire l’efficace vigilanza sull’entità finanziaria.

Le entità finanziarie informano tempestivamente l’autorità competente in merito a eventuali accordi contrattuali previsti per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti, nonché del momento in cui una funzione diventa essenziale o importante.

4.   Prima di stipulare un accordo contrattuale per l’utilizzo di servizi TIC, le entità finanziarie:

5.   Le entità finanziarie possono stipulare accordi contrattuali soltanto con fornitori terzi di servizi TIC che soddisfano standard appropriati in materia di sicurezza delle informazioni. Laddove tali accordi contrattuali riguardino funzioni essenziali o importanti, le entità finanziarie, prima di concludere detti accordi, prendono in debita considerazione l’utilizzo da parte dei fornitori terzi di servizi TIC degli standard di qualità più aggiornati ed elevati in materia di sicurezza delle informazioni.

6.   Nell’esercizio dei diritti di accesso, ispezione e audit nei confronti del fornitore terzo di servizi TIC, le entità finanziarie predeterminano, sulla base di un approccio basato sul rischio, la frequenza delle verifiche di audit e delle ispezioni nonché i settori da sottoporre ad audit, aderendo a standard di audit comunemente accettate in conformità di eventuali indicazioni di vigilanza sull’uso e l’integrazione di tali standard di audit.

Laddove gli accordi contrattuali conclusi con fornitori terzi di servizi TIC per l’utilizzo di servizi TIC comportino un’elevata complessità tecnica, l’entità finanziaria verifica che i revisori, indipendentemente dal fatto che siano revisori interni o esterni o siano un gruppo di revisori, possiedano competenze e conoscenze adeguate per svolgere efficacemente gli audit e le valutazioni del caso.

7.   Le entità finanziarie stabiliscono clausole che consentano la risoluzione degli accordi contrattuali per l’utilizzo di servizi TIC in una qualsiasi delle circostanze seguenti:

8.   Per i servizi TIC a supporto di funzioni essenziali o importanti, le entità finanziarie predispongono strategie di uscita. Tali strategie tengono conto dei rischi che possono emergere a livello dei fornitori terzi di servizi TIC, in particolare possibili disfunzioni dei fornitori stessi, il deterioramento della qualità dei servizi TIC forniti, una perturbazione dell’attività commerciale conseguente a una fornitura di servizi TIC inadeguata o carente, oppure gravi rischi connessi all’adeguatezza e alla continuità dell’esercizio del rispettivo servizio TIC oppure la risoluzione di accordi contrattuali con fornitori terzi di servizi TIC in una delle circostanze di cui al paragrafo 7.

Le entità finanziarie garantiscono di poter porre termine agli accordi contrattuali senza:

I piani di uscita sono esaustivi, documentati e, conformemente ai criteri di cui all’articolo 4, paragrafo 2, sottoposti a test adeguati e riesaminati periodicamente.

Le entità finanziarie identificano soluzioni alternative ed elaborano piani di transizione che consentano loro di trasferire i servizi TIC previsti dal contratto e i relativi dati dal fornitore terzo di servizi TIC, in maniera sicura e nella loro interezza, a fornitori alternativi oppure reintegrarli al proprio interno.

Le entità finanziarie dispongono di misure di emergenza idonee per mantenere la continuità operativa qualora si verifichino le circostanze di cui al primo comma.

9.   Le AEV, tramite il comitato congiunto, elaborano progetti di norme tecniche di attuazione per definire modelli standard in relazione al registro delle informazioni di cui al paragrafo 3, comprese le informazioni comuni a tutti gli accordi contrattuali per l’utilizzo di servizi TIC. Le AEV presentano tali progetti di norme tecniche di attuazione alla Commissione entro il 17 gennaio 2024.

Alla Commissione è conferito il potere di adottare le norme tecniche di attuazione di cui al primo comma in conformità dell’articolo 15 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

10.   Le AEV, tramite il comitato congiunto, elaborano progetti di norme tecniche di regolamentazione per precisare ulteriormente il contenuto dettagliato della politica di cui al paragrafo 2, in relazione agli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi di servizi TIC.

All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni. Le AEV presentano detti progetti di norme tecniche di regolamentazione alla Commissione 17 gennaio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010.

1.   All’atto dell’identificazione e della valutazione dei rischi di cui all’articolo 28, paragrafo 4, lettera c), le entità finanziarie tengono conto altresì dell’eventualità che la prevista conclusione di un accordo contrattuale relativo a servizi TIC a supporto di funzioni essenziali o importanti possa avere una delle seguenti conseguenze:

Le entità finanziarie vagliano i benefici e i costi di soluzioni alternative, quali il ricorso a diversi fornitori terzi di servizi TIC, verificando se e come le soluzioni previste soddisfino le esigenze commerciali e consentano di conseguire gli obiettivi fissati nella propria strategia di resilienza digitale.

2.   Qualora gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prevedano la possibilità che un fornitore terzo di servizi TIC subappalti a sua volta servizi TIC a supporto di una funzione essenziale o importante ad altri fornitori terzi di servizi TIC, le entità finanziarie vagliano i benefici e i rischi che possono derivare da tale subappalto, in particolare nel caso di un subappaltatore di TIC stabilito in un paese terzo.

Qualora gli accordi contrattuali riguardino servizi TIC a supporto delle funzioni essenziali o importanti, le entità finanziarie tengono in debita considerazione le disposizioni del diritto fallimentare applicabili in caso di fallimento del fornitore terzo di servizi TIC come pure eventuali restrizioni relative all’urgente ripristino dei dati dell’entità finanziaria.

Qualora gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti siano conclusi con un fornitore terzo di servizi TIC stabilito in un paese terzo, le entità finanziarie, in aggiunta alle considerazioni di cui al secondo comma, tengono conto altresì del rispetto delle norme dell’UE sulla protezione dei dati e dell’effettiva applicazione della legge in tale paese terzo.

Qualora gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prevedano un subappalto, le entità finanziarie valutano se e come catene di subappalti potenzialmente lunghe e complesse possano incidere sulla loro capacità di monitorare pienamente le funzioni appaltate e sulla capacità dell’autorità competente di vigilare efficacemente, a tal proposito, sull’entità finanziaria.

1.   I diritti e gli obblighi dell’entità finanziaria e del fornitore terzo di servizi TIC sono attribuiti chiaramente e definiti per iscritto. Il testo integrale del contratto comprende gli accordi sul livello dei servizi ed è contenuto in un documento scritto disponibile alle parti in formato cartaceo oppure in un documento in altro formato scaricabile, durevole e accessibile.

2.   Gli accordi contrattuali per l’utilizzo di servizi TIC comprendono almeno gli elementi seguenti:

3.   Gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti comprendono, in aggiunta agli elementi di cui al paragrafo 2, almeno quanto segue:

In deroga alla lettera e), il fornitore terzo di servizi TIC e l’entità finanziaria che è una microimpresa possono convenire che i diritti di accesso, ispezione e audit dell’entità finanziaria possano essere delegati a un terzo indipendente, nominato dal fornitore terzo di servizi TIC, e che l’entità finanziaria possa richiedere in qualsiasi momento al terzo informazioni e garanzie sulle prestazioni del fornitore terzo di servizi TIC.

