Il nuovo Regolamento è entrato in vigore il 17 gennaio u.s. e si applica dal 17 gennaio 2025.
Che cosa prevede? Lo specifichiamo utilizzando le stesse parole della versione italiana (da notare che la traduzione di diverse parole non è pienamente condivisibile; ad esempio, “business continuity” è stata tradotta “continuità operativa”, che a parere di alcuni Enti è più limitativa).
Premessa:
<<Benché a livello dell’Unione e nazionale siano state adottate iniziative politiche e legislative mirate, i rischi informatici continuano a rappresentare una sfida per la resilienza operativa, le prestazioni e la stabilità del sistema finanziario dell’Unione.>>
(…)
<<Nella comunicazione del 8 marzo 2018 intitolata «Piano d’azione per le tecnologie finanziarie: per un settore finanziario europeo più competitivo e innovativo» la Commissione ha sottolineato la fondamentale importanza di una maggiore resilienza del settore finanziario dell’Unione, anche da un punto di vista operativo, allo scopo di garantirne il buon funzionamento e la sicurezza tecnologica nonché la rapida ripresa dopo incidenti e violazioni delle TIC (nella versione in inglese è “ICT”), consentendo in ultima analisi la fornitura efficace e ordinata dei servizi finanziari in tutta l’Unione, anche in situazioni di stress, preservando nel contempo la fiducia dei consumatori e degli operatori del mercato.>>
(…)
<<Inoltre, qualora non si richiedano test relativi alle TIC, le vulnerabilità non sono individuate ed espongono quindi un’entità finanziaria a rischi informatici e, in ultima analisi, creano un rischio più elevato per la stabilità e l’integrità del settore finanziario. Senza un intervento dell’Unione, i test in materia di resilienza operativa digitale continuerebbero a essere incoerenti e non disporrebbero di un sistema di riconoscimento reciproco dei risultati dei test informatici fra le diverse giurisdizioni. È inoltre improbabile che altri sottosettori finanziari adottino regimi di test su scala significativa; pertanto essi si lascerebbero sfuggire i potenziali benefici di un quadro in materia di test, in termini di individuazione di vulnerabilità e rischi informatici, e verifica delle capacità di difesa e della continuità operativa, che contribuisca ad aumentare la fiducia di clienti, fornitori e partner commerciali. Per porre rimedio a tali sovrapposizioni, divergenze e carenze è necessario stabilire norme per un regime coordinato di test e agevolare così il riconoscimento reciproco dei test avanzati per le entità finanziarie che soddisfino i criteri di cui al presente regolamento.>>.
(…)
<<La trasformazione digitale che interessa i servizi finanziari ha portato a un livello senza precedenti di utilizzo dei servizi TIC e di dipendenza da essi. Poiché è divenuto inconcepibile fornire servizi finanziari senza l’utilizzo di servizi di cloud computing, soluzioni software e servizi connessi ai dati, l’ecosistema finanziario dell’Unione è diventato intrinsecamente codipendente da taluni servizi TIC prestati dai fornitori di servizi TIC.>>
(…)
Quindi:
<< (106) Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio(29), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 10 maggio 2021(30),
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011>>
<< Articolo 1
Oggetto
1.Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:
a)obblighi applicabili alle entità finanziarie in materia di:
i)gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
ii)segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
iii)segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
iv)test di resilienza operativa digitale;
v)condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
vi)misure relative alla solida gestione dei rischi informatici derivanti da terzi;
b)obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie;
c)norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;
d)norme sulla cooperazione tra autorità competenti e norme sulla vigilanza e l’applicazione da parte delle autorità competenti in relazione a tutte le materie trattate dal presente regolamento.>>.
Definizione:
<<resilienza operativa digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza dei sistemi informatici e di rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni (nella versione in inglese è “disruption”);>>.
Conclusione:
<< Articolo 64
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Esso si applica a decorrere dal 17 gennaio 2025.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Strasburgo, il 14 dicembre 2022
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
M. BEK
>
