Regolamento (UE) 2022/2554
Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011.
(GU L 333, 27.12.2022)
Si applica a decorrere dal 17 gennaio 2025
________
Disposizioni generali
Articolo 1 Oggetto
1. Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:
a) obblighi applicabili alle entità finanziarie in materia di:
i) gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
ii) segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
iii) segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
iv) test di resilienza operativa digitale;
v) condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
vi) misure relative alla solida gestione dei rischi informatici derivanti da terzi; b) obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie;
c) norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;
d) norme sulla cooperazione tra autorità competenti e norme sulla vigilanza e l’applicazione da parte delle autorità competenti in relazione a tutte le materie trattate dal presente regolamento.
2. Quanto alle entità finanziarie identificate come soggetti essenziali o importanti ai sensi delle norme nazionali che recepiscono l’articolo 3 della direttiva 2022/2555, il presente regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 di tale direttiva.
3. Il presente regolamento lascia impregiudicata la responsabilità degli Stati membri per quanto riguarda le funzioni essenziali dello Stato concernenti la sicurezza pubblica, la difesa e la sicurezza nazionale conformemente al diritto dell’Unione.
Articolo 2 Ambito di applicazione
1. Fatti salvi i paragrafi 3 e 4, il presente regolamento si applica alle entità seguenti:
a) enti creditizi;
b) istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366;
c) prestatori di servizi di informazione sui conti;
d) istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;
e) imprese di investimento;
f) fornitori di servizi per le cripto-attività autorizzati a norma del regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e delle direttive 2013/36/UE e (UE) 2019/1937 (regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;
g) depositari centrali di titoli;
h) controparti centrali;
i) sedi di negoziazione;
j) repertori di dati sulle negoziazioni; k) gestori di fondi di investimento alternativi;
l) società di gestione;
m) fornitori di servizi di comunicazione dati;
n) imprese di assicurazione e di riassicurazione;
o) intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;
p) enti pensionistici aziendali o professionali;
q) agenzie di rating del credito;
r) amministratori di indici di riferimento critici;
s) fornitori di servizi di crowdfunding;
t) repertori di dati sulle cartolarizzazioni;
u) fornitori terzi di servizi TIC.
2. Ai fini del presente regolamento le entità di cui al paragrafo 1 lettere da a) a t) sono definite collettivamente «entità finanziarie».
3. Il presente regolamento non si applica a:
a) gestori di fondi di investimento alternativi di cui all’articolo 3, paragrafo 2, della direttiva 2011/61/UE;
b) imprese di assicurazione e di riassicurazione di cui all’articolo 4 della direttiva 2009/138/UE;
c) enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che contano congiuntamente non più di 15 aderenti in totale;
d) persone fisiche o giuridiche esentate a norma degli articoli 2 e 3 della direttiva 2014/65/UE;
e) intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio che sono microimprese o piccole o medie imprese;
f) uffici dei conti correnti postali di cui all’articolo 2, paragrafo 5, punto 3), della direttiva 2013/36/UE.
4. Gli Stati membri possono escludere dall’ambito di applicazione del presente regolamento le entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE che sono situati nei rispettivi territori. Qualora uno Stato membro si avvalga di tale facoltà, e in occasione di ogni successiva modifica, ne informa la Commissione. La Commissione mette tali informazioni a disposizione del pubblico sul suo sito web o attraverso altri canali facilmente accessibili.
...
segue in allegato
Collegati