4.   All’atto della negoziazione degli accordi contrattuali, le entità finanziarie e i fornitori terzi di servizi TIC prendono in considerazione il ricorso a clausole contrattuali standard elaborate dalle autorità pubbliche per servizi specifici.

5.   Le AEV, tramite il comitato congiunto, elaborano progetti di norme tecniche di regolamentazione per specificare ulteriormente gli elementi di cui al paragrafo 2, lettera a), che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC a supporto di funzioni essenziali o importanti.

All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 luglio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010.

1.   Le AEV, tramite il comitato congiunto e su raccomandazione del forum di sorveglianza istituito ai sensi dell’articolo 32, paragrafo 1:

2.   La designazione di cui al paragrafo 1, lettera a), si fonda su tutti i criteri indicati di seguito in relazione ai servizi TIC prestati da un fornitore terzo di servizi TIC:

3.   Laddove il fornitore terzo di servizi TIC appartenga a un gruppo, i criteri di cui al paragrafo 2 sono presi in considerazione in relazione ai servizi TIC prestati dal gruppo nel suo insieme.

4.   I fornitori terzi critici di servizi TIC che fanno parte di un gruppo designano una persona giuridica come punto di coordinamento per garantire un’adeguata rappresentanza e la comunicazione con l’autorità di sorveglianza capofila.

5.   L’autorità di sorveglianza capofila informa il fornitore terzo di servizi TIC in merito all’esito della valutazione che ha portato alla designazione di cui al paragrafo 1, lettera a). Entro sei settimane dalla data della notifica, il fornitore terzo di servizi TIC può presentare all’autorità di sorveglianza capofila una dichiarazione motivata contenente tutte le informazioni pertinenti ai fini della valutazione. L’autorità di sorveglianza capofila esamina la dichiarazione motivata e può richiedere ulteriori informazioni da presentare entro 30 giorni di calendario dal ricevimento di detta dichiarazione.

Dopo aver designato un fornitore terzo di servizi TIC come critico, le AEV, tramite il comitato congiunto, notificano al fornitore terzo di servizi TIC tale designazione e la data di inizio a partire dalla quale sarà effettivamente soggetto ad attività di sorveglianza. La data di inizio è fissata a non più di un mese dall’avvenuta notifica. Il fornitore terzo di servizi TIC notifica alle entità finanziarie a cui presta servizi la propria designazione come critico.

6.   Alla Commissione è conferito il potere di adottare un atto delegato, conformemente all’articolo 57, per integrare il presente regolamento specificando ulteriormente i criteri di cui al paragrafo 2 del presente articolo, entro il 17 luglio 2024.

7.   Il meccanismo di designazione di cui al paragrafo 1, lettera a), non è utilizzato fino a quando la Commissione non abbia adottato un atto delegato in conformità del paragrafo 6.

8.   Il meccanismo di designazione di cui al paragrafo 1, lettera a), non si applica:

9.   Le AEV, tramite il comitato congiunto, redigono, pubblicano e aggiornano ogni anno l’elenco dei fornitori terzi critici di servizi TIC a livello di Unione.

10.   Ai fini del paragrafo 1, lettera a), le autorità competenti, con cadenza annuale e in forma aggregata, trasmettono le relazioni di cui all’articolo 28, paragrafo 3, terzo comma, al forum di sorveglianza istituito ai sensi dell’articolo 32. Il forum di sorveglianza valuta la dipendenza delle entità finanziarie da terzi nel settore delle TIC sulla base delle informazioni ricevute dalle autorità competenti.

11.   I fornitori terzi di servizi TIC che non sono inseriti nell’elenco di cui al paragrafo 9 possono chiedere di essere designati come critici conformemente al paragrafo 1, lettera a).

Ai fini del primo comma, il fornitore terzo di servizi TIC presenta una domanda motivata all’ABE, all’ESMA o all’EIOPA; queste ultime, tramite il comitato congiunto, decidono se designare tale fornitore terzo di servizi TIC come critico conformemente al paragrafo 1, lettera a).

La decisione di cui al secondo comma è adottata e notificata al fornitore terzo di servizi TIC entro sei mesi dalla data in cui è stata ricevuta la domanda.

12.   Le entità finanziarie ricorrono ai servizi di un fornitore terzo di servizi TIC stabilito in un paese terzo e che è stato designato come critico conformemente al paragrafo 1, lettera a), soltanto se detto fornitore ha istituito un’impresa figlia nell’Unione entro 12 mesi dalla designazione.

13.   Il fornitore terzo critico di servizi TIC di cui al paragrafo 12 notifica all’autorità di sorveglianza capofila eventuali cambiamenti nella struttura gestionale dell’impresa figlia istituita nell’Unione.

1.   Il comitato congiunto, in conformità dell’articolo 57, paragrafo 1, dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, istituisce il forum di sorveglianza come sottocomitato incaricato di coadiuvare il lavoro del comitato congiunto e dell’autorità di sorveglianza capofila di cui all’articolo 31, paragrafo 1, lettera b), per quanto concerne i rischi informatici derivanti da terzi in tutti i settori finanziari. Il forum di sorveglianza prepara i progetti di posizioni comuni e atti comuni del comitato congiunto in tale ambito.

Il forum di sorveglianza discute periodicamente gli sviluppi rilevanti in materia di vulnerabilità e rischi relativi alle TIC e promuove un approccio coerente al monitoraggio dei rischi informatici derivanti da terzi a livello dell’Unione.

2.   Il forum di sorveglianza intraprende, con cadenza annuale, una valutazione collettiva degli esiti e delle risultanze delle attività di sorveglianza condotte su tutti i fornitori terzi critici di servizi TIC e promuove misure di coordinamento per potenziare la resilienza operativa digitale delle entità finanziarie, favorire le migliori prassi per contrastare il rischio di concentrazione delle TIC e studiare metodi per attenuare i trasferimenti intersettoriali dei rischi.

3.   Il forum di sorveglianza sottopone al comitato congiunto parametri di riferimento generali ai fornitori terzi critici di servizi TIC affinché siano adottati come posizioni congiunte delle AEV ai sensi dell’articolo 56, paragrafo 1, dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

4.   Il forum di sorveglianza è composto da:

Il forum di sorveglianza può, se del caso, chiedere il parere di esperti indipendenti nominati a norma del paragrafo 6.

5.   Ciascuno Stato membro designa l’autorità competente interessata il cui membro del personale è il rappresentante di alto livello di cui al paragrafo 4, primo comma, lettera b), e ne informa l’autorità di sorveglianza capofila.

Le AEV pubblicano sul loro sito web l’elenco dei rappresentanti di alto livello dell’attuale personale della pertinente autorità competente designati dagli Stati membri.

