(1)

Fl-era diġitali, it-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT) tappoġġja s-sistemi kumplessi użati għall-attivitajiet ta’ kuljum. Din it-teknoloġija żżomm l-ekonomiji tagħna għaddejjin f’setturi ewlenin, inkluż is-settur finanzjarju, u ttejjeb il-funzjonament tas-suq intern. Id-diġitalizzazzjoni u l-interkonnettività miżjuda jamplifikaw ukoll ir-riskju tal-ICT, u b’hekk is-soċjetà kollha kemm hi, u s-sistema finanzjarja b’mod partikolari, issir aktar vulnerabbli għat-theddid ċibernetiku jew għat-tfixkil fis-settur tal-ICT. Filwaqt li l-użu kullimkien tas-sistemi tal-ICT u d-diġitalizzazzjoni u l-konnettività għolja llum il-ġurnata huma karatteristiċi ewlenin tal-attivitajiet tal-entitajiet finanzjarji tal-Unjoni, ir-reżiljenza diġitali tagħhom għad trid tiġi indirizzata u integrata aħjar fl-oqsma operazzjonali usa’ tagħhom.

(2)

F’dawn l-aħħar għexieren ta’ snin l-użu tal-ICT kiseb rwol kruċjali fil-forniment ta’ servizzi finanzjarji, tant li issa akkwista importanza kritika fl-operat tal-funzjonijiet tipiċi ta’ kuljum tal-entitajiet finanzjarji kollha. Id-diġitalizzazzjoni issa tkopri, pereżempju, pagamenti, li aktar ma għadda żmien aktar imxew minn metodi bbażati fuq il-flus kontanti u l-karti għall-użu ta’ soluzzjonijiet diġitali, kif ukoll l-ikklerjar u s-saldu ta’ titoli, kummerċ elettroniku u algoritmiku, operazzjonijiet ta’ self u finanzjament, finanzjament bejn il-pari, klassifikazzjoni tal-kreditu, ġestjoni tal-pretensjonijiet u operazzjonijiet tal-back-office. Is-settur tal-assigurazzjoni wkoll ġie ttrasformat bl-użu tal-ICT, mill-emerġenza ta’ intermedjarji tal-assigurazzjoni li joffru s-servizzi tagħhom online li joperaw ma’ InsurTech, għal sottoskrizzjoni tal-assigurazzjoni diġitali. Il-finanzi mhux biss saru fil-biċċa l-kbira diġitali fis-settur kollu, iżda d-diġitalizzazzjoni approfondiet ukoll l-interkonnessjonijiet u d-dipendenzi fis-settur finanzjarju u ma’ fornituri terzi ta’ servizzi u infrastruttura.

(3)

Il-Bord Ewropew dwar ir-Riskju Sistemiku (BERS) irriafferma f’rapport tal-2020 li jindirizza r-riskju ċibernetiku sistemiku kif il-livell għoli eżistenti ta’ interkonnettività bejn l-entitajiet finanzjarji, is-swieq finanzjarji u l-infrastrutturi tas-swieq finanzjarji u, b’mod partikolari, l-interdipendenzi tas-sistemi tal-ICT tagħhom, jistgħu potenzjalment jikkostitwixxu vulnerabbiltà sistemika għax l-inċidenti ċibernetiċi lokalizzati jistgħu jinxterdu malajr minn kwalunkwe waħda mill-madwar 22 000 entità finanzjarja tal-Unjoni għas-sistema finanzjarja kollha kemm hi, mingħajr ma jiġu mxekkla mill-fruntieri ġeografiċi. Ksur serju tas-sigurtà tal-ICT li jseħħ fis-settur finanzjarju ma jaffettwax biss lill-entitajiet finanzjarji b’mod iżolat. Tali ksur iwitti wkoll it-triq għall-propagazzjoni ta’ vulnerabbiltajiet lokalizzati fil-mezzi kollha ta’ trażmissjoni finanzjarja u potenzjalment iwassal għal konsegwenzi negattivi għall-istabbiltà tas-sistema finanzjarja tal-Unjoni, pereżempju billi jiġġenera nuqqas ta’ likwidità u telf ġenerali ta’ fiduċja fis-swieq finanzjarji.

(4)

F’dawn l-aħħar snin, ir-riskju tal-ICT ġibed l-attenzjoni ta’ dawk li jfasslu l-politika, tar-regolaturi u tal-korpi li jiffissaw l-istandards internazzjonali, tal-Unjoni u nazzjonali, f’tentattiv biex itejbu r-reżiljenza diġitali, jiffissaw l-istandards u jikkoordinaw il-ħidma regolatorja jew superviżorja. Fil-livell internazzjonali, il-Kumitat ta’ Basel dwar is-Superviżjoni Bankarja, il-Kumitat dwar il-Pagamenti u l-Infrastrutturi tas-Suq, il-Bord għall-Istabbiltà Finanzjarja, l-Istitut għall-Istabbiltà Finanzjarja, kif ukoll il-G7 u l-G20 għandhom l-għan li jipprovdu lill-awtoritajiet kompetenti u lill-operaturi tas-suq f’ġuriżdizzjonijiet varji b’għodod maħsuba biex isaħħu r-reżiljenza tas-sistemi finanzjarji tagħhom. Dik il-ħidma ġiet xprunata wkoll mill-ħtieġa li jiġi kkunsidrat kif xieraq ir-riskju tal-ICT fil-kuntest ta’ sistema finanzjarja globali interkonnessa ħafna u li titfittex aktar konsistenza fl-aħjar prattiki rilevanti.

(5)

Minkejja l-inizjattivi politiċi u leġiżlattivi tal-Unjoni u nazzjonali mmirati, ir-riskju tal-ICT ikompli jippreżenta sfida għar-reżiljenza operazzjonali, il-prestazzjoni u l-istabbiltà tas-sistema finanzjarja tal-Unjoni. Ir-riformi li saru wara l-kriżi finanzjarja tal-2008 saħħet primarjament ir-reżiljenza finanzjarja tas-settur finanzjarju tal-Unjoni u kellhom l-għan li jissalvagwardjaw il-kompetittività u l-istabbiltà tal-Unjoni minn perspettivi ekonomiċi, prudenzjali u ta’ kondotta fis-suq. Għalkemm is-sigurtà tal-ICT u r-reżiljenza diġitali huma parti mir-riskju operazzjonali, dawn kienu inqas fl-attenzjoni tal-aġenda regolatorja ta’ wara l-kriżi finanzjarja, u żviluppaw biss f’xi oqsma tal-politika tas-servizzi finanzjarji u tax-xenarju regolatorju tal-Unjoni, jew fi ftit Stati Membri biss.

(6)

Fil-Komunikazzjoni tat-8 ta’ Marzu 2018 intitolata “Pjan ta’ Azzjoni tal-FinTech: Għal settur finanzjarju Ewropew iktar kompetittiv u innovattiv”, il-Kummissjoni enfasizzat l-importanza fundamentali li s-settur finanzjarju tal-Unjoni jsir aktar reżiljenti, inkluż minn perspettiva operazzjonali biex jiġu żgurati s-sikurezza teknoloġika u l-funzjonament tajjeb tiegħu, l-irkupru rapidu tiegħu minn ksur u inċidenti tas-sigurtà tal-ICT, li fl-aħħar mill-aħħar jippermettu l-forniment effettiv u mingħajr xkiel tas-servizzi finanzjarji madwar l-Unjoni kollha, inkluż f’sitwazzjonijiet ta’ stress, filwaqt li jiġu ppreservati wkoll il-fiduċja u l-kunfidenza tal-konsumaturi u tas-suq.

(7)

F’April 2019, l-Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) (EBA) stabbilita bir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (4), l-Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol (EIOPA) stabbilita bir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (5) u l-Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq), (ESMA) stabbilita bir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (6) (magħrufa kollettivament bħala “Awtoritajiet Superviżorji Ewropej” jew “ASE”) ħarġu b’mod konġunt parir tekniku li jitlob approċċ koerenti għar-riskju tal-ICT fil-finanzi u li jirrakkomanda li tissaħħaħ, b’mod proporzjonat, ir-reżiljenza operazzjonali diġitali tal-industrija tas-servizzi finanzjarji permezz ta’ inizjattiva tal-Unjoni speċifika għas-settur.

(8)

Is-settur finanzjarju tal-Unjoni huwa rregolat minn Ġabra Unika tar-Regoli u minn sistema Ewropea ta’ superviżjoni finanzjarja. Madankollu, id-dispożizzjonijiet li jindirizzaw ir-reżiljenza operazzjonali diġitali u s-sigurtà tal-ICT għadhom mhumiex armonizzati għalkollox jew b’mod konsistenti, minkejja li r-reżiljenza operazzjonali diġitali hija vitali biex jiġu żgurati l-istabbiltà finanzjarja u l-integrità tas-suq fl-era diġitali, u mhux inqas importanti minn, pereżempju, standards ta’ kondotta fis-suq jew prudenzjali komuni. Għalhekk, jenħtieġ li l-Ġabra Unika tar-Regoli u s-sistema ta’ superviżjoni jiġu żviluppati biex ikopru wkoll ir-reżiljenza operazzjonali diġitali, billi jsaħħu l-mandati tal-awtoritajiet kompetenti biex ikunu jistgħu jissorveljaw il-ġestjoni tar-riskju tal-ICT fis-settur finanzjarju sabiex jipproteġu l-integrità u l-effiċjenza tas-suq intern, u jiffaċilitaw il-funzjonament ordnat tiegħu.

(9)

Id-disparitajiet leġiżlattivi u l-approċċi regolatorji jew superviżorji nazzjonali mhux uniformi fir-rigward tal-ICT jirriskjaw li joħolqu ostakli għall-funzjonament tas-suq intern fis-servizzi finanzjarji, li jxekklu l-eżerċitar bla xkiel tal-libertà ta’ stabbiliment u l-forniment ta’ servizzi għal entitajiet finanzjarji li joperaw fuq bażi transfruntiera. Il-kompetizzjoni bejn l-istess tip ta’ entitajiet finanzjarji fi Stati Membri differenti tista’ wkoll tiġi distorta. Dan huwa l-każ, b’mod partikolari, għal oqsma fejn l-armonizzazzjoni tal-Unjoni kienet limitata ħafna, bħall-ittestjar tar-reżiljenza operazzjonali diġitali, jew assenti, bħall-monitoraġġ tar-riskju relatat mal-ICT minn partijiet terzi. Id-disparitajiet li jirriżultaw mill-iżviluppi previsti fil-livell nazzjonali jistgħu jiġġeneraw aktar ostakli għall-funzjonament tas-suq intern għad-detriment tal-parteċipanti fis-suq u l-istabbiltà finanzjarja.

(10)

Sa issa, peress li d-dispożizzjonijiet relatati mar-riskju tal-ICT ġew indirizzati biss parzjalment fil-livell tal-Unjoni, hemm lakuni jew sovrapożizzjonijiet f’oqsma importanti, bħar-rapportar ta’ inċidenti relatati mal-ICT u l-ittestjar tar-reżiljenza operazzjonali diġitali, u inkonsistenzi li jirriżultaw minn regoli nazzjonali diverġenti emerġenti jew l-applikazzjoni mhux kosteffettiva ta’ regoli sovraposti. Dan huwa partikolarment detrimentali għal utent li jagħmel użu intensiv mill-ICT, bħas-settur finanzjarju, billi r-riskji tat-teknoloġija ma għandhomx fruntieri u s-settur finanzjarju juża s-servizzi tiegħu fuq bażi transfruntiera wiesgħa fl-Unjoni u barra minnha. L-entitajiet finanzjarji individwali li joperaw fuq bażi transfruntiera jew li għandhom diversi awtorizzazzjonijiet (pereżempju, entità finanzjarja waħda jista’ jkollha liċenzja biex topera bħala entità bankarja, liċenzja ta’ ditta ta’ investiment, u liċenzja ta’ istituzzjoni ta’ pagament, kull waħda maħruġa minn awtorità kompetenti differenti fi Stat Membru wieħed jew f’diversi Stati Membri) jiffaċċjaw sfidi operazzjonali biex jindirizzaw weħidhom u b’mod koerenti u kosteffettiv ir-riskju tal-ICT u biex jimmitigaw l-impatti avversi tal-inċidenti tal-ICT.

(11)

Peress li l-Ġabra Unika tar-Regoli ma kinitx akkumpanjata minn qafas komprensiv tal-ICT jew tar-riskju operazzjonali, hija meħtieġa aktar armonizzazzjoni tar-rekwiżiti ewlenin tar-reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji kollha. L-iżvilupp tal-kapaċitajiet tal-ICT u r-reżiljenza kumplessiva mill-entitajiet finanzjarji, abbażi ta’ dawk ir-rekwiżiti ewlenin, bil-ħsieb li jifilħu għal qtugħ operazzjonali, jgħinu biex jippreservaw l-istabbiltà u l-integrità tas-swieq finanzjarji tal-Unjoni u b’hekk jikkontribwixxu għall-iżgurar ta’ livell għoli ta’ protezzjoni tal-investituri u tal-konsumaturi fl-Unjoni. Billi dan ir-Regolament għandu l-għan li jikkontribwixxi għall-funzjonament bla xkiel tas-suq intern, jenħtieġ li jkun ibbażat fuq id-dispożizzjonijiet tal-Artikolu 114 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea (TFUE) kif interpretati f’konformità mal-każistika konsistenti tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea (Qorti tal-Ġustizzja).

(12)

Dan ir-Regolament għandu l-għan li jikkonsolida u jaġġorna r-rekwiżiti tar-riskju tal-ICT bħala parti mir-rekwiżiti tar-riskju operazzjonali li, sa issa, ġew indirizzati separatament f’diversi atti legali tal-Unjoni. Filwaqt li dawk l-atti koprew il-kategoriji ewlenin tar-riskju finanzjarju (pereż. ir-riskju tal-kreditu, ir-riskju tas-suq, ir-riskju tal-kreditu tal-kontroparti u r-riskju tal-likwidità, ir-riskju tal-imġiba tas-suq), ma indirizzawx b’mod komprensiv, fil-mument tal-adozzjoni tagħhom, il-komponenti kollha tar-reżiljenza operazzjonali. Ir-regoli tar-riskju operazzjonali, meta żviluppati aktar f’dawk l-atti legali tal-Unjoni, sikwit kienu jiffavorixxu approċċ kwantitattiv tradizzjonali biex jiġi indirizzat ir-riskju (jiġifieri l-iffissar ta’ rekwiżit kapitali biex ikopri r-riskju tal-ICT) minflok ma inkludew regoli kwalitattivi mmirati għall-kapaċitajiet ta’ protezzjoni, individwazzjoni, trażżin, irkupru u tiswija kontra inċidenti relatati mal-ICT, jew għar-rappurtar u l-ittestjar diġitali. Dawk l-atti kienu primarjament maħsuba biex ikopru u jaġġornaw regoli essenzjali dwar is-superviżjoni prudenzjali, l-integrità tas-suq jew l-imġiba. Permezz tal-konsolidazzjoni u t-titjib tar-regoli differenti dwar ir-riskju tal-ICT, id-dispożizzjonijiet kollha li jindirizzaw ir-riskju diġitali fis-settur finanzjarju jenħtieġ li għall-ewwel darba jinġabru flimkien b’mod konsistenti f’att leġiżlattiv wieħed. Għalhekk, dan ir-Regolament jimla l-lakuni jew isewwi l-inkonsistenzi f’uħud mill-atti legali ta’ qabel, inkluż b’rabta mat-terminoloġija użata fihom, u jirreferi b’mod espliċitu għar-riskju tal-ICT permezz ta’ regoli mmirati dwar il-kapaċitajiet tal-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti, l-ittestjar tar-reżiljenza operazzjonali u l-monitoraġġ tar-riskju tal-ICT marbut ma’ partijiet terzi. Għalhekk, dan ir-Regolament jenħtieġ ukoll li jqajjem sensibilizzazzjoni dwar ir-riskju tal-ICT u jirrikonoxxi l-fatt li l-inċidenti tal-ICT u nuqqas ta’ reżiljenza operazzjonali għandhom il-possibbiltà li jipperikolaw s-solidità finanzjarja tal-entitajiet finanzjarji.

(13)

Jenħtieġ li l-entitajiet finanzjarji jsegwu l-istess approċċ u l-istess regoli bbażati fuq il-prinċipji meta jindirizzaw ir-riskju tal-ICT filwaqt li jqisu d-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom. Il-konsistenza tikkontribwixxi biex tiżdied il-fiduċja fis-sistema finanzjarja u tippreserva l-istabbiltà tagħha speċjalment fi żminijiet ta’ dipendenza kbira mis-sistemi, mill-pjattaformi u mill-infrastrutturi tal-ICT li tinvolvi riskju diġitali akbar. L-osservanza tal-iġjene ċibernetika bażika jenħtieġ ukoll li tiġi evitata l-impożizzjoni ta’ kostijiet kbar fuq l-ekonomija billi jimminimizza l-impatt u l-kostijiet tat-tfixkil tal-ICT.

(14)

Regolament jgħin biex titnaqqas il-kumplessità regolatorja, irawwem il-konverġenza superviżorja u jżid iċ-ċertezza legali, u jikkontribwixxi wkoll għal-limitazzjoni tal-kostijiet tal-konformità, speċjalment għall-entitajiet finanzjarji li joperaw b’mod transfruntier, u għat-tnaqqis tad-distorsjonijiet tal-kompetizzjoni. Għalhekk, l-għażla ta’ Regolament għall-istabbiliment ta’ qafas komuni għar-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji hija l-aktar mod xieraq biex tiġi ggarantita applikazzjoni omoġenja u koerenti tal-komponenti kollha tal-ġestjoni tar-riskju tal-ICT mis-settur finanzjarju tal-Unjoni.

