Macchine

Regolamento (UE) 2022/2554

Regolamento (UE) 2022/2554

Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011.

(GU L 333, 27.12.2022)

Si applica a decorrere dal 17 gennaio 2025
________

Disposizioni generali

Articolo 1 Oggetto

1. Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:

a) obblighi applicabili alle entità finanziarie in materia di:
i) gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
ii) segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
iii) segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
iv) test di resilienza operativa digitale;
v) condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
vi) misure relative alla solida gestione dei rischi informatici derivanti da terzi; b) obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie;

c) norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;

d) norme sulla cooperazione tra autorità competenti e norme sulla vigilanza e l’applicazione da parte delle autorità competenti in relazione a tutte le materie trattate dal presente regolamento.

2. Quanto alle entità finanziarie identificate come soggetti essenziali o importanti ai sensi delle norme nazionali che recepiscono l’articolo 3 della direttiva 2022/2555, il presente regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 di tale direttiva.

3. Il presente regolamento lascia impregiudicata la responsabilità degli Stati membri per quanto riguarda le funzioni essenziali dello Stato concernenti la sicurezza pubblica, la difesa e la sicurezza nazionale conformemente al diritto dell’Unione.

Articolo 2 Ambito di applicazione

1. Fatti salvi i paragrafi 3 e 4, il presente regolamento si applica alle entità seguenti:

a) enti creditizi;

b) istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366;

c) prestatori di servizi di informazione sui conti;

d) istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;

e) imprese di investimento;

f) fornitori di servizi per le cripto-attività autorizzati a norma del regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e delle direttive 2013/36/UE e (UE) 2019/1937 (regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;

g) depositari centrali di titoli;

h) controparti centrali;

i) sedi di negoziazione;

j) repertori di dati sulle negoziazioni; k) gestori di fondi di investimento alternativi;

l) società di gestione;

m) fornitori di servizi di comunicazione dati;

n) imprese di assicurazione e di riassicurazione;

o) intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;

p) enti pensionistici aziendali o professionali;

q) agenzie di rating del credito;

r) amministratori di indici di riferimento critici;

s) fornitori di servizi di crowdfunding;

t) repertori di dati sulle cartolarizzazioni;

u) fornitori terzi di servizi TIC.

2. Ai fini del presente regolamento le entità di cui al paragrafo 1 lettere da a) a t) sono definite collettivamente «entità finanziarie».

3. Il presente regolamento non si applica a:

a) gestori di fondi di investimento alternativi di cui all’articolo 3, paragrafo 2, della direttiva 2011/61/UE;

b) imprese di assicurazione e di riassicurazione di cui all’articolo 4 della direttiva 2009/138/UE;

c) enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che contano congiuntamente non più di 15 aderenti in totale;

d) persone fisiche o giuridiche esentate a norma degli articoli 2 e 3 della direttiva 2014/65/UE;

e) intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio che sono microimprese o piccole o medie imprese;

f) uffici dei conti correnti postali di cui all’articolo 2, paragrafo 5, punto 3), della direttiva 2013/36/UE.

4. Gli Stati membri possono escludere dall’ambito di applicazione del presente regolamento le entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE che sono situati nei rispettivi territori. Qualora uno Stato membro si avvalga di tale facoltà, e in occasione di ogni successiva modifica, ne informa la Commissione. La Commissione mette tali informazioni a disposizione del pubblico sul suo sito web o attraverso altri canali facilmente accessibili.
...
segue in allegato

Collegati


Certifico s.r.l.

Sede: Via A. De Curtis, 28 - 06135 Perugia - IT
P. IVA: IT02442650541

Tel. 1: +39 075 599 73 63
Tel. 2: +39 075 599 73 43

Assistenza: +39 075 599 73 43

www.certifico.com
info@certifico.com

Testata editoriale iscritta al n. 22/2024 del registro periodici della cancelleria del Tribunale di Perugia in data 19.11.2024