Skeda tas-Sommarju Eżekuttiv

Valutazzjoni tal-impatt dwar il-Proposta għal Regolament dwar ir-reżiljenza operazzjonali diġitali fis-settur finanzjarju

A. Ħtieġa għal azzjoni

Għaliex? X’inhi l-problema li qed tiġi indirizzata?

Is-settur finanzjarju jiddependi b’mod estensiv fuq it-teknoloġiji tal-informazzjoni u tal-komunikazzjoni (ICT). Il-pandemija attwali tal-COVID-19 x’aktarx li se taċċellera dan, minħabba l-benefiċċji fl-iżgurar ta’ aċċess kontinwu mill-bogħod għas-servizzi finanzjarji. Madankollu, id-dipendenza fuq it-teknoloġiji diġitali ġġib magħha tħassib; id-ditti jeħtieġ li jkunu kapaċi jirreżistu t-tfixkil potenzjali fl-ICT sabiex l-inċidenti u t-theddid diġitali jiġu indirizzati u s-servizzi jinżammu. F’settur finanzjarju interkonness ħafna li juża servizzi vitali transfruntiera li fuqhom tiddependi l-ekonomija reali, il-vulnerabbiltajiet li jirriżultaw mid-dipendenza fuq l-ICT, filwaqt li huma applikabbli għas-setturi ekonomiċi kollha, huma partikolarment evidenti minħabba (1) l-użu profond u wiesa’ tal-ICT, u (2) il-potenzjal għall-effetti ta’ inċident operazzjonali f’ditta finanzjarja jew sottosettur finanzjarju wieħed li jinfirex malajr mad-ditti l-oħra jew ma’ partijiet mis-settur finanzjarju u fl-aħħar mill-aħħar mal-bqija tal-ekonomija.

Minkejja li s-settur finanzjarju huwa avvanzat ħafna fis-suq u fl-integrazzjoni regolatorja tiegħu u jeżisti fuq sett uniku ta’ regoli armonizzati — il-ġabra unika tar-regoli tal-UE — ir-rispons tal-UE għaż-żieda fil-ħtiġijiet ta’ reżiljenza operazzjonali kemm fil-livell orizzontali kif ukoll f’dak settorjali kien jew:

-abbażi ta’ armonizzazzjoni minima, biex b’hekk tħalla lok għall-interpretazzjoni u għall-frammentazzjoni nazzjonali fis-suq uniku, jew

-ġenerali wisq u ta’ applikazzjoni limitata, li jindirizzaw ir-riskju operazzjonali ġenerali sa ċertu punt, li parzjalment jirregolaw xi komponenti tar-reżiljenza operazzjonali diġitali (eż. il-ġestjoni tar-riskju tal-ICT, ir-rappurtar tal-inċidenti u r-riskju ta’ parti terza tal-ICT) filwaqt li tħallew barra oħrajn (l-ittestjar).

L-intervent tal-UE sa issa ma indirizzax ir-riskju operazzjonali b’mod li jikkorrispondi għall-ħtiġijiet tad-ditti finanzjarji li jkunu jifilħu, jirrispondu u jirkupraw mill-vulnerabbiltajiet tal-ICT, u lanqas ma jipprovdi lis-superviżuri finanzjarji bl-għodod biex jissodisfaw il-mandat tagħhom biex irażżnu l-instabbiltà finanzjarja li tirriżulta minn dawk il-vulnerabbiltajiet tal-ICT.

Il-lakuni u l-inkonsistenzi attwali wasslu għal proliferazzjoni ta’ inizjattivi nazzjonali mhux koordinati (eż. dwar l-ittestjar) u approċċi superviżorji (eż. għad-dipendenzi tal-ICT fuq partijiet terzi), li jissarrfu f’duplikazzjonijiet, duplikazzjonijiet fir-rekwiżiti u fil-kostijiet amministrattivi u ta’ konformità għoljin għad-ditti finanzjarji transfruntiera jew biex xi riskji tal-ICT jibqgħu mhux identifikati u mhux indirizzati. B’mod ġenerali, l-istabbiltà u l-integrità tas-settur finanzjarju mhumiex garantiti u s-suq uniku għas-servizzi finanzjarji għadu frammentat, bil-konsegwenza li l-protezzjoni tal-konsumatur u tal-investitur iddgħajfet.