(15)

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (7) kienet l-ewwel qafas orizzontali taċ-ċibersigurtà promulgat fil-livell tal-Unjoni, li japplika wkoll għal tliet tipi ta’ entitajiet finanzjarji, jiġifieri istituzzjonijiet ta’ kreditu, ċentri ta’ negozjar u kontropartijiet ċentrali. Madankollu, billi d-Direttiva (UE) 2016/1148 stabbiliet mekkaniżmu ta’ identifikazzjoni fil-livell nazzjonali ta’ operaturi ta’ servizzi essenzjali, ċerti istituzzjonijiet ta’ kreditu, ċentri ta’ negozjar u kontropartijiet ċentrali biss li ġew identifikati mill-Istati Membri, iddaħħlu fil-kamp ta’ applikazzjoni tagħha fil-prattika, u għalhekk meħtieġa jikkonformaw mar-rekwiżiti ta’ notifika tal-inċidenti u tas-sigurtà tal-ICT stipulati fiha. Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (8) tistabbilixxi kriterju uniformi biex jiġu determinati l-entitajiet li jaqgħu fil-kamp ta’ applikazzjoni tagħha (ir-regola dwar id-daqs massimu) filwaqt li żżomm it-tliet tipi ta’ entitajiet finanzjarji fil-kamp ta’ applikazzjoni tagħha.

(16)

Madankollu, peress li dan ir-Regolament iżid il-livell ta’ armonizzazzjoni tad-diversi komponenti ta’ reżiljenza diġitali, billi jintroduċi rekwiżiti dwar il-ġestjoni tar-riskju tal-ICT u r-rapportar ta’ inċidenti relatati mal-ICT li huma aktar stretti meta mqabbla ma’ dawk stipulati fil-liġi attwali tal-Unjoni dwar is-servizzi finanzjarji, dan il-livell ogħla jikkostitwixxi żieda fl-armonizzazzjoni wkoll meta mqabbel mar-rekwiżiti stipulati fid-Direttiva (UE) 2022/2555. Konsegwentement, dan ir-Regolament jikkostitwixxi lex specialis fir-rigward tad-Direttiva (UE) 2022/2555. Fl-istess ħin, huwa kruċjali li tinżamm relazzjoni b’saħħitha bejn is-settur finanzjarju u l-qafas orizzontali taċ-ċibersigurtà tal-Unjoni kif inhu stabbilit bħalissa fid-Direttiva (UE) 2022/2555 biex tiġi żgurata l-konsistenza mal-istrateġiji taċ-ċibersigurtà adottati mill-Istati Membri, u biex is-superviżuri finanzjarji jkunu jistgħu jsiru konxji mill-inċidenti ċibernetiċi li jaffettwaw setturi oħra koperti minn dik id-Direttiva.

(17)

F’konformità mal-Artikolu 4(2) tat-Trattat dwar l-Unjoni Ewropea u mingħajr preġudizzju għall-istħarriġ ġudizzjarju mill-Qorti tal-Ġustizzja, jenħtieġ li dan ir-Regolament ma jaffettwax ir-responsabbiltà tal-Istati Membri fir-rigward tal-funzjonijiet essenzjali tal-Istat li jikkonċernaw is-sigurtà pubblika, id-difiża u s-salvagwardja tas-sigurtà nazzjonali, pereżempju fir-rigward tal-forniment ta’ informazzjoni li tmur kontra s-salvagwardja tas-sigurtà nazzjonali.

(18)

Biex ikun jista’ jsir tagħlim transsettorjali u biex b’mod effettiv jintużaw l-esperjenzi ta’ setturi oħrajn fl-indirizzar tat-theddid ċibernetiku, l-entitajiet finanzjarji msemmija fid-Direttiva (UE) 2022/2555 jenħtieġ li jibqgħu parti mill-“ekosistema” ta’ dik id-Direttiva (pereżempju, il-Grupp ta’ Kooperazzjoni taħt dik id-Direttiva) u l-iskwadri ta’ rispons għal inċidenti relatati mas-sigurtà tal-kompjuters (CSIRTs)). L-ASE u l-awtoritajiet nazzjonali kompetenti jenħtieġ li jkunu jistgħu jipparteċipaw fid-diskussjonijiet ta’ politika strateġika u fil-funzjonament tekniku tal-Grupp ta’ Kooperazzjoni tal-NIS, u li jiskambjaw informazzjoni u jikkooperaw aktar mal-punti uniċi ta’ kuntatt maħtura jew stabbiliti f’konformità ma’ dik id-Direttiva. L-awtoritajiet kompetenti skont dan ir-Regolament jenħtieġ li jikkonsultaw u jikkooperaw ukoll mas-CSIRTs. Jenħtieġ li l-awtoritajiet kompetenti jkunu jistgħu wkoll jitolbu parir tekniku mill-awtoritajiet kompetenti maħtura jew stabbiliti f’konformità mad-Direttiva (UE) 2022/2555 u jistabbilixxu arranġamenti ta’ kooperazzjoni li jkollhom l-għan li jiżguraw mekkaniżmi ta’ koordinazzjoni ta’ rispons effettiv u rapidu.

(19)

Minħabba l-interkonnessjonijiet b’saħħithom bejn ir-reżiljenza diġitali u r-reżiljenza fiżika tal-entitajiet finanzjarji, huwa meħtieġ approċċ koerenti fir-rigward tar-reżiljenza tal-entitajiet kritiċi f’dan ir-Regolament u d-Direttiva (UE) 2022/2557 tal-Parlament Ewropew u tal-Kunsill (9). Peress li r-reżiljenza fiżika tal-entitajiet finanzjarji hija indirizzata b’mod komprensiv mill-obbligi tal-ġestjoni tar-riskju tal-ICT u tar-rappurtar koperti minn dan ir-Regolament, l-obbligi stabbiliti fil-Kapitoli III u IV tad-Direttiva (UE) 2022/2557 jenħtieġ li ma japplikawx għall-entitajiet finanzjarji li jaqgħu fil-kamp ta’ applikazzjoni ta’ dik id-Direttiva.

(20)

Il-fornituri ta’ servizzi ta’ cloud computing huma waħda mill-kategoriji ta’ infrastruttura diġitali koperta mid-Direttiva (UE) 2022/2555. Il-Qafas ta’ Sorveljanza tal-Unjoni (“Qafas ta’ Sorveljanza”) stabbilit minn dan ir-Regolament japplika għall-fornituri kritiċi kollha tas-servizzi ta’ partijiet terzi tal-ICT, inkluż il-fornituri ta’ servizzi ta’ cloud computing li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji, u jenħtieġ li dan jitqies bħala komplimentari għas-superviżjoni mwettqa skont id-Direttiva (UE) 2022/2555. Barra minn hekk, jenħtieġ li l-Qafas ta’ Sorveljanza stabbilit minn dan ir-Regolament ikopri lill-fornituri ta’ servizzi ta’ cloud computing fin-nuqqas ta’ qafas orizzontali tal-Unjoni li jistabbilixxi awtorità ta’ sorveljanza diġitali.

(21)

Sabiex jinżamm kontroll sħiħ fuq ir-riskju tal-ICT, l-entitajiet finanzjarji jeħtieġ li jkollhom kapaċitajiet komprensivi li jippermettu ġestjoni tar-riskju tal-ICT b’saħħitha u effettiva, kif ukoll mekkaniżmi u politiki speċifiċi għat-trattament tal-inċidenti kollha relatati mal-ICT u għar-rappurtar tal-inċidenti ewlenin relatati mal-ICT. Bl-istess mod, l-entitajiet finanzjarji jenħtieġ li jkollhom fis-seħħ politiki għall-ittestjar ta’ sistemi, kontrolli u proċessi tal-ICT, kif ukoll għall-ġestjoni tar-riskju relatat mal-ICT minn partijiet terzi. Il-linja bażi tar-reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji jenħtieġ li tiżdied filwaqt li tippermetti wkoll applikazzjoni proporzjonata tar-rekwiżiti għal ċerti entitajiet finanzjarji, b’mod partikolari l-mikrointrapriżi, kif ukoll l-entitajiet finanzjarji soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT. Sabiex tiġi ffaċilitata superviżjoni effiċjenti tal-istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li tkun proporzjonata u tindirizza l-ħtieġa li jitnaqqsu l-piżijiet amministrattivi fuq l-awtoritajiet kompetenti, l-arranġamenti superviżorji nazzjonali rilevanti fir-rigward ta’ tali entitajiet finanzjarji jenħtieġ li jqisu d-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom anke meta jinqabżu l-limiti rilevanti stabbiliti fl-Artikolu 5 tad-Direttiva (UE) 2016/2341 tal-Parlament Ewropew u tal-Kunsill (10). B’mod partikolari, l-attivitajiet superviżorji jenħtieġ li jiffokaw primarjament fuq il-ħtieġa li jiġu indirizzati riskji serji assoċjati mal-ġestjoni tar-riskju tal-ICT ta’ entità partikolari.

Jenħtieġ li l-awtoritajiet kompetenti jżommu wkoll approċċ viġilanti, iżda proporzjonat, fir-rigward tas-superviżjoni tal-istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li, f’konformità mal-Artikolu 31 tad-Direttiva (UE) 2016/2341, jesternalizzaw parti sinifikanti tan-negozju ewlieni tagħhom, bħall-ġestjoni tal-assi, il-kalkoli attwarjali, il-kontabbiltà u l-ġestjoni tad-data, lill-fornituri tas-servizzi.

(22)

Il-limiti ta’ rappurtar tal-inċidenti relatati mal-ICT u t-tassonomiji jvarjaw b’mod sinifikanti fil-livell nazzjonali. Filwaqt li tista’ tinkiseb bażi komuni permezz tal-ħidma rilevanti mwettqa mill-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA) stabbilita bir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill (11) u l-Grupp ta’ Kooperazzjoni skont id-Direttiva (UE) 2022/2555, għadhom jeżistu jew jistgħu jitfaċċaw approċċi diverġenti dwar l-iffissar tal-limiti u l-użu tat-tassonomiji għall-bqija tal-entitajiet finanzjarji. Minħabba dawk id-diverġenzi, hemm bosta rekwiżiti li l-entitajiet finanzjarji jridu jikkonformaw magħhom, speċjalment meta joperaw f’diversi Stati Membri u meta jkunu jagħmlu parti minn grupp finanzjarju. Barra minn hekk, tali diverġenzi għandhom il-potenzjal li jxekklu l-ħolqien ta’ aktar mekkaniżmi uniformi jew ċentralizzati tal-Unjoni li jħaffu l-proċess ta’ rappurtar u jappoġġjaw skambju rapidu u bla xkiel ta’ informazzjoni bejn l-awtoritajiet kompetenti, li huwa kruċjali biex jiġi indirizzat ir-riskju tal-ICT f’każ ta’ attakki fuq skala kbira b’konsegwenzi potenzjalment sistemiċi.

(23)

Sabiex jitnaqqas il-piż amministrattiv u l-obbligi ta’ rappurtar potenzjalment duplikati għal ċerti entitajiet finanzjarji, ir-rekwiżit għar-rappurtar tal-inċidenti skont id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill (12) jenħtieġ li jieqaf japplika għall-fornituri ta’ servizzi ta’ pagament li jaqgħu fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Konsegwentement, l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet tal-flus elettroniċi, l-istituzzjonijiet ta’ pagament u l-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, kif imsemmija fl-Artikolu 33(1) ta’ dik id-Direttiva, mid-data tal-applikazzjoni ta’ dan ir-Regolament jenħtieġ li jirrappurtaw skont dan ir-Regolament, l-inċidenti kollha operazzjonali jew ta’ sigurtà relatati mal-pagamenti li jkunu ġew irrappurtati qabel skont dik id-Direttiva, irrispettivament minn jekk tali inċidenti jkunux relatati mal-ICT.

(24)

Sabiex l-awtoritajiet kompetenti jkunu jistgħu jaqdu r-rwoli superviżorji tagħhom billi jakkwistaw ħarsa ġenerali kompleta lejn in-natura, il-frekwenza, is-sinifikat u l-impatt tal-inċidenti relatati mal-ICT u jtejbu l-iskambju ta’ informazzjoni bejn l-awtoritajiet pubbliċi rilevanti, inkluż l-awtoritajiet tal-infurzar tal-liġi u l-awtoritajiet tar-riżoluzzjoni, dan ir-Regolament jenħtieġ li jistabbilixxi reġim tar-rappurtar sod ta’ inċidenti relatati mal-ICT li bih ir-rekwiżiti rilevanti jindirizzaw id-diskrepanzi attwali fil-liġi dwar is-servizzi finanzjarji, u jitneħħew is-sovrapożizzjonijiet u d-duplikazzjonijiet eżistenti biex jittaffew il-kostijiet. Huwa essenzjali li r-reġim tar-rappurtar tal-inċidenti relatati mal-ICT jiġi armonizzat billi l-entitajiet finanzjarji kollha jintalbu jirrappurtaw lill-awtoritajiet kompetenti tagħhom permezz ta’ qafas uniku simplifikat kif stipulat f’dan ir-Regolament. Barra minn hekk, jenħtieġ li l-ASE jkollhom is-setgħa li jispeċifikaw aktar elementi rilevanti għall-qafas tar-rappurtar għall-inċidenti relatati mal-ICT, bħat-tassonomija, l-iskedi taż-żmien, is-settijiet tad-data, il-formoli u l-limiti applikabbli. Sabiex tkun żgurata konsistenza sħiħa mad-Direttiva (UE) 2022/2555, jenħtieġ li l-entitajiet finanzjarji jitħallew, fuq bażi volontarja, jinnotifikaw theddidiet ċibernetiċi sinifikanti lill-awtorità kompetenti rilevanti, meta jqisu li t-theddida ċibernetika tkun ta’ rilevanza għas-sistema finanzjarja, għall-utenti tas-servizzi jew għall-klijenti.

(25)

Ir-rekwiżiti tal-ittestjar tar-reżiljenza operazzjonali diġitali ġew żviluppati f’ċerti subsetturi finanzjarji li jistipulaw oqfsa li mhux dejjem ikunu allinjati għalkollox. Dan iwassal għal duplikazzjoni potenzjali tal-kostijiet għall-entitajiet finanzjarji transfruntiera u jagħmel ir-rikonoxximent reċiproku tar-riżultati tal-ittestjar tar-reżiljenza operazzjonali diġitali kumpless li, min-naħa tiegħu, jista’ jifframmenta s-suq intern.

(26)

Barra minn hekk, fejn ma jkun meħtieġ l-ebda ttestjar tal-ICT, il-vulnerabbiltajiet jibqgħu mhux identifikati u jirriżultaw fl-esponiment ta’ entità finanzjarja għar-riskju tal-ICT u fl-aħħar mill-aħħar joħolqu riskju ogħla għall-istabbiltà u l-integrità tas-settur finanzjarju. Mingħajr l-intervent tal-Unjoni, l-ittestjar tar-reżiljenza operazzjonali diġitali jibqa’ jkun inkonsistenti u ma jkollux sistema ta’ rikonoxximent reċiproku tar-riżultati tal-ittestjar tal-ICT f’ġuriżdizzjonijiet differenti. Barra minn hekk, billi mhuwiex probabbli li subsetturi finanzjarji oħrajn jadottaw skemi tal-ittestjar fuq skala sinifikanti, dawn jitilfu l-benefiċċji potenzjali ta’ qafas tal-ittestjar, fir-rigward tal-iżvelar ta’ vulnerabbiltajiet u riskji tal-ICT, u l-ittestjar tal-kapaċitajiet ta’ difiża u l-kontinwità tal-operat, li jikkontribwixxi għal żieda fil-fiduċja tal-klijenti, tal-fornituri u tas-sħab fin-negozju. Sabiex jiġu rrimedjati dawk is-sovrapożizzjonijiet, diverġenzi u lakuni, huwa meħtieġ li jiġu stipulati regoli għal reġim ta’ ttestjar ikkoordinat u b’hekk jiġi ffaċilitat ir-rikonoxximent reċiproku tal-ittestjar avvanzat għal entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament.

(27)

Id-dipendenza tal-entitajiet finanzjarji fuq l-użu ta’ servizzi tal-ICT hija parzjalment xprunata mill-ħtieġa tagħhom li jadattaw għal ekonomija globali diġitali kompetittiva emerġenti, li jagħtu spinta lill-effiċjenza tan-negozju tagħhom u li jissodisfaw id-domanda tal-konsumaturi. In-natura u l-firxa ta’ tali dipendenza kienu qed jevolvu kontinwament fis-snin reċenti, u dan wassal għal tnaqqis tal-kostijiet fl-intermedjazzjoni finanzjarja, li ppermetta l-espansjoni u l-iskalabbiltà tan-negozju fl-iskjerament ta’ attivitajiet finanzjarji, filwaqt li offra firxa wiesgħa ta’ għodod tal-ICT għall-ġestjoni ta’ proċessi interni kumplessi.

(28)

L-użu estensiv tas-servizzi tal-ICT huwa evidenzjat minn arranġamenti kuntrattwali kumplessi, fejn l-entitajiet finanzjarji ħafna drabi jiltaqgħu ma’ diffikultajiet biex jinnegozjaw it-termini kuntrattwali li huma mfassla għall-istandards prudenzjali jew għal rekwiżiti regolatorji oħrajn li huma soġġetti għalihom, jew inkella biex jinfurzaw drittijiet speċifiċi, bħal drittijiet ta’ aċċess jew awditjar, anki meta dawn tal-aħħar ikunu stabbiliti fl-arranġamenti kuntrattwali tagħhom. Minbarra dan, ħafna minn dawk l-arranġamenti kuntrattwali ma jipprevedux salvagwardji suffiċjenti li jippermettu l-monitoraġġ komprensiv tal-proċessi ta’ sottokuntrattar, u b’hekk iċaħħdu lill-entità finanzjarja mill-kapaċità tagħha li tivvaluta r-riskji assoċjati. Barra minn hekk, billi l-fornituri terzi ta’ servizzi tal-ICT spiss jipprovdu servizzi standardizzati lil tipi differenti ta’ klijenti, tali arranġamenti kuntrattwali mhux dejjem jissodisfaw b’mod adegwat il-ħtiġijiet individwali jew speċifiċi tal-atturi tal-industrija finanzjarja.