6.   Gli esperti indipendenti di cui al paragrafo 4, secondo comma, sono nominati dal forum di sorveglianza e provengono da un gruppo di esperti selezionati al termine di una procedura di candidatura pubblica e trasparente. Gli esperti indipendenti sono nominati sulla base dell’esperienza maturata in settori quali la stabilità finanziaria, la resilienza operativa digitale e le questioni di sicurezza delle TIC.

Agiscono in piena indipendenza e obiettività nell’interesse esclusivo dell’Unione nel suo insieme, senza chiedere né ricevere istruzioni da parte di istituzioni od organi dell’Unione, governi degli Stati membri o altri soggetti pubblici o privati.

7.   Ai sensi dell’articolo 16 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010, le AEV, entro il 17 luglio 2024, formulano, ai fini della presente sezione, orientamenti sulla cooperazione tra le AEV e le autorità competenti concernenti le procedure e le condizioni dettagliate per la ripartizione e l’esecuzione dei compiti tra le autorità competenti e le AEV, nonché forniscono dettagli sugli scambi di informazioni necessari alle autorità competenti per garantire il seguito da dare alle raccomandazioni a norma dell’articolo 35, paragrafo 1, lettera d) rivolte ai fornitori terzi critici di servizi TIC.

8.   I requisiti di cui alla presente sezione non pregiudicano l’applicazione della direttiva (UE) 2022/2555 né di altre norme dell’Unione in materia di sorveglianza applicabili ai fornitori di servizi di cloud computing.

9.   Sulla base di un lavoro preparatorio svolto dal forum di sorveglianza, le AEV, tramite il comitato congiunto, trasmettono ogni anno una relazione sull’applicazione della presente sezione al Parlamento europeo, al Consiglio e alla Commissione.

1.   L’autorità di sorveglianza capofila, nominata conformemente all’articolo 31, paragrafo 1, lettera b), effettua la sorveglianza dei fornitori terzi critici di servizi TIC assegnati e, ai fini di tutte le questioni relative alla sorveglianza, è il principale punto di contatto per tali fornitori terzi critici di servizi TIC.

2.   Ai fini del paragrafo 1, l’autorità di sorveglianza capofila valuta se ciascun fornitore terzo critico di servizi TIC abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci per gestire i rischi informatici cui esso può esporre le entità finanziarie.

La valutazione di cui al primo comma si concentra principalmente sui servizi TIC forniti dal fornitore terzo critico di servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie. Se necessario per affrontare tutti i rischi pertinenti, tale valutazione si estende ai servizi TIC a supporto di funzioni diverse da quelle essenziali o importanti.

3.   La valutazione di cui al paragrafo 2 riguarda:

4.   Sulla base della valutazione di cui al paragrafo 2, e in coordinamento con la rete di sorveglianza comune di cui all’articolo 34, paragrafo 1, l’autorità di sorveglianza capofila adotta un piano di sorveglianza individuale chiaro, dettagliato e motivato che descrive gli obiettivi annuali in materia di sorveglianza e le principali azioni di sorveglianza previste per ciascun fornitore terzo critico di servizi TIC. Tale piano è comunicato annualmente al fornitore terzo critico di servizi TIC.

Prima dell’adozione del piano di sorveglianza, l’autorità di sorveglianza capofila comunica il progetto di piano di sorveglianza al fornitore terzo critico di servizi TIC.

Al ricevimento del progetto di piano di sorveglianza, il fornitore terzo critico di servizi TIC può presentare, entro 15 giorni di calendario, una dichiarazione motivata che dimostri l’impatto previsto sui clienti che sono entità che non rientrano nell’ambito di applicazione del presente regolamento e, se del caso, formuli soluzioni per attenuare i rischi.

5.   Allorché i piani di sorveglianza annuali di cui al paragrafo 4 sono stati adottati e notificati ai fornitori terzi critici di servizi TIC, le autorità competenti possono adottare misure concernenti tali fornitori terzi critici di servizi TIC soltanto in accordo con l’autorità di sorveglianza capofila.

1.   Per garantire un approccio coerente alle attività di sorveglianza e al fine di consentire strategie di sorveglianza generale coordinate e approcci operativi e metodologie di lavoro coerenti, le tre autorità di sorveglianza capofila nominate a norma dell’articolo 31, paragrafo 1, lettera b), istituiscono una rete di sorveglianza comune per coordinarsi tra loro nelle fasi preparatorie e coordinare lo svolgimento delle attività di sorveglianza sui rispettivi fornitori terzi critici di servizi TIC sottoposti a sorveglianza, nonché nello svolgimento di qualsiasi azione eventualmente necessaria a norma dell’articolo 42.

2.   Ai fini del paragrafo 1, le autorità di sorveglianza capofila elaborano un protocollo comune di sorveglianza che specifica le procedure dettagliate da seguire per effettuare il coordinamento quotidiano e garantire scambi e reazioni rapidi. Il protocollo è riveduto periodicamente per tener conto delle esigenze operative, in particolare dell’evoluzione delle modalità pratiche di sorveglianza.

3.   Le autorità di sorveglianza capofila possono, a seconda dei casi, chiedere alla BCE e all’ENISA di fornire consulenza tecnica, condividere esperienze pratiche o partecipare a specifiche riunioni di coordinamento della rete di sorveglianza comune.

1.   Ai fini dello svolgimento dei compiti previsti dalla presente sezione, all’autorità di sorveglianza capofila sono conferiti i poteri indicati di seguito riguardo ai fornitori terzi critici di servizi TIC:

2.   Nell’esercizio dei poteri di cui al presente articolo, l’autorità di sorveglianza capofila:

3.   L’autorità di sorveglianza capofila consulta il forum di sorveglianza prima di esercitare i poteri di cui al paragrafo 1.

Prima di formulare raccomandazioni a norma del paragrafo 1, lettera d), l’autorità di sorveglianza capofila dà al fornitore terzo di servizi TIC la possibilità di fornire entro 30 giorni di calendario informazioni pertinenti che dimostrino l’impatto previsto sui clienti che sono entità che non rientrano nell’ambito di applicazione del presente regolamento e, se del caso, formulino soluzioni per attenuare i rischi.

4.   L’autorità di sorveglianza capofila informa la rete di sorveglianza comune dell’esito dell’esercizio dei poteri di cui al paragrafo 1, lettere a) e b). L’autorità di sorveglianza capofila trasmette, senza indebito ritardo, le relazioni di cui al paragrafo 1, lettera c), alla rete di sorveglianza comune e alle autorità competenti delle entità finanziarie che utilizzano i servizi TIC di tale fornitore terzo critico di servizi TIC.

5.   I fornitori terzi critici di servizi TIC cooperano in buona fede con l’autorità di sorveglianza capofila e la coadiuvano nell’adempimento dei suoi compiti.

6.   In caso di inosservanza totale o parziale delle misure che devono essere adottate ai sensi dell’esercizio dei poteri di cui al paragrafo 1, lettere a), b) e c), e dopo la scadenza di un periodo di almeno 30 giorni di calendario dalla data in cui il fornitore terzo critico di servizi TIC ha ricevuto la notifica delle rispettive misure, l’autorità di sorveglianza capofila adotta una decisione che impone una penalità di mora al fine di costringere il fornitore terzo critico di servizi TIC a conformarsi a tali misure.

