(1)

Nell’era digitale le tecnologie dell’informazione e della comunicazione (TIC) sostengono sistemi complessi impiegati nelle attività quotidiane. Mantengono in funzione i principali settori delle nostre economie, tra cui il settore finanziario, e migliorano il funzionamento del mercato interno. Il crescente grado di digitalizzazione e interconnessione amplifica d’altra parte i rischi informatici, rendendo l’intera società, e in particolare il sistema finanziario, più vulnerabile alle minacce informatiche o alle perturbazioni delle TIC. L’uso onnipresente dei sistemi di TIC e l’elevata digitalizzazione e connettività sono oggi caratteristiche fondamentali delle attività delle entità finanziarie dell’Unione, ma la loro resilienza digitale deve ancora essere affrontata e integrata in maniera più efficace nei loro quadri operativi di portata più ampia.

(2)

Negli ultimi decenni, l’uso delle TIC ha conquistato un ruolo essenziale nella fornitura di servizi finanziari, al punto da acquisire oggi un’importanza critica nell’esecuzione delle consuete funzioni quotidiane di tutte le entità finanziarie. Ora la digitalizzazione riguarda ad esempio i pagamenti, che stanno progressivamente migrando dal contante e dal cartaceo verso soluzioni digitali, nonché la compensazione e il regolamento dei titoli, la negoziazione elettronica e algoritmica, le operazioni di prestito e finanziamento, la finanza tra pari (peer–to–peer finance), i rating del credito, la gestione dei crediti e le operazioni di back-office. Anche il settore assicurativo è stato trasformato dall’uso delle TIC, dall’emergere di intermediari assicurativi che offrono i loro servizi online e che operano con InsurTech fino alla sottoscrizione di assicurazioni digitali. Non solo l’intero settore finanziario è diventato in larga misura digitale, ma la digitalizzazione ha anche reso più marcate le interconnessioni e le dipendenze all’interno del settore e nei confronti di fornitori terzi di infrastrutture e servizi.

(3)

In una relazione del 2020 incentrata sul rischio informatico sistemico, il Comitato europeo per il rischio sistemico (CERS) ha ribadito che l’attuale elevato livello di interconnessione tra entità finanziarie, mercati finanziari e infrastrutture del mercato finanziario, e in particolare l’interdipendenza dei rispettivi sistemi di TIC, potrebbe costituire una potenziale vulnerabilità sistemica dal momento che incidenti informatici localizzati potrebbero rapidamente diffondersi da una qualunque delle circa 22 000 entità finanziarie dell’Unione all’intero sistema finanziario, senza trovare alcun ostacolo nelle frontiere geografiche. Gravi violazioni delle TIC che si verifichino nel settore finanziario non si limitano a colpire entità finanziarie isolate, bensì spianano anche la strada alla propagazione di vulnerabilità localizzate attraverso tutti i canali di trasmissione finanziaria e possono provocare conseguenze avverse per la stabilità del sistema finanziario dell’Unione, dando luogo ad esempio a pressanti richieste di rimborsi e a una generale perdita di fiducia nei mercati finanziari.

(4)

Negli ultimi anni, i rischi informatici hanno richiamato l’attenzione di responsabili politici e organismi di regolamentazione e normazione che, a livello nazionale, dell’Unione e internazionale, hanno cercato di migliorare la resilienza digitale, stabilire norme e coordinare il lavoro di regolamentazione o vigilanza. A livello internazionale, il comitato di Basilea per la vigilanza bancaria, il comitato per i pagamenti e le infrastrutture di mercato, il consiglio per la stabilità finanziaria, l’istituto per la stabilità finanziaria, nonché il G7 e il G20, si propongono di fornire alle autorità competenti e agli operatori del mercato di varie giurisdizioni gli strumenti per potenziare la resilienza dei rispettivi sistemi finanziari. Tale lavoro è stato inoltre dettato dalla necessità di tenere debitamente conto dei rischi informatici nel contesto di un sistema finanziario globale altamente interconnesso e di perseguire una maggiore coerenza delle migliori prassi pertinenti.

(5)

Benché a livello dell’Unione e nazionale siano state adottate iniziative politiche e legislative mirate, i rischi informatici continuano a rappresentare una sfida per la resilienza operativa, le prestazioni e la stabilità del sistema finanziario dell’Unione. Le riforme che sono state introdotte sulla scia della crisi finanziaria del 2008 hanno rafforzato in primo luogo la resilienza finanziaria del settore finanziario dell’Unione, mirando a salvaguardare la competitività e la stabilità dell’Unione in una prospettiva economica, prudenziale e di condotta sul mercato. Benché si inseriscano nel quadro del rischio operativo, la sicurezza delle TIC e la resilienza digitale hanno occupato un posto meno rilevante nell’agenda normativa dopo la crisi finanziaria e sono state potenziate solo in alcuni settori del panorama delle politiche e della normativa dell’Unione in materia di servizi finanziari, o soltanto in alcuni Stati membri.

(6)

Nella comunicazione del 8 marzo 2018 intitolata «Piano d’azione per le tecnologie finanziarie: per un settore finanziario europeo più competitivo e innovativo» la Commissione ha sottolineato la fondamentale importanza di una maggiore resilienza del settore finanziario dell’Unione, anche da un punto di vista operativo, allo scopo di garantirne il buon funzionamento e la sicurezza tecnologica nonché la rapida ripresa dopo incidenti e violazioni delle TIC, consentendo in ultima analisi la fornitura efficace e ordinata dei servizi finanziari in tutta l’Unione, anche in situazioni di stress, preservando nel contempo la fiducia dei consumatori e degli operatori del mercato.

(7)

Nell’aprile 2019 l’Autorità europea di vigilanza (Autorità bancaria europea — ABE), istituita dal regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (4) , l’Autorità europea di vigilanza (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali — EIOPA) istituita dal regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio (5) e l’Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati — ESMA) istituita dal regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (6) (denominate collettivamente «autorità europee di vigilanza» o «AEV») hanno pubblicato congiuntamente pareri tecnici in cui si invocava l’adozione di un approccio coerente ai rischi informatici nel settore finanziario e si raccomandava di potenziare, in maniera proporzionata, la resilienza operativa digitale del settore dei servizi finanziari tramite un’iniziativa settoriale dell’Unione.

(8)

Il settore finanziario dell’Unione è regolamentato da un codice unico ed è disciplinato da un sistema europeo di vigilanza finanziaria. Le disposizioni sulla resilienza operativa digitale e sulla sicurezza delle TIC non sono tuttavia ancora armonizzate in maniera completa o coerente, benché nell’era digitale la resilienza operativa digitale sia un elemento fondamentale della stabilità finanziaria e dell’integrità del mercato, non meno importante, ad esempio, delle norme comuni riguardanti gli aspetti prudenziali o la condotta sul mercato. Sarebbe quindi opportuno perfezionare il codice unico e il sistema di vigilanza per coprire anche la resilienza operativa digitale, rafforzando i mandati delle autorità competenti per consentire loro di vigilare sulla gestione dei rischi informatici nel settore finanziario al fine di proteggere l’integrità e l’efficienza del mercato interno ed agevolarne il regolare funzionamento.

(9)

Le disparità legislative e la disomogeneità degli approcci normativi o di vigilanza a livello nazionale per quanto riguarda i rischi informatici ostacolano il funzionamento del mercato interno dei servizi finanziari e intralciano il regolare esercizio della libertà di stabilimento e la libera prestazione di servizi per le entità finanziarie che operano su base transfrontaliera. Potrebbe risultarne falsata anche la concorrenza tra entità finanziarie dello stesso tipo attive in Stati membri diversi. È quanto accade in particolare nei settori in cui l’armonizzazione a livello di Unione è stata assai limitata, come i test di resilienza operativa digitale, o assente, come il monitoraggio dei rischi informatici derivanti da terzi. Le disparità provocate dagli sviluppi previsti a livello nazionale potrebbero produrre ostacoli ulteriori al funzionamento del mercato interno, a danno dei partecipanti al mercato e della stabilità finanziaria.

(10)

Ad oggi, dal momento che le disposizioni sui rischi informatici sono state trattate in modo soltanto parziale a livello di Unione, esistono carenze o sovrapposizioni in settori importanti, come la segnalazione degli incidenti connessi alle TIC e i test di resilienza operativa digitale, nonché incoerenze dovute alla divergenza delle norme nazionali o al sovrapporsi di norme la cui applicazione risulta inefficiente sotto il profilo dei costi. Si tratta di una situazione particolarmente dannosa per un settore come quello finanziario, che si contraddistingue per l’intenso ricorso alle TIC poiché i rischi tecnologici non conoscono frontiere e il settore finanziario offre i suoi servizi su base transfrontaliera sia all’interno che all’esterno dell’Unione. Le singole entità finanziarie che sono attive a livello transfrontaliero o detengono varie autorizzazioni (ad esempio, un’entità finanziaria può detenere autorizzazioni a operare quale banca, impresa di investimento e istituto di pagamento, ciascuna delle quali rilasciata da una diversa autorità competente in uno o più Stati membri) devono superare autonomamente sfide operative poste dai rischi informatici e dalla necessità di mitigare gli impatti avversi degli incidenti connessi alle TIC in maniera coerente ed efficiente sotto il profilo dei costi.

(11)

Dal momento che il codice unico non è accompagnato da un quadro generale per i rischi informatici o operativi, è necessario armonizzare ulteriormente i principali obblighi in materia di resilienza operativa digitale per tutte le entità finanziarie. Lo sviluppo delle capacità delle TIC e della resilienza complessiva da parte delle entità finanziarie, sulla base di tali obblighi fondamentali, al fine di far fronte ad interruzioni operative, contribuirebbe a preservare la stabilità e l’integrità dei mercati finanziari dell’Unione e perciò a mantenere elevato il livello di protezione degli investitori e dei consumatori nell’Unione. Poiché il presente regolamento si propone di contribuire al regolare funzionamento del mercato interno, dovrebbe basarsi sulle disposizioni dell’articolo 114 del trattato sul funzionamento dell’Unione europea (TFUE) interpretate conformemente alla giurisprudenza costante della Corte di giustizia dell’Unione europea (Corte di giustizia).

(12)

Il presente regolamento mira a consolidare e aggiornare i requisiti in materia di rischi informatici nell’ambito dei requisiti in materia di rischi operativi che sono state finora trattati separatamente in vari atti giuridici dell’Unione. Tali atti riguardavano le principali categorie di rischio finanziario (ad esempio rischio di credito, rischio di mercato, rischio di controparte e rischio di liquidità, rischio di condotta sul mercato), ma nel momento in cui sono stati adottati non trattavano in maniera globale tutte le componenti della resilienza operativa. Le norme sui rischi operativi ulteriormente sviluppate in tali atti giuridici dell’Unione hanno sovente privilegiato il tradizionale approccio quantitativo alla gestione dei rischi (ossia la definizione di un requisito patrimoniale a copertura dei rischi informatici) rispetto a norme qualitative mirate concernenti le capacità di protezione, individuazione, contenimento, ripristino e rimedio in relazione agli incidenti connessi alle TIC, oppure le capacità di segnalazione e test digitali. Tali atti si prefiggevano principalmente lo scopo di trattare e aggiornare le norme fondamentali in materia di vigilanza prudenziale e integrità o condotta sul mercato. Tramite il consolidamento e l’aggiornamento delle diverse norme sui rischi informatici, tutte le disposizioni in materia di rischio digitale nel settore finanziario dovrebbero essere coerentemente riunite per la prima volta in un unico atto legislativo. Il presente regolamento colma pertanto le lacune o pone rimedio alle incoerenze di taluni fra i precedenti atti legislativi, anche per quanto riguarda la terminologia utilizzata, e fa esplicito riferimento ai rischi informatici tramite norme specifiche in materia di capacità di gestione dei rischi informatici, segnalazione degli incidenti, test di resilienza operativa e monitoraggio dei rischi informatici derivanti da terzi. Pertanto il presente regolamento dovrebbe altresì accrescere la consapevolezza dei rischi informatici e riconoscere che gli incidenti connessi alle TIC e la mancanza di resilienza operativa potrebbero compromettere la solidità delle entità finanziarie.

(13)

Nell’affrontare i rischi informatici è opportuno che le entità finanziarie seguano lo stesso approccio e le stesse norme basate su principi, tenendo conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, delle loro attività e della loro operatività. La coerenza contribuisce ad accrescere la fiducia nel sistema finanziario e a preservarne la stabilità, soprattutto in tempi in cui l’elevata dipendenza da infrastrutture, piattaforme e sistemi di TIC comporta maggiori rischi digitali. Il rispetto dei fondamenti per la sicurezza dei sistemi TIC (basic cyber hygiene) dovrebbe anche evitare l’imposizione di costi elevati per l’economia, riducendo al minimo l’impatto e i costi delle perturbazioni a livello di TIC.

(14)

I regolamenti servono a ridurre la complessità normativa, favoriscono la convergenza della vigilanza, incrementano la certezza del diritto e contribuiscono altresì a limitare i costi di conformità, specialmente per le entità finanziarie che operano a livello transfrontaliero, e a ridurre le distorsioni della concorrenza. Pertanto, la scelta di un regolamento per istituire un quadro comune sulla resilienza operativa digitale delle entità finanziarie costituisce il metodo più idoneo per garantire l’applicazione omogenea e coerente di tutte le componenti della gestione dei rischi informatici da parte del settore finanziario dell’Unione.

(15)

La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (7) ha rappresentato il primo quadro orizzontale per la cibersicurezza adottato a livello di Unione, che si applica anche a tre tipi di entità finanziarie, ossia enti creditizi, sedi di negoziazione e controparti centrali. Dal momento però che la direttiva (UE) 2016/1148 ha introdotto un meccanismo di identificazione a livello nazionale per gli operatori di servizi essenziali, solo alcuni enti creditizi, sedi di negoziazione e controparti centrali che sono stati identificati dagli Stati membri e rientrano in concreto nel suo ambito di applicazione e sono quindi tenuti a rispettare gli obblighi in materia di notifica degli incidenti e sicurezza connessi alle TIC contenute nella direttiva stessa. La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (8) stabilisce un criterio uniforme per stabilire quali entità rientrano nel suo ambito di applicazione (regola della soglia di dimensione), mantenendo nel contempo in tale ambito di applicazione anche i tre tipi di entità finanziarie.

(16)

Tuttavia, dal momento che il presente regolamento accresce il livello di armonizzazione delle varie componenti della resilienza digitale, introducendo requisiti in materia di gestione dei rischi informatici e segnalazione di incidenti connessi alle TIC più rigorosi rispetto a quelli contenuti nell’attuale normativa dell’Unione in materia di servizi finanziari, questo livello più elevato determina un incremento dell’armonizzazione anche rispetto ai requisiti di cui alla direttiva (UE) 2022/2555. Di conseguenza, il presente regolamento costituisce una lex specialis rispetto alla direttiva (UE) 2022/2555. Al tempo stesso, è essenziale mantenere un saldo rapporto tra il settore finanziario e il quadro orizzontale di cibersicurezza dell’Unione, come attualmente stabilito nella direttiva (UE) 2022/2555, per garantire la coerenza con le strategie di cibersicurezza adottate dagli Stati membri e permettere alle autorità di vigilanza finanziaria di venire a conoscenza degli incidenti informatici che colpiscono altri settori contemplati da tale direttiva.

(17)

A norma dell’articolo 4, paragrafo 2, del trattato sull’Unione europea e fatto salvo il controllo giurisdizionale della Corte di giustizia, il presente regolamento non dovrebbe pregiudicare la responsabilità degli Stati membri in relazione a funzioni essenziali dello Stato riguardanti la sicurezza pubblica, la difesa e la tutela della sicurezza nazionale, ad esempio per quanto riguarda la fornitura di informazioni che sarebbero contrarie alla tutela della sicurezza nazionale.

(18)

Per consentire l’apprendimento intersettoriale e attingere efficacemente alle esperienze di altri settori nella lotta alle minacce informatiche, le entità finanziarie di cui alla direttiva (UE) 2022/2555 dovrebbero continuare a far parte dell’«ecosistema» di quella direttiva [ad esempio il gruppo di cooperazione e i gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT)]. Le AEV e le autorità nazionali competenti dovrebbero poter partecipare alle discussioni strategiche delle politiche e ai lavori tecnici del gruppo di cooperazione ai sensi della direttiva, nonché scambiare informazioni e cooperare maggiormente con i punti di contatto unici designati o istituiti in conformità di tale direttiva. Le autorità competenti previste dal presente regolamento dovrebbero anche consultare i CSIRT e collaborare con loro. Le autorità competenti dovrebbero inoltre poter chiedere il parere tecnico delle autorità competenti designate o istituite in conformità della direttiva (UE) 2022/2555 e concludere accordi di cooperazione volti a garantire meccanismi di coordinamento efficaci e di risposta rapida.

(19)

Date le forti interconnessioni tra la resilienza digitale e la resilienza fisica delle entità finanziarie, nel presente regolamento e nella direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio (9) è necessario seguire un approccio coerente per quanto riguarda la resilienza dei soggetti critici. Dato che la resilienza fisica delle entità finanziarie è affrontata in modo globale dagli obblighi di gestione dei rischi informatici e di segnalazione disciplinati dal presente regolamento, gli obblighi di cui ai capi III e IV della direttiva (UE) 2022/2557 non dovrebbero applicarsi alle entità finanziarie che rientrano nell’ambito di applicazione di tale direttiva.

(20)

I fornitori di servizi di cloud computing sono una delle categorie di infrastrutture digitali contemplate dalla direttiva (UE) 2022/2555. Il quadro di sorveglianza dell’Unione (quadro di sorveglianza) istituito dal presente regolamento si applica a tutti i fornitori terzi critici di servizi TIC, compresi i fornitori di servizi di cloud computing che forniscono servizi TIC a entità finanziarie, e dovrebbe essere considerato complementare alla vigilanza condotta ai sensi della direttiva (UE) 2022/2555. Inoltre, in assenza di un quadro orizzontale dell’Unione che istituisca un’autorità per la sorveglianza digitale, il quadro di sorveglianza istituito dal presente regolamento dovrebbe estendersi ai fornitori di servizi di cloud computing.

(21)

Al fine di mantenere il pieno controllo sui rischi informatici, le entità finanziarie devono dotarsi di capacità generali per consentire una gestione dei rischi informatici forte ed efficace, nonché di politiche e meccanismi specifici per il trattamento di tutti gli incidenti connessi alle TIC e per la segnalazione degli incidenti più gravi connessi alle TIC. Analogamente, le entità finanziarie dovrebbero dotarsi di politiche per i test su processi, controlli e sistemi di TIC nonché per la gestione dei rischi informatici derivanti da terzi. È opportuno potenziare la resilienza operativa digitale di base per le entità finanziarie, consentendo tuttavia anche un’applicazione proporzionata dei requisiti a carico di talune entità finanziarie, in particolare le microimprese, così come le entità finanziarie soggette a un quadro semplificato per la gestione dei rischi informatici. Per agevolare una vigilanza efficace degli enti pensionistici aziendali o professionali che sia proporzionata e risponda alla necessità di ridurre gli oneri amministrativi a carico delle autorità competenti, le pertinenti disposizioni nazionali in materia di vigilanza applicabili a tali entità finanziarie dovrebbero tenere conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, delle loro attività e della loro operatività, anche in caso di superamento delle soglie pertinenti di cui all’articolo 5 della direttiva (UE) 2016/2341 del Parlamento europeo e del Consiglio (10). In particolare, le attività di vigilanza dovrebbero concentrarsi principalmente sulla necessità di affrontare i rischi gravi associati alla gestione dei rischi informatici di un’entità specifica.

Le autorità competenti dovrebbero inoltre mantenere un approccio vigile ma proporzionato in relazione alla vigilanza degli enti pensionistici aziendali o professionali che, conformemente all’articolo 31 della direttiva (UE) 2016/2341, esternalizzano a fornitori di servizi una parte significativa delle loro attività principali, quali la gestione patrimoniale, i calcoli attuariali, la contabilità e la gestione dei dati.

(22)

Le soglie e le tassonomie per la segnalazione degli incidenti connessi alle TIC variano sensibilmente a livello nazionale. È possibile trovare un terreno comune grazie al lavoro compiuto in materia dall’Agenzia dell’Unione europea per la cibersicurezza (ENISA) istituita dal regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (11) e dal gruppo di cooperazione istituito ai sensi della direttiva (UE) 2022/2555, ma in merito alla fissazione delle soglie e all’uso delle tassonomie si registrano ancora o possono emergere divergenze di approcci per le altre entità finanziarie. A causa di tali divergenze, vi sono una molteplicità di requisiti che le entità finanziarie devono rispettare, soprattutto quando operano in vari Stati membri oppure quando fanno parte di un gruppo finanziario. Inoltre, tali divergenze possono potenzialmente ostacolare la creazione di nuovi meccanismi uniformi o centralizzati dell’Unione che accelerano il processo di segnalazione e coadiuvano uno scambio di informazioni rapido e regolare tra le autorità competenti: elemento essenziale, quest’ultimo, per affrontare i rischi informatici nell’eventualità di attacchi su vasta scala con conseguenze potenzialmente sistemiche.