(29)

Għalkemm il-liġi tal-Unjoni dwar is-servizzi finanzjarji fiha ċerti regoli ġenerali dwar l-esternalizzazzjoni, il-monitoraġġ tad-dimensjoni kuntrattwali mhuwiex kompletament ankrat fil-liġi tal-Unjoni. Fin-nuqqas ta’ standards ċari tal-Unjoni u mfassla apposta li japplikaw għall-arranġamenti kuntrattwali konklużi ma’ fornituri terzi ta’ servizzi tal-ICT, is-sors estern tar-riskju tal-ICT mhuwiex indirizzat b’mod komprensiv. Konsegwentement, jeħtieġ li jiġu stipulati ċerti prinċipji ewlenin biex jiggwidaw il-ġestjoni mill-entitajiet finanzjarji tar-riskju relatat mal-ICT minn partijiet terzi, li huma ta’ importanza partikolari meta l-entitajiet finanzjarji jirrikorru għal fornituri terzi ta’ servizzi tal-ICT biex jappoġġjaw il-funzjonijiet kritiċi jew importanti tagħhom. Jenħtieġ li dawk il-prinċipji jkunu akkumpanjati minn sett ta’ drittijiet kuntrattwali ewlenin fir-rigward ta’ diversi elementi fil-prestazzjoni u t-terminazzjoni tal-arranġamenti kuntrattwali bil-ħsieb li jiġu pprovduti ċerti salvagwardji minimi sabiex isaħħu l-kapaċità tal-entitajiet finanzjarji li jimmonitorjaw b’mod effettiv ir-riskju kollu tal-ICT li jirriżulta fil-livell ta’ fornituri terzi ta’ servizzi. Dawk il-prinċipji huma komplimentari għal-liġi settorjali applikabbli għall-esternalizzazzjoni.

(30)

Ċertu nuqqas ta’ omoġeneità u konverġenza fir-rigward tal-monitoraġġ tar-riskju relatat mal-ICT minn partijiet terzi u d-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT huwa evidenti llum. Minkejja l-sforzi biex tiġi indirizzata l-esternalizzazzjoni, bħal-Linji gwida tal-EBA dwar l-esternalizzazzjoni tal-2019 u l-Linji gwida tal-ESMA dwar l-esternalizzazzjoni lill-fornituri tas-servizzi ta’ cloud tal-2021 il-kwistjoni usa’ tal-ġlieda kontra r-riskju sistemiku li jista’ jiġi skattat mill-iskopertura tas-settur finanzjarju għal għadd limitat ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT mhijiex indirizzata biżżejjed mil-liġi tal-Unjoni. In-nuqqas ta’ regoli fil-livell tal-Unjoni huwa aggravat min-nuqqas ta’ regoli nazzjonali dwar mandati u għodod li jippermettu lis-superviżuri finanzjarji jiksbu fehim tajjeb tad-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT u jimmonitorjaw b’mod adegwat ir-riskji li jirriżultaw mill-konċentrazzjoni ta’ dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT.

(31)

Meta jitqies ir-riskju sistemiku potenzjali li jirriżulta minn żieda fil-prassi ta’ esternalizzazzjoni u mill-konċentrazzjoni ta’ partijiet terzi tal-ICT, u minħabba l-insuffiċjenza tal-mekkaniżmi nazzjonali biex jipprovdu lis-superviżuri finanzjarji b’għodod adegwati biex jikkwantifikaw, jikkwalifikaw u jirrimedjaw il-konsegwenzi tar-riskju tal-ICT li jeżistu fil-fornituri terzi kritiċi ta’ servizzi tal-ICT, huwa meħtieġ li jiġi stabbilit Qafas ta’ Sorveljanza xieraq li jippermetti monitoraġġ kontinwu tal-attivitajiet tal-fornituri terzi ta’ servizzi tal-ICT li huma fornituri terzi kritiċi ta’ servizzi tal-ICT għal entitajiet finanzjarji, filwaqt li jiġi żgurat li jinżammu l-kunfidenzjalità u s-sigurtà tal-klijenti li mhumiex entitajiet finanzjarji. Filwaqt li l-forniment intragrupp ta’ servizzi tal-ICT jinvolvi riskji u benefiċċji speċifiċi, jenħtieġ li dan ma jitqiesx awtomatikament bħala inqas riskjuż mill-forniment ta’ servizzi tal-ICT minn fornituri barra minn grupp finanzjarju, u għalhekk jenħtieġ li jkun soġġett għall-istess qafas regolatorju. Madankollu, meta s-servizzi tal-ICT jiġu pprovduti mill-istess grupp finanzjarju, l-entitajiet finanzjarji jista’ jkollhom livell ogħla ta’ kontroll fuq il-fornituri intragrupp, li għandu jitqies fil-valutazzjoni tar-riskju ġenerali.

(32)

Bir-riskju tal-ICT li qed isir dejjem aktar kumpless u sofistikat, miżuri tajbin għall-individwazzjoni u l-prevenzjoni tar-riskju tal-ICT jiddependu ħafna fuq il-kondiviżjoni regolari bejn l-entitajiet finanzjarji ta’ intelligence dwar it-theddid u l-vulnerabbiltà. Il-kondiviżjoni tal-informazzjoni tikkontribwixxi għat-tiswir ta’ aktar sensibilizzazzjoni dwar it-theddid ċibernetiku. Min-naħa tiegħu, dan isaħħaħ il-kapaċità tal-entitajiet finanzjarji biex jipprevjenu t-theddidiet ċibernetiċi milli jsiru inċidenti reali relatati mal-ICT u jippermetti lill-entitajiet finanzjarji jrażżnu b’mod aktar effettiv l-impatt tal-inċidenti relatati mal-ICT u jirkupraw aktar malajr. Fin-nuqqas ta’ gwida fil-livell tal-Unjoni, jidher li diversi fatturi impedew tali kondiviżjoni tal-intelligence, b’mod partikolari l-inċertezza dwar il-kompatibbiltà tagħha mar-regoli dwar il-protezzjoni tad-data, l-antitrust u r-responsabbiltà.

(33)

Barra minn hekk, id-dubji dwar it-tip ta’ informazzjoni li tista’ tiġi kondiviża ma’ parteċipanti oħrajn fis-suq, jew ma’ awtoritajiet mhux superviżorji (bħall-ENISA, għal input analitiku, jew il-Europol, għall-finijiet ta’ infurzar tal-liġi) jwasslu biex ma tiġix kondiviża informazzjoni utli. Għalhekk, il-firxa u l-kwalità tal-kondiviżjoni tal-informazzjoni attwalment jibqgħu limitati u frammentati, fejn l-iskambji rilevanti jsiru l-aktar lokalment (permezz ta’ inizjattivi nazzjonali) u mingħajr arranġamenti konsistenti għall-kondiviżjoni ta’ informazzjoni mal-Unjoni kollha mfassla għall-ħtiġijiet ta’ sistema finanzjarju integrata. Għalhekk huwa importanti li jissaħħu dawk il-kanali ta’ komunikazzjoni.

(34)

Jenħtieġ li l-entitajiet finanzjarji jiġu mħeġġa jiskambjaw bejniethom informazzjoni u intelligence dwar it-theddid ċibernetiku, u jużaw b’mod kollettiv l-għarfien u l-esperjenza prattika individwali tagħhom fil-livell strateġiku, tattiku u operazzjonali bl-għan li jtejbu l-kapaċitajiet tagħhom li jivvalutaw, jimmonitorjaw, jiddefendu kontra, u jirrispondu b’mod adegwat għat-theddid ċibernetiku, billi jipparteċipaw f’arranġamenti għall-kondiviżjoni tal-informazzjoni. Għalhekk, huwa meħtieġ li tkun possibbli l-ħolqien fil-livell tal-Unjoni ta’ mekkaniżmi għal arranġamenti volontarji għall-kondiviżjoni tal-informazzjoni li, meta jitwettqu f’ambjenti ta’ fiduċja, jgħinu lill-komunità tal-industrija finanzjarja tipprevjeni u tirrispondi b’mod kollettiv għat-theddid ċibernetiku billi tillimita malajr it-tixrid tar-riskju tal-ICT u timpedixxi l-kontaġju potenzjali fil-mezzi finanzjarji kollha. Dawk il-mekkaniżmi jenħtieġ li jikkonformaw mar-regoli applikabbli tal-liġi tal-kompetizzjoni tal-Unjoni stabbiliti fil-Komunikazzjoni mill-Kummissjoni tal-14 ta’ Jannar 2011 intitolata “Linji Gwida dwar l-applikabbiltà tal-Artikolu 101 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea għall-akkordji dwar kooperazzjoni orizzontali”, kif ukoll mar-regoli tal-Unjoni dwar il-protezzjoni tad-data, b’mod partikolari r-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (13). Huma jenħtieġ li joperaw abbażi tal-użu ta’ bażi legali waħda jew aktar li huma stabbiliti fl-Artikolu 6 ta’ dak ir-Regolament, bħal fil-kuntest tal-ipproċessar ta’ data personali li huwa meħtieġ għall-finijiet tal-interess leġittimu segwit mill-kontrollur jew minn parti terza, kif imsemmi fl-Artikolu 6(1), il-punt (f), ta’ dak ir-Regolament, kif ukoll fil-kuntest tal-ipproċessar ta’ data personali meħtieġ għall-konformità ma’ obbligu legali li għalih huwa soġġett il-kontrollur, meħtieġ għat-twettiq ta’ kompitu mwettaq fl-interess pubbliku jew fl-eżerċizzju ta’ awtorità uffiċjali vestita fil-kontrollur, kif imsemmi fl-Artikolu 6(1), il-punti (c) u (e), rispettivament, ta’ dak ir-Regolament.

(35)

Sabiex jinżamm livell għoli ta’ reżiljenza operazzjonali diġitali għas-settur finanzjarju kollu, u fl-istess ħin biex jinżamm il-pass mal-iżviluppi teknoloġiċi, dan ir-Regolament jenħtieġ li jindirizza r-riskju li jirriżulta mit-tipi kollha ta’ servizzi tal-ICT. Għal dak il-għan, id-definizzjoni ta’ servizzi tal-ICT fil-kuntest ta’ dan ir-Regolament jenħtieġ li tinftiehem b’mod wiesa’, li tinkludi servizzi diġitali u tad-data pprovduti permezz ta’ sistemi tal-ICT lil utent intern jew estern wieħed jew aktar fuq bażi kontinwa. Jenħtieġ li dik id-definizzjoni, pereżempju, tinkludi l-hekk imsejħa servizzi “over the top”, li jaqgħu fil-kategorija ta’ servizzi ta’ komunikazzjonijiet elettroniċi. Jenħtieġ li teskludi biss il-kategorija limitata ta’ servizzi tat-telefonija analoga tradizzjonali li jikkwalifikaw bħala servizzi ta’ Network Telefoniku Pubbliku Kommutat (PSTN), servizzi ta’ linja fissa, Servizz Telefoniku Tradizzjonali (POTS), jew servizzi tat-telefown b’linja fissa.

(36)

Minkejja l-kopertura wiesgħa prevista minn dan ir-Regolament, l-applikazzjoni tar-regoli dwar ir-reżiljenza operazzjonali diġitali jenħtieġ li tqis id-differenzi sinifikanti bejn l-entitajiet finanzjarji f’termini tad-daqs u l-profil tar-riskju ġenerali tagħhom. Bħala prinċipju ġenerali, meta jiddistribwixxu r-riżorsi u l-kapaċitajiet għall-implimentazzjoni tal-qafas tal-ġestjoni tar-riskju tal-ICT, jenħtieġ li l-entitajiet finanzjarji jibbilanċjaw kif xieraq il-ħtiġijiet tagħhom relatati mal-ICT mad-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom, filwaqt li l-awtoritajiet kompetenti jenħtieġ li jkomplu jivvalutaw u jirrieżaminaw l-approċċ ta’ din id-distribuzzjoni.

(37)

Il-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, imsemmija fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366, huma espliċitament inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament, filwaqt li titqies in-natura speċifika tal-attivitajiet tagħhom u r-riskji li jirriżultaw minnhom. Barra minn hekk, l-istituzzjonijiet tal-flus elettroniċi u l-istituzzjonijiet ta’ pagament eżentati skont l-Artikolu 9(1) tad-Direttiva 2009/110/KE (14) tal-Parlament Ewropew u tal-Kunsill u l-Artikolu 32(1) tad-Direttiva (UE) 2015/2366 huma inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament anki jekk ma jkunux ingħataw awtorizzazzjoni f’konformità mad-Direttiva 2009/110/KE biex joħorġu flus elettroniċi, jew jekk ma jkunux ingħataw awtorizzazzjoni skont id-Direttiva (UE) 2015/2366 biex jipprovdu u jeżegwixxu servizzi ta’ pagament. Madankollu, l-istituzzjonijiet ta’ kontijiet postali fil-forma giro, imsemmija fl-Artikolu 2(5), il-punt (3), tad-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill (15), huma esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament. L-awtorità kompetenti għall-istituzzjonijiet ta’ pagament eżentati skont id-Direttiva (UE) 2015/2366, l-istituzzjonijiet tal-flus elettroniċi eżentati skont id-Direttiva 2009/110/KE, u l-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet kif imsemmija fl-Artikolu 33(1) tad-Direttiva (UE) 2015/2366, jenħtieġ li tkun l-awtorità kompetenti maħtura f’konformità mal-Artikolu 22 tad-Direttiva (UE) 2015/2366.

(38)

Billi entitajiet finanzjarji akbar jistgħu jgawdu minn riżorsi usa’ u jistgħu jużaw fondi b’ħeffa biex jiżviluppaw strutturi ta’ governanza u jistabbilixxu diversi strateġiji korporattivi, huma biss l-entitajiet finanzjarji li mhumiex mikrointrapriżi fis-sens ta’ dan ir-Regolament li jenħtieġ li jkunu meħtieġa jistabbilixxu arranġamenti ta’ governanza aktar kumplessi. Entitajiet bħal dawn huma mgħammra aħjar, b’mod partikolari biex jistabbilixxu funzjonijiet ta’ ġestjoni ddedikati għat-twettiq ta’ superviżjoni tal-arranġamenti ma’ fornituri terzi ta’ servizzi tal-ICT jew biex jittrattaw l-immaniġġjar tal-kriżijiet, biex jorganizzaw il-ġestjoni tar-riskju tal-ICT tagħhom skont it-tliet linji tal-mudell ta’ difiża, jew biex jistabbilixxu mudell intern ta’ kontroll u tal-ġestjoni tar-riskju, u biex jissottomettu l-qafas tal-ġestjoni tar-riskju tal-ICT tagħhom għal awditi interni.

(39)

Xi entitajiet finanzjarji jibbenefikaw minn eżenzjonijiet jew huma soġġetti għal qafas regolatorju ħafif ħafna skont il-liġi rilevanti tal-Unjoni speċifika għas-settur. Tali entitajiet finanzjarji jinkludu maniġers ta’ fondi ta’ investiment alternattivi msemmija fl-Artikolu 3(2) tad-Direttiva 2011/61/UE tal-Parlament Ewropew u tal-Kunsill (16), impriżi tal-assigurazzjoni u tar-riassigurazzjoni msemmija fl-Artikolu 4 tad-Direttiva 2009/138/KE tal-Parlament Ewropew u tal-Kunsill (17), u istituzzjonijiet għall-provvista ta’ rtirar okkupazzjonali li joperaw skemi ta’ pensjoni li b’kollox ma jkollhomx aktar minn 15-il membru b’kollox. Fid-dawl ta’ dawk l-eżenzjonijiet ma jkunx proporzjonat li tali entitajiet finanzjarji jiġu inklużi fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament. Barra minn hekk, dan ir-Regolament jirrikonoxxi l-ispeċifiċitajiet tal-istruttura tas-suq tal-intermedjazzjoni tal-assigurazzjoni, bir-riżultat li l-intermedjarji tal-assigurazzjoni, l-intermedjarji tar-riassigurazzjoni u l-intermedjarji tal-assigurazzjoni anċillari li jikkwalifikaw bħala intrapriżi mikro, jew bħala intrapriżi żgħar jew ta’ daqs medju jenħtieġ li ma jkunux soġġetti għal dan ir-Regolament.

(40)

Peress li l-entitajiet imsemmija fl-Artikolu 2(5), il-punti (4) sa (23), tad-Direttiva 2013/36/UE huma esklużi mill-kamp ta’ applikazzjoni ta’ dik id-Direttiva, jenħtieġ li l-Istati Membri konsegwentement ikunu jistgħu jagħżlu li jeżentaw mill-applikazzjoni ta’ dan ir-Regolament tali entitajiet li jinsabu fit-territorji rispettivi tagħhom.

