IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 53, paragrafo 1, e l’articolo 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere della Banca centrale europea (1),
visto il parere del Comitato economico e sociale europeo (2),
deliberando secondo la procedura legislativa ordinaria (3),
considerando quanto segue:
(1)L’Unione deve affrontare in modo adeguato e completo i rischi digitali cui sono esposte tutte le entità finanziarie a causa di un maggiore uso delle tecnologie dell’informazione e della comunicazione (TIC) nella fornitura e nel consumo di servizi finanziari, contribuendo così alla realizzazione del potenziale della finanza digitale in termini di stimolazione dell’innovazione e promozione della concorrenza in un ambiente digitale sicuro.
(2)Le entità finanziarie dipendono fortemente dall’uso delle tecnologie digitali nella loro attività quotidiana. È pertanto essenziale garantire la resilienza operativa delle loro operazioni digitali a fronte dei rischi informatici. Tale necessità è diventata ancora più pressante a causa della crescita delle tecnologie innovative nel mercato, in particolare le tecnologie che consentono di trasferire e archiviare elettronicamente le rappresentazioni digitali di valore o di diritti utilizzando il registro distribuito o tecnologie analoghe (cripto-attività), nonché della crescita dei servizi connessi a tali attività.
(3)A livello di Unione, i requisiti connessi alla gestione dei rischi informatici nel settore finanziario sono attualmente previsti dalle direttive 2009/65/CE (4), 2009/138/CE (5), 2011/61/UE (6), 2013/36/UE (7), 2014/59/UE (8), 2014/65/UE (9), (UE) 2015/2366 (10) e (UE) 2016/2341 (11) del Parlamento europeo e del Consiglio.
Tali requisiti sono diversi e talvolta incompleti. In alcuni casi, i rischi informatici sono stati affrontati solo implicitamente come parte del rischio operativo e in altri casi non sono stati affrontati affatto. A tale situazione si è posto rimedio con l’adozione del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (12). È pertanto opportuno che tali direttive siano modificate per garantire la coerenza con detto regolamento. La presente direttiva attua una serie di modifiche che sono necessarie per apportare chiarezza giuridica e coerenza in relazione all’applicazione, da parte delle entità finanziarie autorizzate e sottoposte a vigilanza conformemente a tali direttive, dei vari requisiti di resilienza operativa digitale necessari per lo svolgimento delle loro attività e per la prestazione di servizi, garantendo in tal modo il corretto funzionamento del mercato interno. È necessario assicurare l’adeguatezza di tali requisiti agli sviluppi del mercato incoraggiando nel contempo la proporzionalità, in particolare per quanto riguarda le dimensioni delle entità finanziarie e dei regimi specifici ai quali sono soggetti, al fine di ridurre i costi di adeguamento alla normativa.
(4)Nel settore dei servizi bancari, la direttiva 2013/36/UE stabilisce attualmente solo norme generali di governance interna e disposizioni sul rischio operativo contenenti requisiti per i piani di emergenza e di continuità operativa che fungono implicitamente da base per affrontare i rischi informatici. Per affrontare i rischi informatici esplicitamente e chiaramente, è però opportuno modificare i requisiti per i piani di emergenza e di continuità operativa al fine di includere anche piani di continuità operativa e di risposta e ripristino riguardanti i rischi informatici, conformemente agli obblighi stabiliti dal regolamento (UE) 2022/2554 Inoltre, i rischi informatici sono inclusi solo implicitamente, nell’ambito del rischio operativo, nel processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation process - SREP) svolto dalle autorità competenti, e i criteri per la sua valutazione sono attualmente definiti negli Orientamenti sulla valutazione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology - ICT) a norma del processo di revisione e valutazione prudenziale (SREP), emessi dall’Autorità europea di vigilanza (Autorità bancaria europea) (ABE), istituita dal regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (13). Al fine di fornire chiarezza giuridica e assicurare che le autorità di vigilanza bancaria individuino i rischi informatici e ne monitorino efficacemente la gestione da parte delle entità finanziarie, in linea con il nuovo quadro sulla resilienza operativa digitale, l’ambito di applicazione dello SREP dovrebbe essere modificato anche per fare riferimento esplicitamente agli obblighi stabiliti dal regolamento (UE) 2022/2554 e coprire in particolare i rischi evidenziati dalle segnalazioni di incidenti gravi connessi alle TIC e dai risultati delle verifiche della resilienza operativa digitale effettuate dalle entità finanziarie conformemente a tale regolamento.
