Sintesi Articolo 18
Le entità finanziarie sono obbligate a classificare gli incidenti correlati alle TIC e le minacce informatiche in base a una serie di criteri, come il numero di clienti interessati, la durata, la diffusione geografica, le perdite di dati e l’impatto economico. Le Autorità Europee di Vigilanza (AEV) svilupperanno standard regolatori per specificare ulteriormente questi criteri, inclusi i livelli per ciò che costituisce incidenti gravi o minacce significative. Questi standard saranno elaborati in consultazione con la Banca Centrale Europea e l’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA) e terranno conto delle esigenze delle piccole imprese. Le AEV devono presentare tali standard entro il 17 gennaio 2024.
- Le entità finanziarie classificano gli incidenti connessi alle TIC e ne determinano l’impatto in base ai criteri seguenti:
- a) il numero e/o la rilevanza di clienti o controparti finanziarie interessati e, ove applicabile, la quantità o il numero di transazioni interessate dall’incidente connesso alle TIC e il fatto che tale incidente abbia provocato o meno un impatto reputazionale;
- b) la durata dell’incidente connesso alle TIC, compreso il periodo di inattività del servizio;
- c) l’estensione geografica dell’incidente connesso alle TIC, con riferimento alle aree colpite, in particolare se interessa più di due Stati membri;
- d) le perdite di dati derivanti dall’incidente connesso alle TIC, in relazione alla disponibilità, autenticità, integrità o riservatezza dei dati;
- e) la criticità dei servizi colpiti, comprese le operazioni dell’entità finanziaria;
- f) l’impatto economico dell’incidente connesso alle TIC — in particolare le perdite e i costi diretti e indiretti — in termini sia assoluti che relativi.
- Le entità finanziarie classificano le minacce informatiche come significative in base alla criticità dei servizi a rischio, comprese le operazioni dell’entità finanziaria, il numero e/o la rilevanza di clienti o controparti finanziarie interessati e l’estensione geografica delle aree a rischio.
- In consultazione con la BCE e l’ENISA, le AEV elaborano, tramite il comitato congiunto, progetti di norme tecniche di regolamentazione comuni che specificano ulteriormente gli aspetti seguenti:
- a) i criteri di cui al paragrafo 1, comprese le soglie di rilevanza per la determinazione dei gravi incidenti TIC o, ove applicabile, dei gravi incidenti operativi o relativi alla sicurezza dei pagamenti, che sono oggetto dell’obbligo di segnalazione di cui all’articolo 19, paragrafo 1;
- b) i criteri che le autorità competenti devono applicare per valutare la rilevanza dei gravi incidenti TIC o, ove applicabile, dei gravi incidenti operativi o relativi alla sicurezza dei pagamenti per le autorità competenti interessate in altri Stati membri, nonché i dettagli delle segnalazioni di incidenti gravi connessi alle TIC o, ove applicabile, di gravi incidenti operativi o di sicurezza dei pagamenti da condividere con altre autorità competenti ai sensi dell’articolo 19, paragrafi 6 e 7.
- c) i criteri di cui al paragrafo 2 del presente articolo, comprese soglie di rilevanza elevate per la determinazione delle minacce informatiche significative.
- All’atto dell’elaborazione dei progetti di norme tecniche di regolamentazione comuni di cui al paragrafo 3 del presente articolo, le AEV tengono conto dei criteri di cui all’articolo 4, paragrafo 2, come pure delle norme internazionali, degli orientamenti e delle specifiche elaborati e pubblicati dall’ENISA, tra cui, se del caso, le specifiche riguardanti altri settori economici. Ai fini dell’applicazione dei criteri di cui all’articolo 4, paragrafo 2, le AEV tengono debitamente conto della necessità delle microimprese e delle piccole e medie imprese di mobilitare risorse e capacità sufficienti per garantire una gestione rapida degli incidenti connessi alle TIC.
Le AEV presentano tali progetti di norme tecniche di regolamentazione comuni alla Commissione entro il 17 gennaio 2024.
Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al paragrafo 3 in conformità degli articoli da 0 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.