Sintesi Articolo 3
DORA fornisce definizioni dettagliate per chiarire il suo ambito di applicazione. Definisce la “resilienza operativa digitale” come la capacità di un’entità finanziaria di mantenere la propria integrità operativa e affidabilità, in particolare di fronte a interruzioni. Il regolamento descrive anche cosa costituiscono i “sistemi di rete e informatici”, i “sistemi TIC legacy” e vari tipi di “rischi” e “incidenti”. Classifica le entità finanziarie in base alle loro dimensioni e funzioni, come “microimpresa” e “impresa di medie dimensioni”, per adattare i suoi requisiti. Queste definizioni fungono da fondamento per comprendere i mandati della regolamentazione sulla sicurezza digitale nel settore finanziario.
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «resilienza operativa digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza dei sistemi informatici e di rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni;
2) «sistema informatico e di rete»: un sistema informatico e di rete quali definiti all’articolo 6, punto 1), della direttiva (UE) 2022/2555;
3) «sistema legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore terzo di servizi TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria;
4) «sicurezza dei sistemi informatici e di rete»: la sicurezza dei sistemi informatici e di rete quale definita all’articolo 6, punto 2), della direttiva (UE) 2022/2555;
5) «rischi informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza dei sistemi informatici e di rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico;
6) «patrimonio informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere;
7) «risorse TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria;
8) «incidente connesso alle TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza dei sistemi informatici e di rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria;
9) «incidente operativo o di sicurezza dei pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria;
10) «grave incidente TIC»: un incidente connesso alle TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria;
11) «grave incidente operativo o di sicurezza dei pagamenti»: un incidente operativo o di sicurezza dei pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti;
12) «minaccia informatica»: minaccia informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881;
13) «minaccia informatica significativa»: una minaccia informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave incidente TIC o un grave incidente operativo o di sicurezza dei pagamenti;
14) «attacco informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione;
15) «analisi delle minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente connesso alle TIC o di una minaccia informatica, compresi i dettagli tecnici dell’attacco informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni;
16) «vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile;
17) «test di penetrazione guidato dalla minaccia (TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team);
18) «rischi informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione;
19) «fornitore terzo di servizi TIC»: un’impresa che fornisce servizi TIC;
20) «fornitore intragruppo di servizi TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune;
21) «servizi TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali;
22) «funzione essenziale o importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari;
23) «fornitore terzo critico di servizi TIC»: un fornitore terzo di servizi TIC designato come critico in conformità dell’articolo 31;
24) «fornitore terzo di servizi TIC stabilito in un paese terzo»: un fornitore terzo di servizi TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC;
25) «impresa figlia»: impresa figlia ai sensi dell’articolo 2, punto 10), e dell’articolo 22 della direttiva 2013/34/UE;
26) «gruppo»: un gruppo quale definito all’articolo 2, punto 11), della direttiva 2013/34/UE;
27) «impresa madre»: impresa madre ai sensi dell’articolo 2, punto 9), e dell’articolo 22 della direttiva 2013/34/UE;
28) «subappaltatore di TIC stabilito in un paese terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore terzo di servizi TIC o con un fornitore terzo di servizi TIC stabilito in un paese terzo;
29) «rischio di concentrazione delle TIC»: l’esposizione a fornitori terzi critici di servizi TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione;
30) «organo di gestione»: organo di gestione quale definito all’articolo 4, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’articolo 3, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’articolo 2, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’articolo 2, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’articolo 3, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale;
31) «ente creditizio»: ente creditizio ai sensi dell’articolo 4, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32);
32) «ente esentato dalla direttiva 2013/36/UE»: un’entità di cui all’articolo 2, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE;
