Sintesi Articolo 22
Alla ricezione delle notifiche iniziali e dei rapporti sugli incidenti ICT principali, le autorità competenti sono tenute a confermare la ricezione e possono fornire un feedback tempestivo e pertinente all’entità finanziaria coinvolta. Ciò potrebbe includere la condivisione di informazioni anonimizzate su minacce simili e la discussione di possibili rimedi. Le entità finanziarie rimangono pienamente responsabili della gestione degli incidenti. Separatamente, le Autorità Europee di Vigilanza (AEV) produrranno un rapporto annuale che riassumerà gli incidenti ICT principali, il loro impatto e le azioni correttive intraprese. Le AEV emetteranno anche avvertimenti e statistiche per contribuire a valutare le minacce e le vulnerabilità ICT.
- Fatti salvi il contributo tecnico, la consulenza o i rimedi e il successivo seguito dato che possono essere forniti, ove applicabile, conformemente al diritto nazionale, dai CSIRT ai sensi della direttiva (UE) 2022/2555, l’autorità competente, dopo aver ricevuto la notifica iniziale e ciascuna delle relazioni di cui all’articolo 19, paragrafo 4, ne accusa ricevuta e può, ove fattibile, fornire tempestivamente all’entità finanziaria riscontri pertinenti e proporzionali o orientamenti di alto livello, in particolare rendendo disponibili le informazioni e i dati pertinenti anonimizzati su minacce analoghe, e può discutere rimedi applicati a livello di entità finanziaria e metodi per ridurre al minimo e attenuare gli effetti avversi nel settore finanziario. Fatti salvi i riscontri ricevuti dalle autorità di vigilanza, le entità finanziarie restano pienamente responsabili del trattamento e delle conseguenze degli incidenti connessi alle TIC segnalati a norma dell’articolo 19, paragrafo 1.
- Le AEV, tramite il comitato congiunto, riferiscono con frequenza annuale, sulla base di dati anonimizzati e aggregati, in merito agli incidenti gravi connessi alle TIC, i cui dettagli sono forniti dalle autorità competenti a norma dell’articolo 19, paragrafo 6, indicando almeno il numero degli incidenti gravi connessi alle TIC, la natura, l’impatto sulle operazioni delle entità finanziarie o dei clienti, i costi sostenuti e le azioni di riparazione adottate.
Le AEV emanano segnalazioni di allerta e redigono statistiche di alto livello a supporto delle valutazioni della vulnerabilità e delle minacce connesse alle TIC.