(5)La resilienza operativa digitale è fondamentale per preservare le funzioni essenziali e le linee di business principali di un’entità finanziaria in caso di risoluzione ed evitare in tal modo di perturbare l’economia reale e il sistema finanziario. Gli incidenti operativi gravi possono ostacolare la capacità di un’entità finanziaria di continuare a operare e possono compromettere gli obiettivi della risoluzione. Taluni accordi contrattuali per l’utilizzo di servizi TIC sono essenziali per garantire la continuità operativa e fornire i dati necessari in caso di risoluzione. Al fine di rispettare gli obiettivi del quadro dell’Unione per la resilienza operativa, la direttiva 2014/59/UE dovrebbe essere modificata di conseguenza per garantire che le informazioni relative alla resilienza operativa siano prese in considerazione nel contesto della pianificazione della risoluzione e della valutazione della possibilità di risoluzione delle entità finanziarie.
(6)La direttiva 2014/65/UE stabilisce norme più rigorose in materia di rischi informatici per le imprese di investimento e le sedi di negoziazione che effettuano negoziazioni algoritmiche. Requisiti meno dettagliati si applicano ai servizi di comunicazione dei dati e ai repertori di dati sulle negoziazioni. Inoltre, la direttiva 2014/65/UE contiene solo riferimenti limitati ai dispositivi di controllo e di salvaguardia per sistemi di elaborazione delle informazioni e all’uso di sistemi, risorse e procedure adeguati per garantire la continuità e la regolarità dei servizi alle imprese. Inoltre, tale direttiva dovrebbe essere allineata al regolamento (UE) 2022/2554 per quanto riguarda la continuità e la regolarità nell’erogazione di servizi e nello svolgimento delle attività di investimento, la resilienza operativa, la capacità dei sistemi di negoziazione e l’efficacia dei dispositivi di continuità operativa e della gestione del rischio.
(7)La direttiva (UE) 2015/2366 stabilisce norme specifiche per quanto riguarda le misure di controllo e di mitigazione in materia di sicurezza delle TIC ai fini di ottenere un’autorizzazione a erogare servizi di pagamento. È opportuno modificare tali norme in materia di autorizzazione per allinearle al regolamento (UE) 2022/2554 Inoltre, al fine di ridurre gli oneri amministrativi ed evitare la complessità e la duplicazione degli obblighi di segnalazione, le norme in materia di segnalazione degli incidenti di cui a tale direttiva dovrebbero cessare di applicarsi ai prestatori di servizi di pagamento disciplinati da tale direttiva e soggetti al regolamento (UE) 2022/2554 in modo da permettere a tali prestatori di servizi di pagamento di beneficiare di un meccanismo unico, pienamente armonizzato di notifica degli incidenti per tutti gli incidenti operativi o relativi alla sicurezza dei pagamenti, indipendentemente dal fatto che si tratti di incidenti connessi alle TIC.
(8)Le direttive 2009/138/CE e (UE) 2016/2341 tengono parzialmente conto dei rischi informatici nelle rispettive disposizioni generali in materia di governance e gestione del rischio, lasciando che determinati requisiti siano specificati mediante atti delegati con o senza riferimenti specifici ai rischi informatici. Analogamente, ai gestori di fondi di investimento alternativi soggetti alla direttiva 2011/61/UE e alle società di gestione soggette alla direttiva 2009/65/CE si applicano soltanto norme molto generali. È pertanto opportuno allineare tali direttive agli obblighi stabiliti nel regolamento (UE) 2022/2554 per quanto riguarda la gestione dei sistemi e degli strumenti TIC.
(9)In molti casi, ulteriori requisiti in materia di rischi informatici sono già stati stabiliti in atti delegati e di esecuzione, adottati sulla base di progetti di norme tecniche di regolamentazione e di attuazione elaborati dalla competente autorità europea di vigilanza. Dato che le disposizioni del regolamento (UE) 2022/2554 costituiscono la base giuridica in materia di rischi informatici nel settore finanziario, è opportuno modificare determinate competenze ad adottare atti delegati e di esecuzione di cui alle direttive 2009/65/CE, 2009/138/CE, 2011/61/UE e 2014/65/EU al fine di eliminare le disposizioni in materia di rischi informatici dall’ambito di applicazione di tali competenze.
(10)Al fine di garantire un’attuazione coerente del nuovo quadro sulla resilienza operativa digitale per il settore finanziario, gli Stati membri dovrebbero applicare le disposizioni di diritto nazionale che recepiscono la presente direttiva a decorrere dalla data di applicazione del regolamento (UE) 2022/2554.
Per saperne di più:
Tratto da:
Link:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0153.01.ITA&toc=OJ%3AL%3A2022%3A333%3ATOC
Foto:
istockphoto
Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?
Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:
http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it