(23)

Al fine di ridurre gli oneri amministrativi e la potenziale duplicazione degli obblighi di segnalazione per talune entità finanziarie, l’obbligo di segnalazione degli incidenti a norma della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio (12) dovrebbe cessare di applicarsi ai prestatori di servizi di pagamento che rientrano nell’ambito di applicazione del presente regolamento. Di conseguenza, gli enti creditizi, gli istituti di moneta elettronica, gli istituti di pagamento e i prestatori di servizi di informazione sui conti di cui all’articolo 33, paragrafo 1, di tale direttiva, dovrebbero, a decorrere dalla data di applicazione del presente regolamento, segnalare a norma del presente regolamento tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti che sono stati precedentemente segnalati a norma di tale direttiva, indipendentemente dal fatto che si tratti di incidenti connessi alle TIC.

(24)

Per consentire alle autorità competenti di assolvere le funzioni di vigilanza acquisendo un panorama completo di natura, frequenza, rilevanza e impatto degli incidenti connessi alle TIC e per agevolare lo scambio di informazioni tra le autorità pubbliche competenti, comprese le autorità di contrasto e le autorità di risoluzione, il presente regolamento dovrebbe stabilire un solido regime di segnalazione degli incidenti connessi alle TIC in base ai cui requisiti sarebbero colmate le attuali lacune della normativa in materia di servizi finanziari ed eliminate le sovrapposizioni e le duplicazioni esistenti in modo da diminuire i costi. È essenziale armonizzare il regime di segnalazione degli incidenti connessi alle TIC chiedendo a tutte le entità finanziarie di riferire alle rispettive autorità competenti attraverso il quadro unico semplificato stabilito nel presente regolamento. Alle AEV si dovrebbe poi conferire il potere di precisare ulteriormente gli elementi pertinenti del quadro per la segnalazione degli incidenti connessi alle TIC come la tassonomia, i limiti temporali, le serie di dati, i modelli e le soglie applicabili. Per garantire la piena coerenza con la direttiva (UE) 2022/2555, alle entità finanziarie dovrebbe essere consentito, su base volontaria, di notificare all’autorità competente interessata le minacce informatiche significative qualora ritengano che la minaccia informatica sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti.

(25)

In taluni sottosettori finanziari sono stati elaborati requisiti in materia di test di resilienza operativa digitale che stabiliscono quadri che non sono sempre pienamente allineati. Ne è scaturita una potenziale duplicazione di costi per le entità finanziarie transfrontaliere, che rende complesso il reciproco riconoscimento dei risultati dei test di resilienza operativa digitale, il che a sua volta può frammentare il mercato interno.

(26)

Inoltre, qualora non si richiedano test relativi alle TIC, le vulnerabilità non sono individuate ed espongono quindi un’entità finanziaria a rischi informatici e, in ultima analisi, creano un rischio più elevato per la stabilità e l’integrità del settore finanziario. Senza un intervento dell’Unione, i test in materia di resilienza operativa digitale continuerebbero a essere incoerenti e non disporrebbero di un sistema di riconoscimento reciproco dei risultati dei test informatici fra le diverse giurisdizioni. È inoltre improbabile che altri sottosettori finanziari adottino regimi di test su scala significativa; pertanto essi si lascerebbero sfuggire i potenziali benefici di un quadro in materia di test, in termini di individuazione di vulnerabilità e rischi informatici, e verifica delle capacità di difesa e della continuità operativa, che contribuisca ad aumentare la fiducia di clienti, fornitori e partner commerciali. Per porre rimedio a tali sovrapposizioni, divergenze e carenze è necessario stabilire norme per un regime coordinato di test e agevolare così il riconoscimento reciproco dei test avanzati per le entità finanziarie che soddisfino i criteri di cui al presente regolamento.

(27)

La dipendenza delle entità finanziarie dall’uso dei servizi TIC è causata in parte dalla loro necessità di adattarsi all’emergere di un’economia mondiale digitale sempre più competitiva, di accrescere la propria efficienza commerciale e di soddisfare la domanda dei consumatori. La natura e la portata di tale dipendenza ha conosciuto negli ultimi anni un’evoluzione costante, che ha prodotto una riduzione dei costi dell’intermediazione finanziaria, ha favorito l’espansione e la scalabilità delle imprese nello sviluppo delle attività finanziarie, offrendo d’altra parte un’ampia gamma di strumenti TIC per la gestione di complessi processi interni.

(28)

Tale ampio uso dei servizi TIC è testimoniato dalla complessità degli accordi contrattuali: le entità finanziarie incontrano spesso difficoltà nel negoziare condizioni contrattuali che siano conformi a norme prudenziali o ad altri requisiti normativi cui sono sottoposte oppure nell’applicare diritti specifici, quali i diritti di accesso o di audit, anche quando tali diritti siano previsti nei loro accordi contrattuali. Inoltre, molti di tali accordi contrattuali non contengono salvaguardie sufficienti per il monitoraggio esauriente dei processi di subappalto, e privano in tal modo l’entità finanziaria della capacità di valutare i rischi associati. Inoltre, dal momento che i fornitori terzi di servizi TIC spesso offrono servizi standardizzati a una clientela differenziata, tali accordi contrattuali non sono sempre idonei a soddisfare le esigenze individuali o specifiche dei soggetti del settore finanziario.

(29)

Anche se il diritto dell’Unione in materia di servizi finanziari contiene talune norme generali in materia di esternalizzazione, il monitoraggio della dimensione contrattuale non è sempre saldamente radicato nel diritto dell’Unione. In assenza di norme dell’Unione che si applichino in maniera chiara e mirata alle disposizioni contrattuali stipulate con fornitori terzi di servizi TIC, la fonte esterna dei rischi informatici rimane una questione non adeguatamente affrontata. È pertanto necessario stabilire alcuni principi fondamentali che indirizzino la gestione, da parte delle entità finanziarie, dei rischi informatici derivanti da terzi, che sono di particolare importanza quando le entità finanziarie ricorrono a fornitori terzi di servizi TIC a supporto delle loro funzioni essenziali o importanti. Tali principi dovrebbero essere accompagnati da una serie di diritti contrattuali di base concernenti vari elementi dell’esecuzione e della risoluzione degli accordi contrattuali, al fine di fornire alcune garanzie minime per rafforzare la capacità delle entità finanziarie di monitorare efficacemente tutti i rischi informatici che insorgano a livello di fornitori di servizi terzi. Tali principi sono complementari alla normativa settoriale applicabile all’esternalizzazione.

(30)

Oggi è evidente una certa carenza di omogeneità e convergenza per quanto riguarda il monitoraggio delle dipendenze da terzi nel settore delle TIC e dei rischi informatici derivanti da terzi. Nonostante gli sforzi per trattare l’esternalizzazione, come gli orientamenti dell’ABE in materia di esternalizzazione del 2019 e degli orientamenti dell’ESMA in materia di esternalizzazione a fornitori di servizi cloud del 2021, la questione più ampia del contrasto del rischio sistemico potenzialmente derivante dall’esposizione del settore finanziario a un ristretto numero di fornitori terzi critici di servizi TIC non è adeguatamente affrontata dal diritto dell’Unione. La carenza di norme a livello dell’Unione è aggravata dall’assenza di norme nazionali su strumenti e mandati che consentano alle autorità di vigilanza finanziaria di acquisire una valida comprensione delle dipendenze da terzi nel settore delle TIC e di monitorare adeguatamente i rischi provocati dalla concentrazione di tali dipendenze.

(31)

Tenendo presenti i potenziali rischi sistemici derivanti dalla diffusione delle pratiche di esternalizzazione e dalla concentrazione dei servizi TIC forniti da terzi, e alla luce dell’inadeguatezza dei meccanismi nazionali nel fornire alle autorità di vigilanza finanziaria strumenti adeguati per quantificare, qualificare e rettificare le conseguenze dei rischi informatici che interessano i fornitori terzi critici di servizi TIC, è necessario stabilire un adeguato quadro di sorveglianza che preveda il monitoraggio costante delle attività di quei fornitori terzi di servizi TIC che sono fornitori terzi critici di servizi TIC per le entità finanziarie, garantendo nel contempo la riservatezza e la sicurezza dei clienti diversi dalle entità finanziarie. Sebbene la fornitura intragruppo di servizi TIC comporti rischi e benefici specifici, essa non dovrebbe essere automaticamente considerata meno rischiosa della fornitura di servizi TIC da parte di fornitori al di fuori di un gruppo finanziario e dovrebbe pertanto essere soggetta allo stesso quadro normativo. Tuttavia, quando i servizi TIC sono forniti dall’interno dello stesso gruppo finanziario, le entità finanziarie potrebbero esercitare un livello di controllo più elevato sui fornitori intragruppo, il che dovrebbe essere preso in considerazione nella valutazione complessiva del rischio.

(32)

Di fronte ai rischi informatici che si fanno sempre più complessi e sofisticati, la validità delle misure di individuazione e prevenzione dei rischi informatici dipende in larga misura da una costante condivisione delle analisi delle minacce e delle vulnerabilità tra le entità finanziarie. La condivisione delle informazioni contribuisce a creare una maggiore consapevolezza delle minacce informatiche. Ciò a sua volta accresce la capacità delle entità finanziarie di impedire che le minacce informatiche si trasformino in incidenti concreti connessi alle TIC e consente alle entità finanziarie di arginare in maniera più efficace l’impatto degli incidenti connessi alle TIC e di effettuare un ripristino più rapido. In assenza di orientamenti a livello di Unione, numerosi fattori, tra cui in particolare l’incertezza sulla compatibilità con le norme in materia di protezione dei dati, antitrust e responsabilità, hanno apparentemente ostacolato la condivisione dei dati.

(33)

Inoltre i dubbi sul tipo di informazioni che è possibile condividere con altri partecipanti al mercato, o con autorità diverse da quelle di vigilanza (come l’ENISA per i contributi analitici o l’Europol per le attività di contrasto), possono determinare la mancata comunicazione di informazioni preziose. Le informazioni condivise rimangono quindi attualmente limitate e frammentate in termini quantitativi e qualitativi: gli scambi pertinenti avvengono per lo più a livello locale (tramite iniziative nazionali) e non esistono meccanismi di condivisione delle informazioni estesi in maniera omogenea a tutta l’Unione e corrispondenti alle esigenze di un sistema finanziario integrato. È pertanto importante rafforzare tali canali di comunicazione.

(34)

È opportuno incoraggiare le entità finanziarie a scambiarsi reciprocamente informazioni e analisi delle minacce informatiche e a sfruttare collettivamente, sul piano strategico, tattico e operativo, le conoscenze e le esperienze pratiche che hanno acquisito a livello individuale al fine di accrescere le proprie capacità di valutare e monitorare adeguatamente le minacce informatiche, difendersi dai loro effetti e rispondervi, partecipando a meccanismi di condivisione delle informazioni. È perciò necessario consentire l’emergere a livello dell’Unione di meccanismi volontari di condivisione delle informazioni i quali, se attuati in ambienti sicuri, aiuterebbero la comunità del settore finanziario a prevenire le minacce informatiche e a rispondervi collettivamente, contenendo rapidamente la diffusione dei rischi informatici e impedendo il potenziale contagio tramite i canali finanziari. Tali meccanismi dovrebbero essere conformi alle norme del diritto dell’Unione vigenti in materia di concorrenza di cui alla comunicazione della Commissione del 14 gennaio 2011 intitolata «Linee direttrici sull’applicabilità dell’articolo 101 del trattato sul funzionamento dell’Unione europea agli accordi di cooperazione orizzontale» nonché alle norme dell’Unione sulla protezione dei dati, in particolare il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (13). Essi dovrebbero operare sulla base del ricorso a una o più basi giuridiche stabilite all’articolo 6 di tale regolamento, ad esempio nel contesto del trattamento dei dati personali necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi dell’articolo 6, paragrafo 1, lettera f), dello stesso regolamento, nonché nel contesto del trattamento dei dati personali necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento ai sensi dell’articolo 6, paragrafo 1, lettere c) ed e), rispettivamente, di tale regolamento.

(35)

Al fine di mantenere un elevato livello di resilienza operativa digitale per l’intero settore finanziario e al tempo stesso tenere il passo con gli sviluppi tecnologici, il presente regolamento dovrebbe affrontare i rischi derivanti da tutti i tipi di servizi TIC. A tal fine la definizione di servizi TIC nel contesto del presente regolamento dovrebbe essere intesa in senso lato e includere i servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa. Tale definizione dovrebbe includere, ad esempio, i cosiddetti servizi «over the top», che rientrano nella categoria dei servizi di comunicazione elettronica. Dovrebbe essere esclusa solo la limitata categoria dei servizi telefonici analogici tradizionali che possono essere considerati servizi di rete telefonica pubblica commutata (Public Switched Telephone Network — PSTN), servizi di rete terrestre, servizio telefonico tradizionale di base (Plain Old Telephone Service — POTS) o servizi di telefonia fissa.

(36)

Nonostante l’ampia portata prevista dal presente regolamento, l’applicazione delle norme in materia di resilienza operativa digitale dovrebbe tener conto delle differenze significative che si registrano tra le entità finanziarie in termini di dimensioni e profilo di rischio complessivo. Come principio generale, al momento di distribuire risorse e capacità per l’attuazione del quadro per la gestione dei rischi informatici, le entità finanziarie dovrebbero trovare il giusto equilibrio tra le proprie esigenze nel campo delle TIC, da un lato, e le loro dimensioni e il loro profilo di rischio complessivo, nonché la natura, la portata e la complessità dei loro servizi, delle loro attività e della loro operatività, dall’altro; le autorità competenti dovrebbero invece valutare e riesaminare costantemente l’approccio che guida tale distribuzione.

(37)

I prestatori di servizi di informazione sui conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366 rientrano esplicitamente nell’ambito di applicazione del presente regolamento, tenendo conto della natura specifica delle loro attività e dei rischi che ne derivano. Inoltre, gli istituti di moneta elettronica e gli istituti di pagamento esentati a norma dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE del Parlamento europeo e del Consiglio (14) e dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366 rientrano nell’ambito di applicazione del presente regolamento anche se non hanno ottenuto l’autorizzazione a norma della direttiva 2009/110/CE a emettere moneta elettronica o se non hanno ottenuto l’autorizzazione a norma della direttiva (UE) 2015/2366 a prestare ed eseguire servizi di pagamento. Tuttavia, gli uffici postali di cui all’articolo 2, paragrafo 5, punto 3), della direttiva 2013/36/UE del Parlamento europeo e del Consiglio (15) sono esclusi dall’ambito di applicazione del presente regolamento. L’autorità competente per gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366, gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE e i prestatori di servizi di informazione sui conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366, dovrebbe essere l’autorità competente designata a norma dell’articolo 22 della direttiva (UE) 2015/2366.

(38)

Poiché le entità finanziarie di maggiori dimensioni potrebbero disporre di maggiori risorse e possono destinare rapidamente fondi allo sviluppo di strutture di governance e all’elaborazione di varie strategie aziendali, è opportuno imporre l’introduzione di meccanismi di governance più complessi solo alle entità finanziarie che non sono microimprese ai sensi del presente regolamento. Tali entità sono meglio attrezzate, in particolare per istituire funzioni aziendali per la supervisione degli accordi con i fornitori terzi di servizi TIC o per affrontare la gestione delle crisi, per organizzare la loro gestione dei rischi informatici secondo il modello delle tre linee di difesa o ancora per stabilire un modello interno di controllo e gestione del rischio e sottoporre ad audit interni il proprio quadro per la gestione dei rischi informatici.

(39)

Alcune entità finanziarie beneficiano di esenzioni o sono soggette a un quadro normativo meno rigoroso a norma della pertinente normativa settoriale dell’Unione. Tali entità finanziarie includono i gestori di fondi di investimento alternativi di cui all’articolo 3, paragrafo 2, della direttiva 2011/61/UE del Parlamento europeo e del Consiglio (16), le imprese di assicurazione e di riassicurazione di cui all’articolo 4 della direttiva 2009/138/CE del Parlamento europeo e del Consiglio (17) e gli enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che contano congiuntamente non più di 15 aderenti in totale. Alla luce di tali esenzioni non sarebbe proporzionato includere tali entità finanziarie nell’ambito di applicazione del presente regolamento. Inoltre, il presente regolamento riconosce le specificità della struttura del mercato dell’intermediazione assicurativa, con la conseguenza che gli intermediari assicurativi, gli intermediari riassicurativi e gli intermediari assicurativi a titolo accessorio che rientrano nella definizione di microimprese o di piccole o medie imprese non dovrebbero essere soggetti al presente regolamento.

(40)

Poiché le entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE sono escluse dall’ambito di applicazione di tale direttiva, gli Stati membri dovrebbero quindi poter scegliere di esentare dall’applicazione del presente regolamento tali entità situate nei rispettivi territori.

(41)

Analogamente, al fine di allineare il presente regolamento all’ambito di applicazione della direttiva 2014/65/UE del Parlamento europeo e del Consiglio (18), è altresì opportuno escludere dall’ambito di applicazione del presente regolamento le persone fisiche e giuridiche di cui agli articoli 2 e 3 di tale direttiva che sono autorizzate a prestare servizi di investimento senza dover ottenere un’autorizzazione a norma della direttiva 2014/65/UE. Tuttavia l’articolo 2 della direttiva 2014/65/UE esclude anche dall’ambito di applicazione di tale direttiva le entità considerate entità finanziarie ai fini del presente regolamento, quali i depositari centrali di titoli, gli organismi d’investimento collettivo o le imprese di assicurazione e di riassicurazione. L’esclusione dall’ambito di applicazione del presente regolamento delle persone e delle entità di cui agli articoli 2 e 3 di tale direttiva non dovrebbe comprendere tali depositari centrali di titoli, organismi d’investimento collettivo o imprese di assicurazione e di riassicurazione.

(42)

A norma del diritto settoriale dell’Unione, alcune entità finanziarie sono soggette a requisiti meno rigorosi o esenzioni per motivi legati alle loro dimensioni o ai servizi che forniscono. Tale categoria di entità finanziarie include le imprese di investimento piccole e non interconnesse, i piccoli enti pensionistici aziendali o professionali che possono essere esclusi dall’ambito di applicazione della direttiva (UE) 2016/2341 alle condizioni di cui all’articolo 5 di tale direttiva dallo Stato membro interessato e che gestiscono schemi pensionistici che contano congiuntamente non più di cento aderenti in totale, nonché gli enti esentati a norma della direttiva 2013/36/UE. Pertanto, conformemente al principio di proporzionalità e al fine di preservare lo spirito della normativa settoriale dell’Unione, è altresì opportuno che tali entità finanziarie siano soggette a un quadro semplificato per la gestione dei rischi informatici a norma del presente regolamento. La proporzionalità del quadro per la gestione dei rischi informatici riguardante tali entità finanziarie non dovrebbe essere modificata dalle norme tecniche di regolamentazione che devono essere elaborate dalle AEV. Inoltre, conformemente al principio di proporzionalità, è opportuno che anche gli istituti di pagamento di cui all’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366 e gli istituti di moneta elettronica di cui all’articolo 9 della direttiva 2009/110/CE esentati conformemente al diritto nazionale che recepisce tali atti giuridici dell’Unione siano soggetti a un quadro semplificato per la gestione dei rischi informatici a norma del presente regolamento, mentre gli istituti di pagamento e gli istituti di moneta elettronica che non sono stati esentati conformemente al rispettivo diritto nazionale che recepisce la normativa settoriale dell’Unione dovrebbero rispettare il quadro generale stabilito dal presente regolamento.