7.   La penalità di mora, di cui al paragrafo 6, è imposta su base giornaliera fino al conseguimento della conformità e per un periodo non superiore a sei mesi dalla notifica della decisione che impone una penalità di mora al fornitore terzo critico di servizi TIC.

8.   L’importo della penalità di mora, calcolato a partire dalla data indicata nella decisione che la impone, è fino all’1 % del fatturato medio quotidiano realizzato a livello mondiale dal fornitore terzo critico di servizi TIC nel precedente esercizio. Nel determinare l’importo della penalità, l’autorità di sorveglianza capofila tiene conto dei seguenti criteri per quanto riguarda l’inosservanza delle misure di cui al paragrafo 6:

Ai fini del primo comma, per garantire un approccio coerente, l’autorità di sorveglianza capofila avvia consultazioni nell’ambito della rete di sorveglianza comune.

9.   Le penalità sono di natura amministrativa e sono esecutive. L’applicazione delle penalità è regolata dalle norme di procedura civile vigenti nello Stato membro sul cui territorio si svolgono le ispezioni e l’accesso. I giudici dello Stato membro interessato esercitano la giurisdizione sui reclami concernenti l’irregolarità dell’applicazione delle penalità. Gli importi delle penalità sono assegnati al bilancio generale dell’Unione europea.

10.   L’autorità di sorveglianza capofila comunica al pubblico ogni penalità di mora inflitta, salvo il caso in cui tale comunicazione possa mettere gravemente a rischio i mercati finanziari o possa arrecare un danno sproporzionato alle parti coinvolte.

11.   Prima di imporre una penalità di mora ai sensi del paragrafo 6, l’autorità di sorveglianza capofila concede ai rappresentanti del fornitore terzo critico di servizi TIC oggetto del procedimento l’opportunità di essere sentiti in merito alle risultanze, e fonda le proprie decisioni unicamente sulle risultanze in merito alle quali il fornitore terzo critico di servizi TIC oggetto del procedimento ha avuto la possibilità di esporre le proprie osservazioni.

Nel corso del procedimento sono pienamente garantiti i diritti della difesa delle persone interessate dal procedimento. Il fornitore terzo critico di servizi TIC oggetto del procedimento ha diritto di accesso al fascicolo, fermo restando il legittimo interesse di altre persone alla tutela dei propri segreti aziendali. Il diritto di accesso al fascicolo non si estende alle informazioni riservate o ai documenti preparatori interni dell’autorità di sorveglianza capofila.

1.   Qualora gli obiettivi di sorveglianza non possano essere conseguiti interagendo con l’impresa figlia istituita ai fini dell’articolo 31, paragrafo 12, o esercitando attività di sorveglianza in locali situati nell’Unione, l’autorità di sorveglianza capofila può esercitare i poteri, di cui alle disposizioni seguenti, in qualsiasi locale situato in un paese terzo che sia posseduto, o utilizzato in qualsiasi modo, ai fini della fornitura di servizi a entità finanziarie dell’Unione da parte di un fornitore terzo critico di servizi di TIC, riguardo alle relative operazioni commerciali, funzioni o servizi, compresi eventuali uffici amministrativi, commerciali o operativi, locali, terreni, edifici o altre proprietà:

I poteri di cui al primo comma possono essere esercitati alle condizioni seguenti:

2.   Fatte salve le rispettive competenze delle istituzioni dell’Unione e degli Stati membri, ai fini del paragrafo 1, l’ABE, l’ESMA o l’EIOPA concludono accordi di cooperazione amministrativa con l’autorità pertinente del paese terzo al fine di consentire il regolare svolgimento delle ispezioni nel paese terzo interessato da parte dell’autorità di sorveglianza capofila e del gruppo designato per la sua missione in tale paese terzo. Tali accordi di cooperazione non creano obblighi giuridici per l’Unione e i suoi Stati membri, né impediscono agli Stati membri e alle loro autorità competenti di concludere accordi bilaterali o multilaterali con tali paesi terzi e le loro autorità pertinenti.

Tali accordi di cooperazione specificano almeno gli elementi seguenti:

3.   Quando l’autorità di sorveglianza capofila non è in grado di svolgere le attività di sorveglianza, al di fuori dell’Unione, di cui ai paragrafi 1 e 2, l’autorità di sorveglianza capofila:

Le potenziali conseguenze di cui alla lettera b) del presente comma sono prese in considerazione nelle raccomandazioni dell’autorità di sorveglianza capofila emesse a norma dell’articolo 35, paragrafo 1, lettera d).

1.   L’autorità di sorveglianza capofila può, con semplice richiesta o mediante decisione, imporre ai fornitori terzi critici di servizi TIC di trasmettere tutte le informazioni necessarie all’autorità di sorveglianza capofila per adempiere i propri compiti ai sensi del presente regolamento, tra cui tutti i pertinenti documenti aziendali od operativi, contratti, documentazione strategica, relazioni di audit sulla sicurezza delle TIC, segnalazioni di incidenti informatici, nonché qualsiasi informazione relativa ai soggetti cui il fornitore terzo critico di servizi TIC ha esternalizzato attività o funzioni operative.

2.   Quando invia una semplice richiesta di informazioni a norma del paragrafo 1, l’autorità di sorveglianza capofila:

3.   Quando impone mediante decisione la comunicazione di informazioni a norma del paragrafo 1, l’autorità di sorveglianza capofila:

4.   I rappresentanti dei fornitori terzi critici di servizi TIC forniscono le informazioni richieste. Gli avvocati debitamente incaricati possono fornire le informazioni richieste a nome dei loro clienti. I fornitori terzi critici di servizi TIC sono pienamente responsabili qualora le informazioni fornite siano incomplete, inesatte o fuorvianti.

5.   L’autorità di sorveglianza capofila trasmette senza ritardo copia della decisione di fornire informazioni alle autorità competenti delle entità finanziarie che utilizzano i servizi dei fornitori terzi interessati di servizi TIC critici e alla rete di sorveglianza comune.

1.   Per adempiere i propri compiti ai sensi del presente regolamento, l’autorità di sorveglianza capofila, coadiuvata dal gruppo di esaminatori congiunto di cui all’articolo 40, paragrafo 1, può, se necessario, svolgere le indagini sui fornitori terzi critici di servizi TIC.

2.   L’autorità di sorveglianza capofila ha il potere di:

3.   I funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila allo svolgimento dell’indagine di cui al paragrafo 1 esercitano i loro poteri dietro esibizione di un’autorizzazione scritta che specifichi l’oggetto e le finalità dell’indagine.

Tale autorizzazione indica anche la penalità di mora, di cui all’articolo 35, paragrafo 6, qualora i registri, i dati, le procedure documentate o qualsiasi altro materiale richiesto, oppure le risposte alle domande poste ai rappresentanti del fornitore terzo di servizi TIC, siano incompleti o non siano forniti affatto.

