Regolamento Delegato (UE) 2025/295 della Commissione del 24 ottobre 2024 che integra il Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio.

Giustizia pixabay law 8722596 640

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (1), in particolare l’articolo 41, paragrafo 2, secondo comma,

considerando quanto segue:

(1)Il quadro sulla resilienza operativa digitale per il settore finanziario istituito dal regolamento (UE) 2022/2554 introduce un quadro di sorveglianza dell’Unione per i fornitori terzi di servizi delle tecnologie dell’informazione e della comunicazione (TIC) al settore finanziario designati come critici a norma dell’articolo 31 di tale regolamento.

(2)Il fornitore terzo di servizi TIC che decida di presentare una domanda di designazione volontaria quale fornitore critico dovrebbe fornire all’autorità europea di vigilanza (AEV) ricevente tutte le informazioni necessarie per dimostrare la propria criticità conformemente ai principi e ai criteri di cui al regolamento (UE) 2022/2554. Per questo motivo, le informazioni da includere nella domanda volontaria dovrebbero essere sufficientemente dettagliate e complete in modo da consentire una valutazione chiara e completa della criticità ai sensi dell’articolo 31, paragrafo 11, di tale regolamento. L’AEV competente dovrebbe respingere qualsiasi domanda incompleta e richiedere le informazioni mancanti.

(3)L’identificazione giuridica dei fornitori terzi di servizi TIC che rientrano nell’ambito di applicazione della presente norma tecnica di regolamentazione dovrebbe essere in linea con il codice identificativo di cui al regolamento di esecuzione della Commissione adottato in conformità dell’articolo 28, paragrafo 9, del regolamento (UE) 2022/2554.

(4)L’autorità di sorveglianza capofila, per dare seguito alle raccomandazioni da essa rivolte ai fornitori terzi critici di servizi TIC, dovrebbe monitorare il rispetto delle raccomandazioni da parte di questi ultimi. Al fine di garantire un monitoraggio efficiente ed efficace delle azioni adottate o dei rimedi applicati dai fornitori terzi critici di servizi TIC in relazione a tali raccomandazioni, l’autorità di sorveglianza capofila dovrebbe poter richiedere le relazioni di cui all’articolo 35, paragrafo 1, lettera c), del regolamento (UE) 2022/2554, vale a dire le relazioni intermedie sullo stato di avanzamento e le relazioni finali.

(5)Ai fini della valutazione di cui all’articolo 42, paragrafo 1, del regolamento (UE) 2022/2554, secondo cui l’autorità di sorveglianza capofila è tenuta a valutare se la spiegazione fornita dal fornitore terzo critico di servizi TIC sia sufficiente, la notifica all’autorità di sorveglianza capofila da parte del fornitore terzo critico di servizi TIC della sua intenzione di attenersi alle raccomandazioni ricevute dovrebbe essere integrata da una descrizione delle azioni e delle misure adottate per attenuare i rischi delineati nelle raccomandazioni, unitamente alla rispettiva tempistica. Tale spiegazione dovrebbe assumere la forma di un piano correttivo.

(6)Poiché l’autorità di sorveglianza capofila dovrebbe valutare gli accordi di subappalto del fornitore terzo critico di servizi TIC, è necessario elaborare un modello per la trasmissione di informazioni su tali accordi. Il modello dovrebbe tenere conto del fatto che i fornitori terzi critici di servizi TIC hanno strutture diverse rispetto alle entità finanziarie.

(7)Una volta che l’autorità di sorveglianza capofila ha formulato le raccomandazioni a un fornitore terzo critico di servizi TIC e che le autorità competenti hanno informato le entità finanziarie interessate dei rischi individuati in tali raccomandazioni, l’autorità di sorveglianza capofila dovrebbe monitorare e valutare l’attuazione, da parte del fornitore terzo critico di servizi TIC, delle azioni e dei rimedi per conformarsi alle raccomandazioni. Le autorità competenti dovrebbero monitorare e valutare in che misura le entità finanziarie sono esposte ai rischi individuati in tali raccomandazioni. Al fine di mantenere condizioni di parità nello svolgimento dei rispettivi compiti, in particolare quando i rischi individuati nelle raccomandazioni sono gravi e condivisi da un gran numero di entità finanziarie in più Stati membri, sia le autorità competenti che l’autorità di sorveglianza capofila dovrebbero condividere tra loro tutte le risultanze pertinenti necessarie per svolgere i rispettivi compiti. L’obiettivo della condivisione delle informazioni è garantire che il feedback dell’autorità di sorveglianza capofila al fornitore terzo critico di servizi TIC in relazione alle azioni e ai rimedi che quest’ultimo sta attuando tenga conto dell’impatto sui rischi delle entità finanziarie e che la valutazione effettuata dall’autorità di sorveglianza capofila informi le attività di vigilanza svolte dalle autorità competenti.

(8)Al fine di consentire una condivisione efficiente ed efficace delle informazioni, le autorità competenti dovrebbero valutare, nell’ambito delle rispettive attività di vigilanza, in che misura le entità finanziarie sottoposte alla loro vigilanza siano esposte ai rischi individuati nelle raccomandazioni. Tale valutazione dovrebbe essere effettuata in modo proporzionato e seguendo un approccio basato sul rischio. L’autorità di sorveglianza capofila dovrebbe chiedere alle autorità competenti di condividere i risultati di tale valutazione nei casi specifici in cui i rischi associati alle raccomandazioni sono gravi e comuni a un gran numero di entità finanziarie in diversi Stati membri. Al fine di utilizzare al meglio le risorse delle autorità competenti, l’autorità di sorveglianza capofila, quando chiede di fornire i risultati di tale valutazione, dovrebbe sempre tenere conto del fatto che l’obiettivo di tali richieste è valutare l’attuazione delle azioni e dei rimedi da parte dei fornitori terzi critici di servizi TIC.

(9)Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (2), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 22 luglio 2024.

(10)Il presente regolamento si basa sui progetti di norme tecniche di regolamentazione che le autorità europee di vigilanza hanno presentato alla Commissione.

Per la pubblicazione integrale:

Tratto da:

Link:

EurLex

Foto:

pixabay

 

Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?

Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:

http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it

Novità Legislative
Visite: 38

 whatsapp

together logo en

KARMA Logo

greatbeauty

Logo Entrepreneurs Mobility

Eurodesk marchio e logo colore

areerurali

readywomen

futuroeuropa

idebate1 idebate2 idebate3

 

philoxenia

 

 

 

latuaeu
scn

 

EdicCalabria&Europa'Eurokom'

ASSOCIAZIONE EUROKOM

Sede Legale: Via Cavour 4, 89040 Gerace (RC)

Sede Operativa: Palazzo Amaduri - Gioiosa Ionica (RC)

Servizio

Europe Direct "CalabriaEuropa" Palazzo Amaduri - Piazza Cinque Martiri Gioiosa Ionica (RC)

Tel.Fax: 00 39 0964 1901574

Email: associazioneeurokom@tiscali.it

Sito realizzato con il finanziamento della Commmissione europea - Rappresentanza in Italia Rappresentanza in Italia della Commissione europea

Contatore di visite

Oggi:
8725
Ieri:
16226
Settimana:
134963
Mese:
695750
Totali:
91968799
Oggi è il: 09-03-2025
Il tuo IP è: 18.119.1.182

Menu principale