(43)

Analogamente, le entità finanziarie che rientrano nella definizione di microimprese o sono soggette al quadro semplificato per la gestione dei rischi informatici a norma del presente regolamento non dovrebbero essere tenute a istituire una funzione per il monitoraggio degli accordi conclusi con i fornitori terzi di servizi TIC per l’uso di tali servizi, o a designare un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente; ad attribuire la responsabilità della gestione e della sorveglianza dei rischi informatici a una funzione di controllo e garantire un adeguato livello di indipendenza di tale funzione per evitare conflitti d’interessi; a documentare e riesaminare almeno una volta all’anno il quadro per la gestione dei rischi informatici; a sottoporre ad audit interno periodico il quadro per la gestione dei rischi informatici; a svolgere valutazioni approfondite dopo modifiche di rilievo dei loro processi e delle loro infrastrutture di rete e dei sistemi informativi; a compiere periodicamente analisi dei rischi sui sistemi legacy; a sottoporre a verifiche di audit interno indipendenti l’attuazione dei piani di risposta e ripristino relativi alle TIC; a disporre di una funzione di gestione delle crisi; ad ampliare i test sulla continuità operativa e i piani di risposta e ripristino per descrivere gli scenari di passaggio tra le infrastrutture TIC primarie e quelle di ridondanza; a comunicare, su loro richiesta, alle autorità competenti una stima dei costi e delle perdite annuali aggregati causati da gravi incidenti connessi alle TIC; a mantenere capacità di TIC ridondanti; a comunicare alle autorità nazionali competenti le modifiche apportate a seguito dei riesami successivi agli incidenti connessi alle TIC; a monitorare costantemente i pertinenti sviluppi tecnologici, a istituire un programma di test di resilienza operativa digitale esaustivo quale parte integrante del quadro per la gestione dei rischi informatici di cui al presente regolamento o ad adottare e riesaminare periodicamente una strategia per i rischi informatici derivanti da terzi. Inoltre, le microimprese dovrebbero essere tenute a valutare la necessità di mantenere tali capacità di TIC ridondanti solo sulla base del loro profilo di rischio. Le microimprese dovrebbero beneficiare di un regime più flessibile per quanto riguarda i programmi di test di resilienza operativa digitale. Quando valutano il tipo e la frequenza dei test da svolgere, dovrebbero trovare il giusto equilibrio tra l’obiettivo di mantenere un’elevata resilienza operativa digitale, le risorse disponibili e il loro profilo di rischio complessivo. Le microimprese e le entità finanziarie soggette al quadro semplificato per la gestione dei rischi informatici a norma al presente regolamento dovrebbero essere esentate dall’obbligo di svolgere test avanzati di strumenti, sistemi e processi di TIC fondati su test di penetrazione guidati dalla minaccia (threat-led penetration testing — TLPT), in quanto solo le entità finanziarie che soddisfano i criteri di cui al presente regolamento dovrebbero essere tenute a svolgere tali test. Alla luce delle loro limitate capacità, le microimprese dovrebbero poter concordare con il fornitore terzo di servizi TIC di delegare i diritti di accesso, ispezione e audit dell’entità finanziaria a un terzo indipendente nominato dal fornitore terzo di servizi TIC, a condizione che l’entità finanziaria possa richiedere in qualsiasi momento al rispettivo terzo indipendente tutte le informazioni e le garanzie pertinenti sulle prestazioni del fornitore terzo di servizi TIC.

(44)

Dal momento che solo le entità finanziarie identificate ai fini dei test avanzati di resilienza digitale dovrebbero essere tenute a svolgere test di penetrazione basati su minacce, i processi amministrativi e i costi finanziari derivanti dallo svolgimento di tali test dovrebbero gravare soltanto su una piccola percentuale delle entità finanziarie.

(45)

Per garantire il pieno allineamento e la coerenza complessiva tra le strategie aziendali delle entità finanziarie, da un lato, e la gestione dei rischi informatici, dall’altro, è opportuno richiedere agli organi di gestione delle entità finanziarie di mantenere un ruolo attivo e fondamentale nella guida e nell’adeguamento del quadro per la gestione dei rischi informatici e della strategia globale di resilienza operativa digitale. Gli organi di gestione dovrebbero adottare un approccio che non consideri solamente i mezzi per assicurare la resilienza dei sistemi di TIC, ma si estenda anche alle persone e ai processi mediante un ventaglio di strategie che promuovano, a ciascun livello dell’azienda e per tutto il personale, un forte senso di consapevolezza dei rischi informatici nonché l’impegno a osservare a tutti i livelli una rigorosa igiene informatica (cyber hygiene). La responsabilità principale dell’organo di gestione nell’affrontare i rischi informatici di un’entità finanziaria dovrebbe concretizzarsi nel principio guida di tale approccio complessivo, tradotto ulteriormente nel costante coinvolgimento dell’organo di gestione a controllare il monitoraggio della gestione dei rischi informatici.

(46)

Inoltre, il principio della piena e principale responsabilità dell’organo di gestione per la gestione dei rischi informatici dell’entità finanziaria si accompagna alla necessità di assicurare un livello di investimenti connessi alle TIC e un bilancio complessivo dell’entità finanziaria che consentirebbero all’entità finanziaria di conseguire un elevato livello di resilienza operativa digitale.

(47)

Sulla scia delle migliori prassi, linee guida, raccomandazioni e approcci pertinenti a livello internazionale, nazionale e settoriale in materia di gestione dei rischi informatici, il presente regolamento promuove una serie di principi che favoriscono una struttura complessiva della gestione dei rischi informatici. Di conseguenza, nella misura in cui le principali capacità introdotte dalle entità finanziarie soddisfano le varie funzioni nella gestione dei rischi informatici (identificazione, protezione e prevenzione, individuazione, risposta e ripristino, apprendimento, evoluzione e comunicazione) indicate nel presente regolamento, le entità finanziarie dovrebbero conservare la libertà di impiegare modelli di gestione dei rischi informatici strutturati o categorizzati in maniera diversa.

(48)

Per tenere il passo con l’evoluzione del contesto delle minacce informatiche, le entità finanziarie dovrebbero dotarsi di sistemi di TIC aggiornati, affidabili e capaci non solo per garantire il trattamento dei dati richiesto per i loro servizi, ma anche per assicurare una resilienza tecnologica sufficiente che consenta loro di fare adeguatamente fronte alle esigenze di trattamento aggiuntive derivanti da condizioni di stress del mercato o da altre situazioni avverse.

(49)

È necessario adottare piani efficienti di continuità operativa e di ripristino che consentano alle entità finanziarie di risolvere tempestivamente e rapidamente gli incidenti connessi alle TIC, e in particolare gli attacchi informatici, limitando i danni e privilegiando la ripresa delle attività e le azioni di ripristino conformemente alle loro politiche di backup. Tuttavia, tale ripresa non dovrebbe in alcun modo mettere a repentaglio l’integrità e la sicurezza dei sistemi informatici e di rete, né la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati.

(50)

Il presente regolamento permette alle entità finanziarie di fissare i loro obiettivi di tempo di ripristino e punto di ripristino (recovery time and recovery point objectives) in maniera flessibile e quindi di fissare tali obiettivi tenendo conto della natura e della criticità delle funzioni pertinenti nonché di eventuali esigenze aziendali specifiche, ma per fissare tali obiettivi dovrebbero comunque essere tenute a effettuare una valutazione del potenziale impatto sull’efficienza del mercato.

(51)

I propagatori di attacchi informatici tendono a perseguire guadagni finanziari direttamente alla fonte, esponendo quindi le entità finanziarie a conseguenze significative. Per scongiurare il pericolo che i sistemi di TIC perdano l’integrità o divengano indisponibili e per evitare pertanto violazioni di dati e prevenire danni alle infrastrutture fisiche delle TIC, è opportuno migliorare e razionalizzare sensibilmente la segnalazione, da parte delle entità finanziarie, degli incidenti gravi connessi alle TIC. È opportuno armonizzare la segnalazione degli incidenti connessi alle TIC mediante l’introduzione di un obbligo per tutte le entità finanziarie di segnalare direttamente alle rispettive autorità competenti. Se un’entità finanziaria è soggetta alla vigilanza di più di un’autorità nazionale competente, gli Stati membri dovrebbero designare un’unica autorità competente quale destinataria di tale segnalazione. Gli enti creditizi classificati come significativi ai sensi dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013 del Consiglio (19) dovrebbero presentare tale segnalazione alle autorità nazionali competenti, che dovrebbero successivamente trasmettere la segnalazione alla Banca centrale europea (BCE).

(52)

La segnalazione diretta dovrebbe consentire alle autorità di vigilanza finanziaria di avere immediato accesso alle informazioni relative agli incidenti gravi connessi alle TIC. Le autorità di vigilanza finanziaria dovrebbero a loro volta trasmettere i dettagli relativi agli incidenti gravi connessi alle TIC alle pubbliche autorità non finanziarie [quali le competenti autorità e i punti di contatto unici a norma della direttiva (UE) 2022/2555, le autorità nazionali per la protezione dei dati e le autorità di contrasto per gli incidenti gravi connessi alle TIC di natura penale], al fine di migliorare la consapevolezza di tali autorità in merito a tali incidenti e, nel caso dei CSIRT, di agevolare la tempestiva assistenza che può essere fornita alle entità finanziarie, se del caso. Gli Stati membri dovrebbero, inoltre, poter stabilire che le entità finanziarie stesse debbano fornire tali informazioni alle autorità pubbliche al di fuori del settore dei servizi finanziari. Tali flussi di informazioni dovrebbero consentire alle entità finanziarie di beneficiare rapidamente di qualsiasi contributo tecnico pertinente, di consulenza sui rimedi e del successivo seguito dato da tali autorità. Le informazioni sugli incidenti gravi connessi alle TIC dovrebbero essere oggetto di comunicazione reciproca: le autorità di vigilanza finanziaria dovrebbero fornire all’entità finanziaria tutti i riscontri o gli orientamenti necessari, mentre le AEV dovrebbero condividere, in forma anonima, le analisi delle minacce informatiche e le vulnerabilità concernenti un determinato incidente, per promuovere una più ampia difesa collettiva.

(53)

Tutte le entità finanziarie dovrebbero essere tenute a effettuare segnalazioni di incidenti, ma tale obbligo non dovrebbe interessarle tutte allo stesso modo. Infatti, si dovrebbe procedere a una debita calibrazione delle soglie di rilevanza pertinenti, nonché delle tempistiche delle segnalazioni, nel contesto degli atti delegati basati sulle norme tecniche di regolamentazione che le AEV devono elaborare, al fine di cogliere unicamente gli incidenti gravi connessi alle TIC. Inoltre, le specificità delle entità finanziarie dovrebbero essere prese in considerazione nello stabilire il calendario per gli obblighi di segnalazione.

(54)

Il presente regolamento dovrebbe imporre agli enti creditizi, agli istituti di pagamento, ai prestatori di servizi di informazione sui conti e agli istituti di moneta elettronica di segnalare tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti — precedentemente segnalati a norma della direttiva (UE) 2015/2366 — indipendentemente dalla natura TIC dell’incidente.

(55)

Le AEV dovrebbero essere incaricate di valutare la fattibilità e le condizioni per una possibile centralizzazione delle segnalazioni di incidenti connessi alle TIC a livello dell’Unione. Tale centralizzazione potrebbe consistere in un unico polo dell’UE per la segnalazione di incidenti gravi connessi alle TIC che riceva direttamente le segnalazioni pertinenti e le notifichi automaticamente alle autorità nazionali competenti o che si limiti a centralizzare le segnalazioni pertinenti trasmesse dalle competenti autorità nazionali e pertanto assolva una funzione di coordinamento. Le AEV dovrebbero essere incaricate di preparare in collaborazione con la BCE e l’ENISA, una relazione comune che esamini la praticabilità dell’istituzione di un unico polo dell’UE.

(56)

Per conseguire un elevato livello di resilienza operativa digitale, e in linea sia con le pertinenti norme internazionali (ad esempio, gli elementi fondamentali del G7 per i test di penetrazione basati su minacce) che con i quadri applicati nell’Unione, come TIBER-EU, le entità finanziarie dovrebbero sottoporre periodicamente a test i propri sistemi di TIC e il proprio personale con responsabilità connesse alle TIC per valutare l’efficacia delle relative capacità di prevenzione, individuazione, risposta e ripristino, allo scopo di scoprire e affrontare le potenziali vulnerabilità in materia di TIC. Per rispecchiare le differenze esistenti tra i vari sottosettori finanziari e all’interno di ognuno di essi per quanto riguarda il livello di preparazione delle entità finanziarie in materia di cibersicurezza, i test dovrebbero comprendere un’ampia varietà di strumenti e azioni, dalla valutazione dei requisiti di base (ad esempio valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle lacune, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente ove possibile, e test basati su scenari, test di compatibilità, test di prestazione o test end-to-end) fino a test più avanzati tramite TLPT. Tali test avanzati dovrebbero essere richiesti solo per le entità finanziarie che, nell’ambito delle TIC, hanno raggiunto la maturità sufficiente per svolgerli in modo ragionevole. I test di resilienza operativa digitale previsti dal presente regolamento dovrebbero essere pertanto più impegnativi per le entità finanziarie che soddisfano i criteri di cui al presente regolamento (ad esempio, enti creditizi grandi, sistemici e maturi a livello di TIC, le sedi di negoziazione, i depositari centrali di titoli e le controparti centrali ecc.) rispetto alle altre entità finanziarie. Allo stesso tempo i test di resilienza operativa digitale tramite TLPT dovrebbero essere più rilevanti per le entità finanziarie che operano in sottosettori chiave dei servizi finanziari e che assolvono una funzione sistemica (ad esempio pagamenti, attività bancaria, e compensazione e regolamento) e meno rilevanti per altri sottosettori (ad esempio gestori di patrimoni e agenzie di rating del credito).

(57)

Le entità finanziarie coinvolte in attività transfrontaliere e che esercitano la libertà di stabilimento o la libera fornitura di servizi all’interno dell’Unione dovrebbero rispettare gli obblighi di un unico quadro di riferimento per i test avanzati (ossia i TLPT) nel proprio Stato membro di origine; tali test dovrebbero comprendere le infrastrutture delle TIC di tutte le giurisdizioni in cui il gruppo finanziario transfrontaliero opera all’interno dell’Unione, permettendo a tali gruppi finanziari transfrontalieri di sostenere i costi dei test connessi alle TIC in un’unica giurisdizione.

(58)

Per avvalersi delle competenze già acquisite da talune autorità competenti, in particolare per quanto riguarda l’attuazione del quadro di riferimento TIBER-EU, il presente regolamento dovrebbe consentire agli Stati membri di designare un’autorità pubblica unica responsabile nel settore finanziario, a livello nazionale, per tutte le questioni relative ai TLPT, o alle autorità competenti, in assenza di tale designazione, di delegare l’esercizio dei compiti connessi ai TLPT a un’altra autorità finanziaria nazionale competente.

(59)

Poiché il presente regolamento non impone alle entità finanziarie di coprire tutte le funzioni essenziali o importanti in un unico TLPT, le entità finanziarie dovrebbero essere libere di determinare quali e quante funzioni essenziali o importanti dovrebbero essere incluse nell’ambito di applicazione di tale test.

(60)

I test congiunti ai sensi del presente regolamento - che comportano la partecipazione di diverse entità finanziarie a un TLPT e per cui un fornitore terzo di servizi TIC può direttamente stipulare accordi contrattuali con un soggetto incaricato dello svolgimento dei test esterno — dovrebbero essere ammessi solo qualora ci si attenda ragionevolmente che la qualità o la sicurezza dei servizi prestati dal fornitore terzo di servizi TIC a clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento, o la riservatezza dei dati relativi a tali servizi, subiscano ripercussioni negative. I test congiunti dovrebbero inoltre essere soggetti a garanzie (direzione da parte di un’entità finanziaria designata, calibrazione del numero di entità finanziarie partecipanti), al fine di assicurare un rigoroso esercizio di test per le entità finanziarie coinvolte che soddisfano gli obiettivi del TLPT conformemente al presente regolamento.

(61)

Allo scopo di sfruttare le risorse interne disponibili a livello aziendale, il presente regolamento dovrebbe consentire il ricorso a soggetto incaricato dello svolgimento dei test interni ai fini dell’esecuzione del TLPT, a condizione che vi sia l’approvazione da parte delle autorità di vigilanza, che non vi sia alcun conflitto d’interessi e che vi sia un’alternanza periodica nel ricorso a soggetto incaricato dello svolgimento dei test interni ed esterni (ogni tre test), imponendo nel contempo che il fornitore di analisi delle minacce nel TLPT sia sempre esterno all’entità finanziaria. La responsabilità di condurre il TLPT dovrebbe rimanere interamente a carico dell’entità finanziaria. Le attestazioni fornite dalle autorità dovrebbero essere finalizzate esclusivamente al riconoscimento reciproco e non dovrebbero precludere eventuali azioni di follow-up necessarie per affrontare i rischi informatici a cui l’entità finanziaria è esposta, né dovrebbero essere considerati un avallo da parte delle autorità di vigilanza delle capacità di gestione e attenuazione dei rischi informatici di un’entità finanziaria.

(62)

Per un solido monitoraggio dei rischi informatici derivanti da terzi nel settore finanziario, è necessario stabilire una serie di norme basate su principi che guidino le entità finanziarie nel monitoraggio dei rischi che si presentano nel contesto di funzioni esternalizzate a fornitori terzi di servizi TIC, in particolare per i servizi TIC a supporto di funzioni essenziali o importanti, nonché più in generale nel contesto di tutte le dipendenze da terzi nel settore delle TIC.

(63)

Per far fronte alla complessità delle varie fonti di rischi informatici, tenendo conto nel contempo della molteplicità e della diversità dei fornitori di soluzioni tecnologiche che consentono un’agevole fornitura di servizi finanziari, il presente regolamento dovrebbe applicarsi a un’ampia gamma di fornitori terzi di servizi TIC, compresi i fornitori di servizi di cloud computing, software, servizi di analisi dei dati e i fornitori di servizi di centri di elaborazione dati. Analogamente, poiché le entità finanziarie dovrebbero individuare e gestire in modo efficace e coerente tutti i tipi di rischio, anche nel contesto dei servizi TIC acquisiti all’interno di un gruppo finanziario, è opportuno chiarire che le imprese appartenenti a un gruppo finanziario e che forniscono servizi TIC prevalentemente alla loro impresa madre o a imprese figlie o succursali della loro impresa madre, nonché le entità finanziarie che forniscono servizi TIC ad altre entità finanziarie, dovrebbero essere considerate anch’esse fornitori terzi di servizi TIC ai sensi del presente regolamento. Infine, alla luce dell’evoluzione del mercato dei servizi di pagamento, sempre più dipendente da soluzioni tecniche complesse, e in vista delle tipologie emergenti di servizi di pagamento e di soluzioni connesse ai pagamenti, anche i partecipanti all’ecosistema dei servizi di pagamento, che prestano attività di trattamento dei pagamenti o gestiscono infrastrutture di pagamento, dovrebbero essere considerati fornitori terzi di servizi TIC ai sensi del presente regolamento, ad eccezione delle banche centrali quando gestiscono sistemi di pagamento o di regolamento titoli e delle autorità pubbliche quando forniscono servizi connessi alle TIC nel contesto dell’espletamento di funzioni di Stato.

(64)

Un’entità finanziaria dovrebbe rimanere sempre responsabile del rispetto dei propri obblighi previsti dal presente regolamento. Le entità finanziarie dovrebbero svolgere il monitoraggio dei rischi emergenti a livello di fornitori terzi di servizi TIC secondo un approccio basato sulla proporzionalità, tenendo debitamente conto della natura, della portata, della complessità e della rilevanza delle loro dipendenza dai servizi TIC, della criticità o dell’importanza dei servizi, dei processi o delle funzioni oggetto degli accordi contrattuali e, in ultima analisi, sulla base di un’attenta valutazione di eventuali impatti sulla continuità e la qualità dei servizi finanziari a livello individuale e di gruppo, a seconda dei casi.

(65)

Lo svolgimento di tale monitoraggio dovrebbe seguire un approccio strategico ai rischi informatici derivanti da terzi, formalizzato con l’adozione, da parte dell’organo di gestione dell’entità finanziaria, di una strategia dedicata per i rischi informatici derivanti da terzi fondata sul costante esame di tutte le dipendenze da terzi nel settore delle TIC. Affinché le autorità di vigilanza abbiano una visione più completa delle dipendenze da terzi nel settore delle TIC, e allo scopo di offrire ulteriore sostegno ai lavori nel contesto del quadro di sorveglianza istituito dal presente regolamento, tutte le entità finanziarie dovrebbero essere obbligate a tenere un registro delle informazioni contenente tutti gli accordi contrattuali sull’uso dei servizi TIC prestati da fornitori terzi di servizi TIC. Le autorità di vigilanza finanziaria dovrebbero avere la possibilità di richiedere il registro completo o chiedere sezioni specifiche dello stesso, ottenendo in tal modo informazioni essenziali per acquisire una più ampia comprensione delle dipendenze delle entità finanziarie in materia di TIC.