X’mistennija tikseb din l-inizjattiva?

L-objettiv kumplessiv huwa li tissaħħaħ ir-reżiljenza operazzjonali diġitali tas-settur finanzjarju tal-UE billi tiġi ssimplifikata u aġġornata l-leġiżlazzjoni finanzjarja eżistenti tal-UE u jiddaħħlu rekwiżiti ġodda fejn hemm lakuni, bl-għan li:

·it-titjib tal-ġestjoni mid-ditti finanzjarji tar-riskji tal-ICT;

·jiżdied l-għarfien tas-superviżuri dwar it-theddid u l-inċidenti;

·jitjieb l-ittestjar mid-ditti finanzjarji tas-sistemi tal-ICT tagħhom; u

·sorveljanza aħjar tar-riskji li jirriżultaw mid-dipendenza tad-ditti finanzjarji fuq fornituri terzi tal-ICT.

B’mod aktar speċifiku, il-proposta toħloq mekkaniżmi ta’ rappurtar tal-inċidenti aktar koerenti u konsistenti u b’hekk tnaqqas il-piżijiet amministrattivi għall-istituzzjonijiet finanzjarji u ssaħħaħ l-effiċjenza superviżorja.

X’inhu l-valur miżjud ta’ azzjoni fil-livell tal-UE? 

Is-suq uniku tal-UE għas-servizzi finanzjarji huwa rregolat minn korp kbir ta’ regoli stabbiliti fil-livell tal-UE li jippermetti lid-ditti finanzjarji awtorizzati fi Stat Membru wieħed jipprovdu servizzi fis-suq uniku kollu bis-saħħa ta’ passaport tal-UE. B’riżultat ta’ dan, ir-regoli fil-livell nazzjonali ma jkunux mod effettiv biex tissaħħaħ ir-reżiljenza operattiva tad-ditti finanzjarji li jagħmlu użu mill-passaport. Barra minn hekk, il-ġabra unika tar-regoli tal-UE tinkludi, bħala riżultat tal-kriżi finanzjarja, regoli ferm dettaljati u preskrittivi li jindirizzaw riskji aktar “tradizzjonali” bħar-riskji tal-kreditu, tas-suq, tal-kontroparti u tal-likwidità. Id-dispożizzjonijiet eżistenti dwar ir-riskju operazzjonali baqgħu ġenerali. It-tisħiħ tar-reżiljenza operazzjonali diġitali jirrikjedi aġġustamenti fid-dispożizzjonijiet dwar ir-riskji operazzjonali li diġà huma definiti fil-livell tal-UE — u għalhekk jistgħu jiġu aġġornati u kkomplementati biss fil-livell tal-UE.

B. Soluzzjonijiet

X’għażliet ta’ politika leġiżlattivi u mhux leġiżlattivi ġew ikkunsidrati? Hemm għażla preferuta jew le? Għaliex? 

Il-valutazzjoni tal-impatt qieset tliet għażliet, flimkien ma’ xenarju bażi ta’ ebda azzjoni fir-rigward tal-leġiżlazzjoni tal-UE dwar is-servizzi finanzjarji. Aktar speċifikament:

·“Ma jsir xejn”: ikomplu jiġu stabbiliti regoli dwar ir-reżiljenza operazzjonali mis-sett attwali u diverġenti ta’ dispożizzjonijiet dwar is-servizzi finanzjarji tal-UE, parzjalment mid-Direttiva NIS, u mir-reġimi nazzjonali eżistenti jew futuri;

·Għażla nru 1 - tisħiħ tal-bafers kapitali: jiġu introdotti bafers kapitali addizzjonali sabiex tiżdied il-kapaċità tad-ditti finanzjarji li jassorbu t-telf li jista’ jinħoloq minħabba nuqqas ta’ reżiljenza operazzjonali;