4.   I rappresentanti dei fornitori terzi critici di servizi TIC sono tenuti a sottoporsi alle indagini sulla base di una decisione dell’autorità di sorveglianza capofila. La decisione specifica l’oggetto e le finalità dell’indagine nonché le penalità di mora di cui all’articolo 35, paragrafo 6, i mezzi di ricorso disponibili ai sensi dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010 e il diritto di ricorso dinanzi alla Corte di giustizia avverso la decisione.

5.   In tempo utile prima dell’avvio dell’indagine, l’autorità di sorveglianza capofila informa le autorità competenti delle entità finanziarie che si avvalgono dei servizi TIC del fornitore terzo critico di servizi TIC in questione in merito all’indagine prevista e all’identità delle persone autorizzate.

L’autorità di sorveglianza capofila comunica alla rete di sorveglianza comune tutte le informazioni trasmesse a norma del primo comma.

1.   Per adempiere i propri compiti ai sensi del presente regolamento, l’autorità di sorveglianza capofila può, coadiuvata dai gruppi di esaminatori congiunti di cui all’articolo 40, paragrafo 1, accedere a locali commerciali, immobili o proprietà dei fornitori terzi di servizi TIC, come sedi centrali, centri operativi, sedi secondarie, per condurvi tutte le necessarie ispezioni in loco; può inoltre effettuare ispezioni extra loco.

Ai fini dell’esercizio dei poteri di cui al primo comma, l’autorità di sorveglianza capofila consulta la rete di sorveglianza comune.

2.   I funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila a effettuare l’ispezione in loco hanno il potere di:

I funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila esercitano i loro poteri dietro esibizione di un’autorizzazione scritta che specifichi l’oggetto e le finalità dell’ispezione, nonché le penalità di mora di cui all’articolo 35, paragrafo 6, qualora i rappresentanti dei fornitori terzi critici di servizi TIC interessati non si sottopongano all’ispezione.

3.   In tempo utile prima dell’avvio dell’ispezione, l’autorità di sorveglianza capofila informa le autorità competenti delle entità finanziarie che si avvalgono di quel fornitore terzo di servizi TIC.

4.   Le ispezioni si estendono all’intera gamma di sistemi, reti, dispositivi, informazioni e dati in materia di TIC utilizzati per la fornitura di servizi TIC alle entità finanziarie, o che vi contribuiscono.

5.   Prima di qualsiasi ispezione in loco programmata, l’autorità di sorveglianza capofila concede un ragionevole preavviso ai fornitori terzi critici di servizi TIC, a meno che tale preavviso si riveli impossibile per una situazione di emergenza o di crisi, o qualora il preavviso rischi di provocare una situazione in cui l’ispezione o l’audit non sarebbero più efficaci.

6.   Il fornitore terzo critico di servizi TIC si sottopone alle ispezioni in loco ordinate con decisione dell’autorità di sorveglianza capofila. La decisione specifica l’oggetto e le finalità dell’ispezione, fissa la data d’inizio dell’ispezione indica le penalità di mora di cui all’articolo 35, paragrafo 6, i mezzi di ricorso disponibili a norma dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, nonché il diritto di presentare ricorso dinanzi alla Corte di giustizia avverso la decisione.

7.   Qualora i funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila constatino che il fornitore terzo critico di servizi TIC si oppone all’ispezione ordinata ai sensi del presente articolo, l’autorità di sorveglianza capofila informa il fornitore terzo critico di servizi TIC delle conseguenze di tale opposizione, compresa la possibilità per le autorità competenti delle entità finanziarie interessate di imporre alle entità finanziarie di risolvere gli accordi contrattuali stipulati con il fornitore terzo critico di servizi TIC.

1.   Nello svolgimento di attività di sorveglianza, in particolare indagini generali o ispezioni, l’autorità di sorveglianza capofila è coadiuvata da un gruppo di esaminatori congiunto istituito per ciascun fornitore terzo critico di servizi TIC.

2.   Il gruppo di esaminatori congiunto di cui al paragrafo 1 è composto da membri del personale appartenenti:

I membri del gruppo di esaminatori congiunto possiedono competenze in materia di TIC e rischi operativi. Il gruppo di esaminatori congiunto è coordinato da un membro del personale dell’autorità di sorveglianza capofila designato a tale scopo («coordinatore dell’autorità di sorveglianza capofila»).

3.   Entro tre mesi dal completamento dell’indagine o dell’ispezione, l’autorità di sorveglianza capofila, dopo essersi consultata con il forum di sorveglianza, adotta le raccomandazioni da inviare al fornitore terzo critico di servizi TIC in forza dei poteri che le sono stati conferiti ai sensi dell’articolo 35.

4.   Le raccomandazioni di cui al paragrafo 3 sono comunicate immediatamente al fornitore terzo critico di servizi TIC e alle autorità competenti delle entità finanziarie cui il fornitore in questione presta i suoi servizi TIC.

Per l’espletamento delle attività di sorveglianza, l’autorità di sorveglianza capofila può tener conto di qualsiasi pertinente certificazione fornita da terzi e di relazioni di audit interni o esterni effettuati da terzi in materia di TIC messe a disposizione dal fornitore terzo critico di servizi TIC.

1.   Le AEV, tramite il comitato congiunto, elaborano progetti di norme tecniche di regolamentazione per specificare:

2.   Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 luglio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al paragrafo 1, in conformità della procedura sancita agli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

1.   Entro 60 giorni di calendario dalla ricezione delle raccomandazioni formulate dall’autorità di sorveglianza capofila ai sensi dell’articolo 35, paragrafo 1, lettera d), i fornitori terzi critici di servizi TIC comunicano all’autorità di sorveglianza capofila la loro intenzione di attenersi alle raccomandazioni o forniscono una spiegazione articolata del motivo per cui non lo faranno. L’autorità di sorveglianza capofila trasmette immediatamente le informazioni alle autorità competenti delle entità finanziarie interessate.

2.   L’autorità di sorveglianza capofila rende pubblici i casi in cui un fornitore terzo critico di servizi TIC non dà notifica all’autorità di sorveglianza capofila conformemente al paragrafo 1 o se la spiegazione fornita dal fornitore terzo critico di servizi TIC non è ritenuta sufficiente. Le informazioni pubblicate rivelano l’identità del fornitore terzo critico di servizi TIC nonché informazioni sul tipo e la natura dell’inosservanza. Tali informazioni sono limitate a quanto è pertinente e proporzionato al fine di assicurare la sensibilizzazione del pubblico, salvo il caso in cui la pubblicazione possa arrecare un danno sproporzionato alle parti coinvolte o mettere gravemente a rischio il regolare funzionamento e l’integrità dei mercati finanziari o la stabilità dell’intero sistema finanziario dell’Unione o di parte di esso.

L’autorità di sorveglianza capofila informa il fornitore terzo di servizi TIC di tale divulgazione al pubblico.

3.   Le autorità competenti informano le entità finanziarie interessate dei rischi individuati nelle raccomandazioni inviate ai fornitori terzi critici di servizi TIC conformemente all’articolo 35, paragrafo 1, lettera d).