(66)

Una meticolosa analisi precontrattuale dovrebbe precedere la conclusione formale degli accordi contrattuali e costituirne la base, in particolare concentrandosi su elementi quali la criticità o l’importanza dei servizi sostenuti dal contratto sulle TIC previsto, le necessarie approvazioni da parte delle autorità di vigilanza o altre condizioni, il possibile rischio di concentrazione che ne deriva, nonché applicando la dovuta diligenza nel processo di selezione e valutazione dei fornitori terzi di servizi TIC e valutando i potenziali conflitti d’interessi. Per gli accordi contrattuali riguardanti funzioni essenziali o importanti, le entità finanziarie dovrebbero prendere in considerazione l’utilizzo da parte dei fornitori terzi di servizi TIC degli standard più aggiornati ed elevati in materia di sicurezza delle informazioni. La risoluzione degli accordi contrattuali potrebbe giustificarsi almeno sulla base di una serie di circostanze che attestino carenze addebitabili al fornitore terzo di servizi TIC, in particolare rilevanti violazioni di leggi o condizioni contrattuali, circostanze che rivelano una potenziale alterazione dell’esercizio delle funzioni previste negli accordi contrattuali, punti deboli del fornitore terzo di servizi TIC emersi nella sua gestione complessiva dei rischi informatici o circostanze che indicano l’inabilità dell’autorità competente interessata di vigilare efficacemente sull’entità finanziaria.

(67)

Per far fronte all’impatto sistemico del rischio di concentrazione di servizi TIC forniti da terzi, il presente regolamento promuove una soluzione equilibrata tramite l’assunzione di un approccio flessibile e graduale verso tale rischio di concentrazione, in quanto l’imposizione di massimali rigidi o restrizioni rigorose potrebbe intralciare lo svolgimento dell’attività economica e limitare la libertà contrattuale. Le entità finanziarie dovrebbero valutare meticolosamente le disposizioni contrattuali previste per verificare la probabilità che tali rischi si presentino, anche mediante analisi approfondite degli accordi di subappalto, soprattutto quando siano conclusi con fornitori terzi di servizi TIC stabiliti in un paese terzo. In questa fase, e allo scopo di trovare il giusto equilibrio tra l’imperativo di preservare la libertà contrattuale e quello di garantire la stabilità finanziaria, non si considera opportuno prevedere norme su massimali e limiti rigorosi alle esposizioni verso terzi nel settore delle TIC. Nel contesto del quadro di sorveglianza, un’autorità di sorveglianza capofila nominata ai sensi del presente regolamento, dovrebbe, rispetto a fornitori terzi critici di servizi TIC, accertarsi con particolare cura di comprendere a fondo le dimensioni delle interdipendenze, di scoprire i casi specifici in cui un elevato grado di concentrazione di fornitori terzi critici di servizi TIC nell’Unione potrebbe compromettere l’integrità e la stabilità del sistema finanziario dell’Unione e di mantenere un dialogo con i fornitori terzi critici di servizi TIC laddove tale rischio specifico sia identificato.

(68)

Per valutare e monitorare costantemente la capacità del fornitore terzo di servizi TIC di erogare in sicurezza i servizi all’entità finanziaria senza effetti avversi sulla resilienza operativa digitale di quest’ultima, è opportuno armonizzare diversi elementi contrattuali chiave con i fornitori terzi di servizi TIC. Tale armonizzazione dovrebbe coprire gli ambiti minimi che sono cruciali per consentire un monitoraggio completo, da parte dell’entità finanziaria, dei rischi che potrebbero derivare dal fornitore terzo di servizi TIC, nella prospettiva dell’esigenza dell’entità finanziaria di garantire la propria resilienza digitale, poiché dipendente in larga misura dalla stabilità, dalla funzionalità, dalla disponibilità e dalla sicurezza dei servizi TIC ricevuti.

(69)

In sede di rinegoziazione degli accordi contrattuali al fine di perseguire la conformità con i requisiti del presente regolamento, le entità finanziarie e i fornitori terzi di servizi TIC dovrebbero garantire la copertura delle principali disposizioni contrattuali di cui al presente regolamento.

(70)

La definizione di «funzione essenziale o importante» di cui al presente regolamento comprende le «funzioni essenziali» definite all’articolo 2, paragrafo 1, punto 35), della direttiva 2014/59/UE del Parlamento europeo e del Consiglio (20). Di conseguenza, le funzioni ritenute essenziali ai sensi della direttiva 2014/59/UE sono incluse nella definizione di funzioni essenziali ai sensi del presente regolamento.

(71)

Indipendentemente dall’essenzialità o dall’importanza della funzione supportata dai servizi TIC, gli accordi contrattuali dovrebbero, in particolare, contenere le descrizioni complete di funzioni e servizi, l’indicazione delle località in cui si esercitano tali funzioni e deve aver luogo il trattamento dei dati nonché le descrizioni dei livelli di servizio. Altri elementi essenziali per consentire il monitoraggio, da parte di un’entità finanziaria, dei rischi informatici derivanti da terzi sono: disposizioni contrattuali che specificano in che modo il fornitore terzo di servizi TIC garantisce l’accessibilità, la disponibilità, l’integrità, la sicurezza e la protezione dei dati personali; disposizioni che stabiliscono le pertinenti garanzie per consentire l’accesso, il ripristino e la restituzione dei dati in caso di insolvenza, risoluzione o cessazione dell’operatività del fornitore terzo di servizi TIC, nonché disposizioni che impongono al fornitore terzo di servizi TIC di prestare assistenza in caso di incidenti connessi alle TIC in relazione ai servizi forniti, senza costi supplementari oppure a un costo stabilito ex ante; disposizioni sull’obbligo per il fornitore terzo di servizi TIC di cooperare senza riserve con le autorità competenti e con le autorità di risoluzione dell’entità finanziaria; e disposizioni sui diritti di risoluzione e sui relativi termini minimi di preavviso per la risoluzione degli accordi contrattuali, conformemente alle attese delle autorità competenti e delle autorità di risoluzione.

(72)

In aggiunta a tali disposizioni contrattuali e al fine di garantire che le entità finanziarie mantengano il pieno controllo di tutti gli sviluppi a livello di soggetti terzi che potrebbero comprometterne la sicurezza delle TIC, i contratti per la fornitura di servizi TIC a supporto di funzioni essenziali o importanti dovrebbero altresì prevedere quanto segue: le descrizioni complete dei livelli di servizio, con precisi obiettivi quantitativi e qualitativi, in termini di prestazioni, in modo da consentire l’applicazione, senza indebito ritardo, di opportune azioni correttive qualora i livelli di servizio concordati non siano rispettati; i pertinenti termini di preavviso e obblighi di segnalazione per il fornitore terzo di servizi TIC nel caso di sviluppi che possano incidere seriamente sulla capacità di tale fornitore di fornire efficacemente i rispettivi servizi TIC; l’obbligo per il fornitore terzo di servizi TIC di attuare e testare i piani operativi d’emergenza e di disporre di misure, strumenti e politiche per la sicurezza delle TIC che consentano la fornitura sicura dei servizi, nonché di partecipare e di cooperare pienamente al TLPT svolto dall’entità finanziaria.

(73)

I contratti per la fornitura di servizi TIC a supporto di funzioni essenziali o importanti dovrebbero altresì contenere disposizioni che consentano i diritti di accesso, ispezione e audit da parte dell’entità finanziaria o di un soggetto terzo designato, nonché il diritto di ottenere copia, quali strumenti fondamentali per il monitoraggio costante, da parte delle entità finanziarie, delle prestazioni del fornitore terzo di servizi TIC, insieme alla piena collaborazione di quest’ultimo nel corso delle ispezioni. Analogamente, l’autorità competente dell’entità finanziaria dovrebbe poter godere del diritto, sulla base di preavvisi, di ispezionare e sottoporre a verifiche di audit il fornitore terzo di servizi TIC, fatta salva la protezione delle informazioni riservate.

(74)

Tali accordi contrattuali dovrebbero inoltre prevedere strategie di uscita dedicate che consentano in particolare periodi di transizione obbligatori durante i quali i fornitori terzi di servizi TIC dovrebbero continuare a prestare i pertinenti servizi, allo scopo di ridurre il rischio di perturbazioni a livello dell’entità finanziaria o di consentire a quest’ultima di passare senza inconvenienti all’utilizzo di altri fornitori terzi di servizi TIC o, in alternativa, di adottare soluzioni interne, in funzione della complessità del servizio TIC fornito. Inoltre, le entità finanziarie che rientrano nell’ambito di applicazione della direttiva 2014/59/UE dovrebbero garantire che i pertinenti contratti per i servizi TIC siano solidi e pienamente applicabili in caso di risoluzione di tali entità finanziarie. In linea con le aspettative delle autorità di risoluzione, tali entità finanziarie dovrebbero pertanto garantire che i pertinenti contratti di servizi TIC siano resilienti in caso di risoluzione. Finché continuano a rispettare i loro obblighi di pagamento, tali entità finanziarie dovrebbero garantire, tra gli altri requisiti, che i pertinenti contratti per i servizi TIC contengano clausole di non risoluzione, di non sospensione e di immodificabilità in caso di ristrutturazione o risoluzione.

(75)

Inoltre, l’utilizzo volontario di clausole contrattuali standard elaborate da autorità pubbliche o istituzioni dell’Unione, in particolare l’utilizzo di clausole contrattuali elaborate dalla Commissione per i servizi di cloud computing, potrebbe costituire un’ulteriore preziosa risorsa per le entità finanziarie e per i fornitori terzi di servizi TIC, accrescendo il loro livello di certezza del diritto in merito all’utilizzo di servizi di cloud computing nel settore finanziario, in completa conformità con i requisiti e le aspettative definiti dalla normativa dell’Unione in materia di servizi finanziari. L’elaborazione di clausole contrattuali standard si fonda su misure già previste dal piano d’azione per le tecnologie finanziarie del 2018, in cui la Commissione annunciava l’intenzione di incoraggiare e agevolare lo sviluppo di clausole contrattuali standard per l’esternalizzazione di servizi di cloud computing da parte delle entità finanziarie, basandosi sulle iniziative intersettoriali già intraprese dai portatori di interessi del settore dei servizi di cloud computing che la Commissione ha favorito grazie al coinvolgimento del settore finanziario.

(76)

Per promuovere la convergenza e l’efficienza negli approcci di vigilanza quando si affrontano rischi relativi alle TIC derivanti da terzi nel settore finanziario, nonché per rafforzare la resilienza operativa digitale delle entità finanziarie che dipendono da fornitori terzi critici di servizi TIC per la fornitura di servizi TIC che sostengono la fornitura dei servizi finanziari e contribuire così a preservare la stabilità del sistema finanziario dell’Unione e l’integrità del mercato interno per i servizi finanziari, è opportuno assoggettare i fornitori terzi critici di servizi TIC a un quadro di sorveglianza dell’Unione. Sebbene l’istituzione del quadro di sorveglianza sia giustificata dal valore aggiunto di un’azione intrapresa a livello dell’Unione e in virtù del ruolo intrinseco e delle specificità dell’utilizzo dei servizi TIC nella fornitura di servizi finanziari, è opportuno ricordare, nel contempo, che tale soluzione appare adeguata solo nel contesto del presente regolamento, che tratta specificamente della resilienza operativa digitale nel settore finanziario. Tuttavia, tale quadro di sorveglianza non dovrebbe essere considerato un nuovo modello di vigilanza dell’Unione in altri settori delle attività e dei servizi finanziari.

(77)

Il quadro di sorveglianza dovrebbe applicarsi solo ai fornitori terzi critici di servizi TIC. Dovrebbe pertanto esserci un meccanismo di designazione, in modo da tenere conto della dimensione e della natura della dipendenza del settore finanziario da tali fornitori terzi di servizi TIC. Tale meccanismo dovrebbe comportare una serie di criteri quantitativi e qualitativi per fissare i parametri di criticità come base per l’inclusione nel quadro di sorveglianza. Al fine di garantire l’accuratezza di tale valutazione, e indipendentemente dalla struttura aziendale del fornitore terzo di servizi TIC, tali criteri, nel caso di un fornitore terzo di servizi TIC appartenente a un gruppo più ampio, dovrebbero prendere in considerazione l’intera struttura del gruppo del fornitore terzo di servizi TIC. Da un lato, i fornitori terzi critici di servizi TIC, che non sono designati automaticamente in virtù dell’applicazione di tali criteri, dovrebbero avere la possibilità di aderire al quadro di sorveglianza su base volontaria; dall’altro, i fornitori terzi di servizi TIC, che sono già soggetti ai quadri dei meccanismi di sorveglianza che sostengono l’assolvimento dei compiti del Sistema europeo di banche centrali di cui all’articolo 127, paragrafo 2, TFUE, dovrebbero esserne esentati.

(78)

Analogamente, anche le entità finanziarie che forniscono servizi TIC ad altre entità finanziarie, pur appartenendo alla categoria dei fornitori terzi di servizi TIC ai sensi del presente regolamento, dovrebbero essere esentate dal quadro di sorveglianza in quanto già soggette ai meccanismi di vigilanza istituiti dalla pertinente normativa dell’Unione in materia di servizi finanziari. Ove applicabile, le autorità competenti dovrebbero tenere conto, nell’ambito delle loro attività di vigilanza, dei rischi informatici posti alle entità finanziarie dalle entità finanziarie che forniscono servizi TIC. Allo stesso modo, a causa degli attuali meccanismi di monitoraggio dei rischi a livello di gruppo, la stessa esenzione dovrebbe essere introdotta per i fornitori terzi di servizi TIC che prestano servizi prevalentemente alle entità del loro stesso gruppo. Anche i fornitori terzi di servizi TIC che prestano servizi TIC unicamente in uno Stato membro a entità finanziarie attive solo in tale Stato membro dovrebbero essere esentati dal meccanismo di designazione a causa delle loro attività limitate e della mancanza di impatto transfrontaliero.

(79)

La trasformazione digitale che interessa i servizi finanziari ha portato a un livello senza precedenti di utilizzo dei servizi TIC e di dipendenza da essi. Poiché è divenuto inconcepibile fornire servizi finanziari senza l’utilizzo di servizi di cloud computing, soluzioni software e servizi connessi ai dati, l’ecosistema finanziario dell’Unione è diventato intrinsecamente codipendente da taluni servizi TIC prestati dai fornitori di servizi TIC. Alcuni di questi fornitori, innovatori nello sviluppo e nell’applicazione di tecnologie basate sulle TIC, svolgono un ruolo significativo nella fornitura di servizi finanziari, o sono diventati parte integrante della catena del valore dei servizi finanziari. Sono quindi divenuti fondamentali per la stabilità e l’integrità del sistema finanziario dell’Unione. Questa diffusa dipendenza dai servizi prestati da fornitori terzi critici di servizi TIC, unitamente all’interdipendenza dei sistemi informativi di vari operatori di mercato, crea un rischio diretto, e potenzialmente grave, per il sistema dei servizi finanziari dell’Unione e per la continuità della fornitura di servizi finanziari, qualora i fornitori terzi critici di servizi TIC fossero colpiti da perturbazioni operative o gravi incidenti informatici. Gli incidenti informatici hanno la capacità distintiva di moltiplicarsi e propagarsi in tutto il sistema finanziario a un ritmo notevolmente più rapido rispetto ad altri tipi di rischi monitorati nel settore finanziario e possono estendersi a tutti i settori e oltre i confini geografici. Sono potenzialmente in grado di evolvere verso una crisi sistemica, in cui la fiducia nel sistema finanziario si è erosa a causa dell’interruzione delle funzioni che sostengono l’economia reale, o di ingenti perdite finanziarie, raggiungendo un livello che il sistema finanziario non è in grado di sopportare, o che richiede la messa a punto di pesanti misure di assorbimento degli shock. Per evitare che tali scenari si verifichino e compromettano in tal modo la stabilità finanziaria e l’integrità dell’Unione, è essenziale assicurare la convergenza delle pratiche di vigilanza connesse ai rischi informatici derivanti da terzi nella finanza, in particolare attraverso nuove norme che consentano la sorveglianza da parte dell’Unione dei fornitori terzi critici di servizi TIC.

(80)

Il quadro di sorveglianza dipende in larga misura dal grado di collaborazione tra l’autorità di sorveglianza capofila e il fornitore terzo critico di servizi TIC che presta alle entità finanziarie servizi che incidono sulla fornitura di servizi finanziari. Una sorveglianza efficace si basa, tra l’altro, sulla capacità dell’autorità di sorveglianza capofila di svolgere efficacemente missioni di monitoraggio e ispezioni per valutare le norme, i controlli e i processi utilizzati dai fornitori terzi critici di servizi TIC, nonché per valutare il potenziale impatto cumulativo delle loro attività sulla stabilità finanziaria e sull’integrità del sistema finanziario. Allo stesso tempo, è fondamentale che i fornitori terzi critici di servizi TIC seguano le raccomandazioni dell’autorità di sorveglianza capofila e rispondano alle sue preoccupazioni. Poiché la mancanza di cooperazione da parte di un fornitore terzo di servizi TIC critico che fornisce servizi che incidono sulla fornitura di servizi finanziari, come il rifiuto di concedere l’accesso ai propri locali o di trasmettere informazioni, priverebbe in ultima analisi l’autorità di sorveglianza capofila dei suoi strumenti essenziali per valutare i rischi informatici derivanti da terzi e potrebbe incidere negativamente sulla stabilità finanziaria e sull’integrità del sistema finanziario, occorre prevedere anche un regime sanzionatorio commisurato.

(81)

In tale contesto, la necessità dell’autorità di sorveglianza capofila di imporre penalità di mora per obbligare i fornitori terzi critici di servizi TIC a rispettare gli obblighi in materia di trasparenza e accesso di cui al presente regolamento non dovrebbe essere messa a repentaglio dalle difficoltà derivanti dall’applicazione di tali penalità di mora in relazione a fornitori terzi critici di servizi TIC stabiliti in paesi terzi. Al fine di garantire l’applicabilità di tali penalità e consentire una rapida introduzione delle procedure a tutela dei diritti della difesa dei fornitori terzi critici di servizi TIC nel contesto del meccanismo di designazione e della formulazione di raccomandazioni, tali fornitori terzi critici di servizi TIC che forniscono alle entità finanziarie servizi che incidono sulla fornitura di servizi finanziari dovrebbero essere tenuti a mantenere un’adeguata presenza commerciale nell’Unione. Data la natura della sorveglianza e l’assenza di accordi comparabili in altre giurisdizioni, non esistono meccanismi alternativi adeguati che garantiscano tale obiettivo mediante una cooperazione efficace con le autorità di vigilanza finanziaria nei paesi terzi in relazione al monitoraggio dell’impatto dei rischi operativi digitali posti dai fornitori terzi di servizi TIC sistemici, che rientrano nella designazione di fornitori terzi critici di servizi TIC stabiliti in paesi terzi. Pertanto, onde continuare a fornire servizi TIC a entità finanziarie nell’Unione, un fornitore terzo di servizi TIC stabilito in un paese terzo che sia stato designato come critico a norma del presente regolamento dovrebbe stipulare, entro 12 mesi da tale designazione, tutti gli accordi necessari per garantire la propria integrazione nell’Unione, mediante l’istituzione di un’impresa figlia, quale definita nell’acquis dell’Unione, segnatamente nella direttiva 2013/34/UE del Parlamento europeo e del Consiglio (21).

(82)

L’obbligo di istituire un’impresa figlia nell’Unione non dovrebbe impedire al fornitore terzo critico di servizi TIC di prestare servizi TIC e il relativo sostegno tecnico da impianti e infrastrutture situati al di fuori dell’Unione. Il presente regolamento non impone un obbligo di localizzazione dei dati poiché non impone di conservare o trattare i dati nell’Unione.