33) «impresa di investimento»: un’impresa di investimento quale definita all’articolo 4, paragrafo 1, punto 1), della direttiva 2014/65/UE;
34) «impresa di investimento piccola e non interconnessa»: un’impresa di investimento che soddisfa le condizioni di cui all’articolo 12, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33);
35) «istituto di pagamento»: un istituto di pagamento quale definito all’articolo 4, punto 4), della direttiva (UE) 2015/2366;
36) «istituto di pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto di pagamento esentato a norma dell’articolo 32, paragrafo 1, della direttiva (UE) 2015/2366;
37) «prestatore di servizi di informazione sui conti»: un prestatore di servizi di informazione sui conti di cui all’articolo 33, paragrafo 1, della direttiva (UE) 2015/2366;
38) «istituto di moneta elettronica»: un istituto di moneta elettronica quale definito all’articolo 2, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio;
39) «istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE»: un istituto di moneta elettronica; che beneficia di un’esenzione ai sensi dell’articolo 9, paragrafo 1, della direttiva 2009/110/CE;
40) «controparte centrale»: una controparte centrale quale definita all’articolo 2, punto 1), del regolamento (UE) n. 648/2012;
41) «repertorio di dati sulle negoziazioni»: un repertorio di dati sulle negoziazioni quale definito all’articolo 2, punto 2), del regolamento (UE) n. 648/2012;
42) «depositario centrale di titoli»: un depositario centrale di titoli quale definito all’articolo 2, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014;
43) «sede di negoziazione»: una sede di negoziazione quale definita all’articolo 4, paragrafo 1, punto 24), della direttiva 2014/65/UE;
44) «gestore di fondi di investimento alternativi»: un gestore di fondi di investimento alternativi quale definito all’articolo 4, paragrafo 1, lettera b), della direttiva 2011/61/UE;
45) «società di gestione»: una società di gestione quale definita all’articolo 2, paragrafo 1, lettera b), della direttiva 2009/65/CE;
46) «fornitore di servizi di comunicazione dati»: un fornitore di servizi di comunicazione dati ai sensi del regolamento (UE) n. 600/2014, articolo 2, paragrafo 1, punti da 34) a 36);
47) «impresa di assicurazione»: impresa di assicurazione ai sensi dell’articolo 13, punto 1), della direttiva 2009/138/CE;
48) «impresa di riassicurazione»: impresa di riassicurazione ai sensi dell’articolo 13, punto 4), della direttiva 2009/138/CE;
49) «intermediario assicurativo»: un intermediario assicurativo quale definito all’articolo 2, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34);
50) «intermediario assicurativo a titolo accessorio»: un intermediario assicurativo quale definito all’articolo 2, paragrafo 1, punto 4), della direttiva (UE) 2016/97;
51) «intermediario riassicurativo»: un intermediario riassicurativo quale definito all’articolo 2, paragrafo 1, punto 5), della direttiva (UE) 2016/97;
52) «ente pensionistico aziendale o professionale»: un ente pensionistico aziendale o professionale quale definito all’articolo 6, punto 1), della direttiva 2016/2341;
53) «piccolo ente pensionistico aziendale o professionale»: un ente pensionistico aziendale o professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale;
54) «agenzia di rating del credito»: un’agenzia di rating del credito quale definita all’articolo 3, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009;
55) «fornitore di servizi per le cripto-attività»: un fornitore di servizi per le cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;
56) «emittente di token collegati ad attività»: un emittente di token collegati ad attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;
57) «amministratore di indici di riferimento critici»: un amministratore di indici di riferimento critici quale definito all’articolo 3, punto 25), del regolamento (UE) 2016/1011;
58) «fornitore di servizi di crowdfunding»: un fornitore di servizi di crowdfunding quale definito all’articolo 2, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35);
59) «repertorio di dati sulle cartolarizzazioni»: un repertorio di dati sulle cartolarizzazioni quale definito all’articolo 2, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36);
60) «microimpresa»: un’entità finanziaria, diversa da una sede di negoziazione, una controparte centrale, un repertorio di dati sulle negoziazioni o un depositario centrale di titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR;
61) «autorità di sorveglianza capofila»: l’autorità europea di vigilanza designata a norma dell’articolo 31, paragrafo 1, lettera b), del presente regolamento;
62) «comitato congiunto»: il comitato di cui all’articolo 54 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010;
63) «piccola impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR;
64) «media impresa»: un’entità finanziaria che non è una piccola impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR;
65) «autorità pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali.