Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011.
(GU L 333, 27.12.2022)
Si applica a decorrere dal 17 gennaio 2025
________
Disposizioni generali
Articolo 1 Oggetto
1. Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:
a) obblighi applicabili alle entità finanziarie in materia di:
i) gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
ii) segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
iii) segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
iv) test di resilienza operativa digitale;
v) condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
vi) misure relative alla solida gestione dei rischi informatici derivanti da terzi; b) obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie;
c) norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;
d) norme sulla cooperazione tra autorità competenti e norme sulla vigilanza e l’applicazione da parte delle autorità competenti in relazione a tutte le materie trattate dal presente regolamento.
2. Quanto alle entità finanziarie identificate come soggetti essenziali o importanti ai sensi delle norme nazionali che recepiscono l’articolo 3 della direttiva 2022/2555, il presente regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 di tale direttiva.
3. Il presente regolamento lascia impregiudicata la responsabilità degli Stati membri per quanto riguarda le funzioni essenziali dello Stato concernenti la sicurezza pubblica, la difesa e la sicurezza nazionale conformemente al diritto dell’Unione.
Articolo 2 Ambito di applicazione
1. Fatti salvi i paragrafi 3 e 4, il presente regolamento si applica alle entità seguenti:
a) enti creditizi;
b) istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366;
c) prestatori di servizi di informazione sui conti;
d) istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;
e) imprese di investimento;
f) fornitori di servizi per le cripto-attività autorizzati a norma del regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e delle direttive 2013/36/UE e (UE) 2019/1937 (regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;
g) depositari centrali di titoli;
h) controparti centrali;
i) sedi di negoziazione;
j) repertori di dati sulle negoziazioni; k) gestori di fondi di investimento alternativi;
l) società di gestione;
m) fornitori di servizi di comunicazione dati;
n) imprese di assicurazione e di riassicurazione;
o) intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;
p) enti pensionistici aziendali o professionali;
q) agenzie di rating del credito;
r) amministratori di indici di riferimento critici;
s) fornitori di servizi di crowdfunding;
t) repertori di dati sulle cartolarizzazioni;
u) fornitori terzi di servizi TIC.
2. Ai fini del presente regolamento le entità di cui al paragrafo 1 lettere da a) a t) sono definite collettivamente «entità finanziarie».
3. Il presente regolamento non si applica a:
a) gestori di fondi di investimento alternativi di cui all’articolo 3, paragrafo 2, della direttiva 2011/61/UE;
b) imprese di assicurazione e di riassicurazione di cui all’articolo 4 della direttiva 2009/138/UE;
c) enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che contano congiuntamente non più di 15 aderenti in totale;
d) persone fisiche o giuridiche esentate a norma degli articoli 2 e 3 della direttiva 2014/65/UE;
e) intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio che sono microimprese o piccole o medie imprese;
f) uffici dei conti correnti postali di cui all’articolo 2, paragrafo 5, punto 3), della direttiva 2013/36/UE.
4. Gli Stati membri possono escludere dall’ambito di applicazione del presente regolamento le entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE che sono situati nei rispettivi territori. Qualora uno Stato membro si avvalga di tale facoltà, e in occasione di ogni successiva modifica, ne informa la Commissione. La Commissione mette tali informazioni a disposizione del pubblico sul suo sito web o attraverso altri canali facilmente accessibili.
...
segue in allegato
Collegati
| Descrizione | Lingua | Dimensioni | Downloads | |
|---|---|---|---|---|
 |
IT | 1506 kB | 324 |
Decreto del presidente del Consiglio dei Ministri 30 ottobre 2019
Definizione del Programma nazionale per la gestione del combus...
Approvazione del quarto aggiornamento all’Elenco nazionale degli alberi monumentali d’Italia.
(GU n. 114 del 14.05.2021)
Elenco completo alberi monumentali
_______
Articolo unico
1. L’...
OGGETTO: Decreto Legge 17 marzo 2020, n. 18. Applicazione dell’articolo 103, comma 1, in materia di termini per i contro...
Testata editoriale iscritta al n. 22/2024 del registro periodici della cancelleria del Tribunale di Perugia in data 19.11.2024