(83)

I fornitori terzi critici di servizi TIC dovrebbero essere in grado di fornire servizi TIC da ovunque nel mondo, non necessariamente o non solo da locali situati nell’Unione. Le attività di sorveglianza dovrebbero essere svolte in primo luogo in locali situati nell’Unione e interagendo con soggetti situati nell’Unione, comprese le imprese figlie istituite da fornitori terzi critici di servizi TIC a norma del presente regolamento. Tuttavia, tali azioni all’interno dell’Unione potrebbero essere insufficienti per consentire all’autorità di sorveglianza capofila di svolgere pienamente ed efficacemente i propri compiti ai sensi del presente regolamento. L’autorità di sorveglianza capofila dovrebbe pertanto essere in grado di esercitare i pertinenti poteri di sorveglianza anche nei paesi terzi. L’esercizio di tali poteri nei paesi terzi dovrebbe consentire all’autorità di sorveglianza capofila di esaminare le strutture dalle quali i servizi TIC o di assistenza tecnica sono effettivamente forniti o gestiti dal fornitore terzo critico di servizi TIC, e dovrebbe fornire all’autorità di sorveglianza capofila una comprensione completa e operativa della gestione dei rischi informatici da parte del fornitore terzo critico di servizi TIC. La possibilità per l’autorità di sorveglianza capofila, in quanto agenzia dell’Unione, di esercitare poteri al di fuori del territorio dell’Unione dovrebbe essere debitamente inquadrata da condizioni pertinenti, in particolare il consenso del fornitore terzo critico di servizi TIC interessato. Analogamente, le autorità pertinenti del paese terzo dovrebbero essere informate dell’esercizio nel proprio territorio delle attività dell’autorità di sorveglianza capofila e non esservisi opposte. Tuttavia, al fine di garantire un’attuazione efficace e fatte salve le rispettive competenze delle istituzioni dell’Unione e degli Stati membri, tali poteri devono altresì essere pienamente basati sulla conclusione di accordi di cooperazione amministrativa con le autorità pertinenti del paese terzo interessato. Il presente regolamento dovrebbe pertanto consentire alle AEV di concludere accordi di cooperazione amministrativa con le autorità pertinenti dei paesi terzi, che non dovrebbero altrimenti generare obblighi giuridici in capo all’Unione e ai suoi Stati membri.

(84)

Per facilitare la comunicazione con l’autorità di sorveglianza capofila e garantire un’adeguata rappresentanza, i fornitori terzi critici di servizi TIC che fanno parte di un gruppo dovrebbero designare una persona giuridica come punto di coordinamento.

(85)

Il quadro di sorveglianza non dovrebbe pregiudicare la competenza degli Stati membri per quanto attiene allo svolgimento di proprie missioni di sorveglianza o di monitoraggio nei confronti di fornitori terzi di servizi TIC che non sono designati come critici ai sensi del presente regolamento ma sono considerati importanti a livello nazionale.

(86)

Per sfruttare l’architettura istituzionale del settore dei servizi finanziari, articolata su vari livelli, il comitato congiunto delle AEV dovrebbe continuare a garantire il coordinamento intersettoriale complessivo su tutte le questioni concernenti i rischi informatici, conformemente ai propri compiti in materia di cibersicurezza. Dovrebbe essere coadiuvato da un nuovo sottocomitato (forum di sorveglianza) che dovrebbe svolgere il lavoro preparatorio, sia per le singole decisioni rivolte a fornitori terzi critici di servizi TIC, sia per la formulazione di raccomandazioni collettive, relative in particolare all’analisi comparativa dei programmi di sorveglianza per i fornitori terzi critici di servizi TIC, nonché all’identificazione delle migliori prassi riguardanti il rischio di concentrazione delle TIC.

(87)

Per far sì che i fornitori terzi critici di servizi TIC siano soggetti a una sorveglianza adeguata ed efficace a livello dell’Unione, il presente regolamento prevede che una qualunque delle tre AEV possa essere designata come autorità di sorveglianza capofila. L’assegnazione individuale di un fornitore terzo critico di servizi TIC a una delle tre AEV dovrebbe essere fondata su una valutazione della prevalenza delle entità finanziarie che operano nei settori finanziari per i quali tale AEV è competente. Tale approccio dovrebbe portare a una ripartizione equilibrata dei compiti e delle responsabilità tra le tre AEV, nel contesto dell’esercizio delle funzioni di sorveglianza, e dovrebbe utilizzare al meglio le risorse umane e le competenze tecniche disponibili in ciascuna delle tre AEV.

(88)

Alle autorità di sorveglianza capofila dovrebbero essere attribuiti i poteri necessari per condurre indagini, effettuare ispezioni in fuori sede o presso i locali e le sedi dei fornitori terzi critici di servizi TIC e ottenere informazioni complete e aggiornate. Tali poteri dovrebbero consentire all’autorità di sorveglianza capofila di acquisire un’immagine realistica del tipo, delle dimensioni e dell’impatto dei rischi informatici derivanti da terzi cui sono esposte le entità finanziarie e, in ultima analisi, il sistema finanziario dell’Unione. Affidare alle AEV il ruolo di sorveglianza principale è un prerequisito per comprendere e affrontare la dimensione sistemica dei rischi informatici nel settore finanziario. L’impatto dei fornitori terzi critici di servizi TIC sul settore finanziario dell’Unione e i problemi causati dal rischio di concentrazione delle TIC che ne possono derivare esigono un approccio collettivo a livello dell’UE. L’esecuzione contestuale di molteplici audit e diritti di accesso, effettuata separatamente da varie autorità competenti, con un coordinamento scarso o nullo tra di esse, impedirebbe alle autorità di vigilanza finanziaria di ottenere un quadro completo ed esaustivo dei rischi informatici derivanti da terzi nell’Unione, e provocherebbe anzi sovrapposizioni, oneri e complessità per i fornitori terzi critici di servizi TIC qualora fossero soggetti a un gran numero di richieste di monitoraggio e ispezione.

(89)

A causa dell’impatto significativo del fatto di essere designati come critici, il presente regolamento dovrebbe garantire che i diritti dei fornitori terzi critici di servizi TIC siano preservati in tutte le fasi di attuazione del quadro di sorveglianza. Prima di essere designati come critici, tali fornitori dovrebbero, ad esempio, avere il diritto di presentare all’autorità di sorveglianza capofila una dichiarazione motivata contenente tutte le informazioni pertinenti ai fini della valutazione relativa alla loro designazione. Dal momento che all’autorità di sorveglianza capofila dovrebbe essere conferito il potere di presentare raccomandazioni su questioni concernenti i rischi informatici e sui rimedi idonei, ivi compreso il potere di opporsi a determinate disposizioni contrattuali suscettibili in ultima analisi di incidere sulla stabilità dell’entità finanziaria o del sistema finanziario, prima di finalizzare tali raccomandazioni i fornitori terzi critici di servizi TIC dovrebbero altresì avere l’opportunità di fornire spiegazioni riguardo all’impatto previsto delle soluzioni, proposte nelle raccomandazioni, sui clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento, formulando soluzioni per attenuare i rischi. I fornitori terzi critici di servizi TIC in disaccordo con le raccomandazioni dovrebbero presentare una spiegazione motivata della loro intenzione di non uniformarsi alla raccomandazione. Se tale spiegazione motivata non è presentata o è ritenuta insufficiente, l’autorità di sorveglianza capofila dovrebbe pubblicare un avviso pubblico che descriva sommariamente la questione dell’inosservanza.

(90)

Nell’ambito delle loro funzioni relative alla vigilanza prudenziale delle entità finanziarie, le autorità competenti dovrebbero debitamente includere il compito di verificare il rispetto sostanziale delle raccomandazioni formulate dall’autorità di sorveglianza capofila. Le autorità competenti dovrebbero poter imporre alle entità finanziarie di adottare misure supplementari per affrontare i rischi individuati nelle raccomandazioni dell’autorità di sorveglianza capofila e dovrebbero, a tempo debito, pubblicare notifiche a tal fine. Se l’autorità di sorveglianza capofila rivolge raccomandazioni ai fornitori terzi critici di servizi TIC sottoposti a vigilanza ai sensi della direttiva (UE) 2022/2555, le autorità competenti dovrebbero poter consultare, su base volontaria e prima di adottare misure supplementari, le autorità competenti ai sensi di tale direttiva per promuovere un approccio coordinato nei confronti dei fornitori terzi critici di servizi TIC in questione.

(91)

L’esercizio della sorveglianza dovrebbe essere guidato da tre principi operativi volti a garantire: a) uno stretto coordinamento tra le AEV nel loro ruolo di autorità di sorveglianza capofila, attraverso una rete di sorveglianza comune, b) la coerenza con il quadro istituito dalla direttiva (UE) 2022/2555 (attraverso una consultazione volontaria degli organismi ai sensi di tale direttiva per evitare la duplicazione di misure rivolte ai fornitori terzi critici di servizi TIC), e c) l’applicazione della diligenza per ridurre al minimo il rischio potenziale di perturbazione dei servizi forniti dai fornitori terzi critici di servizi TIC ai clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento.

(92)

Il quadro di sorveglianza non dovrebbe rimpiazzare, né in alcun modo o in alcuna parte sostituirsi, alla prescrizione relativa alla gestione, da parte delle entità finanziarie, dei rischi derivanti dal ricorso a fornitori terzi di servizi TIC, compreso l’obbligo di mantenere un monitoraggio costante degli accordi contrattuali stipulati con fornitori terzi critici di servizi TIC. Analogamente, il quadro di sorveglianza non dovrebbe incidere sulla piena responsabilità delle entità finanziarie per quanto riguarda il rispetto e l’adempimento di tutti gli obblighi di legge previsti dal presente regolamento e dalla pertinente normativa in materia di servizi finanziari.

(93)

Per evitare duplicazioni e sovrapposizioni, è opportuno che le autorità competenti si astengano dall’adozione individuale di misure per il monitoraggio dei rischi derivanti da fornitori terzi critici di servizi TIC; a tale riguardo, esse dovrebbero affidarsi alla pertinente valutazione dell’autorità di sorveglianza capofila. Eventuali misure dovrebbero in ogni caso essere coordinate e concordate preliminarmente con l’autorità di sorveglianza capofila nel contesto dell’esercizio dei compiti del quadro di sorveglianza.

(94)

Per promuovere la convergenza a livello internazionale sull’utilizzo delle migliori prassi per il riesame e il monitoraggio della gestione del rischio digitale derivante da fornitori terzi di servizi TIC, è opportuno incoraggiare le AEV a stipulare accordi di cooperazione con le pertinenti autorità normative e di vigilanza di paesi terzi.

(95)

Per sfruttare utilmente le competenze specifiche, le capacità tecniche e l’esperienza del personale specializzato nella gestione dei rischi operativi e informatici all’interno delle autorità competenti, le tre AEV e, su base volontaria, le autorità competenti ai sensi della direttiva (UE) 2022/2555 e l’autorità di sorveglianza capofila dovrebbero tener conto delle capacità e conoscenze delle autorità di vigilanza nazionali e istituire gruppi destinati a esaminare i singoli fornitori terzi critici di servizi TIC, riunendo gruppi multidisciplinari che coadiuvino la preparazione e l’attuazione delle attività di sorveglianza, comprese le indagini generali e le ispezioni dei fornitori terzi critici di servizi TIC, nonché l’eventuale seguito necessario da dare a queste attività.

(96)

Mentre i costi derivanti dai compiti di sorveglianza sarebbero interamente finanziati dalle commissioni applicate ai fornitori terzi critici di servizi TIC, è tuttavia probabile che le AEV debbano sostenere, prima dell’avvio del quadro di sorveglianza, costi per l’attuazione di sistemi di TIC dedicati a sostegno dell’imminente sorveglianza, poiché sarebbe necessario sviluppare e attivare in anticipo sistemi di TIC dedicati. Il presente regolamento prevede pertanto un modello di finanziamento ibrido, in base al quale il quadro di sorveglianza sarebbe, in quanto tale, interamente finanziato tramite commissioni, mentre lo sviluppo dei sistemi di TIC delle AEV sarebbe finanziato dai contributi dell’Unione e delle autorità nazionali competenti.

(97)

Al fine di garantire il corretto esercizio dei propri compiti ai sensi del presente regolamento, le autorità competenti dovrebbero detenere tutti i necessari poteri per vigilare, indagare e imporre sanzioni. Esse dovrebbero, in linea di principio, pubblicare avvisi relativi alle sanzioni amministrative che irrogano. Poiché è possibile che entità finanziarie e fornitori terzi di servizi TIC siano stabiliti in Stati membri diversi e siano sottoposti a vigilanza da parte di differenti autorità competenti, è opportuno che l’applicazione del presente regolamento sia agevolata, da una parte, attraverso una stretta cooperazione tra le autorità competenti interessate, compresa la BCE per quanto riguarda i compiti specifici a essa attribuiti dal regolamento (UE) n. 1024/2013 del Consiglio, e, dall’altra, mediante consultazioni con le AEV tramite il reciproco scambio di informazioni e l’offerta di assistenza nel contesto delle attività di vigilanza pertinenti.

(98)

Per quantificare e qualificare ulteriormente i criteri per la designazione di fornitori terzi di servizi TIC come critici e per armonizzare le commissioni per le attività di sorveglianza, è opportuno delegare alla Commissione il potere di adottare atti ai sensi dell’articolo 290 TFUE al fine di integrare il presente regolamento precisando ulteriormente l’impatto sistemico che un guasto o un’indisponibilità operativa presso un fornitore terzo di servizi TIC potrebbe esercitare sulle entità finanziarie cui fornisce servizi TIC, il numero di enti a rilevanza sistemica a livello globale (global systemically important institutions — G-SII) o di altri enti a rilevanza sistemica (other systemically important institutions — O-SII) che dipendono dal rispettivo fornitore terzo di servizi TIC, il numero di fornitori terzi di servizi TIC attivi su uno specifico mercato, i costi della migrazione di dati e di carichi di lavoro relativi alle TIC ad altri fornitori terzi di servizi TIC, nonché l’importo delle commissioni per le attività di sorveglianza e le relative modalità di pagamento. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, e che tali consultazioni siano condotte nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (22). In particolare, al fine di garantire la partecipazione su un piede di parità alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio dovrebbero ricevere tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti dovrebbero avere sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(99)

Le norme tecniche di regolamentazione dovrebbero garantire la coerente armonizzazione i requisiti contenuti nel presente regolamento. Nel loro ruolo di organismi con una competenza altamente specializzata, le AEV dovrebbero elaborare progetti di norme tecniche di regolamentazione che non comportino scelte politiche e presentarli alla Commissione. È opportuno elaborare norme tecniche di regolamentazione nei settori della gestione dei rischi informatici, della segnalazione di incidenti gravi connessi alle TIC e dei test, nonché per quanto riguarda i requisiti principali per un solido monitoraggio dei rischi informatici derivanti da terzi. La Commissione e le AEV dovrebbero fare in modo che tutte le entità finanziarie possano applicare tali norme e requisiti in misura proporzionata alle loro dimensioni e al loro profilo di rischio complessivo, nonché alla natura, alla portata e alla complessità dei loro servizi, delle loro attività e della loro operatività. Alla Commissione si dovrebbe conferire il potere di adottare tali norme tecniche di regolamentazione mediante atti delegati a norma dell’articolo 290 TFUE e degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

(100)

Per rendere più agevolmente comparabili le segnalazioni sugli incidenti gravi connessi alle TIC e sui gravi incidenti operativi o relativi alla sicurezza dei pagamenti, nonché per garantire la trasparenza sugli accordi contrattuali per l’utilizzo di servizi TIC offerti da fornitori terzi, le AEV dovrebbero elaborare progetti di norme tecniche di attuazione che introducano modelli, formulari e procedure standardizzati per la segnalazione, da parte delle entità finanziarie, degli incidenti gravi connessi alle TIC e di gravi incidenti operativi o relativi alla sicurezza dei pagamenti, nonché modelli standardizzati per il registro delle informazioni. Al momento di elaborare tali norme, le AEV dovrebbero tenere conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni. È opportuno conferire alla Commissione il potere di adottare tali norme tecniche di attuazione mediante atti di esecuzione a norma dell’articolo 291 TFUE e dell’articolo 15 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

(101)

Dal momento che obblighi ulteriori sono già stati specificati tramite atti delegati e di esecuzione basati su norme tecniche di regolamentazione e di attuazione contenute nei regolamenti (CE) n. 1060/2009 (23), (UE) n. 648/2012 (24), (UE) n. 600/2014 (25) e (UE) n. 909/2014 (26) del Parlamento europeo e del Consiglio, è opportuno conferire alle AEV, a livello individuale o collettivo tramite il comitato congiunto, il mandato di sottoporre alla Commissione norme tecniche di regolamentazione e di attuazione in vista dell’adozione di atti delegati e di esecuzione che riprendano e aggiornino le norme vigenti in materia di gestione dei rischi informatici.

(102)

Dal momento che il presente regolamento, assieme alla direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio (27), comporta il consolidamento delle disposizioni per la gestione dei rischi informatici in una molteplicità di regolamenti e direttive dell’acquis sui servizi finanziari dell’Unione, tra cui i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014 e il regolamento (UE) 2016/1011 (28) del Parlamento europeo e del Consiglio, per garantire completa coerenza è opportuno modificare tali regolamenti per precisare che le disposizioni applicabili in materia di rischi informatici sono stabilite nel presente regolamento.

(103)

È pertanto opportuno limitare l’ambito di applicazione dei pertinenti articoli relativi al rischio operativo, in base ai quali nei regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 era stato conferito il mandato di adottare atti delegati e di esecuzione, allo scopo di riprendere nel presente regolamento tutte le disposizioni sugli aspetti relativi alla resilienza operativa digitale che oggi fanno parte di quei regolamenti.

(104)

Il potenziale rischio informatico sistemico connesso all’utilizzo delle infrastrutture di TIC che consentono il funzionamento dei sistemi di pagamento e la prestazione di attività di trattamento dei pagamenti dovrebbe essere debitamente affrontato a livello dell’Unione attraverso norme armonizzate in materia di resilienza digitale. A tal fine, la Commissione dovrebbe valutare rapidamente la necessità di rivedere l’ambito di applicazione del presente regolamento allineando nel contempo tale revisione all’esito del riesame complessivo previsto dalla direttiva (UE) 2015/2366. Numerosi attacchi su vasta scala verificatisi nel corso dell’ultimo decennio dimostrano che i sistemi di pagamento sono diventati esposti alle minacce informatiche. Collocati al centro della catena dei servizi di pagamento e caratterizzati da forti interconnessioni con l’intero sistema finanziario, i sistemi di pagamento e le attività di trattamento dei pagamenti hanno acquisito un’importanza cruciale per il funzionamento dei mercati finanziari dell’Unione. Gli attacchi informatici contro tali sistemi possono causare gravi perturbazioni delle attività a livello operativo, con ripercussioni dirette su funzioni economiche fondamentali, quali l’agevolazione dei pagamenti, e effetti indiretti sui relativi processi economici. Fino all’istituzione a livello dell’Unione di un regime armonizzato e della supervisione degli operatori dei sistemi di pagamento e dei soggetti incaricati del trattamento delle operazioni, gli Stati membri possono, al fine di applicare pratiche di mercato analoghe, trarre ispirazione dai requisiti in materia di resilienza operativa digitale stabiliti dal presente regolamento nell’applicare le norme nei confronti degli operatori di sistemi di pagamento e dei soggetti incaricati del trattamento delle operazioni sottoposti a vigilanza nelle rispettive giurisdizioni.

(105)

Poiché l’obiettivo del presente regolamento, ossia il conseguimento di un elevato livello di resilienza operativa digitale per le entità finanziarie regolamentate, non può essere conseguito in misura sufficiente dagli Stati membri, in quanto richiede l’armonizzazione di varie norme differenti nel diritto dell’Unione e nel diritto nazionale, ma, a motivo della portata o degli effetti dell’azione in questione, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(106)

Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (29), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 10 maggio 2021 (30),

(1)

La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (4) mirava a sviluppare le capacità di cibersicurezza in tutta l'Unione, a mitigare le minacce ai sistemi informatici e di rete utilizzati per fornire servizi essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti, contribuendo in tal modo alla sicurezza dell'Unione e al funzionamento efficace della sua economia e della sua società.

(2)

Dall'entrata in vigore della direttiva (UE) 2016/1148 sono stati compiuti progressi significativi nell'aumentare il livello dell'Unione in materia di ciberresilienza. La revisione di tale direttiva ha mostrato quanto quest'ultima sia servita da catalizzatore per l'approccio istituzionale e normativo alla cibersicurezza nell'Unione, aprendo la strada a un significativo cambiamento della mentalità. Tale direttiva ha garantito il completamento dei quadri nazionali sulla sicurezza dei sistemi informatici e di rete definendo le strategie nazionali sulla sicurezza dei sistemi informatici e di rete e stabilendo capacità nazionali e attuando misure normative riguardanti le infrastrutture e gli attori essenziali individuati da ciascuno Stato membro. La direttiva (UE) 2016/1148 ha inoltre contribuito alla cooperazione a livello dell'Unione mediante l'istituzione del gruppo di cooperazione e della rete di gruppi nazionali di intervento per la sicurezza informatica in caso di incidente. Nonostante tali risultati, la revisione della direttiva (UE) 2016/1148 ha rivelato carenze intrinseche che le impediscono di affrontare efficacemente le sfide attuali ed emergenti in materia di cibersicurezza.

(3)

I sistemi informatici e di rete occupano ormai una posizione centrale nella vita di tutti i giorni, con la rapida trasformazione digitale e l'interconnessione della società, anche negli scambi transfrontalieri. Ciò ha portato a un'espansione del panorama delle minacce informatiche, con nuove sfide che richiedono risposte adeguate, coordinate e innovative in tutti gli Stati membri. Il numero, la portata, il livello di sofisticazione, la frequenza e l'impatto degli incidenti stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione. Pertanto la preparazione e l'efficacia della cibersicurezza sono oggi più che mai essenziali per il corretto funzionamento del mercato interno. Inoltre, la cibersicurezza è un fattore abilitante fondamentale per molti settori critici, affinché questi possano attuare con successo la trasformazione digitale e cogliere appieno i vantaggi economici, sociali e sostenibili della digitalizzazione.

(4)

La base giuridica della direttiva (UE) 2016/1148 era l'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), il cui obiettivo è l'instaurazione e il funzionamento del mercato interno mediante il rafforzamento delle misure relative al ravvicinamento delle normative nazionali. Gli obblighi di cibersicurezza imposti ai soggetti che forniscono servizi o svolgono attività economicamente rilevanti variano notevolmente da uno Stato membro all'altro in termini di tipo di obbligo, livello di dettaglio e metodo di vigilanza. Tali disparità comportano costi aggiuntivi e creano difficoltà per le entità che offrono beni o servizi transfrontalieri. Gli obblighi imposti da uno Stato membro che sono diversi o addirittura in conflitto con quelli imposti da un altro Stato membro possono incidere in modo sostanziale su tali attività transfrontaliere. Inoltre, è probabile che una progettazione o attuazione inadeguata degli obblighi in materia di cibersicurezza in uno Stato membro abbia ripercussioni sul livello di cibersicurezza di altri Stati membri, in particolare in considerazione dell'intensità degli scambi transfrontalieri. Il riesame della direttiva (UE) 2016/1148 ha evidenziato notevoli divergenze nella sua attuazione da parte degli Stati membri, anche per quanto riguarda il suo ambito di applicazione, la cui delimitazione è stata lasciata in larga misura alla discrezione degli Stati membri. La direttiva (UE) 2016/1148 ha inoltre conferito agli Stati membri un ampio potere discrezionale per quanto riguarda l'attuazione degli obblighi in materia di sicurezza e segnalazione degli incidenti ivi stabiliti. Tali obblighi sono stati pertanto attuati in modi significativamente diversi a livello nazionale. Analoghe divergenze sussistono nell'attuazione delle disposizioni della direttiva (UE) 2016/1148 in materia di vigilanza e esecuzione.

(5)

Tutte tali divergenze comportano una frammentazione del mercato interno e possono avere un effetto pregiudizievole sul suo funzionamento, con ripercussioni in particolare sulla fornitura transfrontaliera di servizi e sul livello di ciberresilienza dovute all'applicazione di misure diverse. Dette divergenze possono portare infine a una maggiore vulnerabilità di taluni Stati membri di fronte alle minacce informatiche, con potenziali ricadute sull'intera Unione. La presente direttiva mira a eliminare tali ampie divergenze tra gli Stati membri, in particolare stabilendo norme minime riguardanti il funzionamento di un quadro normativo coordinato, istituendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevedendo mezzi di ricorso e misure di esecuzione effettivi che siano funzionali all'efficace applicazione di tali obblighi. La direttiva (UE) 2016/1148 dovrebbe pertanto essere abrogata e sostituita dalla presente direttiva.

(6)

Con l'abrogazione della direttiva (UE) 2016/1148, l'ambito di applicazione per settore dovrebbe essere esteso a una parte più ampia dell'economia per fornire una copertura completa dei settori e dei servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno. In particolare, la presente direttiva mira a superare le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali, che si è rivelata obsoleta, in quanto non riflette l'effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.

(7)

Ai sensi della direttiva (UE) 2016/1148, gli Stati membri erano responsabili di identificare i soggetti che soddisfacevano i criteri per essere considerati operatori di servizi essenziali. Al fine di eliminare le ampie divergenze tra gli Stati membri a tale riguardo e garantire la certezza del diritto per quanto riguarda le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione per tutti i soggetti pertinenti, è opportuno stabilire un criterio uniforme che determini quali soggetti rientrano nell'ambito di applicazione della presente direttiva. Tale criterio dovrebbe consistere nell'applicazione di una regola della soglia di dimensione, in base alla quale si considerano medie imprese ai sensi dell'articolo 2, paragrafo 1, dell'allegato alla raccomandazione 2003/361/CE della Commissione (5), o superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che operano nei settori e forniscono le tipologie di servizi o svolgono le attività contemplati dalla presente direttiva. Gli Stati membri dovrebbero inoltre prevedere che determinate piccole imprese e microimprese, quali definite all'articolo 2, paragrafi 2 e 3, di tale allegato, che soddisfano criteri specifici che indicano un ruolo chiave per la società, l'economia o per particolari settori o tipi di servizi rientrino nell'ambito di applicazione della presente direttiva.

(8)

L'esclusione degli enti della pubblica amministrazione dall'ambito di applicazione della presente direttiva dovrebbe applicarsi ai soggetti che operano principalmente nei settori della sicurezza nazionale, della sicurezza pubblica, della difesa o svolgono attività di contrasto, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento di reati. Tuttavia, gli enti della pubblica amministrazione le cui attività sono solo marginalmente connesse a tali settori non dovrebbero essere esclusi dall'ambito di applicazione della presente direttiva. Ai fini della presente direttiva, non si considera che i soggetti con competenze normative operino nel settore dell'attività di contrasto e pertanto essi non sono esclusi su tale base dall'ambito di applicazione della presente direttiva. Gli enti della pubblica amministrazione istituiti congiuntamente con un paese terzo in conformità di un accordo internazionale sono esclusi dall'ambito di applicazione della presente direttiva. La presente direttiva non si applica alle missioni diplomatiche e consolari degli Stati membri nei paesi terzi né ai loro sistemi informatici e di rete, nella misura in cui tali sistemi siano situati nei locali della missione o utilizzati per utenti in un paese terzo.

(9)

Gli Stati membri dovrebbero essere in grado di adottare le misure necessarie a garantire la tutela degli interessi essenziali della sicurezza nazionale, a salvaguardare l'ordine pubblico e la pubblica sicurezza e a consentire la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati. A tal fine, gli Stati membri dovrebbero poter esentare soggetti specifici che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell'applicazione della legge, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento di reati da determinati obblighi previsti dalla presente direttiva per quanto riguarda tali attività. Qualora un soggetto fornisca servizi esclusivamente a un ente della pubblica amministrazione escluso dall'ambito di applicazione della presente direttiva, gli Stati membri dovrebbero poter esentare tale soggetto da determinati obblighi stabiliti dalla presente direttiva per quanto riguarda tali servizi. Inoltre, nessuno Stato membro dovrebbe essere tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria pubblica sicurezza. Dovrebbero essere prese in considerazione in tale contesto le norme dell'Unione o nazionali per la protezione delle informazioni classificate, gli accordi di non divulgazione o gli accordi di non divulgazione informali, quale il protocollo TLP. Il protocollo TLP deve essere inteso come uno strumento per fornire informazioni su eventuali limitazioni per quanto riguarda l'ulteriore diffusione delle informazioni. È utilizzato in quasi tutti i team di risposta agli incidenti di sicurezza informatica (CSIRT) e in alcuni centri di analisi e condivisione delle informazioni.

(10)

Sebbene la presente direttiva si applichi ai soggetti che svolgono attività di produzione di energia elettrica da centrali nucleari, alcune di tali attività possono essere collegate alla sicurezza nazionale. In tal caso, uno Stato membro dovrebbe poter esercitare la propria responsabilità per la salvaguardia della propria sicurezza nazionale in relazione a tali attività, comprese le attività all'interno della catena del valore nucleare, conformemente ai trattati.

(11)

Alcuni soggetti svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell'applicazione della legge, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati, fornendo nel contempo anche servizi fiduciari. I prestatori di servizi fiduciari che rientrano nell'ambito di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (6) dovrebbero rientrare nell'ambito di applicazione della presente direttiva al fine di garantire un livello di requisiti di sicurezza e supervisione analogo a quello precedentemente stabilito in tale regolamento nei confronti dei prestatori di servizi fiduciari. In linea con l'esclusione di alcuni servizi specifici dal regolamento (UE) n. 910/2014, la presente direttiva non dovrebbe applicarsi alla prestazione di servizi fiduciari che sono utilizzati esclusivamente nell'ambito di sistemi chiusi contemplati dal diritto nazionale o da accordi conclusi tra un insieme definito di partecipanti.

(12)

I fornitori di servizi postali come definiti dalla direttiva 97/67/CE del Parlamento europeo e del Consiglio (7), inclusi i fornitori di servizi di corriere, dovrebbero essere soggetti alla presente direttiva se provvedono ad almeno una delle fasi della catena di consegna postale, in particolare la raccolta, lo smistamento, il trasporto o la distribuzione di invii postali, compresi i servizi di ritiro, tenendo conto nel contempo del grado di relativa dipendenza dai sistemi informatici e di rete. I servizi di trasporto che non sono forniti nell'ambito di una di tali fasi dovrebbero essere esclusi dall'ambito di applicazione dei servizi postali.

(13)

Data l'intensificazione e la crescente sofisticazione delle minacce informatiche, gli Stati membri dovrebbero adoperarsi per garantire che i soggetti esclusi dall'ambito di applicazione della presente direttiva raggiungano un livello elevato di cibersicurezza e sostengano l'attuazione di misure equivalenti di gestione dei rischi di cibersicurezza, che riflettano la natura sensibile di tali soggetti.

(14)

A qualsiasi trattamento di dati personali ai sensi della presente direttiva si applica il diritto dell'Unione in materia di protezione dei dati personali e della vita privata. La presente direttiva non pregiudica in particolare il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (8) e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (9). La presente direttiva non dovrebbe pertanto pregiudicare, tra l'altro, i compiti e i poteri delle autorità competenti di monitorare il rispetto del diritto dell'Unione in vigore in materia di protezione dei dati personali e della vita privata.

(15)

I soggetti che rientrano nell'ambito di applicazione della presente direttiva ai fini del rispetto delle misure di gestione dei rischi di cibersicurezza e degli obblighi di segnalazione dovrebbero essere classificati in due categorie, essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni. A tale riguardo, si dovrebbe tenere debitamente conto, se del caso, di tutte le valutazioni settoriali dei rischi o di tutti gli orientamenti pertinenti elaborati dalle autorità competenti. I regimi di esecuzione e di vigilanza per tali due categorie di soggetti dovrebbero essere differenziati per garantire un giusto equilibrio tra i requisiti e gli obblighi basati sui rischi, da un lato, e gli oneri amministrativi derivanti dalla vigilanza della conformità, dall'altro.

(16)

Al fine di evitare che soggetti che hanno imprese partner o che sono imprese collegate siano considerati soggetti essenziali o importanti qualora ciò sarebbe sproporzionato, gli Stati membri possono tenere conto del grado di indipendenza di cui gode un soggetto in relazione alle sue imprese partner e collegate nell'applicazione dell'articolo 6, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE. In particolare, gli Stati membri possono tenere conto del fatto che un soggetto è indipendente dalle sue imprese partner o collegate in termini di sistemi informatici e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce. Su tale base, se del caso, gli Stati membri possono ritenere che tale soggetto non sia considerato una media impresa ai sensi dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE, o non superi i massimali per le medie imprese di cui al paragrafo 1 di tale articolo se, tenuto conto del grado di indipendenza di tale soggetto, si ritenga che esso non sia consideri una media impresa o superi tali massimali nel caso in cui siano stati presi in considerazione solo i suoi dati. Ciò lascia impregiudicati gli obblighi di cui alla presente direttiva per le imprese associate e collegate che rientrano nel campo di applicazione della presente direttiva.

(17)

Gli Stati membri dovrebbero poter decidere che i soggetti definiti, prima dell'entrata in vigore della presente direttiva, come operatori di servizi essenziali ai sensi della direttiva (UE) 2016/1148 debbano essere considerati soggetti essenziali.

(18)

Al fine di garantire una panoramica chiara dei soggetti che rientrano nell'ambito di applicazione della presente direttiva, gli Stati membri dovrebbero definire un elenco dei soggetti essenziali ed importanti nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio. A tal fine, gli Stati membri dovrebbero imporre ai soggetti di trasmettere alle autorità competenti almeno le seguenti informazioni, vale a dire il nome, l'indirizzo e i recapiti aggiornati, compresi gli indirizzi di posta elettronica, le serie IP e i numeri di telefono del soggetto, se del caso, il settore e il sottosettore pertinente di cui agli allegati e, ove applicabile, un elenco degli Stati membri in cui prestano servizi che rientrano nell'ambito di applicazione della presente direttiva. A tal fine, la Commissione, assistita dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA), dovrebbe fornire senza indebito ritardo orientamenti e modelli relativi all'obbligo di fornire informazioni. Per facilitare la compilazione e l'aggiornamento dell'elenco dei soggetti essenziali e importanti, nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio, gli Stati membri dovrebbero poter istituire meccanismi nazionali che consentano ai soggetti di registrarsi. Qualora esistano registri a livello nazionale, gli Stati membri possono decidere in merito ai meccanismi appropriati che consentono di identificare i soggetti che rientrano nell'ambito di applicazione della presente direttiva.

(19)

Gli Stati membri dovrebbero essere tenuti a comunicare alla Commissione almeno il numero di soggetti essenziali e importanti per ciascun settore e sottosettore di cui agli allegati, nonché le informazioni pertinenti sul numero di soggetti identificati e sulla disposizione, tra quelle previste dalla presente direttiva, sulla base della quale sono stati identificati, e la tipologia dei servizi che forniscono. Gli Stati membri sono incoraggiati a scambiare con la Commissione informazioni sui soggetti essenziali e importanti e, in caso di incidente di cibersicurezza su vasta scala, informazioni pertinenti quali il nome del soggetto interessato.

(20)

La Commissione, in collaborazione con il gruppo di cooperazione e previa consultazione dei pertinenti portatori di interessi, dovrebbe fornire orientamenti relativi all'attuazione dei criteri applicabili alle microimprese e alle piccole imprese per valutare se rientrino nell'ambito di applicazione della presente direttiva. La Commissione dovrebbe inoltre garantire che vengano forniti orientamenti adeguati alle microimprese e alle piccole imprese rientranti nell'ambito di applicazione della presente direttiva. La Commissione, con il sostegno degli Stati membri, dovrebbe fornire alle microimprese e alle piccole imprese informazioni al riguardo.

(21)

La Commissione potrebbe fornire orientamenti volti ad assistere gli Stati membri nell'attuazione delle disposizioni della presente direttiva sull'ambito di applicazione e nella valutazione della proporzionalità delle misure da adottare ai sensi della presente direttiva, segnatamente per quanto riguarda i soggetti con modelli di business o contesti operativi complessi, in base ai quali un soggetto può soddisfare contemporaneamente i criteri assegnati ai soggetti essenziali e importanti o può svolgere simultaneamente attività che rientrano in parte nell'ambito di applicazione della presente direttiva e in parte ne sono escluse.

(22)

La presente direttiva stabilisce lo scenario di riferimento per le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione in tutti i settori che rientrano nel suo ambito di applicazione. Al fine di evitare la frammentazione delle disposizioni in materia di cibersicurezza contenute negli atti giuridici dell'Unione, allorché ulteriori atti giuridici settoriali dell'Unione relativi alle misure di gestione dei rischi di cibersicurezza e agli obblighi di segnalazione siano ritenuti necessari per garantire un elevato livello di cibersicurezza in tutta l'Unione, la Commissione dovrebbe valutare se tali ulteriori disposizioni possano essere stabilite in un atto di esecuzione ai sensi della presente direttiva. Qualora tali atti di esecuzione non siano adeguati a detto scopo, gli atti giuridici settoriali dell'Unione potrebbero contribuire a garantire un livello elevato di cibersicurezza in tutta l'Unione, tenendo pienamente conto delle specificità e delle complessità dei settori interessati. A tal fine, la presente direttiva non preclude l'adozione di ulteriori atti giuridici settoriali dell'Unione riguardanti le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione che tengano debitamente conto della necessità di un quadro di sicurezza informatica globale e coerente. La presente direttiva lascia impregiudicate le competenze di esecuzione esistenti conferite alla Commissione in una serie di settori, tra cui i trasporti e l'energia.

(23)

Qualora un atto giuridico settoriale dell'Unione faccia obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare incidenti significativi, e nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, tali disposizioni, comprese quelle relative alla vigilanza e all'esecuzione, si applicano a detti soggetti. Qualora un atto giuridico settoriale dell'Unione non contempli tutti i soggetti di un settore specifico che rientra nell'ambito di applicazione della presente direttiva, le pertinenti disposizioni della presente direttiva dovrebbero continuare ad applicarsi ai soggetti non contemplati da tale atto.

(24)

Qualora le disposizioni di un atto giuridico settoriale dell'Unione impongano ai soggetti essenziali o importanti di rispettare gli obblighi di effetto almeno equivalente agli obblighi di segnalazione di cui alla presente direttiva, è opportuno garantire la coerenza e l'efficacia del trattamento delle notifiche degli incidenti. A tal fine, le disposizioni in materia di notifica degli incidenti dell'atto giuridico settoriale dell'Unione dovrebbero fornire ai CSIRT, alle autorità competenti o ai punti di contatto unici di cui alla presente direttiva un accesso immediato alle notifiche degli incidenti di cibersicurezza (punti di contatto unici) presentate in conformità dell'atto giuridico settoriale dell'Unione. In particolare, tale accesso immediato può essere garantito se le notifiche degli incidenti sono trasmesse senza indebito ritardo al CSIRT, all'autorità competente o al punto di contatto unico ai sensi della presente direttiva. Se del caso, gli Stati membri dovrebbero istituire un meccanismo di segnalazione automatica e diretta, che garantisca la condivisione sistematica e immediata delle informazioni con i CSIRT, le autorità competenti o il punto di contatto unico per quanto riguarda la gestione di tali notifiche di incidenti. Al fine di semplificare la comunicazione e di attuare il meccanismo di segnalazione automatica e diretta, gli Stati membri potrebbero, conformemente all'atto giuridico settoriale dell'Unione, utilizzare un punto di accesso unico.

(25)

Gli atti giuridici settoriali dell'Unione che prevedono misure di gestione dei rischi di cibersicurezza o obblighi di segnalazione di effetto almeno equivalente a quelli stabiliti nella presente direttiva potrebbero prevedere che le autorità competenti ai sensi di tali atti esercitino i loro poteri di vigilanza ed esecuzione in relazione a tali misure o obblighi con l'assistenza delle autorità competenti ai sensi della presente direttiva. Le autorità competenti interessate potrebbero stabilire modalità di cooperazione a tale scopo. Tali modalità di cooperazione potrebbero precisare, tra l'altro, le procedure relative al coordinamento delle attività di vigilanza, tra cui le procedure di indagine e di ispezione in loco conformemente al diritto nazionale e un meccanismo per lo scambio di informazioni pertinenti in materia di vigilanza ed esecuzione tra autorità competenti, compreso l'accesso alle informazioni relative alla cibersicurezza richieste dalle autorità competenti ai sensi della presente direttiva.

(26)

Qualora atti giuridici settoriali dell'Unione impongano o forniscano incentivi a soggetti affinché notifichino minacce informatiche significative, gli Stati membri dovrebbero altresì incoraggiare la condivisione di minacce informatiche significative con i CSIRT, le autorità competenti o i punti di contatto unici ai sensi della presente direttiva, al fine di garantire un maggiore livello di consapevolezza di tali organismi in merito al panorama delle minacce informatiche e consentire loro di rispondere in modo efficace e tempestivo qualora tali minacce si concretizzino.

(27)

I futuri atti giuridici settoriali dell'Unione dovrebbero tenere debitamente conto delle definizioni e del quadro di vigilanza e applicazione previsto dalla presente direttiva.

