Sintesi Articolo 58
Entro il 17 gennaio 2028, la Commissione Europea condurrà una revisione completa di DORA e presenterà una relazione al Parlamento Europeo e al Consiglio. Questa revisione si concentrerà su vari aspetti, tra cui i criteri per la designazione di fornitori di servizi di terze parti TIC critici, la natura volontaria delle notifiche significative di minacce informatiche e l’efficacia delle disposizioni di vigilanza. La revisione valuterà anche la necessità di includere entità finanziarie che utilizzano sistemi di vendita automatizzati e valuterà il ruolo della Rete Condivisa di Vigilanza. Inoltre, entro il 17 luglio 2023 e il 17 gennaio 2026, la Commissione valuterà la resilienza cibernetica dei sistemi di pagamento e il ruolo dei revisori legali nella resilienza operativa digitale.
- Entro il 17 gennaio 2028, la Commissione, dopo aver consultato le AEV e il CERS, a seconda dei casi, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa. Il riesame comprende almeno:
- a) i criteri per la designazione dei fornitori terzi critici di servizi TIC, di cui all’articolo 31, paragrafo 2;
- b) il carattere volontario della notifica di minacce informatiche significative di cui all’articolo 19;
- c) il regime di cui all’articolo 31, paragrafo 12, e i poteri dell’autorità di sorveglianza capofila di cui all’articolo 35, paragrafo 1, lettera d ), punto iv), primo trattino, al fine di valutare l’efficacia di tali disposizioni per quanto riguarda la garanzia di una sorveglianza efficace dei fornitori terzi critici di servizi TIC stabiliti in un paese terzo e la necessità di istituire un’impresa figlia nell’Unione.
- Ai fini del primo comma della presente lettera, il riesame comprende un’analisi del regime di cui all’articolo 31, paragrafo 12, comprese le condizioni di accesso delle entità finanziarie dell’Unione ai servizi di paesi terzi e la disponibilità di tali servizi sul mercato dell’Unione, e tiene conto degli ulteriori sviluppi nei mercati dei servizi disciplinati dal presente regolamento, dell’esperienza pratica delle entità finanziarie e delle autorità di vigilanza finanziaria per quanto riguarda l’applicazione e, rispettivamente, la vigilanza di tale regime e di eventuali sviluppi pertinenti in materia di regolamentazione e vigilanza a livello internazionale;
- d) se sia opportuno includere nell’ambito di applicazione del presente regolamento le entità finanziarie di cui all’articolo 2, paragrafo 3, lettera e), che utilizzano sistemi di vendita automatizzata, alla luce dei futuri sviluppi del mercato sull’uso di tali sistemi;
- e) il funzionamento e l’efficacia della rete di sorveglianza comune in termini di sostegno alla coerenza della sorveglianza e all’efficienza dello scambio di informazioni nell’ambito del quadro di sorveglianza.
- Nel contesto del riesame della direttiva (UE) 2015/2366, la Commissione valuta la necessità di una maggiore ciberresilienza dei sistemi di pagamento e delle attività di trattamento dei pagamenti e se sia opportuno ampliare l’ambito di applicazione del presente regolamento agli operatori dei sistemi di pagamento e alle entità coinvolte nelle attività di trattamento dei pagamenti. Alla luce di tale valutazione, la Commissione presenta, nell’ambito del riesame della direttiva (UE) 2015/2366, una relazione al Parlamento europeo e al Consiglio e entro il 17 luglio 2023. Sulla base di tale relazione di riesame e previa consultazione delle AEV, della BCE e del CERS, la Commissione può presentare, se del caso e nell’ambito della proposta legislativa che può adottare a norma dell’articolo 108, secondo comma, della direttiva (UE) 2015/2366, una proposta volta a garantire che tutti gli operatori dei sistemi di pagamento e le entità coinvolte nelle attività di trattamento dei pagamenti siano soggetti a un’adeguata sorveglianza, tenendo conto nel contempo dell’esistente sorveglianza da parte delle banche centrali.
- Entro il 17 gennaio 2026, la Commissione, dopo aver consultato le AEV e il comitato degli organismi europei di controllo delle attività di revisione contabile, effettua un riesame e presenta al Parlamento europeo e al Consiglio una relazione accompagnata, se del caso, da una proposta legislativa sull’opportunità di rafforzare i requisiti per i revisori legali e le imprese di revisione contabile per quanto riguarda la resilienza operativa digitale, mediante l’inclusione dei revisori legali e delle imprese di revisione contabile nell’ambito di applicazione del presente regolamento o mediante modifiche della direttiva 2006/43/CE del Parlamento europeo e del Consiglio (39).