Nella gestione dei rischi informatici derivanti da terzi, le entità finanziarie tengono conto dei rischi di cui al primo comma.

4.   Qualora un’autorità competente ritenga che un’entità finanziaria non tenga conto dei rischi specifici individuati nelle raccomandazioni, o non li affronti in misura sufficiente, nell’ambito della sua gestione dei rischi informatici derivanti da terzi, essa notifica all’entità finanziaria la possibilità di adottare una decisione, entro 60 giorni di calendario dal ricevimento di tale notifica, a norma del paragrafo 6, in assenza di adeguati accordi contrattuali volti a far fronte a tali rischi.

5.   Dopo aver ricevuto le relazioni di cui all’articolo 35, paragrafo 1, lettera c), e prima di adottare una decisione di cui al paragrafo 6 del presente articolo, le autorità competenti possono, su base volontaria, consultare le autorità competenti designate o istituite in conformità della direttiva (UE) 2022/2555 responsabili della vigilanza di un soggetto essenziale o importante ai sensi di tale direttiva, che è stato designato come fornitore terzo critico di servizi TIC.

6.   A norma dell’articolo 50, le autorità competenti possono adottare, come misura di ultima istanza, a seguito della notifica e, se del caso, della consultazione di cui ai paragrafi 4 e 5 del presente articolo, una decisione che impone alle entità finanziarie di sospendere temporaneamente, in tutto o in parte, l’utilizzo o l’introduzione di un servizio prestato dal fornitore terzo critico di servizi TIC, fino a quando non siano stati affrontati i rischi identificati nelle raccomandazioni trasmesse ai fornitori terzi critici di servizi TIC. Laddove si renda necessario, le autorità competenti possono chiedere alle entità finanziarie di risolvere, in tutto o in parte, gli accordi contrattuali pertinenti stipulati con i fornitori terzi critici di servizi TIC.

7.   Qualora un fornitore terzo critico di servizi TIC rifiuti di accogliere raccomandazioni basandosi su un approccio diverso da quello raccomandato dall’autorità di sorveglianza capofila e qualora tale approccio diverso possa avere un impatto negativo su un numero considerevole di entità finanziarie, o su una parte significativa del settore finanziario, e le singole segnalazioni emesse dalle autorità competenti non abbiano dato luogo ad approcci coerenti che attenuino il rischio potenziale per la stabilità finanziaria, l’autorità di sorveglianza capofila può, previa consultazione del forum di sorveglianza, emettere pareri non vincolanti e non pubblici alle autorità competenti, al fine di promuovere, se del caso, misure di follow-up coerenti e convergenti in materia di vigilanza.

8.   Dopo aver ricevuto le relazioni di cui all’articolo 35, paragrafo 1, lettera c), le autorità competenti tengono conto, al momento di adottare le decisioni di cui al paragrafo 6 del presente articolo, del tipo e delle dimensioni del rischio che non è stato affrontato dal fornitore terzo critico di servizi TIC, nonché della gravità dell’inosservanza, in considerazione dei criteri seguenti:

Le autorità competenti concedono alle entità finanziarie il periodo di tempo necessario per consentire loro di adeguare gli accordi contrattuali con i fornitori terzi critici di servizi TIC al fine di evitare effetti negativi sulla loro resilienza operativa digitale e di consentire loro di attuare le strategie di uscita e i piani di transizione di cui all’articolo 28.

9.   La decisione di cui al paragrafo 6 del presente articolo è notificata ai membri del forum di sorveglianza di cui all’articolo 32, paragrafo 4, lettere a), b) e c), e alla rete di sorveglianza comune.

I fornitori terzi critici di servizi TIC interessati dalle decisioni di cui al paragrafo 6 cooperano pienamente con le entità finanziarie colpite, in particolare nel contesto del processo di sospensione o risoluzione dei loro accordi contrattuali.

10.   Le autorità competenti informano l’autorità di sorveglianza capofila in merito alle misure e agli approcci adottati nell’ambito dei propri compiti di vigilanza in relazione alle entità finanziarie, nonché in merito agli accordi contrattuali conclusi da queste ultime qualora i fornitori terzi critici di servizi TIC abbiano disatteso, in tutto o in parte, le raccomandazioni loro rivolte dall’autorità di sorveglianza capofila.

11.   L’autorità di sorveglianza capofila può, su richiesta, fornire ulteriori chiarimenti sulle raccomandazioni formulate per orientare le autorità competenti sulle misure di follow-up.

1.   L’autorità di sorveglianza capofila addebita, conformemente all’atto delegato di cui al paragrafo 2 del presente articolo, ai fornitori terzi critici di servizi TIC commissioni che coprono completamente le spese necessarie sostenute dall’autorità di sorveglianza capofila in relazione allo svolgimento dei compiti di sorveglianza ai sensi del presente regolamento, compreso il rimborso dei costi eventualmente sostenuti in seguito al lavoro svolto dal gruppo di esaminatori congiunto di cui all’articolo 40, nonché i costi della consulenza fornita dagli esperti indipendenti di cui all’articolo 32, paragrafo 4, secondo comma, in relazione a questioni che rientrano nell’ambito delle attività di sorveglianza diretta.

L’importo della commissione addebitata al fornitore terzo critico di servizi TIC copre tutti i costi derivanti dall’esecuzione dei compiti di cui alla presente sezione ed è proporzionato al fatturato del fornitore.

2.   Alla Commissione è conferito il potere di adottare un atto delegato, conformemente all’articolo 57, per integrare il presente regolamento determinando l’importo delle commissioni e le relative modalità di pagamento entro il 17 luglio 2024.

1.   Fatto salvo l’articolo 36, ai sensi, rispettivamente, dell’articolo 33 dei regolamenti (UE) n. 1093/2010, (UE) n. 1095/2010 e (UE) n. 1094/2010, l’ABE, l’ESMA e l’EIOPA possono concludere accordi amministrativi con le autorità di vigilanza e di regolamentazione di paesi terzi per promuovere la cooperazione internazionale in materia di rischi informatici derivanti da terzi tra i diversi settori finanziari, in particolare definendo migliori prassi per il riesame delle pratiche e dei controlli per la gestione dei rischi informatici nonché per le misure di attenuazione e risposta agli incidenti.

2.   Le AEV, tramite il comitato congiunto, presentano ogni cinque anni al Parlamento europeo, al Consiglio e alla Commissione una relazione congiunta riservata in cui sintetizzano le conclusioni delle discussioni pertinenti tenute con le autorità dei paesi terzi di cui al paragrafo 1, con particolare attenzione all’evoluzione dei rischi informatici derivanti da terzi e alle implicazioni per la stabilità finanziaria, l’integrità del mercato, la protezione degli investitori e il funzionamento del mercato interno.