(28)

Il regolamento UE 2022/2554 del Parlamento europeo e del Consiglio (10) dovrebbe essere considerato un atto giuridico settoriale dell'Unione in relazione alla presente direttiva per quanto riguarda i soggetti del settore finanziario. Invece delle disposizioni stabilite nella presente direttiva dovrebbero applicarsi quelle del regolamento (UE) 2022/2554 relative alle misure di gestione del rischio relativo alle tecnologie dell'informazione e della comunicazione (TIC), alla gestione degli incidenti relativi alle TIC e, in particolare, alla segnalazione degli incidenti gravi relativi alle TIC, nonché alle prove di resilienza operativa digitale, agli accordi di condivisione delle informazioni e ai rischi di terze parti relativi alle TIC. Gli Stati membri non dovrebbero pertanto applicare le disposizioni della presente direttiva riguardanti gli obblighi di gestione e segnalazione dei rischi di cibersicurezza e la vigilanza e l'esecuzione ai soggetti finanziari contemplati dal regolamento (UE) 2022/2554 Al tempo stesso è importante mantenere una solida relazione e lo scambio di informazioni con il settore finanziario a norma della presente direttiva. A tal fine, il regolamento (UE) 2022/2554 consente alle autorità europee di vigilanza (AEV) e alle autorità competenti a norma di tale regolamento di partecipare alle attività del gruppo di cooperazione, di scambiare informazioni e cooperare con i punti di contatto unici, nonché con i CSIRT e le autorità competenti ai sensi della presente direttiva. Le autorità competenti a norma del regolamento (UE) 2022/2554 dovrebbero inoltre trasmettere i dettagli degli incidenti più gravi connessi alle TIC e, se del caso, delle minacce informatiche significative ai CSIRT, alle autorità competenti o ai punti di contatto unici nazionali a norma della presente direttiva. Ciò è possibile fornendo accesso immediato alle notifiche di incidenti e la loro trasmissione diretta o attraverso un unico punto di accesso. Gli Stati membri dovrebbero inoltre continuare a includere il settore finanziario nelle loro strategie di cibersicurezza e i CSIRT nazionali possono contemplare il settore finanziario nelle loro attività.

(29)

Al fine di evitare lacune o duplicazioni per quanto riguarda gli obblighi di cibersicurezza imposti ai soggetti del settore dell'aviazione, le autorità nazionali designate a norma dei regolamenti (CE) n. 300/2008 (11) e (UE) 2018/1139 (12) del Parlamento europeo e del Consiglio e le autorità competenti a norma della presente direttiva dovrebbero cooperare in relazione all'attuazione delle misure di gestione dei rischi di cibersicurezza e alla vigilanza della conformità con tali misure a livello nazionale. La conformità di un soggetto con i requisiti di sicurezza di cui ai regolamenti (CE) n. 300/2008 e (UE) 2018/1139 e ai pertinenti atti delegati e di esecuzione adottati a norma di tali regolamenti potrebbe essere considerata dalle autorità competenti ai sensi della presente direttiva una conformità ai corrispondenti requisiti di cui alla presente direttiva.

(30)

In considerazione delle interconnessioni tra la cibersicurezza e la sicurezza fisica dei soggetti, dovrebbe essere garantito un approccio coerente tra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio (13) e la presente direttiva. A tal fine, i soggetti identificati come soggetti critici a norma della direttiva (UE) 2022/2557 dovrebbero essere considerati soggetti essenziali a norma della presente direttiva. Inoltre, ciascuno Stato membro dovrebbe provvedere affinché la propria strategia nazionale in materia di cibersicurezza preveda un quadro strategico per il rafforzamento del coordinamento all'interno di detto Stato membro tra le proprie autorità competenti a norma della presente direttiva e quelle previste dalla direttiva (UE) 2022/2557 nel contesto della condivisione delle informazioni sui rischi, sulle minacce informatiche e sugli incidenti nonché sui rischi, sulle minacce e sugli incidenti non informatici e dello svolgimento di compiti di vigilanza. Le autorità competenti a norma della presente direttiva e della direttiva (UE) 2022/2557 dovrebbero cooperare e scambiarsi informazioni senza indebito ritardo, in particolare per quanto riguarda l'individuazione dei soggetti critici, delle minacce informatiche, dei rischi e degli incidenti nonché per quanto riguarda i rischi, le minacce e gli incidenti non informatici che interessano i soggetti critici, tra cui le misure di cibersicurezza e fisiche adottate dai soggetti critici nonché i risultati delle attività di vigilanza svolte riguardo a tali soggetti.

Inoltre, al fine di razionalizzare le attività di vigilanza tra le autorità competenti a norma della presente direttiva e della direttiva (UE) 2022/2557 e di ridurre al minimo gli oneri amministrativi per i soggetti interessati, tali autorità competenti dovrebbero adoperarsi per armonizzare i modelli di notifica degli incidenti e le procedure di vigilanza. Se del caso, le autorità competenti a norma della direttiva (UE) 2022/2557 dovrebbero poter chiedere alle autorità competenti ai sensi della presente direttiva di esercitare i propri poteri di vigilanza e di esecuzione in relazione a un soggetto che è individuato come soggetto critico ai sensi della direttiva (UE) 2022/2557 A tal fine, le autorità competenti a norma della presente direttiva e della direttiva (UE) 2022/2557 dovrebbero cooperare e scambiarsi informazioni, ove possibile in tempo reale.

(31)

I soggetti appartenenti al settore delle infrastrutture digitali sono essenzialmente basati su sistemi informatici e di rete e pertanto gli obblighi loro imposti a norma della presente direttiva dovrebbero riguardare in modo globale la sicurezza fisica di tali sistemi nell'ambito delle loro misure di gestione dei rischi di cibersicurezza e obblighi di segnalazione. Poiché tali materie sono disciplinate dalla presente direttiva, gli obblighi di cui ai capi III, IV e VI della direttiva (UE) 2022/2557 non si applicano a detti soggetti.

(32)

Sostenere e preservare un sistema dei nomi di dominio affidabile, resiliente e sicuro sono fattori chiave per mantenere l'integrità di internet e sono essenziali per il suo funzionamento costante e stabile, da cui dipendono l'economia e la società digitali. La presente direttiva dovrebbe applicarsi ai server dei nomi di dominio di primo livello (top level domain — TLD) e ai fornitori di servizi DNS che si intendono come soggetti che forniscono servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet o ai servizi di risoluzione autorevoli dei nomi di dominio. La presente direttiva non dovrebbe applicarsi ai server dei nomi radice (root name server).

(33)

I servizi di cloud computing dovrebbero comprendere servizi digitali che consentono l'amministrazione su richiesta di un pool scalabile ed elastico di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche quando tali risorse sono distribuite in varie ubicazioni. Le risorse di calcolo comprendono risorse come reti, server o altre infrastrutture, sistemi operativi, software, archiviazione, applicazioni e servizi. I modelli di servizio del cloud computing comprendono, tra gli altri, il servizio a livello di infrastruttura (IaaS), il servizio a livello di piattaforma (PaaS), il servizio a livello di software (SaaS) e il servizio a livello di rete (NaaS). I modelli di distribuzione del cloud computing dovrebbero comprendere il cloud privato, di comunità, pubblico e ibrido. I servizi di cloud computing e di distribuzione hanno lo stesso significato dei termini di servizio e dei modelli di distribuzione di cui alla norma ISO/IEC 17788:2014. La capacità dell'utente di cloud computing di provvedere unilateralmente all'autofornitura di capacità di calcolo, come il tempo di utilizzo di un server o lo spazio di archiviazione in rete, senza alcuna interazione umana da parte del fornitore di servizi di cloud computing potrebbe essere descritta come «amministrazione su richiesta».

L'espressione «ampio accesso remoto» (broad network access) è utilizzata per descrivere il fatto che le capacità cloud sono fornite sulla rete e accessibili attraverso meccanismi che promuovono l'uso di piattaforme client eterogenee leggere o pesanti (compresi telefoni cellulari, tablet, computer portatili e workstation). Il termine «scalabile» si riferisce alle risorse informatiche che sono assegnate in modo flessibile dal fornitore di servizi nel cloud, indipendentemente dall'ubicazione geografica delle risorse, per gestire le fluttuazioni della domanda. L'espressione «pool elastico» è usata per descrivere le risorse di calcolo fornite e rilasciate in base alla domanda, al fine di aumentare e diminuire rapidamente le risorse disponibili in base al carico di lavoro. Il termine «condivisibile» è usato per descrivere le risorse di calcolo che sono fornite a una molteplicità di utenti che condividono un accesso comune al servizio, mentre l'elaborazione è effettuata separatamente per ciascun utente anche se il servizio è fornito a partire dalla stessa apparecchiatura elettronica. Il termine «distribuito» è usato per descrivere le risorse di calcolo che si trovano su diversi computer o dispositivi collegati in rete e che comunicano e si coordinano tra di loro mediante il passaggio di messaggi.

(34)

Dato l'emergere di tecnologie innovative e di nuovi modelli di business, si prevede che compariranno sul mercato interno nuovi modelli di servizio e di distribuzione del cloud computing in risposta all'evoluzione delle esigenze dei clienti. In tale contesto, i servizi di cloud computing possono essere forniti in una forma altamente distribuita, anche più vicina al luogo in cui i dati vengono generati o raccolti, passando così dal modello tradizionale a un modello altamente distribuito (edge computing).

(35)

È possibile che i servizi offerti dai fornitori di servizi di data center non siano sempre forniti sotto forma di servizi di cloud computing. È pertanto possibile che i data center non facciano sempre parte dell'infrastruttura di cloud computing. Al fine di gestire tutti i rischi posti alla sicurezza dei sistemi informatici e di rete, la presente direttiva dovrebbe pertanto applicarsi ai fornitori di servizi di data center che non sono servizi di cloud computing. Ai fini della presente direttiva, il termine «servizio di data center» dovrebbe applicarsi alla fornitura di un servizio che comprende strutture, o gruppi di strutture, dedicate a ospitare, interconnettere e far funzionare in modo centralizzato apparecchiature informatiche e di rete che forniscono servizi di conservazione, elaborazione e trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell'energia e il controllo ambientale. Il termine «servizio di data center» non si dovrebbe applicare ai data center interni e aziendali posseduti e gestiti per fini propri dal soggetto interessato.

(36)

Le attività di ricerca svolgono un ruolo fondamentale nello sviluppo di nuovi prodotti e processi. Molte di tali attività sono svolte da soggetti che condividono, diffondono o sfruttano i risultati della loro ricerca per scopi commerciali. Tali soggetti possono pertanto essere attori importanti nelle catene del valore, il che rende la sicurezza dei loro sistemi informatici e di rete parte integrante della cibersicurezza globale del mercato interno. Gli organismi di ricerca dovrebbero essere intesi come soggetti che concentrano la parte essenziale delle loro attività sullo svolgimento di ricerca applicata o sviluppo sperimentale, ai sensi del Manuale di Frascati 2015 dell'Organizzazione per la cooperazione e lo sviluppo economici: «Linee guida per la raccolta e la trasmissione di dati sulla ricerca e lo sviluppo sperimentale», al fine di sfruttarne i risultati a fini commerciali quali la produzione o lo sviluppo di un prodotto o di un processo, la prestazione di un servizio, o la loro commercializzazione.

(37)

Le crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e interdipendente che utilizza infrastrutture chiave in tutta l'Unione in settori quali quelli dell'energia, dei trasporti, delle infrastrutture digitali, delle acque potabili e reflue, della sanità, di determinati aspetti della pubblica amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, delle infrastrutture possedute, gestite o utilizzate dall'Unione o per suo conto nell'ambito del suo programma spaziale. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. Gli attacchi informatici intensificatisi durante la pandemia di COVID-19 hanno mostrato la vulnerabilità di società sempre più interdipendenti di fronte a rischi di bassa probabilità.

(38)

In considerazione delle differenze esistenti tra le strutture di governance nazionali e al fine di salvaguardare gli accordi settoriali già esistenti o gli organismi di vigilanza e di regolamentazione dell'Unione, è opportuno che gli Stati membri abbiano la facoltà di designare o istituire una o più autorità nazionali competenti responsabili per la cibersicurezza e per i compiti di supervisione ai sensi della presente direttiva.

(39)

Al fine di agevolare la cooperazione e la comunicazione transfrontaliere tra autorità e permettere che la presente direttiva sia attuata efficacemente, è necessario che ogni Stato membro designi un punto di contatto unico nazionale incaricato di coordinare le questioni relative alla sicurezza dei sistemi informatici e di rete e la cooperazione transfrontaliera a livello dell'Unione.

(40)

I punti di contatto unici dovrebbero garantire un'efficace cooperazione transfrontaliera con le autorità competenti di altri Stati membri e, se del caso, con la Commissione e l'ENISA. I punti di contatto unici dovrebbero pertanto essere incaricati di trasmettere le notifiche di incidenti significativi con impatto transfrontaliero ai punti di contatto unici degli altri Stati membri interessati, su richiesta del CSIRT o dell'autorità competente. A livello nazionale, i punti di contatto unici dovrebbero consentire un'agevole cooperazione intersettoriale con le altre autorità competenti. I punti di contatto unici potrebbero anche ricevere dalle autorità competenti, a norma del regolamento (UE) 2022/2554, le pertinenti informazioni sugli incidenti riguardanti i soggetti del settore finanziario, che essi dovrebbero poter trasmettere, a seconda dei casi, ai CSIRT o alle autorità competenti a norma della presente direttiva.

(41)

Gli Stati membri dovrebbero essere adeguatamente dotati delle capacità tecniche e organizzative necessarie a prevenire e rilevare gli incidenti e i rischi, nonché a rispondervi e a mitigare il loro impatto. Gli Stati membri dovrebbero pertanto designare uno o più CSIRT ai sensi della presente direttiva e garantire che essi dispongano di risorse e capacità tecniche adeguate. I CSIRT dovrebbero rispondere ai requisiti stabiliti nella presente direttiva al fine di garantire l'esistenza di capacità efficaci e compatibili per far fronte ai rischi e agli incidenti e garantire un'efficiente collaborazione a livello di Unione. Gli Stati membri dovrebbero poter designare come CSIRT le squadre di pronto intervento informatico (CERT) esistenti. Al fine di rafforzare il rapporto di fiducia tra i soggetti e i CSIRT, nei casi in cui un CSIRT faccia parte di un'autorità competente, gli Stati membri dovrebbero poter prendere in considerazione la separazione funzionale tra i compiti operativi svolti dai CSIRT, in particolare per quanto riguarda la condivisione delle informazioni e l'assistenza fornita ai soggetti, e le attività di vigilanza delle autorità competenti.

(42)

I CSIRT sono incaricati della gestione degli incidenti. Ciò comprende il trattamento di grandi volumi di dati talvolta sensibili. Gli Stati membri dovrebbero garantire che i CSIRT dispongano di un'infrastruttura per la condivisione e il trattamento delle informazioni, nonché di personale ben attrezzato, che garantisca la riservatezza e l'affidabilità delle loro operazioni. I CSIRT potrebbero anche adottare codici di condotta a tale riguardo.

(43)

Per quanto riguarda i dati personali, i CSIRT dovrebbero poter fornire, in conformità del regolamento (UE) 2016/679, su richiesta di un soggetto essenziale o importante, una scansione proattiva dei sistemi informatici e di rete utilizzati per la fornitura dei servizi del soggetto. Se del caso, gli Stati membri dovrebbero mirare a garantire un pari livello di capacità tecniche per tutti i CSIRT settoriali. Gli Stati membri dovrebbero poter chiedere l'assistenza dell'ENISA nello sviluppo di CSIRT nazionali.

(44)

I CSIRT dovrebbero avere la capacità, su richiesta di un soggetto essenziale o importante, di monitorare le risorse di quest'ultimo connesse a internet, sia in loco che a distanza, per identificare, comprendere e gestire i rischi organizzativi generali del soggetto con riguardo alle compromissioni della catena di approvvigionamento individuate di recente o le vulnerabilità critiche. Il soggetto dovrebbe essere incoraggiato a comunicare al CSIRT se gestisce un'interfaccia gestionale privilegiata, poiché ciò potrebbe incidere sulla velocità delle azioni di mitigazione.

(45)

Data l'importanza della cooperazione internazionale in materia di cibersicurezza, i CSIRT dovrebbero poter partecipare a reti di cooperazione internazionale, oltre alla rete di CSIRT istituita dalla presente direttiva. Pertanto, ai fini dello svolgimento dei loro compiti, i CSIRT e le autorità competenti dovrebbero poter scambiare informazioni, compresi i dati personali, con team nazionali di risposta agli incidenti per la sicurezza informatica o autorità competenti di paesi terzi, purché siano soddisfatte le condizioni previste dal diritto dell'Unione in materia di protezione dei dati per i trasferimenti di dati personali verso paesi terzi, tra cui quelle a norma dell'articolo 49 del regolamento (UE) 2016/679.

(46)

È essenziale garantire risorse adeguate per il conseguimento degli obiettivi della presente direttiva e consentire alle autorità competenti e ai CSIRT di lo svolgimento dei compiti ivi stabiliti. Gli Stati membri possono introdurre a livello nazionale un meccanismo di finanziamento per coprire le spese necessarie in relazione allo svolgimento dei compiti degli enti pubblici responsabili della cibersicurezza nello Stato membro ai sensi della presente direttiva. Tale meccanismo dovrebbe essere conforme al diritto dell'Unione, essere proporzionato e non discriminatorio e dovrebbe tenere conto dei diversi approcci nella fornitura di servizi sicuri.

(47)

La rete di CSIRT dovrebbe continuare a contribuire al rafforzamento della fiducia e a promuovere una cooperazione operativa rapida ed efficace fra gli Stati membri. Al fine di rafforzare la cooperazione operativa a livello di Unione, la rete di CSIRT dovrebbe prendere in considerazione la possibilità di invitare a partecipare ai suoi lavori organismi e agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali Europol.

(48)

Al fine di conseguire e mantenere un livello elevato di cibersicurezza, le strategie nazionali per la cibersicurezza richieste dalla presente direttiva dovrebbero comprendere quadri coerenti che forniscano obiettivi e priorità strategici nel settore della cibersicurezza e la governance per conseguirli. Tali strategie possono essere rappresentate da uno o più strumenti legislativi o non legislativi.

(49)

Le politiche di igiene informatica (cyber hygiene) pongono le fondamenta per la protezione delle infrastrutture delle reti e dei sistemi di informazione, dell'hardware, del software e della sicurezza delle applicazioni online, nonché dei dati aziendali o degli utenti finali su cui si basano i soggetti. Le politiche di igiene informatica, che comprendono uno scenario di riferimento comune delle prassi, tra cui gli aggiornamenti del software e dell'hardware, i cambi di password, la gestione delle nuove installazioni, la limitazione degli account di accesso a livello di amministratore e il backup dei dati, consentono un quadro proattivo di preparazione e sicurezza e protezione generale in caso di incidenti o minacce informatiche. L'ENISA dovrebbe monitorare e analizzare le politiche di igiene informatica degli Stati membri.

(50)

La consapevolezza in materia di cibersicurezza e l'igiene informatica sono essenziali per migliorare il livello di cibersicurezza all'interno dell'Unione, in particolare alla luce del crescente numero di dispositivi connessi sempre più utilizzati negli attacchi informatici. È opportuno adoperarsi per migliorare la consapevolezza generale dei rischi connessi a tali dispositivi; al contempo, valutazioni a livello di Unione potrebbero contribuire a garantire una comprensione comune di tali rischi nel mercato interno.

(51)

Gli Stati membri dovrebbero incoraggiare l'uso di ogni tecnologia innovativa, compresa l'intelligenza artificiale, il cui utilizzo potrebbe migliorare l'individuazione e la prevenzione degli attacchi informatici, consentendo di destinare in modo più efficace risorse per affrontare gli attacchi informatici. Gli Stati membri dovrebbero pertanto incoraggiare, nelle loro strategie nazionali per la cibersicurezza, le attività di ricerca e sviluppo volte a facilitare l'uso di tali tecnologie, in particolare quelle relative agli strumenti automatizzati o semiautomatizzati nella cibersicurezza, e, se del caso, la condivisione dei dati necessari per formare gli utenti di tali tecnologie e migliorarle. L'utilizzo di tutte le tecnologie innovative, compresa l'intelligenza artificiale, dovrebbe rispettare il diritto dell'Unione in materia di protezione dei dati, compresi i principi di protezione dei dati con riguardo all'accuratezza, alla minimizzazione dei dati, all'equità e alla trasparenza, nonché alla sicurezza dei dati, come la più recente crittografia. I requisiti di protezione dei dati fin dalla progettazione e predefiniti di cui al regolamento (UE) 2016/679 dovrebbero essere pienamente rispettati.

(52)

Gli strumenti e le applicazioni di cibersicurezza open source possono contribuire a un livello più elevato di apertura e avere un impatto positivo sull'efficienza dell'innovazione industriale. Gli standard aperti facilitano l'interoperabilità tra gli strumenti di sicurezza, a vantaggio della sicurezza dei portatori di interessi industriali. Gli strumenti e le applicazioni open source in materia di cibersicurezza possono mobilitare la più ampia comunità di sviluppatori, consentendo la diversificazione dei fornitori. Una fonte aperta può portare a un processo di verifica più trasparente degli strumenti connessi alla cibersicurezza e a un processo di individuazione delle vulnerabilità guidato dalla comunità. Gli Stati membri dovrebbero pertanto poter promuovere l'utilizzo di software open source e standard aperti, perseguendo politiche relative all'uso di dati aperti e open source come parte della sicurezza attraverso la trasparenza. Le politiche che promuovono l'introduzione e l'uso sostenibile di strumenti di sicurezza informatica open source rivestono particolare importanza per le piccole e medie imprese che devono sostenere notevoli costi per l'attuazione, e che potrebbero essere minimizzati riducendo la necessità di applicazioni o strumenti specifici.