(41)

Bl-istess mod, sabiex dan ir-Regolament jiġi allinjat mal-kamp ta’ applikazzjoni tad-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill (18), huwa wkoll xieraq li jiġu esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament il-persuni fiżiċi u ġuridiċi msemmija fl-Artikoli 2 u 3 ta’ dik id-Direttiva li jitħallew jipprovdu servizzi ta’ investiment mingħajr ma jkollhom għalfejn jiksbu awtorizzazzjoni skont id-Direttiva 2014/65/UE. Madankollu, l-Artikolu 2 tad-Direttiva 2014/65/UE jeskludi wkoll mill-kamp ta’ applikazzjoni ta’ dik id-Direttiva entitajiet li jikkwalifikaw bħala entitajiet finanzjarji għall-finijiet ta’ dan ir-Regolament bħal, depożitorji ċentrali tat-titoli, impriżi ta’ investiment kollettiv jew impriżi tal-assigurazzjoni u tar-riassigurazzjoni. Jenħtieġ li l- esklużjoni mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament tal-persuni u l-entitajiet imsemmija fl-Artikoli 2 u 3 ta’ dik id-Direttiva ma tinkludix dawk id-depożitorji ċentrali tat-titoli, l-impriżi ta’ investiment kollettiv jew l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni.

(42)

Skont il-liġi tal-Unjoni speċifika għas-settur, xi entitajiet finanzjarji huma soġġetti għal rekwiżiti jew eżenzjonijiet eħfef għal raġunijiet assoċjati mad-daqs tagħhom jew mas-servizzi li jipprovdu. Dik il-kategorija ta’ entitajiet finanzjarji tinkludi ditti tal-investiment żgħar u mhux interkonnessi, istituzzjonijiet żgħar għall-provvista ta’ rtirar okkupazzjonali li jistgħu jiġu esklużi mill-kamp ta’ applikazzjoni tad-Direttiva (UE) 2016/2341 skont il-kondizzjonijiet stabbiliti fl-Artikolu 5 ta’ dik id-Direttiva mill-Istat Membru kkonċernat u joperaw skemi ta’ pensjoni li b’kollox ma għandhomx total ta’ aktar minn 100 membru, kif ukoll istituzzjonijiet eżentati skont id-Direttiva 2013/36/UE. Għalhekk, f’konformità mal-prinċipju tal-proporzjonalità u biex jiġi ppreservat l-ispirtu tal-liġi tal-Unjoni speċifika għas-settur, huwa xieraq ukoll li dawk l-entitajiet finanzjarji jiġu soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament. Il-karattru proporzjonat tal-qafas tal-ġestjoni tar-riskju tal-ICT li jkopri dawk l-entitajiet finanzjarji jenħtieġ li ma jinbidilx mill-istandards tekniċi regolatorji li għandhom jiġu żviluppati mill-ASE. Barra minn hekk, f’konformità mal-prinċipju tal-proporzjonalità, huwa xieraq li l-istituzzjonijiet ta’ pagament imsemmija fl-Artikolu 32(1) tad-Direttiva (UE) 2015/2366 u l-istituzzjonijiet tal-flus elettroniċi msemmija fl-Artikolu 9 tad-Direttiva 2009/110/KE eżentati f’konformità mal-liġi nazzjonali li tittrasponi dawk l-atti legali tal-Unjoni jiġu soġġetti għal qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament, filwaqt li l-istituzzjonijiet ta’ pagament u l-istituzzjonijiet tal-flus elettroniċi li ma ġewx eżentati f’konformità mal-liġi nazzjonali rispettiva tagħhom li tittrasponi l-liġi settorjali tal-Unjoni jenħtieġ li jikkonformaw mal-qafas ġenerali stabbilit minn dan ir-Regolament.

(43)

Bl-istess mod, l-entitajiet finanzjarji li jikkwalifikaw bħala mikrointrapriżi jew li huma soġġetti għall-qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament, jenħtieġ li ma jkunux meħtieġa li jistabbilixxu rwol ta’ monitoraġġ tal-arranġamenti tagħhom konklużi ma’ fornituri terzi ta’ servizzi tal-ICT dwar l-użu tas-servizzi tal-ICT; jew li jaħtru membru tal-maniġment superjuri biex ikun responsabbli għas-sorveljanza tal-esponiment għar-riskju relatat u d-dokumentazzjoni rilevanti; li jassenjaw ir-responsabbiltà għall-ġestjoni u s-sorveljanza tar-riskju tal-ICT għal funzjoni ta’ kontroll u jiżguraw livell xieraq ta’ indipendenza ta’ tali funzjoni ta’ kontroll sabiex jiġu evitati kunflitti ta’ interess; li jiddokumentaw u jirrieżaminaw mill-inqas darba fis-sena l-qafas tal-ġestjoni tar-riskju tal-ICT; li jissoġġettaw għall-awditu intern fuq bażi regolari l-qafas tal-ġestjoni tar-riskju tal-ICT; li jwettqu valutazzjonijiet fil-fond wara bidliet kbar fl-infrastrutturi u l-proċessi tan-netwerks u tas-sistemi tal-informazzjoni tagħhom; li jwettqu analiżijiet tar-riskju b’mod regolari fuq sistemi tal-ICT li jkunu diġà ntirtu; li jissoġġettaw l-implimentazzjoni tal-Pjanijiet ta’ Rispons u Rkupru għall-ICT għal reviżjonijiet tal-awditu intern indipendenti; li jkollhom funzjoni ta’ ġestjoni tal-kriżijiet, li jespandu l-ittestjar tal-kontinwità tan-negozju u tal-pjanijiet ta’ rispons u rkupru biex jaqbdu xenarji ta’ kommutazzjoni bejn l-infrastruttura primarja tal-ICT u l-faċilitajiet żejda; li jirrappurtaw lill-awtoritajiet kompetenti, fuq talba tagħhom, stima tal-kostijiet u t-telf annwali aggregati kkawżati minn inċidenti kbar relatati mal-ICT, li jinżammu l-kapaċitajiet żejda tal-ICT; li jikkomunikaw lill-awtoritajiet kompetenti nazzjonali l-bidliet implimentati wara r-rieżamijiet tal-inċidenti relatati mal-ICT; li jimmonitorjaw fuq bażi kontinwa l-iżviluppi teknoloġiċi rilevanti, li jistabbilixxu programm komprensiv tal-ittestjar tar-reżiljenza operazzjonali diġitali bħala parti integrali mill-qafas tal-ġestjoni tar-riskju tal-ICT previst f’dan ir-Regolament, jew li jadottaw u jirrieżaminaw regolarment strateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi. Barra minn hekk, jenħtieġ li l-mikrointrapriżi jintalbu jivvalutaw il-ħtieġa li jżommu tali kapaċitajiet żejda tal-ICT abbażi tal-profil tar-riskju tagħhom biss. Jenħtieġ li l-mikrointrapriżi jibbenefikaw minn reġim aktar flessibbli fir-rigward tal-programmi tal-ittestjar tar-reżiljenza operazzjonali diġitali. Meta jitqiesu t-tip u l-frekwenza tal-ittestjar li għandu jitwettaq, jenħtieġ li dawn jibbilanċjaw b’mod xieraq l-objettiv li tinżamm reżiljenza operazzjonali diġitali għolja mar-riżorsi disponibbli u l-profil tar-riskju ġenerali tagħhom. Jenħtieġ li l-mikrointrapriżi u l-entitajiet finanzjarji soġġetti għall-qafas simplifikat tal-ġestjoni tar-riskju tal-ICT skont dan ir-Regolament jiġu eżentati mir-rekwiżit li jwettqu ttestjar avvanzat ta’ għodod, sistemi u proċessi tal-ICT ibbażati fuq l-ittestjar tal-penetrazzjoni bbażat fuq it-theddid (TLPT), peress li huma biss entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament li jenħtieġ li jkunu meħtieġa jwettqu tali ttestjar. Fid-dawl tal-kapaċitajiet limitati tagħhom, jenħtieġ li l-mikrointrapriżi jkunu jistgħu jaqblu mal-fornitur terz ta’ servizzi tal-ICT li jiddelegaw id-drittijiet ta’ aċċess, spezzjoni u awditu tal-entità finanzjarja lil parti terza indipendenti, li għandha tinħatar mill-fornitur terz ta’ servizzi tal-ICT, dment li l-entità finanzjarja tkun tista’ titlob, fi kwalunkwe ħin, l-informazzjoni u l-assigurazzjoni rilevanti kollha dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT mill-parti terza indipendenti rispettiva.

(44)

Billi huma biss dawk l-entitajiet finanzjarji identifikati għall-finijiet tal-ittestjar avvanzat tar-reżiljenza diġitali li jenħtieġ li jkunu meħtieġa jwettqu testijiet tal-penetrazzjoni mmexxija mit-theddid, il-proċessi amministrattivi u l-kostijiet finanzjarji li jinvolvi t-twettiq ta’ tali testijiet jenħtieġ li jiġġarrbu minn persentaġġ żgħir ta’ entitajiet finanzjarji.

(45)

Sabiex jiġu żgurati allinjament sħiħ u konsistenza ġenerali bejn l-istrateġiji tan-negozju tal-entitajiet finanzjarji, minn naħa waħda, u t-twettiq tal-ġestjoni tar-riskju tal-ICT, min-naħa l-oħra, il-korpi maniġerjali tal-entitajiet finanzjarji jenħtieġ li jkunu meħtieġa jżommu rwol kruċjali u attiv fit-tmexxija u l-adattament tal-qafas tal-ġestjoni tar-riskju tal-ICT u l-istrateġija ġenerali tar-reżiljenza operazzjonali diġitali. L-approċċ li jrid jittieħed mill-korpi maniġerjali ma għandux jiffoka biss fuq il-mezzi biex tiġi żgurata r-reżiljenza tas-sistemi tal-ICT, iżda jenħtieġ li jkopri wkoll in-nies u l-proċessi permezz ta’ sett ta’ politiki li jikkultivaw, f’kull livell korporattiv, u għall-membri tal-persunal kollha, sens qawwi ta’ sensibilizzazzjoni dwar ir-riskji ċibernetiċi u impenn li tiġi osservata iġjene ċibernetika stretta fil-livelli kollha. Ir-responsabbiltà aħħarija tal-korp maniġerjali fil-ġestjoni tar-riskju tal-ICT ta’ entità finanzjarja għandha tkun prinċipju ġenerali ta’ dak l-approċċ komprensiv, li jkompli jissarraf fl-involviment kontinwu tal-korp maniġerjali fil-kontroll tal-monitoraġġ tal-ġestjoni tar-riskju tal-ICT.

(46)

Barra minn hekk, il-prinċipju tar-responsabbiltà sħiħa u aħħarija tal-korp maniġerjali għall-ġestjoni tar-riskju tal-ICT tal-entità finanzjarja jmur id f’id mal-ħtieġa li jiġi żgurat livell ta’ investimenti relatati mal-ICT u baġit ġenerali għall-entità finanzjarja li jippermettu lill-entità finanzjarja tikseb livell għoli ta’ reżiljenza operazzjonali diġitali.

(47)

Ispirat mill-aħjar prattiki, linji gwida, rakkomandazzjonijiet u approċċi rilevanti nazzjonali, internazzjonali u stabbiliti mill-industrija għall-ġestjoni tar-riskju ċibernetiku, dan ir-Regolament jippromwovi sett ta’ prinċipji li jiffaċilitaw l-istruttura kumplessiva tal-ġestjoni tar-riskju tal-ICT. Konsegwentement, sakemm il-kapaċitajiet ewlenin li jistabbilixxu l-entitajiet finanzjarji jindirizzaw id-diversi funzjonijiet fil-ġestjoni tar-riskju tal-ICT (l-identifikazzjoni, il-protezzjoni u l-prevenzjoni, l-individwazzjoni, ir-rispons u l-irkupru, it-tagħlim u l-evoluzzjoni u l-komunikazzjoni) stabbiliti f’dan ir-Regolament, jenħtieġ li l-entitajiet finanzjarji jibqgħu liberi li jużaw mudelli ta’ ġestjoni tar-riskju tal-ICT li huma inkwadrati jew kategorizzati b’mod differenti.

(48)

Sabiex iżommu l-pass ma’ xenarju tat-theddid ċibernetiku li qed jevolvi, jenħtieġ li l-entitajiet finanzjarji jżommu sistemi tal-ICT aġġornati li jkunu affidabbli u kapaċi mhux biss li jiggarantixxu l-ipproċessar tad-data meħtieġa għas-servizzi tagħhom, iżda wkoll li jiżguraw reżiljenza teknoloġika suffiċjenti biex ikunu jistgħu jittrattaw b’mod adegwat il-ħtiġijiet ta’ pproċessar addizzjonali minħabba kundizzjonijiet tas-suq taħt stress jew sitwazzjonijiet avversi oħra.

(49)

Huma meħtieġa pjanijiet effiċjenti ta’ kontinwità tal-operat u ta’ rkupru biex jippermettu lill-entitajiet finanzjarji jsolvu minnufih u malajr inċidenti relatati mal-ICT, b’mod partikolari attakki ċibernetiċi, billi jillimitaw id-dannu u jagħtu prijorità lit-tkomplija tal-attivitajiet u tal-azzjonijiet ta’ rkupru f’konformità mal-politiki ta’ riżerva tagħhom. Madankollu, jenħtieġ li tali tkomplija bl-ebda mod ma tipperikola l-integrità u s-sigurtà tan-netwerks u tas-sistemi tal-informazzjoni jew id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data.

(50)

Filwaqt li dan ir-Regolament jippermetti lill-entitajiet finanzjarji jiddeterminaw il-ħin ta’ rkupru u l-objettivi tal-punt ta’ rkupru tagħhom b’mod flessibbli u b’hekk jistabbilixxu tali objettivi billi jqisu bis-sħiħ in-natura u l-kritikalità tal-funzjonijiet rilevanti u kwalunkwe ħtieġa kummerċjali speċifika, jenħtieġ li r-Regolament madankollu jeżiġi li huma jwettqu valutazzjoni tal-impatt ġenerali potenzjali fuq l-effiċjenza tas-suq meta jiġu ddeterminati tali objettivi.

(51)

Il-propagaturi ta’ attakki ċibernetiċi għandhom it-tendenza li jsegwu gwadanji finanzjarji direttament fis-sors, u b’hekk jesponu lill-entitajiet finanzjarji għal konsegwenzi sinifikanti. Sabiex jiġi evitat li s-sistemi tal-ICT jitilfu l-integrità jew ma jibqgħux disponibbli, u b’hekk jiġi evitat ksur tad-data u ħsara lill-infrastruttura fiżika tal-ICT, ir-rappurtar ta’ inċidenti kbar relatati mal-ICT minn entitajiet finanzjarji jenħtieġ li jittejjeb u jiġi ssimplifikat b’mod sinifikanti. Jenħtieġ li r-rappurtar tal-inċidenti relatati mal-ICT jiġi armonizzat permezz tal-introduzzjoni ta’ rekwiżit għall-entitajiet finanzjarji kollha biex jirrappurtaw direttament lill-awtoritajiet kompetenti rilevanti tagħhom. Meta entità finanzjarja tkun soġġetta għal superviżjoni minn aktar minn awtorità kompetenti nazzjonali waħda, jenħtieġ li l-Istati Membri jaħtru awtorità kompetenti waħda bħala d-destinatarju ta’ tali rappurtar. L-istituzzjonijiet ta’ kreditu kklassifikati bħala sinifikanti skont l-Artikolu 6(4) tar-Regolament tal-Kunsill (UE) Nru 1024/2013 (19) jenħtieġ li jissottomettu tali rappurtar lill-awtoritajiet kompetenti nazzjonali, li jenħtieġ li sussegwentement jittrażmettu r-rapport lill-Bank Ċentrali Ewropew (BĊE).

(52)

Jenħtieġ li r-rappurtar dirett jippermetti lis-superviżuri finanzjarji jkollhom aċċess immedjat għall-informazzjoni dwar inċidenti kbar relatati mal-ICT. Min-naħa tagħhom, is-superviżuri finanzjarji jenħtieġ li jgħaddu d-dettalji ta’ inċidenti kbar relatati mal-ICT lill-awtoritajiet pubbliċi mhux finanzjarji (bħall-awtoritajiet kompetenti u punti uniċi ta’ kuntatt maħtura skont id-Direttiva (UE) 2022/2555, l-awtoritajiet nazzjonali tal-protezzjoni tad-data, u lill-awtoritajiet tal-infurzar tal-liġi għal inċidenti kbar relatati mal-ICT ta’ natura kriminali sabiex tissaħħaħ is-sensibilizzazzjoni ta’ tali awtoritajiet dwar inċidenti bħal dawn u, fil-każ tas-CSIRTs, biex tiġi ffaċilitata l-assistenza fil-pront li tista’ tingħata lill-entitajiet finanzjarji, kif xieraq. Barra minn hekk, l-Istati Membri jenħtieġ li jkunu jistgħu jiddeterminaw li l-entitajiet finanzjarji nfushom jipprovdu tali informazzjoni lill-awtoritajiet pubbliċi barra mill-qasam tas-servizzi finanzjarji. Dawk il-flussi ta’ informazzjoni jenħtieġ li jippermettu lill-entitajiet finanzjarji jibbenefikaw malajr minn kwalunkwe input tekniku rilevanti, parir dwar rimedji, u segwitu sussegwenti minn tali awtoritajiet. L-informazzjoni dwar inċidenti kbar relatati mal-ICT jenħtieġ li tingħata b’mod reċiproku: jenħtieġ li s-superviżuri finanzjarji jipprovdu l-feedback jew il-gwida kollha meħtieġa lill-entità finanzjarja, filwaqt li jenħtieġ li l-ASE jikkondividu data anonimizzata dwar it-theddid ċibernetiku u l-vulnerabbiltajiet relatati ma’ inċident, ħalli tingħata għajnuna lid-difiża kollettiva usa’.