·Għażla nru 2 - att dwar ir-reżiljenza operazzjonali diġitali tas-servizzi finanzjarji: dan ikun jintroduċi qafas komprensiv fil-livell tal-UE li jistabbilixxi regoli dwar ir-reżiljenza operazzjonali diġitali għall-istituzzjonijiet finanzjarji regolati kollha, li

ojindirizza r-riskji tal-ICT b’mod aktar komprensiv,

ojippermetti l-aċċess tas-superviżuri finanzjarji għall-informazzjoni dwar inċidenti relatati mal-ICT;

ojiżgura li d-ditti finanzjarji jivvalutaw l-effettività tal-miżuri preventivi u ta’ reżiljenza tagħhom u jidentifikaw il-vulnerabbiltajiet tal-ICT;

oisaħħaħ ir-regoli tal-esternalizzazzjoni li jirregolaw is-sorveljanza indiretta tal-fornituri terzi tal-ICT;

ojippermetti s-sorveljanza diretta tal-attivitajiet tal-fornituri terzi tal-ICT meta jipprovdu s-servizzi tagħhom lil ditti finanzjarji u

owkoll jinċentiva l-iskambju tal-intelligence dwar it-theddid fis-settur finanzjarju.

·Għażla nru 3 — att dwar ir-reżiljenza flimkien ma’ superviżjoni ċentralizzata tal-fornituri terzi kritiċi: minbarra att ta’ reżiljenza operazzjonali (l-għażla nru 2), tinħoloq awtorità ġdida biex twettaq superviżjoni tal-fornituri terzi kritiċi ta’ servizzi tal-ICT lil ditti finanzjarji. Dan jifred ukoll b’mod aktar ċar is-settur finanzjarju mill-kamp ta’ applikazzjoni tad-Direttiva NIS.

L-għażla nru 2 hija l-għażla preferuta. Meta mqabbla emal-għażliet l-oħra, din tikseb il-biċċa l-kbira tal-objettivi tal-inizjattiva, filwaqt li tqis il-kriterji tal-effiċjenza u l-koerenza. Din l-għażla tgawdi wkoll l-akbar appoġġ mill-partijiet ikkonċernati.

Liema għażla u min jappoġġaha? 

Il-biċċa l-kbira tal-partijiet ikkonċernati (privati, pubbliċi) jaqblu li hija meħtieġa azzjoni tal-UE biex tiġi salvagwardjata aħjar ir-reżiljenza operazzjonali tad-ditti finanzjarji. Ħafna jemmnu wkoll li azzjoni tal-UE hija meħtieġa biex tindirizza l-piżijiet regolatorji li jirriżultaw meta d-ditti finanzjarji jkunu soġġetti għal regoli duplikati u inkonsistenti stabbiliti fin-NIS, fil-liġi tal-UE dwar is-servizzi finanzjarji u fir-reġimi nazzjonali (eż. fir-rigward tar-rappurtar tal-inċidenti). Għaldaqstant, ftit partijiet ikkonċernati biss jappoġġjaw li ma jsir xejn. Ftit partijiet ikkonċernati jaraw mertu fis-salvagwardja tar-reżiljenza operazzjonali permezz ta’ bafers kapitali miżjuda (għażla nru 1). Madankollu, dan huwa l-approċċ tradizzjonali għar-riskju operazzjonali, b’mod partikolari fis-settur bankarju, u bħala tali huwa kkunsidrat minn pereżempju dawk li jistabbilixxu l-istandards internazzjonali. It-tip ta’ miżuri kwalitattivi stabbiliti fl-għażla nru 2 li jissimplifikaw u jaġġornaw il-leġiżlazzjoni finanzjarja tal-UE u jintroduċu rekwiżiti ġodda fejn jeżistu lakuni filwaqt li jżommu r-rabtiet mad-Direttiva NIS orizzontali kisbu appoġġ wiesa’ mill-partijiet ikkonċernati li jwieġbu għall-konsultazzjoni pubblika. Filwaqt li xi partijiet ikkonċernati (b’mod partikolari pubbliċi) jaraw mertu fis-superviżjoni msaħħa tal-fornituri terzi tal-ICT tal-għażla nru 3, il-ħolqien ta’ awtorità ġdida tal-UE għal dak il-għan, kif ukoll alternattiva totalment lil hinn mill-qafas NIS, kisbu biss appoġġ limitat mill-partijiet ikkonċernati.

