Sintesi Articolo 20
Le Autorità Europee di Vigilanza (AEV), in consultazione con l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) e la Banca Centrale Europea (BCE), sono incaricate di sviluppare norme regolamentari e standard tecnici per segnalare incidenti ICT significativi e notificare minacce cibernetiche rilevanti. Questi standard specificano il contenuto e il momento delle segnalazioni e notifiche. Le AEV terranno conto di fattori come la dimensione, il profilo di rischio e la complessità delle entità finanziarie nello sviluppo di tali standard. Sono tenute a presentare questi standard provvisori alla Commissione Europea entro il 17 luglio 2024. La Commissione ha il potere di adottare tali standard in conformità alle normative dell’UE esistenti.
In consultazione con l’ENISA e la BCE, le AEV, tramite il comitato congiunto, elaborano quanto segue:
a) progetti di norme tecniche di regolamentazione comuni per:
i) stabilire il contenuto delle segnalazioni relative agli incidenti gravi connessi alle TIC al fine di rispecchiare i criteri di cui all’articolo 18, paragrafo 1, e integrare ulteriori elementi, ad esempio i dettagli per stabilire la rilevanza delle segnalazioni per gli altri Stati membri e se si tratti o meno di un grave incidente operativo o di sicurezza dei pagamenti;
ii) stabilire i termini della notifica iniziale e di ciascuna relazione di cui all’articolo 19, paragrafo 4;
iii) stabilire il contenuto della notifica per le minacce informatiche significative.
All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni, in particolare al fine di garantire che, ai fini della lettera a), punto ii) del presente comma, termini differenti possano rispecchiare, se del caso, alcune specificità dei settori finanziari, fatto salvo il mantenimento di un approccio coerente alla segnalazione degli incidenti connessi alle TIC a norma del presente regolamento e della direttiva (UE) 2022/2555. Se del caso, le AEV forniscono una giustificazione quando si discostano dagli approcci adottati nel contesto di tale direttiva;
b) progetti di norme tecniche di attuazione comuni per stabilire i formati, i modelli e le procedure standard con cui le entità finanziarie devono segnalare un grave incidente TIC e notificare una minaccia informatica significativa.
Le AEV trasmettono alla Commissione i progetti di norme tecniche di regolamentazione comuni di cui al primo comma, lettera a), e i progetti di norme tecniche di attuazione comuni di cui al primo comma, lettera b), entro il 17 luglio 2024.
Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione comuni di cui al primo comma, lettera a), in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010.
Alla Commissione è conferito il potere di adottare le norme tecniche di attuazione comuni di cui al primo comma, lettera b), in conformità dell’articolo 15 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.