(53)

I servizi pubblici sono sempre più collegati alle reti digitali nelle città per migliorare le reti di trasporto urbano, l'approvvigionamento idrico e gli impianti di smaltimento dei rifiuti, nonché aumentare l'efficienza dell'illuminazione e del riscaldamento degli edifici. Tali servizi pubblici digitali sono vulnerabili agli attacchi informatici e corrono il rischio, in caso di successo di un attacco informatico, di danneggiare i cittadini su larga scala a causa della loro interconnessione. Gli Stati membri dovrebbero elaborare una politica che affronti lo sviluppo di tali città connesse o intelligenti, così come i loro potenziali effetti sulla società, nell'ambito della loro strategia nazionale per la cibersicurezza.

(54)

Negli ultimi anni l'Unione ha dovuto far fronte a un aumento esponenziale di attacchi ransomware, in cui i malware criptano dati e sistemi e chiedono il pagamento di un riscatto per il rilascio. La frequenza e la gravità crescenti degli attacchi ransomware possono essere determinate da diversi fattori, come i diversi modelli di attacco, i modelli criminali commerciali che considerano il «ransomware come un servizio» e le criptovalute, le richieste di riscatto e l'aumento degli attacchi contro la catena di approvvigionamento. Gli Stati membri dovrebbero sviluppare politiche, come parte delle loro strategie nazionali per la cibersicurezza, che affrontino l'aumento degli attacchi ransomware.

(55)

I partenariati pubblico-privato (PPP) nell'ambito della cibersicurezza possono fornire il quadro appropriato per lo scambio di conoscenze, la condivisione delle migliori pratiche e la creazione di un livello comune di comprensione tra i portatori di interessi. Gli Stati membri dovrebbero promuovere politiche che sostengano l'istituzione di PPP specifici della cibersicurezza. Tali politiche dovrebbero chiarire, tra l'altro, l'ambito di applicazione e i portatori di interessi coinvolti, il modello di governance, le opzioni di finanziamento disponibili e l'interazione tra i portatori di interessi partecipanti con riguardo ai PPP. I PPP possono sfruttare le competenze dei soggetti del settore privato per assistere le autorità competenti nello sviluppo di servizi e processi all'avanguardia, compresi, lo scambio di informazioni, i preallarmi, le esercitazioni su minacce e incidenti informatici, la gestione delle crisi e la pianificazione della resilienza.

(56)

Gli Stati membri dovrebbero, nelle loro strategie nazionali per la cibersicurezza, rispondere alle esigenze specifiche in materia di cibersicurezza delle piccole e medie imprese. Le piccole e medie imprese rappresentano nell'Unione, un'ampia percentuale del mercato industriale e commerciale e spesso faticano ad adattarsi alle nuove pratiche commerciali in un mondo sempre più connesso e all'ambiente digitale, con dipendenti che lavorano da casa e imprese che sono gestite in misura crescente online. Alcune piccole e medie imprese si confrontano con sfide specifiche in materia di cibersicurezza, come la scarsa consapevolezza informatica, la mancanza di sicurezza informatica a distanza, l'elevato costo delle soluzioni di cibersicurezza e l'aumento del livello di minaccia, dovuto ad esempio ai ransomware, aspetti in relazione ai quali dovrebbero ricevere linee guida e assistenza. Le piccole e medie imprese stanno diventando sempre di più il bersaglio di attacchi nella catena di approvvigionamento a causa delle loro misure meno rigorose di gestione del rischio di cibersicurezza e di gestione degli attacchi, nonché della limitata disponibilità di risorse destinate alla sicurezza. Tali attacchi della catena di approvvigionamento non solo hanno un impatto sulle piccole e medie imprese e sulle loro operazioni isolatamente, ma possono anche avere un effetto a cascata su attacchi più gravi nei confronti di soggetti di cui sono fornitori. Gli Stati membri dovrebbero, attraverso le loro strategie nazionali in materia di cibersicurezza, aiutare le piccole e medie imprese fronteggiare le sfide a cui sono sottoposte nelle loro catene di approvvigionamento. Gli Stati membri dovrebbero disporre di un punto di contatto per le piccole e medie imprese a livello nazionale o regionale, che fornisca linee guida e assistenza alle piccole e medie imprese, o le diriga verso gli organismi appropriati per l'orientamento e l'assistenza in materia di cibersicurezza. Gli Stati membri sono altresì incoraggiati a offrire servizi come la configurazione e la registrazione di siti internet, che abilitino le microimprese e le piccole imprese che non dispongono di tali capacità.

(57)

Gli Stati membri dovrebbero adottare politiche volte a promuovere la protezione informatica attiva nell'ambito delle loro strategie nazionali per la cibersicurezza, come parte di una strategia difensiva più ampia. Anziché reagire, la protezione informatica attiva consiste nel prevenire, individuare, monitorare, analizzare e attenuare in maniera attiva le violazioni della sicurezza della rete, in combinazione con il ricorso a capacità predisposte all'interno e all'esterno della rete vittima. Ciò potrebbe includere l'offerta da parte degli Stati membri di servizi o strumenti gratuiti a determinati soggetti, tra cui controlli self-service, strumenti di rilevamento e servizi di rimozione. La capacità di condividere e comprendere in modo rapido e automatico informazioni e analisi riguardanti le minacce, segnalazioni di attività informatiche e azioni di risposta è fondamentale per consentire un'unità di sforzi al fine di prevenire, individuare, affrontare e bloccare con successo gli attacchi informatici nei confronti dei sistemi informatici e di rete. La protezione informatica attiva si basa su una strategia difensiva, che esclude misure offensive.

(58)

Poiché lo sfruttamento delle vulnerabilità nei sistemi informatici e di rete può causare perturbazioni e danni significativi, la rapida individuazione e correzione di tali vulnerabilità è un fattore importante per la riduzione dei rischi. I soggetti che sviluppano o amministrano tali sistemi informatici e di rete dovrebbero pertanto stabilire procedure adeguate per gestire le vulnerabilità nel momento in cui vengono scoperte. Poiché le vulnerabilità sono spesso rilevate e divulgate da terzi, il fabbricante o fornitore di prodotti TIC o servizi TIC dovrebbe anche mettere in atto le procedure necessarie per ricevere informazioni sulla vulnerabilità da terzi. A tale riguardo, le norme internazionali ISO/IEC 30111 e ISO/IEC 29147 forniscono orientamenti sulla gestione delle vulnerabilità e sulla divulgazione delle vulnerabilità. Al fine di facilitare il contesto della divulgazione volontaria delle vulnerabilità, è particolarmente importante rafforzare il coordinamento tra persone fisiche e giuridiche segnalanti e i fabbricanti o fornitori di prodotti o servizi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato attraverso il quale le vulnerabilità sono segnalate al fabbricante o al fornitore dei prodotti TIC o dei servizi TIC potenzialmente vulnerabili, in modo tale da consentire loro di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano divulgate a terzi o al pubblico. La divulgazione coordinata delle vulnerabilità dovrebbe comprendere anche il coordinamento tra la persona fisica o giuridica segnalante e il fabbricante o il fornitore di prodotti TIC o servizi TIC potenzialmente vulnerabili, per quanto riguarda i tempi per la risoluzione e la pubblicazione delle vulnerabilità.

(59)

La Commissione, l'ENISA e gli Stati membri dovrebbero continuare a promuovere gli allineamenti agli standard internazionali e alle migliori prassi industriali esistenti nel settore della gestione dei rischi, ad esempio nei settori delle valutazioni della sicurezza della catena di approvvigionamento, della condivisione delle informazioni e della divulgazione delle vulnerabilità.

(60)

Gli Stati membri, in cooperazione con l'ENISA, dovrebbero adottare misure volte a facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente. Nell'ambito di tale politica nazionale, gli Stati membri dovrebbero mirare ad affrontare, nella misura del possibile, le sfide incontrate dagli esperti che fanno ricerca sulle vulnerabilità, compresa la loro potenziale esposizione alla responsabilità penale, conformemente al diritto nazionale. Dato che in alcuni Stati membri le persone fisiche e giuridiche che fanno ricerca sulle vulnerabilità potrebbero essere esposte alla responsabilità penale e civile, gli Stati membri sono incoraggiati ad adottare linee guida per quanto riguarda la non perseguibilità dei ricercatori in materia di sicurezza delle informazioni e l'esenzione dalla responsabilità civile per le loro attività.

(61)

Gli Stati membri dovrebbero designare un CSIRT come coordinatore, che funga da intermediario di fiducia tra le persone fisiche o giuridiche segnalanti e i fabbricanti o fornitori di prodotti TIC o servizi TIC suscettibili di essere interessati dalle vulnerabilità, ove necessario. I compiti del CSIRT designato come coordinatore dovrebbero comprendere in particolare l'individuazione e il contatto dei soggetti interessati, l'assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità, la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più soggetti (divulgazione multilaterale coordinata di vulnerabilità). Qualora la vulnerabilità segnalata possa avere un impatto significativo su soggetti in più di uno Stato membro, i CSIRT designati come coordinatori dovrebbero cooperare nell'ambito della rete CSIRT, se del caso.

(62)

L'accesso a informazioni corrette e tempestive sulle vulnerabilità che interessano i prodotti TIC e i servizi TIC contribuisce a una migliore gestione dei rischi di cibersicurezza. Le fonti di informazioni pubblicamente disponibili sulle vulnerabilità sono uno strumento importante per i soggetti e gli utenti dei loro servizi, ma anche per le autorità competenti e i CSIRT. Per tale motivo l'ENISA dovrebbe istituire una banca dati europea delle vulnerabilità in cui i soggetti, indipendentemente dal fatto che rientrino o meno nell'ambito di applicazione della presente direttiva, e i loro fornitori di sistemi informatici e di rete, così come le autorità competenti e i CSIRT, possano, su base volontaria, divulgare le vulnerabilità e fornire informazioni su di esse che consentano agli utenti di adottare adeguate misure di attenuazione. Lo scopo di tale banca dati è far fronte alle sfide uniche poste dai rischi per i soggetti unionali. Inoltre, l'ENISA dovrebbe istituire una procedura adeguata relativamente al processo di pubblicazione, al fine di dare ai soggetti il tempo di adottare misure di attenuazione per quanto riguarda le loro vulnerabilità e utilizzare le più avanzate misure di gestione dei rischi sulla cibersicurezza, nonché le serie di dati leggibili meccanicamente e le corrispondenti interfacce. Per incoraggiare una cultura della divulgazione delle vulnerabilità, la divulgazione non dovrebbe andare a scapito della persona fisica o giuridica segnalante.

(63)

Sebbene simili registri o banche dati delle vulnerabilità esistano già, questi sono ospitati e mantenuti da soggetti non stabiliti nell'Unione. Una banca dati europea delle vulnerabilità mantenuta dall'ENISA garantirebbe una maggiore trasparenza, per quanto riguarda la procedura di pubblicazione prima della divulgazione al pubblico della vulnerabilità, e resilienza in caso di perturbazioni o interruzioni nella fornitura di servizi analoghi. Per evitare la duplicazione degli sforzi e perseguire, nella misura del possibile, la complementarità, l'ENISA dovrebbe valutare la possibilità di concludere accordi di cooperazione strutturata con registri simili o banche dati di competenza di giurisdizioni di paesi terzi. In particolare, l'ENISA dovrebbe valutare la possibilità di una stretta cooperazione con gli operatori del sistema delle vulnerabilità e delle esposizioni comuni (CVE).

(64)

Il gruppo di cooperazione dovrebbe sostenere e agevolare la cooperazione strategica e lo scambio di informazioni, come anche rafforzare la fiducia tra gli Stati membri. Il gruppo di cooperazione dovrebbe stabilire un programma di lavoro ogni due anni. Il programma di lavoro dovrebbe comprendere le azioni che il gruppo di cooperazione deve intraprendere per attuare i suoi obiettivi e compiti. Il calendario per la definizione del primo programma di lavoro adottato a norma della presente direttiva dovrebbe essere allineato a quello dell'ultimo programma di lavoro definito a norma della direttiva (UE) 2016/1148, al fine di evitare eventuali perturbazioni nel lavoro del gruppo di cooperazione.

(65)

Nello sviluppo delle linee guida, il gruppo di cooperazione dovrebbe coerentemente mappare le soluzioni e le esperienze nazionali, valutare l'impatto dei risultati del gruppo di cooperazione per quanto riguarda gli approcci nazionali, discutere le sfide in materia di attuazione e formulare raccomandazioni specifiche, in particolare per quanto riguarda l'agevolazione di un allineamento nel recepimento della presente direttiva tra gli Stati membri, da realizzare attraverso una migliore attuazione delle norme esistenti. Il gruppo di cooperazione potrebbe anche mappare le soluzioni nazionali al fine di promuovere la compatibilità delle soluzioni di cibersicurezza applicate a ciascun settore specifico in tutta l'Unione. Ciò è particolarmente pertinente per i settori che hanno natura internazionale e transfrontaliera.

(66)

Il gruppo di cooperazione dovrebbe rimanere un forum flessibile ed essere in grado di reagire alle nuove e mutevoli priorità strategiche e alle sfide, tenendo conto nel contempo della disponibilità di risorse. Esso potrebbe organizzare riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato di tutta l'Unione per discutere le attività svolte dal gruppo di cooperazione e raccogliere dati e contributi sulle sfide strategiche emergenti. Inoltre, il gruppo di cooperazione dovrebbe effettuare una valutazione periodica dello stato di avanzamento delle minacce o degli incidenti informatici, come il ransomware. Al fine di rafforzare la cooperazione a livello di Unione, il gruppo di cooperazione dovrebbe prendere in considerazione la possibilità di invitare a partecipare ai suoi lavori le pertinenti istituzioni, organismi e agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali il Parlamento europeo, Europol, il Comitato europeo per la protezione dei dati, l'Agenzia dell'Unione europea per la sicurezza aerea, istituita con il regolamento (UE) 2018/1139 e l'Agenzia dell'Unione europea per il programma spaziale, istituita con il regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio (14).

(67)

Le autorità competenti e i CSIRT dovrebbero poter partecipare a programmi di scambio per funzionari di altri Stati membri, nell'ambito di un quadro specifico e, se del caso, previo il nulla osta di sicurezza necessario per i funzionari che partecipano a tali programmi di scambio, al fine di migliorare la cooperazione e rafforzare la fiducia tra gli Stati membri. Le autorità competenti dovrebbero adottare le misure necessarie per consentire a funzionari di altri Stati membri di svolgere un ruolo efficace nelle attività dell'autorità competente ospitante o del CSIRT ospitante.

(68)

Gli Stati membri dovrebbero contribuire all'istituzione del quadro di risposta alle crisi di cibersicurezza dell'UE, di cui alla raccomandazione (UE) 2017/1584 della Commissione (15), attraverso le reti di cooperazione esistenti, in particolare la rete europea di collegamento per le crisi informatiche (EU-CyCLONe), la rete di CSIRT e il gruppo di cooperazione. EU-CyCLONe e la rete di CSIRT dovrebbero cooperare sulla base di disposizioni procedurali che specifichino i dettagli di tale cooperazione ed evitare duplicazioni dei compiti. Il regolamento interno di EU-CyCLONe dovrebbe specificare ulteriormente i meccanismi di funzionamento della rete, compresi i ruoli, i mezzi di cooperazione, le interazioni con altri attori pertinenti e i modelli per la condivisione delle informazioni, nonché i mezzi di comunicazione. Per la gestione delle crisi a livello dell'Unione, le parti pertinenti dovrebbero affidarsi ai dispositivi integrati dell'UE per la risposta politica alle crisi nel quadro della decisione di esecuzione (UE) 2018/1993 del Consiglio (16) (dispositivi IPCR). A tal fine la Commissione dovrebbe far ricorso al processo di coordinamento intersettoriale delle crisi ad alto livello del sistema ARGUS. Se la crisi implica un'importante dimensione esterna o una forte correlazione con la politica di sicurezza e di difesa comune dovrebbe essere attivato il meccanismo di risposta alle crisi del servizio europeo per l'azione esterna.

(69)

Conformemente all'allegato della raccomandazione (UE) 2017/1584, per incidente di cibersicurezza su vasta scala si intende un incidente di cibersicurezza che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi, o che ha un impatto significativo su almeno due Stati membri. A seconda della loro causa e del loro impatto, gli incidenti di cibersicurezza su vasta scala possono aggravarsi e trasformarsi in vere e proprie crisi che non consentono il corretto funzionamento del mercato interno, o che comportano gravi rischi di pubblica sicurezza in diversi Stati membri o nell'intera Unione. Data l'ampia portata e, nella maggior parte dei casi, la natura transfrontaliera di tali incidenti, gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'Unione dovrebbero cooperare a livello tecnico, operativo e politico per coordinare adeguatamente la risposta in tutta l'Unione.

(70)

Gli incidenti e le crisi di cibersicurezza su vasta scala a livello dell'Unione richiedono un'azione coordinata per garantire una risposta rapida ed efficace, a causa dell'elevato grado di interdipendenza tra settori e Stati membri. La disponibilità di sistemi informatici e di rete ciberresilienti e la disponibilità, la riservatezza e l'integrità dei dati sono essenziali per la sicurezza dell'Unione e per la protezione dei suoi cittadini, delle sue imprese e delle sue istituzioni da incidenti e minacce informatiche, nonché per rafforzare la fiducia delle persone e delle organizzazioni nella capacità dell'Unione di promuovere e proteggere un ciberspazio globale, aperto, libero, stabile e sicuro basato sui diritti umani, le libertà fondamentali, la democrazia e lo Stato di diritto.

(71)

EU-CyCLONe dovrebbe fungere da intermediario tra il livello tecnico e politico durante gli incidenti e le crisi di cibersicurezza su vasta scala e dovrebbe rafforzare la cooperazione a livello operativo e sostenere il processo decisionale a livello politico. In cooperazione con la Commissione, tenuto conto della competenza di quest'ultima nel settore della gestione delle crisi, EU-CyCLONe dovrebbe basarsi sui risultati della rete di CSIRT e utilizzare le proprie capacità per elaborare analisi d'impatto di incidenti e crisi di cibersicurezza su vasta scala.

(72)

Gli attacchi informatici sono di natura transfrontaliera e un incidente significativo può perturbare e danneggiare le infrastrutture informatiche critiche da cui dipende il corretto funzionamento del mercato interno. La raccomandazione (UE) 2017/1584 tratta il ruolo di tutti i soggetti interessati. Inoltre, la Commissione è responsabile, nel quadro del meccanismo unionale di protezione civile istituito dalla decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio (17), delle azioni di preparazione generali, che comprendono la gestione del Centro di coordinamento della risposta alle emergenze e del sistema comune di comunicazione e di informazione in caso di emergenza, il mantenimento e l'ulteriore sviluppo della consapevolezza situazionale e delle capacità di analisi, nonché la predisposizione e la gestione della capacità di mobilitare e inviare squadre di esperti in caso di richiesta di assistenza da parte di uno Stato membro o di un paese terzo. La Commissione è inoltre responsabile di fornire relazioni analitiche per i dispositivi IPCR nel quadro della decisione di esecuzione (UE) 2018/1993, anche in relazione alla consapevolezza situazionale e alla preparazione in materia di cibersicurezza, come anche per la consapevolezza situazionale e la risposta alle crisi nei settori dell'agricoltura, delle condizioni meteorologiche avverse, della mappatura e delle previsioni dei conflitti, dei sistemi di allarme rapido in caso di catastrofi naturali, delle emergenze sanitarie, della sorveglianza delle malattie infettive, della salute delle piante, degli incidenti chimici, della sicurezza di alimenti e mangimi, della salute degli animali, della migrazione, delle dogane, delle emergenze radiologiche e nucleari, e dell'energia.

(73)

Ove opportuno, l'Unione può concludere accordi internazionali, in conformità all'articolo 218 TFUE, con paesi terzi o organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad attività particolari del gruppo di cooperazione, della rete di CSIRT e di EU-CyCLONe. Tali accordi dovrebbero garantire gli interessi dell'Unione e un'adeguata protezione dei dati. Ciò non dovrebbe escludere il diritto degli Stati membri di cooperare con paesi terzi sulla gestione delle vulnerabilità e la gestione dei rischi di cibersicurezza, agevolando la segnalazione e la condivisione delle informazioni generali in conformità al diritto dell'Unione.