(53)

Filwaqt li l-entitajiet finanzjarji kollha jenħtieġ li jkunu meħtieġa jwettqu rappurtar tal-inċidenti, dak ir-rekwiżit mhuwiex mistenni li jaffettwahom kollha bl-istess mod. Tabilħaqq, il-limiti ta’ materjalità rilevanti, kif ukoll l-iskedi ta’ żmien għar-rappurtar, għandhom jiġu aġġustati kif xieraq, fil-kuntest ta’ atti delegati bbażati fuq l-istandards tekniċi regolatorji li għandhom jiġu żviluppati mill-ASE, bil-ħsieb li jiġu koperti biss inċidenti kbar relatati mal-ICT. Barra minn hekk, jenħtieġ li jitqiesu l-ispeċifiċitajiet tal-entitajiet finanzjarji meta jiġu stabbiliti l-iskedi ta’ żmien għall-obbligi ta’ rappurtar.

(54)

Dan ir-Regolament jenħtieġ li jirrikjedi li l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet ta’ pagament, il-fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet u l-istituzzjonijiet tal-flus elettroniċi jirrappurtaw l-inċidenti operazzjonali jew ta’ sigurtà kollha relatati mal-pagamenti – li qabel kienu rrappurtati skont id-Direttiva (UE) 2015/2366 – irrispettivament min-natura tal-ICT tal-inċident.

(55)

Jenħtieġ li l-ASE jkunu nkarigati li jivvalutaw il-fattibbiltà u l-kundizzjonijiet għal ċentralizzazzjoni possibbli tar-rapporti ta’ inċidenti relatati mal-ICT fil-livell tal-Unjoni. Tali ċentralizzazzjoni tista’ tikkonsisti f’Ċentru uniku tal-UE għar-rappurtar ta’ inċidenti kbar relatati mal-ICT li jew jirċievi direttament rapporti rilevanti u jinnotifika awtomatikament lill-awtoritajiet kompetenti nazzjonali, jew sempliċiment li jiċċentralizza r-rapporti rilevanti mibgħuta mill-awtoritajiet nazzjonali kompetenti u b’hekk jissodisfa rwol ta’ koordinazzjoni. Jenħtieġ li l-ASE jingħataw il-kompitu li jħejju, f’konsultazzjoni mal-BĊE u l-ENISA, rapport konġunt li jesplora l-fattibbiltà li jiġi stabbilit Ċentru uniku tal-UE.

(56)

Sabiex jinkiseb livell għoli ta’ reżiljenza operazzjonali diġitali, u f’konformità kemm mal-istandards internazzjonali rilevanti (eż. l-Elementi Fundamentali tal-G7 għall-Ittestjar tal-Penetrazzjoni Bbażat fuq it-Theddid) kif ukoll mal-oqfsa applikati fl-Unjoni, bħat-TIBER-EU, l-entitajiet finanzjarji jenħtieġ li jittestjaw regolarment is-sistemi tal-ICT tagħhom u l-persunal tagħhom li jkollu responsabbiltajiet relatati mal-ICT fir-rigward tal-effettività tal-kapaċitajiet tagħhom ta’ prevenzjoni, individwazzjoni, rispons u rkupru, biex jikxfu u jindirizzaw vulnerabbiltajiet potenzjali tal-ICT. Sabiex jiġu riflessi d-differenzi li jeżistu bejn, u fi ħdan, id-diversi subsetturi finanzjarji fir-rigward tal-livell ta’ tħejjija taċ-ċibersigurtà tal-entitajiet finanzjarji, jenħtieġ li l-ittestjar jinkludi varjetà wiesgħa ta’ għodod u azzjonijiet, li jvarjaw mill-valutazzjoni tar-rekwiżiti bażiċi (eż. valutazzjonijiet tal-vulnerabbiltà u skennjar, analiżijiet b’sors miftuħ, valutazzjonijiet tas-sigurtà tan-netwerk, analiżijiet tan-nuqqasijiet, rieżamijiet tas-sigurtà fiżika, kwestjonarji u soluzzjonijiet tas-software tal-iskennjar, rieżamijiet tal-kodiċi tas-sors fejn fattibbli, testijiet ibbażati fuq xenarji, ittestjar tal-kompatibbiltà, ittestjar tal-prestazzjoni jew ittestjar minn tarf sa tarf) sa ttestjar aktar avvanzat permezz tat-TLPT. Tali ttestjar avvanzat jenħtieġ li jkun meħtieġ biss għall-entitajiet finanzjarji li huma maturi biżżejjed minn perspettiva tal-ICT biex iwettquh b’mod raġonevoli. B’hekk, jenħtieġ li l-ittestjar tar-reżiljenza operazzjonali diġitali meħtieġ minn dan ir-Regolament ikun aktar esiġenti għal dawk l-entitajiet finanzjarji li jissodisfaw il-kriterji stabbiliti f’dan ir-Regolament (pereżempju, istituzzjonijiet ta’ kreditu, boroż, depożitarji ċentrali tat-titoli u kontropartijiet ċentrali kbar, sistemiċi u maturi f’termini ta’ ICT) milli għal entitajiet finanzjarji oħra. Fl-istess ħin, jenħtieġ li l-ittestjar tar-reżiljenza operazzjonali diġitali permezz ta’ TLPT ikun aktar rilevanti għal entitajiet finanzjarji li joperaw f’subsetturi ta’ servizzi finanzjarji ewlenin u li jkollhom rwol sistemiku (pereżempju, pagamenti, operazzjonijiet bankarji, u ikklerjar u saldu), u inqas rilevanti għal subsetturi oħrajn (pereżempju, maniġers tal-assi u aġenziji ta’ klassifikazzjoni tal-kreditu).

(57)

L-entitajiet finanzjarji involuti f’attivitajiet transfruntiera u li jeżerċitaw il-libertajiet tal-istabbiliment, jew tal-forniment ta’ servizzi fl-Unjoni, jenħtieġ li jikkonformaw ma’ sett uniku ta’ rekwiżiti ta’ ttestjar avvanzat (jiġifieri TLPT) fl-Istat Membru ta’ domiċilju tagħhom, li jenħtieġ li jinkludu l-infrastrutturi tal-ICT fil-ġuriżdizzjonijiet kollha fejn il-grupp finanzjarju transfruntier jopera fl-Unjoni, biex b’hekk tali gruppi finanzjarji transfruntiera jkunu jistgħu jġarrbu kostijiet tal-ittestjar tal-ICT relatati f’ġuriżdizzjoni waħda biss.

(58)

Sabiex isir użu mill-għarfien espert diġà miksub minn ċerti awtoritajiet kompetenti, b’mod partikolari fir-rigward tal-implimentazzjoni tal-qafas TIBER-UE, jenħtieġ li dan ir-Regolament jippermetti lill-Istati Membri jaħtru awtorità pubblika unika bħala responsabbli fis-settur finanzjarju, fil-livell nazzjonali, għall-kwistjonijiet kollha tat-TLPT, jew awtoritajiet kompetenti, biex jiddelegaw, fin-nuqqas ta’ tali ħatra, l-eżerċizzju ta’ kompiti relatati mat-TLPT lil awtorità nazzjonali kompetenti finanzjarja oħra.

(59)

Peress li dan ir-Regolament ma jirrikjedix li l-entitajiet finanzjarji jkopru l-funzjonijiet kritiċi jew importanti kollha f’test wieħed tal-penetrazzjoni bbażat fuq it-theddid, l-entitajiet finanzjarji jenħtieġ li jkunu liberi li jiddeterminaw liema u kemm funzjonijiet kritiċi jew importanti jenħtieġ li jiġu inklużi fil-kamp ta’ applikazzjoni ta’ tali test.

(60)

L-ittestjar aggregat skont it-tifsira ta’ dan ir-Regolament – li jinvolvi l-parteċipazzjoni ta’ diversi entitajiet finanzjarji f’TLPT u li għalih fornitur terz ta’ servizzi tal-ICT jista’ jidħol direttament f’arranġamenti kuntrattwali ma’ tester estern – jenħtieġ li jkun permess biss meta l-kwalità jew is-sigurtà tas-servizzi mogħtija mill-fornitur terz ta’ servizzi tal-ICT lil klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament, jew meta l-kunfidenzjalità tad-data relatata ma’ tali servizzi, ikunu raġonevolment mistennija li jiġu affettwati ħażin. L-ittestjar aggregat jenħtieġ li jkun soġġett ukoll għal salvagwardji (direzzjoni minn entità finanzjarja maħtura waħda, kalibrazzjoni tal-għadd ta’ entitajiet finanzjarji parteċipanti) biex jiġi żgurat eżerċizzju ta’ ttestjar rigoruż għall-entitajiet finanzjarji involuti li jissodisfaw l-objettivi tat-TLPT skont dan ir-Regolament.

(61)

Sabiex jittieħed vantaġġ mir-riżorsi interni disponibbli fil-livell korporattiv, jenħtieġ li dan ir-Regolament jippermetti l-użu ta’ testers interni għall-finijiet tat-twettiq tat-TLPT, dment li jkun hemm approvazzjoni superviżorja, l-ebda kunflitt ta’ interess, u alternanza perjodika tal-użu ta’ testers interni u esterni (kull tliet testijiet), filwaqt li jirrikjedi wkoll li l-fornitur tal-intelligence dwar it-theddid fit-TLPT ikun dejjem estern għall-entità finanzjarja. Ir-responsabbiltà għat-twettiq tat-TLPT jenħtieġ li tibqa’ kompletament f’idejn l-entità finanzjarja. L-attestazzjonijiet ipprovduti mill-awtoritajiet jenħtieġ li jkunu biss għall-fini ta’ rikonoxximent reċiproku u jenħtieġ li ma jipprekludu l-ebda azzjoni ta’ segwitu meħtieġa biex jiġi indirizzat ir-riskju tal-ICT li għalih tkun esposta l-entità finanzjarja, u jenħtieġ li lanqas ma jitqiesu bħala approvazzjoni superviżorja tal-kapaċitajiet ta’ ġestjoni u mitigazzjoni tar-riskju tal-ICT ta’ entità finanzjarja.

(62)

Sabiex jiġi żgurat monitoraġġ sod tar-riskju relatat mal-ICT minn partijiet terzi fis-settur finanzjarju, huwa meħtieġ li jiġi stabbilit sett ta’ regoli bbażati fuq il-prinċipji biex jiggwidaw lill-entitajiet finanzjarji meta jimmonitorjaw ir-riskju li jirriżulta fil-kuntest tal-funzjonijiet esternalizzati lil fornituri terzi ta’ servizzi tal-ICT, b’mod partikolari għas-servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti, kif ukoll b’mod aktar ġenerali fil-kuntest tad-dipendenzi kollha fuq fornituri terzi ta’ servizzi tal-ICT.

(63)

Sabiex tiġi indirizzata l-kumplessità tad-diversi sorsi ta’ riskju tal-ICT, filwaqt li jitqiesu l-għadd kbir u d-diversità ta’ fornituri ta’ soluzzjonijiet teknoloġiċi li jippermettu l-forniment bla xkiel ta’ servizzi finanzjarji, dan ir-Regolament jenħtieġ li jkopri firxa wiesgħa ta’ fornituri terzi ta’ servizzi tal-ICT, inkluż fornituri ta’ servizzi ta’ cloud computing, software, servizzi ta’ analiżi tad-data u fornituri ta’ servizzi ta’ ċentri tad-data. Bl-istess mod, peress li l-entitajiet finanzjarji jenħtieġ li jidentifikaw u jiġġestixxu b’mod effettiv u koerenti t-tipi kollha ta’ riskju, inkluż fil-kuntest ta’ servizzi tal-ICT akkwistati fi grupp finanzjarju, jenħtieġ li jiġi ċċarat li l-impriżi li huma parti minn grupp finanzjarju u li jipprovdu servizzi tal-ICT b’mod predominanti lill-impriża prinċipali tagħhom, jew lil sussidjarji jew fergħat tal-impriża prinċipali tagħhom, kif ukoll entitajiet finanzjarji li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji oħra, jenħtieġ li jitqiesu wkoll bħala fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament. Fl-aħħar nett, fid-dawl tal-fatt li s-suq tas-servizzi ta’ pagament li qed jevolvi qed isir dejjem aktar dipendenti fuq soluzzjonijiet tekniċi kumplessi, u fid-dawl tat-tipi emerġenti ta’ servizzi ta’ pagament u soluzzjonijiet relatati mal-pagamenti, jenħtieġ li l-parteċipanti fl-ekosistema tas-servizzi ta’ pagament, li jipprovdu attivitajiet ta’ pproċessar ta’ pagamenti, jew li joperaw infrastrutturi ta’ pagament, jitqiesu wkoll bħala fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament, bl-eċċezzjoni tal-banek ċentrali meta joperaw sistemi ta’ saldu ta’ pagamenti jew ta’ titoli, u tal-awtoritajiet pubbliċi meta jipprovdu servizzi relatati mal-ICT fil-kuntest tat-twettiq tal-funzjonijiet tal-Istat.

(64)

Entità finanzjarja jenħtieġ li f’kull ħin tibqa’ kompletament responsabbli għall-konformità mal-obbligi tagħha stabbiliti f’dan ir-Regolament. Jenħtieġ li l-entitajiet finanzjarji japplikaw approċċ proporzjonat għall-monitoraġġ tar-riskji li jinħolqu fil-livell tal-fornituri terzi ta’ servizzi tal-ICT billi jitqiesu debitament in-natura, l-iskala, il-kumplessità u l-importanza tad-dipendenzi relatati mal-ICT tagħhom, il-kritikalità jew l-importanza tas-servizzi, tal-proċessi jew tal-funzjonijiet soġġetti għall-arranġamenti kuntrattwali u, fl-aħħar mill-aħħar, abbażi ta’ valutazzjoni bir-reqqa ta’ kwalunkwe impatt potenzjali fuq il-kontinwità u l-kwalità tas-servizzi finanzjarji fil-livell individwali u fil-livell ta’ grupp, kif xieraq.

(65)

Jenħtieġ li t-twettiq ta’ tali monitoraġġ isegwi approċċ strateġiku għar-riskju relatat mal-ICT minn partijiet terzi formalizzat permezz tal-adozzjoni mill-korp maniġerjali tal-entità finanzjarja ta’ strateġija tar-riskju relatat mal-ICT minn partijiet terzi iddedikata, imsejsa fi skrinjar kontinwu tad-dipendenzi kollha fuq fornituri terzi ta’ servizzi tal-ICT. Sabiex tissaħħaħ is-sensibilizzazzjoni superviżorja tad-dipendenzi fuq fornituri terzi ta’ servizzi tal-ICT, u bil-ħsieb li tkompli tiġi appoġġjata l-ħidma fil-kuntest tal-Qafas ta’ Sorveljanza stabbilit minn dan ir-Regolament, jenħtieġ li l-entitajiet finanzjarji kollha jkunu meħtieġa jżommu reġistru tal-informazzjoni bl-arranġamenti kuntrattwali kollha dwar l-użu tas-servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT. Is-superviżuri finanzjarji jenħtieġ li jkunu jistgħu jitolbu r-reġistru sħiħ, jew jitolbu taqsimiet speċifiċi tiegħu, u b’hekk jiksbu informazzjoni essenzjali biex jiksbu fehim usa’ tad-dipendenzi tal-ICT tal-entitajiet finanzjarji.

(66)

Analiżi bir-reqqa ta’ qabel l-ikkuntrattar jenħtieġ li tirfed u tippreċedi l-konklużjoni formali tal-arranġamenti kuntrattwali, b’mod partikolari billi tiffoka fuq elementi bħall-kritikalità jew l-importanza tas-servizzi appoġġjati mill-kuntratt tal-ICT previst, l-approvazzjonijiet superviżorji meħtieġa jew kondizzjonijiet oħra, ir-riskju ta’ konċentrazzjoni possibbli involut, kif ukoll l-applikazzjoni tad-diliġenza dovuta fil-proċess tal-għażla u l-valutazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT u l-valutazzjoni ta’ kunflitti ta’ interess potenzjali. Għal arranġamenti kuntrattwali li jikkonċernaw funzjonijiet kritiċi jew importanti, l-entitajiet finanzjarji jenħtieġ li jqisu l-użu mill-fornituri terzi ta’ servizzi tal-ICT tal-aktar standards għolja u aġġornati fis-sigurtà tal-informazzjoni. It-terminazzjoni tal-arranġamenti kuntrattwali tista’ tiġi kkawżata mill-inqas minn serje ta’ ċirkostanzi li juru nuqqasijiet fil-livell tal-fornitur terz ta’ servizzi tal-ICT, b’mod partikolari ksur sinifikanti tal-liġijiet jew tat-termini kuntrattwali, ċirkostanzi li jiżvelaw alterazzjoni potenzjali tal-prestazzjoni tal-funzjonijiet previsti fl-arranġamenti kuntrattwali, evidenza ta’ dgħufijiet tal-fornitur terz ta’ servizzi tal-ICT fil-ġestjoni kumplessiva tiegħu tar-riskju tal-ICT, jew ċirkostanzi li jindikaw l-inabbiltà tal-awtorità kompetenti rilevanti li tissorvelja b’mod effettiv l-entità finanzjarja.