C. L-Impatti tal-għażla ppreferuta

X’inhuma l-benefiċċji tal-għażla ppreferuta (jekk hemm, inkella x'inhuma dawk ewlenin)? 

L-għażla nru 2 tindirizza r-riskji tal-ICT fis-settur finanzjarju billi ttejjeb il-kapaċitajiet tal-istituzzjonijiet finanzjarji biex jifilħu għall-inċidenti tal-ICT. Dan inaqqas ir-riskju ta’ inċident ċibernetiku milli jinfirex malajr madwar is-swieq finanzjarji kollha. Filwaqt li huwa diffiċli li jiġu stmati l-kostijiet tal-inċidenti operazzjonali fis-settur finanzjarju (għax mhux l-inċidenti kollha jiġu rrappurtati; l-ambitu tal-kostijiet huwa inċert), il-valutazzjonijiet tal-industrija jissuġġerixxu li l-kostijiet għas-settur finanzjarju tal-UE jistgħu jvarjaw bejn żewġ biljuni u 27 biljun euro fis-sena. L-għażla ppreferuta timmitiga dawn il-kostijiet diretti u kwalunkwe impatt usa’ li jista’ jkollhom inċidenti ċibernetiċi kbar fuq l-istabbiltà finanzjarja. L-eliminazzjoni ta’ rekwiżiti ta’ rappurtar sovraposti tnaqqas il-piżijiet amministrattivi. Pereżempju, għal xi wħud mill-akbar banek, it-tfaddil assoċjat jista’ jvarja bejn EUR 40 miljun u EUR 100 miljun fis-sena. Ir-rappurtar dirett iżid ukoll l-għarfien tas-superviżuri dwar l-inċidenti tal-ICT. Prattiki ta’ ttestjar armonizzati jżidu d-detezzjoni tal-vulnerabbiltajiet u tar-riskji mhux magħrufa. Dan inaqqas ukoll il-kostijiet, speċjalment għal ditti transfruntieri. Pereżempju, għall-akbar 44 bank transfruntier, il-benefiċċji totali mistennija minn approċċ komuni għall-ittestjar jistgħu jvarjaw bejn EUR 11-il miljun u EUR 88 miljun. Bl-introduzzjoni ta’ sett koerenti ta’ regoli dwar il-ġestjoni tar-riskji tal-fornituri terzi ta’ servizzi tal-ICT, id-ditti finanzjarji jkollhom aktar kontroll fuq kif il-fornituri terzi jikkonformaw mal-qafas regolatorju u dan jista’ jkun ta’ serħan il-moħħ għas-superviżuri. Ikun hemm ukoll benefiċċji prudenzjali li jirriżultaw mis-sorveljanza superviżorja tal-fornituri terzi tal-ICT. B’mod ġenerali, l-għażla ppreferuta tissarraf f’benefiċċji soċjetali usa’, li jirriżultaw minn ambjent operazzjonali aktar reżiljenti għall-parteċipanti kollha fis-swieq finanzjarji u minn protezzjoni aħjar għall-konsumatur u għall-investitur.

X’inhuma l-kostijiet tal-għażla ppreferuta (jekk hemm, inkella x'inhuma dawk ewlenin)? 