1.   Le entità finanziarie possono scambiarsi reciprocamente informazioni e analisi delle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme per la cibersicurezza e strumenti di configurazione, nella misura in cui tale condivisione di informazioni e dati:

2.   Ai fini del paragrafo 1, lettera c), i meccanismi di condivisione delle informazioni definiscono le condizioni per la partecipazione e, se del caso, definiscono i dettagli concernenti il coinvolgimento delle autorità pubbliche e la veste in cui queste possono partecipare ai meccanismi di condivisione delle informazioni, il coinvolgimento dei fornitori terzi di servizi TIC, nonché gli elementi operativi tra cui l’utilizzo di piattaforme informatiche apposite.

3.   Le entità finanziarie notificano alle autorità competenti la propria partecipazione ai meccanismi di condivisione delle informazioni di cui al paragrafo 1, al momento della convalida della propria adesione o, se del caso, della cessazione dell’adesione, quando quest’ultima abbia effetto.

1.   Per promuovere la cooperazione e consentire lo scambio di pratiche di vigilanza tra le autorità competenti designate a norma del presente regolamento e il gruppo di cooperazione istituito dall’articolo 14 della direttiva (UE) 2022/2555, le AEV e le autorità competenti possono partecipare alle attività del gruppo di cooperazione per le questioni che riguardano le loro attività di vigilanza in relazione alle entità finanziarie. Le AEV e le autorità competenti possono chiedere di essere invitate a partecipare alle attività del gruppo di cooperazione per questioni relative alle entità essenziali o importanti ai sensi della direttiva (UE) 2022/2555 che sono anch’esse state designate come fornitori terzi critici di servizi TIC a norma dell’articolo 31 del presente regolamento.

2.   Le autorità competenti possono consultare, se del caso, i punti di contatto unici e i CSIRT designati o istituiti in conformità della direttiva (UE) 2022/2555, e scambiare informazioni con essi.

3.   Se del caso, le autorità competenti possono richiedere qualsiasi consulenza e assistenza tecnica pertinenti alle autorità competenti designate o istituite a norma della direttiva (UE) 2022/2555 e stabilire accordi di cooperazione per consentire l’istituzione di meccanismi di coordinamento efficaci e di risposta rapida.

4.   Gli accordi di cui al paragrafo 3 del presente articolo possono, tra l’altro, specificare le procedure per il coordinamento delle attività di vigilanza e di sorveglianza, rispettivamente, in relazione a soggetti essenziali o importanti ai sensi della direttiva (UE) 2022/2555 che sono stati designati come fornitori terzi critici di servizi TIC a norma dell’articolo 31 del presente regolamento, anche per lo svolgimento, conformemente al diritto nazionale, di indagini e ispezioni in loco, nonché per i meccanismi per lo scambio di informazioni tra le autorità competenti ai sensi del presente regolamento e le autorità competenti designate o istituite a norma di tale direttiva, il che comprende l’accesso alle informazioni richieste da tali ultime autorità.

1.   Le autorità competenti cooperano strettamente tra loro e, se del caso, con l’autorità di sorveglianza capofila.

2.   Le autorità competenti e l’autorità di sorveglianza capofila si scambiano tempestivamente tutte le informazioni pertinenti riguardanti i fornitori terzi critici di servizi TIC che sono necessarie per svolgere i rispettivi compiti ai sensi del presente regolamento, in particolare in relazione ai rischi individuati, agli approcci e alle misure adottate nell’ambito dei compiti di sorveglianza dell’autorità di sorveglianza capofila.

1.   Le AEV, tramite il comitato congiunto e in collaborazione con le autorità competenti, le autorità di risoluzione di cui all’articolo 3 della direttiva 2014/59/UE, la BCE, il Comitato di risoluzione unico per quanto riguarda le informazioni relative alle entità che rientrano nell’ambito di applicazione del regolamento (UE) n. 806/2014, il CERS e l’ENISA, se del caso, possono istituire meccanismi che consentano la condivisione di pratiche efficaci tra i vari settori finanziari per migliorare la consapevolezza situazionale e identificare i rischi e le vulnerabilità informatiche comuni a tutti i settori.

Le AEV possono elaborare esercitazioni di gestione delle crisi e delle emergenze comprendenti scenari di attacchi informatici al fine di sviluppare canali di comunicazione e promuovere gradualmente una risposta efficace coordinata a livello dell’Unione nel caso di grave incidente transfrontaliero connesso alle TIC o relativa minaccia aventi un impatto sistemico sull’intero settore finanziario dell’Unione.

A seconda dei casi, tali esercitazioni possono anche servire come test delle dipendenze del settore finanziario da altri settori economici.

2.   Le autorità competenti, le AEV e la BCE cooperano strettamente tra loro e si scambiano informazioni per svolgere i compiti di cui agli articoli da 47 a 54. Realizzano uno stretto coordinamento dell’attività di vigilanza per rilevare e correggere le violazioni del presente regolamento, sviluppare e promuovere migliori prassi, agevolare la collaborazione, promuovere la coerenza dell’interpretazione e formulare valutazioni transgiurisdizionali in caso di disaccordo.

1.   Alle autorità competenti sono conferiti tutti i poteri di vigilanza, di indagine e sanzionatori necessari per adempiere i propri compiti ai sensi del presente regolamento.

2.   I poteri di cui al paragrafo 1 includono almeno i poteri seguenti:

3.   Fatto salvo il diritto degli Stati membri di imporre sanzioni penali in conformità dell’articolo 52, gli Stati membri stabiliscono norme che prevedano adeguate sanzioni amministrative e misure di riparazione per le violazioni del presente regolamento e ne garantiscono l’effettiva applicazione.

Tali sanzioni e misure sono efficaci, proporzionate e dissuasive.

4.   Gli Stati membri conferiscono alle autorità competenti il potere di applicare almeno le sanzioni amministrative o misure di riparazione seguenti per le violazioni del presente regolamento:

5.   Qualora il paragrafo 2, lettera c), e il paragrafo 4 si applichino a persone giuridiche, gli Stati membri conferiscono alle autorità competenti il potere di imporre sanzioni amministrative e misure di riparazione, alle condizioni previste dal diritto nazionale, nei confronti di membri dell’organo di gestione e di altre persone che, ai sensi del diritto nazionale, siano responsabili della violazione.

6.   Gli Stati membri garantiscono che qualsiasi decisione di imporre sanzioni amministrative o misure di riparazione adottata ai sensi del paragrafo 2, lettera c), sia adeguatamente motivata e preveda il diritto di ricorso.

1.   Le autorità competenti esercitano il potere di imporre sanzioni amministrative e misure di riparazione di cui all’articolo 50 in conformità del proprio quadro giuridico nazionale, a seconda dei casi:

2.   Per stabilire il tipo e il livello della sanzione amministrativa o della misura di riparazione da imporre a norma dell’articolo 50, le autorità competenti tengono conto della misura in cui la violazione è intenzionale o è dovuta a negligenza e di tutte le altre circostanze pertinenti, tra cui, secondo il caso:

1.   Gli Stati membri possono decidere di non emanare norme relative a sanzioni amministrative o misure di riparazione per violazioni che, ai sensi del rispettivo diritto nazionale, siano passibili di sanzioni penali.