(67)

Sabiex jiġi indirizzat l-impatt sistemiku tar-riskju ta’ konċentrazzjoni ta’ servizzi tal-ICT minn partijiet terzi, dan ir-Regolament jippromwovi soluzzjoni bbilanċjata billi jieħu approċċ flessibbli u gradwali għal tali riskju ta’ konċentrazzjoni peress li l-impożizzjoni ta’ kwalunkwe limitu riġidu jew limitazzjoni stretta tista’ tfixkel it-twettiq tan-negozju u trażżan il-libertà kuntrattwali. Jenħtieġ li l-entitajiet finanzjarji jivvalutaw bir-reqqa l-arranġamenti kuntrattwali previsti tagħhom biex jidentifikaw il-probabbiltà li jinħoloq tali riskju, inkluż permezz ta’ analiżi fil-fond tal-arranġamenti ta’ subkuntrattar, b’mod partikolari meta jiġu konklużi ma’ fornituri terzi ta’ servizzi tal-ICT stabbiliti f’pajjiż terz. F’dan l-istadju, u bl-għan li jintlaħaq bilanċ ġust bejn l-imperattiv tal-preservazzjoni tal-libertà kuntrattwali u dak li tiġi ggarantita l-istabbiltà finanzjarja, mhuwiex meqjus xieraq li jiġu stabbiliti regoli dwar limiti massimi u limiti stretti għall-esponiment tal-partijiet terzi tal-ICT. Fil-kuntest tal-Qafas ta’ Sorveljanza, Sorveljant Ewlieni maħtur skont dan ir-Regolament, jenħtieġ li, fir-rigward tal-fornituri terzi kritiċi ta’ servizzi tal-ICT, jagħti attenzjoni partikolari biex jifhem bis-sħiħ id-daqs tal-interdipendenzi, jiskopri każijiet speċifiċi fejn grad għoli ta’ konċentrazzjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT fl-Unjoni x’aktarx li jpoġġi pressjoni fuq l-istabbiltà u l-integrità tas-sistema finanzjarja tal-Unjoni u jkollu djalogu ma’ fornituri terzi kritiċi ta’ servizzi tal-ICT fejn jiġi identifikat dak ir-riskju speċifiku.

(68)

Sabiex tiġi evalwata u mmonitorjata fuq bażi regolari l-kapaċità ta’ fornitur terz ta’ servizzi tal-ICT li jipprovdi servizzi b’mod sigur lil entità finanzjarja mingħajr effetti negattivi fuq ir-reżiljenza operazzjonali diġitali ta’ entità finanzjarja, jenħtieġ li jiġu armonizzati diversi elementi kuntrattwali ewlenin ma’ fornituri terzi ta’ servizzi tal-ICT. Tali armonizzazzjoni jenħtieġ li tkopri oqsma minimi li huma kruċjali biex jippermettu monitoraġġ sħiħ mill-entità finanzjarja tar-riskji li jistgħu jirriżultaw mill-fornitur terz ta’ servizzi tal-ICT, mill-perspettiva tal-ħtieġa ta’ entità finanzjarja li tiżgura r-reżiljenza diġitali tagħha minħabba li hija dipendenti ħafna fuq l-istabbiltà, il-funzjonalità, id-disponibbiltà u s-sigurtà tas-servizzi tal-ICT riċevuti.

(69)

Meta jinnegozjaw mill-ġdid l-arranġamenti kuntrattwali biex ifittxu allinjament mar-rekwiżiti ta’ dan ir-Regolament, l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jiżguraw il-kopertura tad-dispożizzjonijiet kuntrattwali ewlenin kif previst f’dan ir-Regolament.

(70)

Id-definizzjoni ta’ “funzjoni kritika jew importanti” prevista f’dan ir-Regolament tinkludi l-“funzjonijiet kritiċi” kif definiti fil-punt (35) tal-Artikolu 2(1) tad-Direttiva 2014/59/UE tal-Parlament Ewropew u tal-Kunsill (20). Għaldaqstant, il-funzjonijiet meqjusa bħala kritiċi skont id-Direttiva 2014/59/UE huma inklużi fid-definizzjoni tal-funzjonijiet kritiċi skont it-tifsira ta’ dan ir-Regolament.

(71)

Irrispettivament mill-kritikalità jew l-importanza tal-funzjoni appoġġjata mis-servizzi tal-ICT, jenħtieġ li l-arranġamenti kuntrattwali, b’mod partikolari, jipprevedu speċifikazzjoni tad-deskrizzjonijiet sħaħ tal-funzjonijiet u s-servizzi, tal-postijiet fejn jiġu pprovduti tali funzjonijiet u fejn għandha tiġi pproċessata d-data, kif ukoll indikazzjoni ta’ deskrizzjonijiet tal-livell ta’ servizz. Elementi essenzjali oħra biex jippermettu l-monitoraġġ minn entità finanzjarja tar-riskju relatat mal-ICT minn partijiet terzi huma: dispożizzjonijiet kuntrattwali li jispeċifikaw kif l-aċċessibbiltà, id-disponibbiltà, l-integrità, is-sigurtà u l-protezzjoni tad-data personali huma żgurati mill-fornitur terz ta’ servizzi tal-ICT, dispożizzjonijiet li jistabbilixxu l-garanziji rilevanti li jippermettu l-aċċess, l-irkupru u r-ritorn tad-data fil-każ ta’ insolvenza, riżoluzzjoni jew waqfien tal-operazzjonijiet tan-negozju tal-fornitur terz ta’ servizzi tal-ICT, kif ukoll dispożizzjonijiet li jirrikjedu li l-fornitur terz ta’ servizzi tal-ICT jipprovdi assistenza f’każ ta’ inċidenti tal-ICT b’rabta mas-servizzi pprovduti, mingħajr ebda kost addizzjonali jew bi spiża ddeterminata ex ante; dispożizzjonijiet dwar l-obbligu tal-fornitur terz ta’ servizzi tal-ICT li jikkoopera bis-sħiħ mal-awtoritajiet kompetenti u mal-awtoritajiet ta’ riżoluzzjoni tal-entità finanzjarja; u dispożizzjonijiet dwar id-drittijiet ta’ terminazzjoni u l-perjodi minimi ta’ avviż relatati għat-terminazzjoni tal-arranġamenti kuntrattwali, f’konformità mal-aspettattivi tal-awtoritajiet kompetenti u tal-awtoritajiet ta’ riżoluzzjoni.

(72)

Minbarra tali dispożizzjonijiet kuntrattwali, u bil-ħsieb li jiġi żgurat li l-entitajiet finanzjarji jibqgħu f’kontroll sħiħ tal-iżviluppi kollha li jseħħu fil-livell ta’ parti terza li jistgħu jfixklu s-sigurtà tal-ICT tagħhom, il-kuntratti għall-forniment ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jenħtieġ li jipprevedu wkoll dan li ġej: l-ispeċifikazzjoni tad-deskrizzjonijiet sħaħ tal-livell ta’ servizz, b’miri ta’ prestazzjoni kwantitattivi u kwalitattivi preċiżi, biex mingħajr dewmien żejjed ikunu jistgħu jittieħdu azzjonijiet korrettivi xierqa meta l-livelli ta’ servizz miftiehma ma jintlaħqux; il-perjodi ta’ notifika u l-obbligi ta’ rappurtar rilevanti tal-fornitur terz ta’ servizzi tal-ICT fil-każ ta’ żviluppi b’impatt materjali potenzjali fuq il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi b’mod effettiv is-servizzi tal-ICT rispettivi tiegħu; rekwiżit għall-fornitur terz ta’ servizzi tal-ICT li jimplimenta u jittestja pjanijiet ta’ kontinġenza tan-negozju u jkollu miżuri, għodod u politiki ta’ sigurtà tal-ICT li jippermettu l-forniment sigur ta’ servizzi, u li jipparteċipa u jikkoopera bis-sħiħ fit-TLPT imwettaq mill-entità finanzjarja.

(73)

Jenħtieġ li kuntratti għall-għoti ta’ servizzi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti jkun fihom ukoll dispożizzjonijiet li jippermettu d-drittijiet ta’ aċċess, spezzjoni u awditu mill-entità finanzjarja, jew minn parti terza maħtura, u d-dritt li jittieħdu kopji bħala strumenti kruċjali fil-monitoraġġ kontinwu min-naħa tal-entitajiet finanzjarji tal-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT, flimkien mal-kooperazzjoni sħiħa tal-fornitur tas-servizzi matul l-ispezzjonijiet. Bl-istess mod, jenħtieġ li l-awtorità kompetenti tal-entità finanzjarja jkollha d-dritt, ibbażat fuq avviżi, biex tispezzjona u tawditja l-fornitur terz ta’ servizzi tal-ICT, soġġett għall-protezzjoni ta’ informazzjoni kunfidenzjali.

(74)

Tali arranġamenti kuntrattwali jenħtieġ li jipprevedu wkoll strateġiji ta’ ħruġ iddedikati biex jippermettu, b’mod partikolari, perjodi ta’ tranżizzjoni obbligatorji li matulhom il-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jkomplu jipprovdu s-servizzi rilevanti bil-ħsieb li jitnaqqas ir-riskju ta’ tfixkil fil-livell tal-entità finanzjarja, jew biex din tal-aħħar tkun tista’ taqleb b’mod effettiv għall-użu ta’ fornituri terzi oħra ta’ servizzi tal-ICT jew, alternattivament, biex tibdel għal soluzzjonijiet interni, konsistenti mal-kumplessità tas-servizz tal-ICT ipprovdut. Barra minn hekk, l-entitajiet finanzjarji fil-kamp ta’ applikazzjoni tad-Direttiva 2014/59/UE jenħtieġ li jiżguraw li l-kuntratti rilevanti għas-servizzi tal-ICT ikunu robusti u infurzabbli bis-sħiħ fil-każ ta’ riżoluzzjoni ta’ dawk l-entitajiet finanzjarji. Għalhekk, f’konformità mal-aspettattivi tal-awtoritajiet ta’ riżoluzzjoni, dawk l-entitajiet finanzjarji jenħtieġ li jiżguraw li l-kuntratti rilevanti għas-servizzi tal-ICT ikunu reżiljenti għar-riżoluzzjoni. Sakemm dawn ikomplu jissodisfaw l-obbligi ta’ pagament tagħhom, dawk l-entitajiet finanzjarji jenħtieġ li jiżguraw, fost rekwiżiti oħra, li l-kuntratti rilevanti għas-servizzi tal-ICT ikun fihom klawsoli għal nuqqas ta’ terminazzjoni, nuqqas ta’ sospensjoni u nuqqas ta’ modifika għal raġunijiet ta’ ristrutturar jew riżoluzzjoni.

(75)

Barra minn hekk, l-użu volontarju ta’ klawsoli kuntrattwali standard żviluppati mill-awtoritajiet pubbliċi jew mill-istituzzjonijiet tal-Unjoni, b’mod partikolari l-użu ta’ klawsoli kuntrattwali żviluppati mill-Kummissjoni għas-servizzi tal-cloud computing jista’ jipprovdi aktar kumdità lill-entitajiet finanzjarji u lill-fornituri terzi ta’ servizzi tal-ICT, billi jsaħħaħ il-livell tagħhom ta’ ċertezza legali fir-rigward tal-użu tas-servizzi tal-cloud computing fis-settur finanzjarju, f’allinjament sħiħ mar-rekwiżiti u l-aspettattivi stabbiliti mil-dritt tal-Unjoni dwar is-servizzi finanzjarji. L-iżvilupp ta’ klawsoli kuntrattwali standard jibni fuq il-miżuri diġà previsti fil-Pjan ta’ Azzjoni tal-FinTech tal-2018, li ħabbar l-intenzjoni tal-Kummissjoni li tinkoraġġixxi u tiffaċilita l-iżvilupp ta’ klawsoli kuntrattwali standard għall-użu tal-esternalizzazzjoni tas-servizzi ta’ cloud computing minn entitajiet finanzjarji, billi tibbaża fuq l-isforzi tal-partijiet ikkonċernati tas-servizzi ta’ cloud computing transsettorjali, li l-Kummissjoni ffaċilitat bl-għajnuna tal-involviment tas-settur finanzjarju.

(76)

Bil-ħsieb li jiġu promossi l-konverġenza u l-effiċjenza fir-rigward tal-approċċi superviżorji meta jiġi indirizzat ir-riskju relatat mal-ICT minn partijiet terzi fis-settur finanzjarju, kif ukoll biex tissaħħaħ ir-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji li jiddependu fuq fornituri terzi kritiċi ta’ servizzi tal-ICT għal provvista ta’ -servizzi tal-ICT li jappoġġjaw il-forniment ta’ servizzi finanzjarji, u b’hekk jikkontribwixxu għall-preservazzjoni tal-istabbiltà tas-sistema finanzjarja tal-Unjoni u l-integrità tas-suq intern għas-servizzi finanzjarji, jenħtieġ li l-fornituri terzi kritiċi ta’ servizzi tal-ICT jkunu soġġetti għal Qafas ta’ Sorveljanza tal-Unjoni. Filwaqt li l-istabbiliment tal-Qafas ta’ Sorveljanza huwa ġġustifikat mill-valur miżjud tat-teħid ta’ azzjoni fil-livell tal-Unjoni u minħabba r-rwol inerenti u l-ispeċifiċitajiet tal-użu tas-servizzi tal-ICT fil-forniment ta’ servizzi finanzjarji, jenħtieġ li jiġi mfakkar fl-istess ħin li din is-soluzzjoni tidher xierqa biss fil-kuntest ta’ dan ir-Regolament li jittratta speċifikament ir-reżiljenza operazzjonali diġitali fis-settur finanzjarju. Madankollu, tali Qafas ta’ Sorveljanza jenħtieġ li ma jitqiesx bħala mudell ġdid għas-superviżjoni tal-Unjoni fl-oqsma l-oħra tas-servizzi u l-attivitajiet finanzjarji.

(77)

Il-Qafas ta’ Sorveljanza jenħtieġ li japplika biss għal fornituri terzi kritiċi ta’ servizzi tal-ICT. Għalhekk, jenħtieġ li jkun hemm mekkaniżmu ta’ deżinjazzjoni li jqis id-dimensjoni u n-natura tad-dipendenza tas-settur finanzjarju fuq tali fornituri terzi ta’ servizzi tal-ICT. Dak il-mekkaniżmu jenħtieġ li jinvolvi sett ta’ kriterji kwantitattivi u kwalitattivi biex jiġu stabbiliti l-parametri tal-kritikalità bħala bażi għall-inklużjoni fil-Qafas ta’ Sorveljanza. Sabiex tiġi żgurata l-preċiżjoni ta’ dik il-valutazzjoni, u irrispettivament mill-istruttura korporattiva tal-fornitur terz ta’ servizzi tal-ICT, jenħtieġ li tali kriterji, fil-każ ta’ fornitur terz ta’ servizzi tal-ICT li jkun parti minn grupp usa’, iqisu l-istruttura kollha tal-grupp tal-fornitur terz ta’ servizzi tal-ICT. Minn naħa waħda, fornituri terzi kritiċi ta’ servizzi tal-ICT, li mhumiex deżinjati awtomatikament bis-saħħa tal-applikazzjoni ta’ dawk il-kriterji, jenħtieġ li jkollhom il-possibbiltà li jagħżlu li jipparteċipaw fil-Qafas ta’ Sorveljanza fuq bażi volontarja, min-naħa l-oħra, il-fornituri terzi ta’ servizzi tal-ICT, li diġà huma soġġetti għal oqfsa ta’ mekkaniżmu ta’ sorveljanza li jappoġġjaw it-twettiq tal-kompiti tas- Sistema Ewropea ta’ Banek Ċentrali kif imsemmi fl-Artikolu 127(2) TFUE, jenħtieġ li jiġu eżentati.

(78)

Bl-istess mod, l-entitajiet finanzjarji li jipprovdu servizzi tal-ICT lil entitajiet finanzjarji oħra, filwaqt li jappartjenu għall-kategorija ta’ fornituri terzi ta’ servizzi tal-ICT skont dan ir-Regolament, jenħtieġ li jiġu eżentati wkoll mill-Qafas ta’ Sorveljanza peress li huma diġà soġġetti għal mekkaniżmi superviżorji stabbiliti mil-liġi rilevanti tal-Unjoni dwar is-servizzi finanzjarji. Fejn applikabbli, jenħtieġ li l-awtoritajiet kompetenti jqisu, fil-kuntest tal-attivitajiet superviżorji tagħhom, ir-riskju tal-ICT maħluq għall-entitajiet finanzjarji mill-entitajiet finanzjarji li jipprovdu servizzi tal-ICT. Bl-istess mod, minħabba l-mekkaniżmi eżistenti ta’ monitoraġġ tar-riskju fil-livell tal-grupp, jenħtieġ li tiġi introdotta l-istess eżenzjoni għall-fornituri terzi ta’ servizzi tal-ICT li jfornu servizzi b’mod predominanti lill-entitajiet tal-grupp tagħhom stess. Il-fornituri terzi ta’ servizzi tal-ICT li jipprovdu servizzi tal-ICT fi Stat Membru wieħed biss lil entitajiet finanzjarji li huma attivi biss f’dak l-Istat Membru jenħtieġ li jkunu eżentati wkoll mill-mekkaniżmu ta’ deżinjazzjoni minħabba l-attivitajiet limitati tagħhom u n-nuqqas ta’ impatt transfruntier.