L-għażla ppreferuta tagħti wkoll lok għal kostijiet kemm ta’ darba kif ukoll rikorrenti. Fir-rigward tal-ewwel, dawn huma dovuti għal investimenti f’sistemi tal-IT u huma diffiċli biex jiġu kkwantifikati minħabba l-istat differenti tas-sistemi miruta tad-ditti. Fin-nuqqas ta’ intervent regolatorju, xi ditti finanzjarji diġà għamlu investimenti sinifikanti fis-sistemi tal-ICT. Dan ifisser li għal ditti finanzjarji kbar, l-implimentazzjoni tal-miżuri ta’ din il-proposta x’aktarx li jkunu baxxi. Għal ditti iżgħar, il-kostijiet huma mistennija li jkunu aktar baxxi wkoll, peress li jkunu soġġetti għal miżuri inqas stretti proporzjonati għar-riskju iżgħar tagħhom. Fir-rigward tal-ittestjar, l-Awtoritajiet Superviżorji Ewropej stmaw li l-kostijiet relatati mal-ittestjar tal-penetrazzjoni mmexxija mit-theddid ivarjaw bejn 0,1 % u 0,3 % tal-baġit totali tal-ICT tad-ditti kkonċernati. Il-kostijiet relatati mar-rappurtar tal-inċidenti jitnaqqsu drastikament, peress li ma jkunx hemm duplikazzjoni mar-rappurtar tal-NIS. Is-superviżuri wkoll se jġarrbu xi kostijiet minħabba l-kompiti addizzjonali li jkollhom jagħmlu. Pereżempju, għas-superviżuri li jieħdu sehem fis-sorveljanza diretta ta’ fornituri terzi tal-ICT, iż-żieda stmata fl-FTEs mistennija tkun fil-medda ta’ bejn wieħed sa ħames FTEs għall-awtorità ewlenija u ta’ madwar 0,25 FTEs għall-awtoritajiet parteċipanti.

Kif se jintlaqtu n-negozji, l-SMEs u l-mikrointrapriżi?

L-għażla ppreferuta tkun tkopri d-ditti finanzjarji kollha sabiex tiżdied ir-reżiljenza operazzjonali tas-settur kollu kemm hu. Dan l-ambitu wiesa’ huwa importanti fid-dawl tan-natura interkonnessa tas-settur finanzjarju u tal-ħtieġa korrispondenti li jkun hemm livell sod ta’ reżiljenza operazzjonali kumplessiva. Madankollu, meta jiġu definiti r-rekwiżiti ewlenin fl-oqsma ewlenin ta’ intervent, il-prinċipju tal-proporzjonalità japplika kemm bejn is-subsetturi kif ukoll f’kull subsettur. Jitqiesu fost l-oħrajn id-differenzi fil-mudelli tan-negozju, id-daqs, il-profil tar-riskju, l-importanza sistemika, eċċ. Pereżempju, il-miżuri dwar ir-rappurtar tal-inċidenti u l-ittestjar ikunu inqas stretti għal ditti finanzjarji iżgħar.

Se jkun hemm impatti sinifikanti fuq il-baġits u l-amministrazzjonijiet nazzjonali? 

Le. Is-sorveljanza addizzjonali tista’, kif muri hawn fuq, tirrikjedi livell limitat ta’ riżorsi superviżorji addizzjonali, li jistgħu, b’mod sħiħ jew parzjali (jekk ikun hemm tariffi superviżorji) jiġu koperti mill-baġits pubbliċi.

Se jkun hemm impatti sinifikanti oħra? 

Il-konsegwenzi soċjoekonomiċi tal-pandemija tal-COVID-19 enfasizzaw in-natura kritika tas-swieq finanzjarji diġitali u tar-reżiljenza operazzjonali tagħhom. L-għażla ppreferuta tistabbilixxi bażi soda biex tiġi sfruttata t-trasformazzjoni diġitali billi jiġi żgurat li s-suq uniku għas-servizzi finanzjarji, inkluż fl-unjoni bankarja u dik tas-swieq kapitali, ikun operazzjonalment reżiljenti, abbażi ta’ sett komuni ta’ regoli u rekwiżiti li jimmiraw lejn is-sigurtà, il-prestazzjoni, l-istabbiltà u kundizzjonijiet ekwi. Dan se jsaħħaħ ukoll il-pożizzjoni tal-Ewropa bħala mexxejja finanzjarji u diġitali fid-dinja, objettiv stabbilit mill-Kummissjoni fil-Komunikazzjoni tagħha “Insawru l-futur diġitali tal-Ewropa” .

D. Segwitu

Meta se tiġi rieżaminata l-politika? 

L-ewwel rieżami jsir tliet snin wara d-dħul fis-seħħ tal-istrument legali. Il-Kummissjoni għandha tipprovdi rapport lill-Parlament Ewropew u lill-Kunsill dwar dan ir-rieżami. Ir-rieżami jista’ jiġi appoġġat minn konsultazzjoni pubblika, studji, diskussjonijiet ma’ esperti, stħarriġ u sessjonijiet ta’ ħidma, kif xieraq.