2.   Qualora abbiano deciso di imporre sanzioni penali per violazioni del presente regolamento, gli Stati membri provvedono affinché siano messe in atto misure adeguate per far sì che le autorità competenti dispongano di tutti i poteri necessari per stabilire contatti con le autorità giudiziarie, le autorità inquirenti o le autorità di giustizia penale della loro giurisdizione, al fine di ricevere informazioni specifiche sulle indagini o i procedimenti penali avviati per violazioni del presente regolamento, e di trasmetterle alle altre autorità competenti, nonché all’ABE, all’ESMA o all’EIOPA in modo tale che possano adempiere l’obbligo di cooperazione ai fini del presente regolamento.

1.   Le autorità competenti pubblicano senza indebito ritardo sul proprio sito web ufficiale qualsiasi decisione di imporre sanzioni amministrative contro la quale non vi sia diritto di ricorso, dopo la notifica al destinatario.

2.   La pubblicazione di cui al paragrafo 1 comprende informazioni sul tipo e la natura della violazione, l’identità delle persone responsabili e le sanzioni imposte.

3.   Qualora, in seguito a una valutazione caso per caso, ritenga che la pubblicazione dell’identità, nel caso di persone giuridiche, o dell’identità e dei dati personali, nel caso di persone fisiche, sarebbe sproporzionata, ivi compresi rischi inerenti alla protezione dei dati personali, metterebbe a repentaglio la stabilità dei mercati finanziari o lo svolgimento di un’indagine penale in corso, oppure provocherebbe, nella misura in cui possano essere determinati, danni sproporzionati alla persona coinvolta, l’autorità competente adotta una delle soluzioni seguenti in merito alla decisione di imporre una sanzione amministrativa:

4.   Qualora si decida di pubblicare una sanzione amministrativa in forma anonima, ai sensi del paragrafo 3, lettera b), la pubblicazione dei dati pertinenti può essere rinviata.

5.   Qualora l’autorità competente pubblichi una decisione che impone una sanzione amministrativa che è oggetto di ricorso dinanzi alle pertinenti autorità giudiziarie, le autorità competenti aggiungono immediatamente sul proprio sito web ufficiale tale informazione e, nelle fasi successive, eventuali informazioni correlate all’esito del ricorso. È pubblicata anche ogni decisione giudiziaria che annulli una decisione di imporre una sanzione amministrativa.

6.   Le autorità competenti provvedono affinché le informazioni pubblicate ai sensi dei paragrafi da 1 a 4 restino sul loro sito web ufficiale unicamente per il periodo necessario ai fini dell’applicazione del presente articolo. Tale periodo non è superiore ai cinque anni dalla sua pubblicazione.

1.   Le informazioni riservate ricevute, scambiate o trasmesse a norma del presente regolamento sono soggette alle condizioni in materia di segreto professionale di cui al paragrafo 2.

2.   L’obbligo del segreto professionale si applica a tutte le persone che prestano o hanno prestato la loro attività per le autorità competenti ai sensi del presente regolamento o per qualsiasi autorità, impresa che opera sul mercato o persona fisica o giuridica cui tali autorità competenti hanno delegato i propri poteri, compresi i revisori e gli esperti incaricati da dette autorità.

3.   Le informazioni coperte dal segreto professionale, ivi compreso lo scambio di informazioni tra le autorità competenti ai sensi del presente regolamento e le autorità competenti designate o istituite a norma della direttiva (UE) 2022/2555, non sono divulgate ad alcuna altra persona o autorità se non in forza di disposizioni del diritto dell’Unione o del diritto nazionale;

4.   Tutte le informazioni scambiate tra le autorità competenti in applicazione del presente regolamento relativamente ad aspetti commerciali od operativi e ad altre questioni di natura economica o personale sono considerate riservate e sono soggette all’obbligo del segreto professionale, salvo quando l’autorità competente dichiara al momento della loro comunicazione che è consentita la divulgazione di tali informazioni o che la stessa è necessaria a fini di procedimenti giudiziari.

1.   Le AEV e le autorità competenti sono autorizzate a trattare i dati personali solo se necessario ai fini dell’adempimento dei rispettivi obblighi e doveri ai sensi del presente regolamento, in particolare per quanto riguarda le indagini, le ispezioni, la richiesta di informazioni, la comunicazione, la pubblicazione, le valutazioni, la verifica e la stesura dei piani di sorveglianza. I dati personali sono trattati a norma del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda dei casi.

2.   Salvo nel caso in cui sia altrimenti disposto in altri atti settoriali, i dati personali di cui al paragrafo 1 sono conservati fino all’espletamento degli obblighi di vigilanza applicabili e, in ogni caso, per un periodo massimo di 15 anni, salvo in caso di procedimenti giudiziari in corso che richiedono un’ulteriore conservazione di tali dati.

1.   Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.   Il potere di adottare atti delegati di cui all’articolo 31, paragrafo 6, e all’articolo 43, paragrafo 2, è conferito alla Commissione per un periodo di cinque anni a decorrere dal 17 gennaio 2024. La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.

3.   La delega di potere di cui all’articolo 31, paragrafo 6, e all’articolo 43, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.   Prima dell’adozione dell’atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.

5.   Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6.   L’atto delegato adottato ai sensi dell’articolo 31, paragrafo 6, e dell’articolo 43, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.

1.   Entro il 17 gennaio 2028, la Commissione, dopo aver consultato le AEV e il CERS, a seconda dei casi, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa. Il riesame comprende almeno:

2.   Nel contesto del riesame della direttiva (UE) 2015/2366, la Commissione valuta la necessità di una maggiore ciberresilienza dei sistemi di pagamento e delle attività di trattamento dei pagamenti e se sia opportuno ampliare l’ambito di applicazione del presente regolamento agli operatori dei sistemi di pagamento e alle entità coinvolte nelle attività di trattamento dei pagamenti. Alla luce di tale valutazione, la Commissione presenta, nell’ambito del riesame della direttiva (UE) 2015/2366, una relazione al Parlamento europeo e al Consiglio e entro il 17 luglio 2023.

Sulla base di tale relazione di riesame e previa consultazione delle AEV, della BCE e del CERS, la Commissione può presentare, se del caso e nell’ambito della proposta legislativa che può adottare a norma dell’articolo 108, secondo comma, della direttiva (UE) 2015/2366, una proposta volta a garantire che tutti gli operatori dei sistemi di pagamento e le entità coinvolte nelle attività di trattamento dei pagamenti siano soggetti a un’adeguata sorveglianza, tenendo conto nel contempo dell’esistente sorveglianza da parte delle banche centrali.

3.   Entro il 17 gennaio 2026, la Commissione, dopo aver consultato le AEV e il comitato degli organismi europei di controllo delle attività di revisione contabile, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa sull’opportunità di rafforzare i requisiti per i revisori legali e le imprese di revisione contabile per quanto riguarda la resilienza operativa digitale, mediante l’inclusione dei revisori legali e delle imprese di revisione contabile nell’ambito di applicazione del presente regolamento o mediante modifiche della direttiva 2006/43/CE del Parlamento europeo e del Consiglio (39).