Regolamento Delegato (UE) 2024/1773 della Commissione del 13 marzo 2024 che integra il Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio.

Giustizia istockphoto 1085228078 612x612

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (1), in particolare l’articolo 28, paragrafo 10, terzo comma,

considerando quanto segue:

(1)Il quadro sulla resilienza operativa digitale per il settore finanziario istituito dal regolamento (UE) 2022/2554 prevede che le entità finanziarie stabiliscano alcuni principi fondamentali per la gestione dei rischi informatici derivanti da terzi, che sono di particolare importanza quando le entità finanziarie ricorrono a fornitori terzi di servizi TIC a supporto delle loro funzioni essenziali o importanti.

(2)Le entità finanziarie, nel contesto del quadro per la gestione dei rischi informatici, sono tenute ad adottare, e a riesaminare periodicamente, una strategia per i rischi informatici derivanti da terzi. Ai sensi dell’articolo 28, paragrafo 2, del regolamento (UE) 2022/2554, tale strategia deve includere una politica per l’utilizzo dei servizi TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi. Essa si applica su base individuale e, se del caso, su base subconsolidata e consolidata.

(3)Le entità finanziarie variano notevolmente per dimensioni, struttura e organizzazione interna nonché per la natura e la complessità delle loro attività e operazioni. È necessario tenere conto di tale diversità, imponendo al contempo taluni requisiti normativi fondamentali che siano adeguati a tutte le entità finanziarie che elaborano la politica relativa agli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi di servizi TIC («la politica»), e garantire che tali requisiti siano applicati in modo proporzionato.

(4)Nel caso in cui le entità finanziarie appartengano a un gruppo, l’impresa madre responsabile della redazione del bilancio consolidato o subconsolidato per il gruppo dovrebbe quindi garantire che la politica sia applicata in modo uniforme e coerente all’interno del gruppo.

(5)Nell’applicazione della politica è opportuno che i fornitori intragruppo di servizi TIC, compresi quelli interamente o collettivamente di proprietà di entità finanziarie nell’ambito dello stesso sistema di tutela istituzionale, siano considerati fornitori terzi di servizi TIC. I rischi posti dai fornitori intragruppo di servizi TIC possono essere diversi, ma le prescrizioni loro applicabili ai sensi del regolamento (UE) 2022/2554 sono le stesse. In modo analogo, la politica dovrebbe applicarsi ai subappaltatori che forniscono servizi TIC a supporto di funzioni essenziali o importanti o parti significative di essi a fornitori terzi di servizi TIC, laddove esista una catena di fornitori terzi di servizi TIC.

(6)La responsabilità finale dell’organo di gestione nell’affrontare i rischi informatici di un’entità finanziaria è un principio guida applicabile anche all’utilizzo di fornitori terzi di servizi TIC. Tale responsabilità dovrebbe tradursi nel costante coinvolgimento dell’organo di gestione nel controllo e nel monitoraggio della gestione dei rischi informatici, anche attraverso l’adozione e il riesame, almeno una volta all’anno, della politica.

(7)Per garantire un’adeguata segnalazione all’organo di gestione la politica dovrebbe specificare e individuare chiaramente le responsabilità interne per l’approvazione, la gestione, il controllo e la documentazione degli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi di servizi TIC («accordi contrattuali»), compresi i servizi TIC prestati nell’ambito degli accordi contrattuali di cui all’articolo 28, paragrafo 1, lettera a), del regolamento (UE) 2022/2554.

(8)Al fine di tenere conto di tutti i possibili rischi che possono sorgere quando si concludono contratti per la fornitura di servizi TIC a supporto di funzioni essenziali o importanti, la struttura della politica dovrebbe seguire tutti i passaggi di ciascuna fase principale del ciclo di vita degli accordi contrattuali con fornitori terzi.

(9)Per attenuare i rischi individuati la politica dovrebbe specificare la pianificazione degli accordi contrattuali, compresi la valutazione dei rischi, la dovuta diligenza e il processo di approvazione di nuovi accordi contrattuali o di modifiche sostanziali di tali accordi. Al fine di gestire i rischi che potrebbero insorgere prima di stipulare un accordo contrattuale con un fornitore terzo di servizi TIC, la politica dovrebbe specificare un processo adeguato e proporzionato per selezionare i potenziali fornitori terzi di servizi TIC e valutarne l’idoneità e prescrivere che l’entità finanziaria prenda in considerazione un elenco non esaustivo di elementi che i fornitori terzi di servizi TIC dovrebbero presentare. L’elenco dovrebbe includere elementi relativi alla reputazione commerciale dei fornitori di servizi, alle loro risorse finanziarie, umane e tecniche, alla loro sicurezza delle informazioni, alla loro struttura organizzativa, compresa la gestione dei rischi, e ai loro controlli interni.

(10)Per garantire una solida gestione dei rischi nella fornitura di servizi TIC a supporto di funzioni essenziali o importanti da parte di fornitori terzi di servizi TIC, la politica dovrebbe contenere informazioni sull’attuazione, sul monitoraggio e sulla gestione degli accordi contrattuali, anche a livello consolidato e subconsolidato, ove applicabile. Ciò include i requisiti relativi alle clausole contrattuali sugli obblighi reciproci delle entità finanziarie e dei fornitori terzi di servizi TIC, che è opportuno definire per iscritto. Per garantire una vigilanza efficace e promuovere la resilienza in caso di cambiamenti del modello o del contesto aziendale, la politica dovrebbe garantire il diritto delle entità finanziarie o di terze parti designate e delle autorità competenti di effettuare ispezioni e accedere alle informazioni, nonché specificare ulteriormente le strategie di uscita e i processi di risoluzione.

Per saperne di più:

Tratto da:

Link:

EurLex

Foto:

Istockphoto (by Getty Images)

 

Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?

Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:

http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it

 

together logo en

KARMA Logo

Eurodesk marchio e logo colore

areerurali

readywomen

futuroeuropa

idebate1 idebate2 idebate3

 

philoxenia

 

 

 

latuaeu
scn

 

ASSOCIAZIONE EUROKOM

Sede Legale: Via Cavour 4, 89040 Gerace (RC)

Sede Operativa: Palazzo Amaduri - Gioiosa Ionica (RC)

Servizio

Europe Direct "CalabriaEuropa" Palazzo Amaduri - Piazza Cinque Martiri Gioiosa Ionica (RC)

Tel.Fax: 00 39 0964 1901574

Email: associazioneeurokom@tiscali.it

Sito realizzato con il finanziamento della Commmissione europea - Rappresentanza in Italia Rappresentanza in Italia della Commissione europea

Contatore di visite

Oggi:
54
Ieri:
7913
Settimana:
200499
Mese:
878896
Totali:
90198846
Oggi è il: 29-12-2024
Il tuo IP è: 3.133.126.241