(79)

It-trasformazzjoni diġitali esperjenzata fis-servizzi finanzjarji ġabet livell bla preċedent ta’ użu tas-servizzi tal-ICT, u dipendenza fuqhom. Peress li sar inkonċepibbli li jiġu pprovduti servizzi finanzjarji mingħajr l-użu ta’ servizzi tal-cloud computing, soluzzjonijiet ta’ software u servizzi relatati mad-data, l-ekosistema finanzjarja tal-Unjoni saret intrinsikament kodipendenti fuq ċerti servizzi tal-ICT ipprovduti mill-fornituri tas-servizzi tal-ICT. Xi wħud minn dawk il-fornituri, l-innovaturi fl-iżvilupp u l-applikazzjoni ta’ teknoloġiji bbażati fuq l-ICT, jaqdu rwol sinifikanti fl-għoti ta’ servizzi finanzjarji, jew saru integrati fil-katina tal-valur tas-servizzi finanzjarji. Għalhekk saru kritiċi għall-istabbiltà u l-integrità tas-sistema finanzjarja tal-Unjoni. Din id-dipendenza mifruxa fuq is-servizzi pprovduti minn fornituri terzi kritiċi ta’ servizzi tal-ICT, flimkien mal-interdipendenza tas-sistemi ta’ informazzjoni ta’ diversi operaturi tas-suq, toħloq riskju dirett, u potenzjalment serju, għas-sistema tas-servizzi finanzjarji tal-Unjoni u għall-kontinwità tal-għoti tas-servizzi finanzjarji jekk fornituri terzi kritiċi ta’ servizzi tal-ICT kellhom jiġu affettwati minn tfixkil operazzjonali jew inċidenti ċibernetiċi kbar. L-inċidenti ċibernetiċi għandhom kapaċità distintiva li jimmultiplikaw u jxerrdu fis-sistema finanzjarja kollha b’pass konsiderevolment aktar mgħaġġel minn tipi oħra ta’ riskji mmonitorjati fis-settur finanzjarju u jistgħu jestendu bejn is-setturi u lil hinn mill-fruntieri ġeografiċi. Huma għandhom il-potenzjal li jevolvu fi kriżi sistemika, fejn il-fiduċja fis-sistema finanzjarja tkun tnaqqret minħabba t-tfixkil tal-funzjonijiet li jappoġġjaw l-ekonomija reali, jew minħabba telf finanzjarju sostanzjali, li jilħaq livell li s-sistema finanzjarja ma tkunx kapaċi tiflaħ għalih, jew li jirrikjedi l-użu ta’ miżuri ta’ assorbiment ta’ xokkijiet kbar. Sabiex jiġi evitat li jseħħu dawn ix-xenarji u b’hekk jiġu pperikolati l-istabbiltà u l-integrità finanzjarja tal-Unjoni, huwa essenzjali li tiġi pprovduta l-konverġenza tal-prattiki superviżorji relatati mar-riskju relatat mal-ICT minn partijiet terzi fil-finanzjament, b’mod partikolari permezz ta’ regoli ġodda li jippermettu s-sorveljanza tal-Unjoni ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT.

(80)

Il-Qafas ta’ Sorveljanza jiddependi ħafna fuq il-grad ta’ kollaborazzjoni bejn is-Sorveljant Ewlieni u l-fornitur terz kritiku ta’ servizzi tal-ICT li jipprovdi lill-entitajiet finanzjarji servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji. Is-sorveljanza b’suċċess hija bbażata, fost l-oħrajn, fuq il-kapaċità tas-Sorveljant Ewlieni li jwettaq b’mod effettiv missjonijiet u spezzjonijiet ta’ monitoraġġ biex jivvaluta r-regoli, il-kontrolli u l-proċessi użati mill-fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll biex jivvaluta l-impatt kumulattiv potenzjali tal-attivitajiet tagħhom fuq l-istabbiltà finanzjarja u l-integrità tas-sistema finanzjarja. Fl-istess ħin, huwa kruċjali li l-fornituri terzi kritiċi ta’ servizzi tal-ICT isegwu r-rakkomandazzjonijiet tas-Sorveljant Ewlieni u jindirizzaw it-tħassib tiegħu. Peress li nuqqas ta’ kooperazzjoni minn fornitur terz kritiku ta’ servizzi tal-ICT li jipprovdi servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji, bħar-rifjut li jingħata aċċess għall-bini tiegħu jew li jippreżenta informazzjoni, fl-aħħar mill-aħħar iċaħħad lis-Sorveljant Ewlieni mill-għodod essenzjali tiegħu fil-valutazzjoni tar-riskju ta’ partijiet terzi tal-ICT, u jista’ jkollu impatt negattiv fuq l-istabbiltà finanzjarja u l-integrità tas-sistema finanzjarja, huwa meħtieġ li jiġi previst ukoll reġim ta’ sanzjonar proporzjonat.

(81)

F’dan l-isfond, il-ħtieġa tas-Sorveljant Ewlieni li jimponi pagamenti ta’ penali biex iġiegħel lill-fornituri terzi kritiċi ta’ servizzi tal-ICT jikkonformaw mal-obbligi ta’ trasparenza u dawk relatati mal-aċċess stipulati f’dan ir-Regolament jenħtieġ li ma tiġix ipperikolata minn diffikultajiet imqajma mill-infurzar ta’ dawk il-pagamenti ta’ penali fir-rigward ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT stabbiliti f’pajjiżi terzi. Sabiex tiġi żgurata l-infurzabbiltà ta’ tali penali, u biex tkun tista’ ssir introduzzjoni rapida ta’ proċeduri li jirrispettaw id-drittijiet tad-difiża tal-fornituri terzi kritiċi ta’ servizzi tal-ICT fil-kuntest tal-mekkaniżmu ta’ deżinjazzjoni u l-ħruġ ta’ rakkomandazzjonijiet, jenħtieġ li dawk il-fornituri terzi kritiċi ta’ servizzi tal-ICT, li jipprovdu lill-entitajiet finanzjarji servizzi li jaffettwaw il-forniment ta’ servizzi finanzjarji, ikunu meħtieġa jżommu preżenza kummerċjali adegwata fl-Unjoni. Minħabba n-natura tas-sorveljanza, u n-nuqqas ta’ arranġamenti komparabbli f’ġuriżdizzjonijiet oħra, ma hemm l-ebda mekkaniżmu alternattiv xieraq li jiżgura dan l-objettiv permezz ta’ kooperazzjoni effettiva mas-superviżuri finanzjarji f’pajjiżi terzi fir-rigward tal-monitoraġġ tal-impatt tar-riskji operazzjonali diġitali ppreżentati minn fornituri terzi sistemiċi ta’ servizzi tal-ICT, li jikkwalifikaw bħala fornituri terzi kritiċi ta’ servizzi tal-ICT stabbiliti f’pajjiżi terzi. Għalhekk, sabiex ikompli jipprovdi is-servizzi tiegħu tal-ICT lil entitajiet finanzjarji fl-Unjoni, fornitur terz ta’ servizzi tal-ICT stabbilit f’pajjiż terz li jkun ġie ddeżinjat bħala kritiku f’konformità ma’ dan ir-Regolament jenħtieġ li jwettaq, fi żmien 12-il xahar minn tali deżinjazzjoni, l-arranġamenti kollha meħtieġa biex jiżgura l-inkorporazzjoni tiegħu fl-Unjoni, permezz tal-istabbiliment ta’ sussidjarja, kif definit fl-acquis kollu tal-Unjoni, jiġifieri fid-Direttiva 2013/34/UE tal-Parlament Ewropew u tal-Kunsill (21).

(82)

Ir-rekwiżit li tiġi stabbilita sussidjarja fl-Unjoni jenħtieġ li ma jipprevjenix lill-fornitur terz kritiku ta’ servizzi tal-ICT milli jipprovdi servizzi tal-ICT u appoġġ tekniku relatat minn faċilitajiet u infrastruttura li jinsabu barra mill-Unjoni. Dan ir-Regolament ma jimponix obbligu ta’ lokalizzazzjoni tad-data peress li ma jirrikjedix li l-ħżin jew l-ipproċessar tad-data jsir fl-Unjoni.

(83)

Il-fornituri terzi kritiċi ta’ servizzi tal-ICT jenħtieġ li jkunu jistgħu jipprovdu servizzi tal-ICT minn kwalunkwe post fid-dinja, mhux neċessarjament jew mhux biss minn bini li jinsab fl-Unjoni. Jenħtieġ li l-attivitajiet ta’ sorveljanza l-ewwel jitwettqu f’bini li jinsab fl-Unjoni u billi jinteraġixxu ma’ entitajiet li jinsabu fl-Unjoni, inkluż s-sussidjarji stabbiliti minn fornituri terzi kritiċi ta’ servizzi tal-ICT skont dan ir-Regolament. Madankollu, tali azzjonijiet fl-Unjoni jistgħu ma jkunux biżżejjed biex jippermettu lis-Sorveljant Ewlieni jwettaq bis-sħiħ u b’mod effettiv id-dmirijiet tiegħu skont dan ir-Regolament. Għalhekk, jenħtieġ li s-Sorveljant Ewlieni jkun jista’ jeżerċita s-setgħat ta’ sorveljanza rilevanti tiegħu f’pajjiżi terzi. L-eżerċizzju ta’ dawk is-setgħat f’pajjiżi terzi jenħtieġ li jippermetti lis-Sorveljant Ewlieni jeżamina l-faċilitajiet li minnhom is-servizzi tal-ICT jew servizzi ta’ appoġġ tekniku huma fil-fatt ipprovduti jew ġestiti mill-fornitur terz kritiku ta’ servizzi tal-ICT, u, jenħtieġ li jagħti lis-Sorveljant Ewlieni fehim komprensiv u operazzjonali tal-ġestjoni tar-riskju tal-ICT tal-fornitur terz kritiku ta’ servizzi tal-ICT. Il-possibbiltà għas-Sorveljant Ewlieni, bħala aġenzija tal-Unjoni, li jeżerċita setgħat barra mit-territorju tal-Unjoni jenħtieġ li tkun inkwadrata kif xieraq minn kondizzjonijiet rilevanti, b’mod partikolari l-kunsens tal-fornitur terz kritiku ta’ servizzi tal-ICT ikkonċernat. Bl-istess mod, l-awtoritajiet rilevanti tal-pajjiż terz jenħtieġ li jiġu infurmati dwar l-eżerċizzju fit-territorju tagħhom stess tal-attivitajiet tas-Sorveljant Ewlieni u ma joġġezzjonawx għalih. Madankollu, sabiex tiġi żgurata implimentazzjoni effiċjenti, u mingħajr preġudizzju għall-kompetenzi rispettivi tal-istituzzjonijiet tal-Unjoni u tal-Istati Membri, tali setgħat jeħtieġ li jkunu ankrati bis-sħiħ ukoll fil-konklużjoni ta’ arranġamenti ta’ kooperazzjoni amministrattiva mal-awtoritajiet rilevanti tal-pajjiż terz ikkonċernat. Dan ir-Regolament għalhekk jenħtieġ li jippermetti lill-ASE jikkonkludu arranġamenti ta’ kooperazzjoni amministrattiva mal-awtoritajiet rilevanti ta’ pajjiżi terzi, li altrimenti ma għandhomx joħolqu obbligi legali fir-rigward tal-Unjoni u l-Istati Membri tagħha.

(84)

Biex tiġi ffaċilitata l-komunikazzjoni mas-Sorveljant Ewlieni u biex tiġi żgurata rappreżentanza adegwata, il-fornituri terzi kritiċi ta’ servizzi tal-ICT li huma parti minn grupp jenħtieġ li jaħtru persuna ġuridika waħda bħala l-punt ta’ koordinazzjoni tagħhom.

(85)

Il-Qafas ta’ Sorveljanza jenħtieġ li jkun mingħajr preġudizzju għall-kompetenza tal-Istati Membri biex iwettqu missjonijiet ta’ sorveljanza jew monitoraġġ tagħhom stess fir-rigward ta’ fornituri terzi ta’ servizzi tal-ICT li mhumiex deżinjati bħala kritiċi skont dan ir-Regolament, iżda li huma meqjusa bħala importanti fil-livell nazzjonali.

(86)

Sabiex tiġi sfruttata l-arkitettura istituzzjonali b’diversi livelli fil-qasam tas-servizzi finanzjarji, jenħtieġ li l-Kumitat Konġunt tal-ASE jkompli jiżgura koordinazzjoni transsettorjali ġenerali fir-rigward tal-kwistjonijiet kollha li jappartjenu għar-riskju tal-ICT, f’konformità mal-kompiti tiegħu dwar iċ-ċibersigurtà. Jenħtieġ li jkun appoġġjat minn Sottokumitat ġdid (il-Forum ta’ Sorveljanza) li jwettaq ħidma preparatorja kemm għad-deċiżjonijiet individwali indirizzati lill-fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll għall-ħruġ ta’ rakkomandazzjonijiet kollettivi, b’mod partikolari fir-rigward tal-valutazzjoni komparattiva tal-programmi ta’ sorveljanza għal fornituri terzi kritiċi ta’ servizzi tal-ICT, u l-identifikazzjoni tal-aħjar prattiki biex jiġu indirizzati kwistjonijiet ta’ riskju ta’ konċentrazzjoni tal-ICT.

(87)

Sabiex jiġi żgurat li l-fornituri terzi kritiċi ta’ servizzi tal-ICT ikunu sorveljati b’mod xieraq u effettiv fil-livell tal-Unjoni, dan ir-Regolament jipprevedi li kwalunkwe waħda mit-tliet ASE tista’ tinħatar bħala Sorveljant Ewlieni. L-assenjazzjoni individwali ta’ fornitur terz kritiku ta’ servizzi tal-ICT lil waħda mit-tliet ASE jenħtieġ li tirriżulta minn valutazzjoni tal-preponderanza tal-entitajiet finanzjarji li joperaw fis-setturi finanzjarji li għalihom dik l-ASE għandha responsabbiltajiet. Dan l-approċċ jenħtieġ li jwassal għal allokazzjoni bbilanċjata tal-kompiti u r-responsabbiltajiet bejn it-tliet ASE, fil-kuntest tal-eżerċizzju tal-funzjonijiet ta’ sorveljanza, u jenħtieġ li jagħmel l-aħjar użu mir-riżorsi umani u mill-għarfien espert tekniku disponibbli f’kull waħda mit-tliet ASE.

(88)

Jenħtieġ li s-Sorveljanti Ewlenin jingħataw is-setgħat meħtieġa biex iwettqu investigazzjonijiet, biex iwettqu spezzjonijiet fuq il-post u mhux fuq il-post fil-bini u fil-postijiet ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT u biex jiksbu informazzjoni kompluta u aġġornata. Dawk is-setgħat jenħtieġ li jippermettu lis-Sorveljant Ewlieni jikseb għarfien reali dwar it-tip, id-dimensjoni u l-impatt tar-riskju relatat mal-ICT minn partijiet terzi għall-entitajiet finanzjarji u fl-aħħar mill-aħħar għas-sistema finanzjarja tal-Unjoni. Li l-ASE jiġu fdati bir-rwol tas-sorveljanza ewlenija huwa prerekwiżit biex tinftiehem sewwa u tiġi indirizzata d-dimensjoni sistemika tar-riskju tal-ICT fil-finanzi. L-impatt ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT fuq is-settur finanzjarju tal-Unjoni u l-kwistjonijiet potenzjali kkawżati mir-riskju ta’ konċentrazzjoni tal-ICT involut jitolbu li jittieħed approċċ kollettiv fil-livell tal-Unjoni. It-twettiq simultanju ta’ diversi awditi u t-trattament ta’ talbiet għal drittijiet ta’ aċċess, imwettqa separatament minn għadd kbir ta’ awtoritajiet kompetenti, bi ftit jew l-ebda koordinazzjoni bejniethom, jipprevjeni lis-superviżuri finanzjarji milli jiksbu ħarsa ġenerali kompleta u komprensiva tar-riskju relatat mal-ICT minn partijiet terzi fl-Unjoni, filwaqt li joħloq ukoll xogħol żejjed, piż u kumplessità għall-fornituri terzi kritiċi ta’ servizzi tal-ICT jekk dawn jiġu soġġetti għal diversi talbiet ta’ monitoraġġ u spezzjoni.

(89)

Minħabba l-impatt sinifikanti tad-deżinjazzjoni bħala kritiku, dan ir-Regolament jenħtieġ li jiżgura li d-drittijiet ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT jiġu rrispettati fl-implimentazzjoni tal-Qafas ta’ Sorveljanza. Qabel ma jiġu ddeżinjati bħala kritiċi, tali fornituri jenħtieġ li, pereżempju, jkollhom id-dritt li jippreżentaw lis-Sorveljant Ewlieni dikjarazzjoni motivata li jkun fiha kwalunkwe informazzjoni rilevanti għall-finijiet tal-valutazzjoni relatata mad-deżinjazzjoni tagħhom. Peress li s-Sorveljant Ewlieni jenħtieġ li jingħata s-setgħa li jippreżenta rakkomandazzjonijiet dwar kwistjonijiet ta’ riskju tal-ICT u rimedji xierqa għalihom, inkluż is-setgħa li jopponi ċerti arranġamenti kuntrattwali li fl-aħħar mill-aħħar jaffettwaw l-istabbiltà tal-entità finanzjarja jew tas-sistema finanzjarja, il-fornituri terzi kritiċi ta’ servizzi tal-ICT jenħtieġ li jingħataw ukoll l-opportunità li jipprovdu, qabel il-finalizzazzjoni ta’ dawk ir-rakkomandazzjonijiet, spjegazzjonijiet dwar l-impatt mistenni tas-soluzzjonijiet, previsti fir-rakkomandazzjonijiet fuq il-klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament u li jifformulaw soluzzjonijiet biex jittaffew ir-riskji. Il-fornituri terzi kritiċi ta’ servizzi tal-ICT li ma jaqblux mar-rakkomandazzjonijiet jenħtieġ lijippreżentaw spjegazzjoni motivata tal-intenzjoni tagħhom li ma japprovawx ir-rakkomandazzjoni. Fejn tali spjegazzjoni motivata ma tiġix preżentata jew fejn tiġi meqjusa insuffiċjenti, is-Sorveljant Ewlieni jenħtieġ li joħroġ avviż pubbliku li jiddeskrivi fil-qosor il-kwistjoni tan-nuqqas ta’ konformità.

(90)

L-awtoritajiet kompetenti jenħtieġ li jinkludu kif xieraq il-kompitu li jivverifikaw il-konformità sostantiva mar-rakkomandazzjonijiet maħruġa mis-Sorveljant Ewlieni fil-funzjonijiet tagħhom fir-rigward tas-superviżjoni prudenzjali tal-entitajiet finanzjarji. L-awtoritajiet kompetenti jenħtieġ li jkunu jistgħu jirrikjedu li l-entitajiet finanzjarji jieħdu miżuri addizzjonali biex jindirizzaw ir-riskji identifikati fir-rakkomandazzjonijiet tas-Sorveljant Ewlieni, u jenħtieġ li, fi żmien debitu, joħorġu notifiki għal dak il-għan. Meta s-Sorveljant Ewlieni jindirizza rakkomandazzjonijiet lill-fornituri terzi kritiċi ta’ servizzi tal-ICT li huma ssorveljati skont id-Direttiva (UE) 2022/2555, jenħtieġ li l-awtoritajiet kompetenti jkunu jistgħu, fuq bażi volontarja, u qabel ma jadottaw miżuri addizzjonali, jikkonsultaw lill-awtoritajiet kompetenti skont dik id-Direttiva sabiex irawmu approċċ ikkoordinat biex jittratta l-fornituri terzi kritiċi ta’ servizzi tal-ICT inkwistjoni.

