LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (1), in particolare l’articolo 18, paragrafo 4, terzo comma,

considerando quanto segue:

(1)Il regolamento (UE) 2022/2554 mira ad armonizzare e razionalizzare gli obblighi di segnalazione degli incidenti connessi alle TIC e degli incidenti operativi o relativi alla sicurezza dei pagamenti riguardanti enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti e istituti di moneta elettronica («incidenti»). Dato che gli obblighi di segnalazione riguardano 20 tipi diversi di entità finanziarie, i criteri di classificazione e le soglie di rilevanza per determinare gli incidenti gravi e le minacce informatiche significative dovrebbero essere specificati in modo semplice, armonizzato e coerente, tenendo conto delle specificità dei servizi e delle attività di tutte le entità finanziarie interessate.

(2)Al fine di garantire la proporzionalità, i criteri di classificazione e le soglie di rilevanza dovrebbero riflettere le dimensioni e il profilo di rischio complessivo nonché la natura, la portata e la complessità dei servizi di tutte le entità finanziarie. Inoltre i criteri e le soglie di rilevanza dovrebbero essere concepiti in modo tale da essere applicati in modo coerente a tutte le entità finanziarie, indipendentemente dalle loro dimensioni e dal loro profilo di rischio, e non comportare un onere di segnalazione sproporzionato per le entità finanziarie più piccole. Tuttavia, per far fronte a situazioni in cui un numero significativo di clienti è interessato da un incidente che, di per sé, non supera la soglia applicabile, è opportuno stabilire una soglia assoluta principalmente mirata alle entità finanziarie più grandi.

(3)In relazione ai quadri per la segnalazione degli incidenti, che esistevano prima dell’entrata in vigore del regolamento (UE) 2022/2554, è opportuno garantire la continuità per le entità finanziarie. I criteri di classificazione e le soglie di rilevanza dovrebbero pertanto essere allineati e ispirati agli orientamenti dell’ABE sulla segnalazione degli incidenti gravi ai sensi della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio (2), agli orientamenti sulle informazioni periodiche e sulla comunicazione delle modifiche sostanziali che i repertori di dati sulle negoziazioni devono presentare all’ESMA, al quadro di riferimento della BCE/SSM per la segnalazione degli incidenti informatici e ad altri orientamenti pertinenti. I criteri di classificazione e le soglie dovrebbero inoltre essere idonei per le entità finanziarie non erano soggette agli obblighi di segnalazione degli incidenti prima del regolamento (UE) 2022/2554.

(4)Per quanto riguarda il criterio di classificazione «Quantità o numero di transazioni interessate», il concetto di transazione è ampio e riguarda differenti attività e servizi in tutti gli atti settoriali applicabili alle entità finanziarie. Ai fini di tale criterio di classificazione dovrebbero essere incluse le operazioni di pagamento e tutte le forme di scambio di strumenti finanziari, cripto-attività, merci o qualsiasi altra attività, anche sotto forma di margine, garanzia o pegno, sia a fronte di contanti che di qualsiasi altra attività. Ai fini della classificazione si dovrebbero prendere in considerazione tutte le transazioni che coinvolgono attività il cui valore può essere espresso in termini monetari.

(5)I criteri di classificazione dovrebbero garantire che siano rilevati tutti i tipi pertinenti di incidenti gravi. Molti criteri di classificazione non sono necessariamente in grado di rilevare attacchi informatici collegati all’intrusione nella rete o nei sistemi informatici. Si tratta tuttavia di elementi importanti, poiché qualsiasi intrusione nei sistemi informatici e di rete può nuocere all’entità finanziaria. Di conseguenza i criteri di classificazione «Servizi critici colpiti» e «Perdite di dati» dovrebbero essere specificati in modo tale da rilevare questi tipi di incidenti gravi, in particolare le intrusioni non autorizzate che, anche qualora gli impatti non siano immediatamente noti, possono comportare gravi conseguenze, in particolare violazioni e fughe di dati.

(6)Dato che gli enti creditizi sono soggetti sia al quadro di classificazione degli incidenti di cui all’articolo 18 del regolamento (UE) 2022/2554 sia al quadro relativo al rischio operativo di cui al regolamento delegato (UE) 2018/959 della Commissione (3), l’approccio per la valutazione dell’impatto economico di un incidente basato sul calcolo dei costi e delle perdite dovrebbe essere il più possibile coerente in entrambi i quadri normativi per evitare di introdurre requisiti incompatibili o contraddittori.

(7)Il criterio relativo all’estensione geografica di un incidente di cui all’articolo 18, paragrafo 1, lettera c), del regolamento (UE) 2022/2554 dovrebbe concentrarsi sull’impatto transfrontaliero dell’incidente, poiché l’impatto di un incidente sull’attività di un’entità finanziaria all’interno di una singola giurisdizione sarà rilevato dagli altri criteri stabiliti nel suddetto articolo.

(8)Dato che i criteri di classificazione sono interdipendenti e collegati tra loro, l’approccio per individuare gli incidenti gravi da segnalare ai sensi dell’articolo 19, paragrafo 1, del regolamento (UE) 2022/2554 dovrebbe basarsi su una combinazione di criteri, in cui alcuni criteri che sono strettamente correlati alle definizioni di incidente connesso alle TIC e di grave incidente TIC di cui all’articolo 3, punti 8) e 10), del regolamento (UE) 2022/2554 dovrebbero avere maggiore importanza nella classificazione degli incidenti gravi rispetto ad altri criteri.

(9)Per garantire che le segnalazioni e le notifiche di incidenti gravi ricevute dalle autorità competenti ai sensi dell’articolo 19, paragrafo 1, del regolamento (UE) 2022/2554 servano sia a fini di vigilanza che di prevenzione del contagio nel settore finanziario, le soglie di rilevanza dovrebbero consentire di rilevare gli incidenti gravi, concentrandosi, tra l’altro, sull’impatto sui servizi critici specifici dell’entità, sulle soglie specifiche assolute e relative di clienti o controparti finanziarie, sulle transazioni che indicano un impatto significativo sull’entità finanziaria e sulla rilevanza dell’impatto in altri Stati membri.

(10)Gli incidenti che interessano i servizi TIC o i sistemi informatici e di rete a supporto di funzioni essenziali o importanti o che interessano i servizi finanziari che richiedono un’autorizzazione, oppure l’accesso doloso non autorizzato a sistemi informatici e di rete a supporto di funzioni essenziali o importanti dovrebbero essere considerati incidenti che interessano i servizi essenziali delle entità finanziarie. L’accesso doloso e non autorizzato ai sistemi informatici e di rete a supporto di funzioni essenziali o importanti delle entità finanziarie comporta seri rischi per l’entità finanziaria e, poiché potrebbe avere ripercussioni su altre entità finanziarie, dovrebbe sempre essere considerato un incidente grave da segnalare.

Per saperne di più:

Tratto da:

Link:

EurLex

Foto:

Istockphoto (by Getty Images)

Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?

Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:

http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it