(91)

L-eżerċizzju tas-sorveljanza għandu jkun iggwidat minn tliet prinċipji operazzjonali li jfittxu li jiżguraw: (a) koordinazzjoni mill-qrib fost l-ASE fir-rwoli tas-Sorveljant Ewlieni tagħhom, permezz ta’ netwerk konġunt ta’ sorveljanza (JON), (b) konsistenza mal-qafas stabbilit mid-Direttiva (UE) 2022/2555 (permezz ta’ konsultazzjoni volontarja tal-korpi taħt dik id-Direttiva biex tiġi evitata d-duplikazzjoni ta’ miżuri diretti lejn fornituri terzi kritiċi ta’ servizzi tal-ICT), u (c) l-applikazzjoni ta’ diliġenza biex jiġi minimizzat ir-riskju potenzjali ta’ tfixkil għas-servizzi pprovduti mill-fornituri terzi kritiċi ta’ servizzi tal-ICT lil klijenti li huma entitajiet li jaqgħu barra mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament.

(92)

Jenħtieġ li l-Qafas ta’ Sorveljanza ma jissostitwix, jew bl-ebda mod jew għal xi parti jissostitwixxi, ir-rekwiżit għall-entitajiet finanzjarji li jiġġestixxu huma stess ir-riskji involuti fl-użu ta’ fornituri terzi ta’ servizzi tal-ICT, inkluż l-obbligu tagħhom li jżommu monitoraġġ kontinwu tal-arranġamenti kuntrattwali konklużi ma’ fornituri terzi kritiċi ta’ servizzi tal-ICT. Bl-istess mod, il-Qafas ta’ Sorveljanza jenħtieġ li ma jaffettwax ir-responsabbiltà sħiħa tal-entitajiet finanzjarji għall-konformità mal-obbligi legali kollha stabbiliti f’dan ir-Regolament u fil-liġi rilevanti dwar is-servizzi finanzjarji u għall-kwittanza tagħhom.

(93)

Sabiex jiġu evitati duplikazzjonijiet u sovrapożizzjonijiet, jenħtieġ li l-awtoritajiet kompetenti jżommu lura milli jieħdu individwalment kwalunkwe miżura mmirata lejn il-monitoraġġ tar-riskji tal-fornitur terz kritiku ta’ servizzi tal-ICT u jenħtieġ li, f’dak ir-rigward, jiddependu fuq il-valutazzjoni tas-Sorveljant Ewlieni rilevanti. Jenħtieġ li kwalunkwe miżura fi kwalunkwe każ tiġi kkoordinata u maqbula minn qabel mas-Sorveljant Ewlieni fil-kuntest tal-eżerċizzju tal-kompiti fil-Qafas ta’ Sorveljanza.

(94)

Sabiex tiġi promossa l-konverġenza fil-livell internazzjonali fir-rigward tal-użu tal-aħjar prattiki fir-rieżami u l-monitoraġġ tal-ġestjoni tar-riskju diġitali tal-fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-ASE jiġu mħeġġa jikkonkludu arranġamenti ta’ kooperazzjoni mal-awtoritajiet superviżorji u regolatorji rilevanti ta’ pajjiżi terzi.

(95)

Sabiex jiġu sfruttati l-kompetenzi speċifiċi, il-ħiliet tekniċi u l-għarfien espert tal-persunal li jispeċjalizza fir-riskju operazzjonali u tal-ICT fi ħdan l-awtoritajiet kompetenti, it-tliet ASE u, fuq bażi volontarja, l-awtoritajiet kompetenti skont id-Direttiva (UE) 2022/2555, is-Sorveljant Ewlieni jenħtieġ li jibbaża fuq il-kapaċitajiet superviżorji u l-għarfien nazzjonali u jistabbilixxi timijiet ta’ eżaminazzjoni ddedikati għal kull fornitur terz kritiku ta’ servizzi tal-ICT, li jiġbru flimkien timijiet multidixxiplinari b’appoġġ għat-tħejjija u t-twettiq ta’ attivitajiet ta’ sorveljanza, inkluż investigazzjonijiet u spezzjonijiet ġenerali ta’ fornituri terzi kritiċi ta’ servizzi tal-ICT, kif ukoll għal kwalunkwe segwitu meħtieġ għalihom.

(96)

Filwaqt li l-kostijiet li jirriżultaw minn kompiti ta’ sorveljanza jkunu ffinanzjati kompletament minn tariffi imposti fuq fornituri terzi kritiċi ta’ servizzi tal-ICT, l-ASE, madankollu, x’aktarx li jġarrbu, qabel il-bidu tal-Qafas ta’ Sorveljanza, kostijiet għall-implimentazzjoni ta’ sistemi tal-ICT iddedikati li jappoġġjaw is-sorveljanza mistennija, peress li jkun meħtieġ li jiġu żviluppati u implimentati minn qabel sistemi tal-ICT iddedikati. Dan ir-Regolament għalhekk jipprevedi mudell ta’ finanzjament ibridu, fejn il-Qafas ta’ Sorveljanza, bħala tali, ikun iffinanzjat kompletament mit-tariffi, filwaqt li l-iżvilupp tas-sistemi tal-ICT tal-ASE jiġi ffinanzjat mill-kontribuzzjonijiet tal-Unjoni u tal-awtoritajiet kompetenti nazzjonali.

(97)

Jenħtieġ li l-awtoritajiet kompetenti jkollhom is-setgħat superviżorji, investigattivi u ta’ sanzjonar kollha meħtieġa biex jiżguraw l-eżerċizzju xieraq tad-dmirijiet tagħhom skont dan ir-Regolament. Fil-prinċipju, jenħtieġ li jippubblikaw avviżi dwar il-penali amministrattivi li jimponu. Peress li l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT jistgħu jiġu stabbiliti fi Stati Membri differenti u ssorveljati minn awtoritajiet kompetenti differenti, jenħtieġ li l-applikazzjoni ta’ dan ir-Regolament tiġi ffaċilitata, minn naħa, permezz ta’ kooperazzjoni mill-qrib bejn l-awtoritajiet kompetenti rilevanti, inkluż il-BĊE fir-rigward ta’ kompiti speċifiċi kkonferiti lilu bir-Regolament tal-Kunsill (UE) Nru 1024/2013, u, min-naħa l-oħra, permezz ta’ konsultazzjoni mal-ASE permezz tal-iskambju reċiproku ta’ informazzjoni u l-għoti ta’ assistenza fil-kuntest ta’ attivitajiet superviżorji rilevanti.

(98)

Sabiex il-kriterji għad-deżinjazzjoni ta’ fornituri terzi ta’ servizzi tal-ICT jiġu kkwantifikati u kkwalifikati aktar bħala kritiċi u biex jiġu armonizzati t-tariffi tas-sorveljanza, jenħtieġ li tiġi ddelegata lill-Kummissjoni s-setgħa li tadotta atti f’konformità mal-Artikolu 290 TFUE biex tissupplimenta dan ir-Regolament billi tispeċifika aktar l-impatt sistemiku li falliment jew qtugħ operazzjonali ta’ fornitur terz ta’ servizzi tal-ICT jista’ jkollu fuq l-entitajiet finanzjarji li lilhom jipprovdi servizzi tal-ICT, l-għadd ta’ istituzzjonijiet globali sistemikament importanti (G-SIIs), jew istituzzjonijiet oħra sistemikament importanti (O-SIIs), li jiddependu fuq il-fornitur terz ta’ servizzi tal-ICT inkwistjoni, l-għadd ta’ fornituri terzi ta’ servizzi tal-ICT attivi f’suq partikolari, il-kostijiet tal-migrazzjoni tad-data u t-tagħbijiet ta’ xogħol tal-ICT għal fornituri terzi oħra ta’ servizzi tal-ICT, kif ukoll l-ammont tat-tariffi ta’ sorveljanza u l-mod li bih għandhom jitħallsu. Huwa partikolarment importanti li l-Kummissjoni twettaq konsultazzjonijiet xierqa matul il-ħidma preparatorja tagħha, inkluż fil-livell ta’ esperti, u li dawk il-konsultazzjonijiet jitwettqu f’konformità mal-prinċipji stabbiliti fil-Ftehim Interistituzzjonali tat-13 ta’ April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (22). B’mod partikolari, biex tiġi żgurata parteċipazzjoni ugwali fit-tħejjija ta’ atti delegati, jenħtieġ li l-Parlament Ewropew u l-Kunsill jirċievu d-dokumenti kollha fl-istess ħin li jirċevuhom l-esperti tal-Istati Membri, u jenħtieġ li l-esperti tagħhom ikollhom aċċess sistematiku għal-laqgħat tal-gruppi tal-esperti tal-Kummissjoni li jittrattaw it-tħejjija ta’ atti delegati.

(99)

L-istandards tekniċi regolatorji jenħtieġ li jiżguraw armonizzazzjoni konsistenti tar-rekwiżiti stabbiliti f’dan ir-Regolament. Fir-rwoli tagħhom bħala korpi mogħnija b’kompetenza esperta speċjalizzata ħafna, l-ASE jenħtieġ li jiżviluppaw abbozzi ta’ standards tekniċi regolatorji li ma jinvolvux għażliet ta’ politika, biex jiġu ppreżentati lill-Kummissjoni. Jenħtieġ li jiġu żviluppati standards tekniċi regolatorji fl-oqsma tal-ġestjoni tar-riskju tal-ICT, ir-rappurtar ta’ inċidenti kbar relatati mal-ICT, l-ittestjar, kif ukoll fir-rigward tar-rekwiżiti ewlenin għal monitoraġġ tajjeb tar-riskju relatat mal-ICT minn partijiet terzi. Il-Kummissjoni u l-ASE jenħtieġ li jiżguraw li dawk l-istandards u r-rekwiżiti jkunu jistgħu jiġu applikati mill-entitajiet finanzjarji kollha b’mod li jkun proporzjonat għad-daqs u l-profil tar-riskju ġenerali tagħhom, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom. Il-Kummissjoni jenħtieġ li tingħata s-setgħa tadotta dawk l-istandards tekniċi regolatorji permezz ta’ atti delegati skont l-Artikolu 290 TFUE u skont l-Artikoli 10 sa 14 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

(100)

Sabiex tiġi ffaċilitata l-komparabbiltà tar-rapporti dwar inċidenti kbar relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà kbar relatati mal-pagamenti, kif ukoll biex tiġi żgurata t-trasparenza fir-rigward tal-arranġamenti kuntrattwali għall-użu ta’ servizzi tal-ICT ipprovduti minn fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-ASE jiżviluppaw abbozzi ta’ standards tekniċi ta’ implimentazzjoni li jistabbilixxu mudelli, formoli u proċeduri standardizzati għall-entitajiet finanzjarji biex jirrappurtaw inċident kbir relatat mal-ICT u inċident operazzjonali jew tas-sigurtà kbir relatat mal-pagamenti, kif ukoll mudelli standardizzati għar-reġistru tal-informazzjoni. Meta jiżviluppaw dawk l-istandards, l-ASE jenħtieġ li jqisu wkoll id-daqs u l-profil ġenerali tar-riskju tal-entità finanzjarja, u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha. Il-Kummissjoni jenħtieġ li tingħata s-setgħa tadotta dawk l-istandards tekniċi ta’ implimentazzjoni permezz ta’ atti ta’ implimentazzjoni skont l-Artikolu 291 TFUE u skont l-Artikolu 15 tar-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010 u (UE) Nru 1095/2010.

(101)

Peress li diġà ġew speċifikati aktar rekwiżiti permezz ta’ atti delegati u ta’ implimentazzjoni bbażati fuq standards tekniċi regolatorji u standards tekniċi ta’ implimentazzjoni fir-Regolamenti (KE) Nru 1060/2009 (23), (UE) Nru 648/2012 (24), (UE) Nru 600/2014 (25) u (UE) Nru 909/2014 (26) tal-Parlament Ewropew u tal-Kunsill, huwa xieraq li l-ASE jingħataw mandat, individwalment jew b’mod konġunt permezz tal-Kumitat Konġunt, biex jissottomettu standards tekniċi regolatorji u ta’ implimentazzjoni lill-Kummissjoni għall-adozzjoni ta’ atti delegati u ta’ implimentazzjoni li jittrasferixxu u jaġġornaw ir-regoli eżistenti tal-ġestjoni tar-riskju tal-ICT.

(102)

Billi dan ir-Regolament, flimkien mad-Direttiva (UE) 2022/2556 tal-Parlament Ewropew u tal-Kunsill (27), jinvolvi konsolidazzjoni tad-dispożizzjonijiet tal-ġestjoni tar-riskju tal-ICT f’diversi regolamenti u direttivi tal-acquis tal-Unjoni dwar is-servizzi finanzjarji, inkluż ir-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014 u (UE) Nru 909/2014, u r-Regolament (UE) 2016/1011 tal-Parlament Ewropew u tal-Kunsill (28), sabiex tiġi żgurata konsistenza sħiħa, dawk ir-Regolamenti jenħtieġ li jiġu emendati biex jiġi ċċarat li d-dispożizzjonijiet applikabbli relatati mar-riskju tal-ICT huma stabbiliti f’dan ir-Regolament.

(103)

Konsegwentement, il-kamp ta’ applikazzjoni tal-artikoli rilevanti relatati mar-riskju operazzjonali, li abbażi tagħhom is-setgħat stabbiliti fir-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014, u (UE) 2016/1011 kienu taw mandat għall-adozzjoni ta’ atti delegati u ta’ implimentazzjoni, jenħtieġ li jitnaqqas bil-ħsieb li jiġu riportati f’dan ir-Regolament id-dispożizzjonijiet kollha li jkopru l-aspetti tar-reżiljenza operazzjonali diġitali li llum huma parti minn dawk ir-Regolamenti.

(104)

Ir-riskju ċibernetiku sistemiku potenzjali assoċjat mal-użu tal-infrastrutturi tal-ICT li jippermettu t-tħaddim ta’ sistemi ta’ pagament u l-forniment ta’ attivitajiet ta’ pproċessar ta’ pagamenti jenħtieġ li jiġu indirizzati kif xieraq fil-livell tal-Unjoni permezz ta’ regoli armonizzati dwar ir-reżiljenza diġitali. Għal dak il-għan, jenħtieġ li l-Kummissjoni tivvaluta malajr il-ħtieġa għal rieżami tal-kamp ta’ applikazzjoni ta’ dan ir-Regolament filwaqt li tallinja tali rieżami mal-eżitu tar-rieżami komprensiv previst skont id-Direttiva (UE) 2015/2366. L-għadd kbir ta’ attakki fuq skala kbira matul dawn l-aħħar għaxar snin juru kif is-sistemi ta’ pagament saru esposti għal theddid ċibernetiku. Imqiegħda fil-qalba tal-katina tas-servizzi ta’ pagament u filwaqt li juru interkonnessjonijiet b’saħħithom mas-sistema finanzjarja ġenerali, is-sistemi ta’ pagament u l-attivitajiet ta’ pproċessar ta’ pagamenti kisbu sinifikat kritiku għall-funzjonament tas-swieq finanzjarji tal-Unjoni. L-attakki ċibernetiċi fuq sistemi bħal dawn jistgħu jikkawżaw tfixkil operazzjonali serju fin-negozju b’riperkussjonijiet diretti fuq funzjonijiet ekonomiċi ewlenin, bħall-faċilitazzjoni tal-pagamenti, u effetti indiretti fuq proċessi ekonomiċi relatati. Sakemm jiġu stabbiliti reġim armonizzat u s-superviżjoni tal-operaturi tas-sistemi ta’ pagament u tal-entitajiet ta’ pproċessar fil-livell tal-Unjoni, l-Istati Membri jistgħu, bil-ħsieb li japplikaw prattiki tas-suq simili, jieħdu ispirazzjoni mir-rekwiżiti tar-reżiljenza operazzjonali diġitali stabbiliti minn dan ir-Regolament, meta japplikaw regoli għall-operaturi ta’ sistemi ta’ pagament u għall-entitajiet ta’ pproċessar taħt is-superviżjoni tal-ġuriżdizzjonijiet tagħhom stess.

(105)

Minħabba li l-objettiv ta’ dan ir-Regolament, jiġifieri li jinkiseb livell għoli ta’ reżiljenza operazzjonali diġitali għall-entitajiet finanzjarji regolati, ma jistax jinkiseb b’mod suffiċjenti mill-Istati Membri minħabba li jirrikjedi l-armonizzazzjoni ta’ diversi regoli differenti fil-liġi tal-Unjoni u dik nazzjonali, iżda jista’ pjuttost, minħabba l-iskala u l-effetti tiegħu, jinkiseb aħjar fil-livell tal-Unjoni, l-Unjoni tista’ tadotta miżuri f’konformità mal-prinċipju tas-sussidjarjetà kif stabbilit fl-Artikolu 5 tat-Trattat dwar l-Unjoni Ewropea. F’konformità mal-prinċipju tal-proporzjonalità, kif stabbilit f’dak l-Artikolu, dan ir-Regolament ma jmurx lil hinn minn dak li huwa meħtieġ sabiex jinkiseb dak l-objettiv.

(106)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (29) u ta l-opinjoni tiegħu fl-10 ta’ Mejju 2021 (30),