Sintesi Articolo 32
Il Forum di Sorveglianza è istituito come sottocomitato nell’ambito del Comitato Congiunto per concentrarsi sul rischio di terze parti TIC in tutti i settori finanziari. Si propone di standardizzare l’approccio al monitoraggio di tali rischi a livello dell’Unione. Annualmente, il forum valuta le attività di sorveglianza di tutti i fornitori critici di servizi TIC di terze parti per migliorare la resilienza digitale e affrontare il rischio di concentrazione TIC. Stabilisce anche parametri di riferimento per questi fornitori. La composizione del forum comprende i presidenti delle Autorità di Sorveglianza Europee (ASE), rappresentanti di alto livello degli Stati membri e altre parti interessate chiave. Può inoltre consultare esperti indipendenti. Le ASE sono tenute a emettere linee guida entro luglio 2024 dettagliando la cooperazione tra di loro e le autorità competenti. Le ASE presenteranno anche una relazione annuale sull’applicazione di questa sezione al Parlamento europeo, al Consiglio e alla Commissione.
- Il comitato congiunto, in conformità dell’articolo 57, paragrafo 1, dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, istituisce il forum di sorveglianza come sottocomitato incaricato di coadiuvare il lavoro del comitato congiunto e dell’autorità di sorveglianza capofila di cui all’articolo 31, paragrafo 1, lettera b), per quanto concerne i rischi informatici derivanti da terzi in tutti i settori finanziari. Il forum di sorveglianza prepara i progetti di posizioni comuni e atti comuni del comitato congiunto in tale ambito. Il forum di sorveglianza discute periodicamente gli sviluppi rilevanti in materia di vulnerabilità e rischi relativi alle TIC e promuove un approccio coerente al monitoraggio dei rischi informatici derivanti da terzi a livello dell’Unione.
- Il forum di sorveglianza intraprende, con cadenza annuale, una valutazione collettiva degli esiti e delle risultanze delle attività di sorveglianza condotte su tutti i fornitori terzi critici di servizi TIC e promuove misure di coordinamento per potenziare la resilienza operativa digitale delle entità finanziarie, favorire le migliori prassi per contrastare il rischio di concentrazione delle TIC e studiare metodi per attenuare i trasferimenti intersettoriali dei rischi.
- Il forum di sorveglianza sottopone al comitato congiunto parametri di riferimento generali ai fornitori terzi critici di servizi TIC affinché siano adottati come posizioni congiunte delle AEV ai sensi dell’articolo 56, paragrafo 1, dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.
- Il forum di sorveglianza è composto da:
- a) i presidenti delle AEV;
- b) un rappresentante di alto livello del personale in servizio dell’autorità competente interessata di cui all’articolo 46 di ciascuno Stato membro;
- c) i direttori esecutivi di ciascuna AEV e un rappresentante della Commissione, del CERS, della BCE e dell’ENISA in qualità di osservatori;
- d) se del caso, un rappresentante supplementare di un’autorità competente di cui all’articolo 46 di ciascuno Stato membro in qualità di osservatore;
- e) ove applicabile, un rappresentante delle autorità competenti designate o istituite in conformità della direttiva (UE) 2022/2555 responsabile della vigilanza di un soggetto essenziale o importante ai sensi di tale direttiva, che è stato designato come un fornitore terzo di servizi TIC critici in qualità di osservatore. Il forum di sorveglianza può, se del caso, chiedere il parere di esperti indipendenti nominati a norma del paragrafo 6.
- Ciascuno Stato membro designa l’autorità competente interessata il cui membro del personale è il rappresentante di alto livello di cui al paragrafo 4, primo comma, lettera b), e ne informa l’autorità di sorveglianza capofila. Le AEV pubblicano sul loro sito web l’elenco dei rappresentanti di alto livello dell’attuale personale della pertinente autorità competente designati dagli Stati membri.
- Gli esperti indipendenti di cui al paragrafo 4, secondo comma, sono nominati dal forum di sorveglianza e provengono da un gruppo di esperti selezionati al termine di una procedura di candidatura pubblica e trasparente. Gli esperti indipendenti sono nominati sulla base dell’esperienza maturata in settori quali la stabilità finanziaria, la resilienza operativa digitale e le questioni di sicurezza delle TIC. Agiscono in piena indipendenza e obiettività nell’interesse esclusivo dell’Unione nel suo insieme, senza chiedere né ricevere istruzioni da parte di istituzioni od organi dell’Unione, governi degli Stati membri o altri soggetti pubblici o privati.
- Ai sensi dell’articolo 16 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010, le AEV, entro il 17 luglio 2024, formulano, ai fini della presente sezione, orientamenti sulla cooperazione tra le AEV e le autorità competenti concernenti le procedure e le condizioni dettagliate per la ripartizione e l’esecuzione dei compiti tra le autorità competenti e le AEV, nonché forniscono dettagli sugli scambi di informazioni necessari alle autorità competenti per garantire il seguito da dare alle raccomandazioni a norma dell’articolo 35, paragrafo 1, lettera d) rivolte ai fornitori terzi critici di servizi TIC.
- I requisiti di cui alla presente sezione non pregiudicano l’applicazione della direttiva (UE) 2022/2555 né di altre norme dell’Unione in materia di sorveglianza applicabili ai fornitori di servizi di cloud computing.
- Sulla base di un lavoro preparatorio svolto dal forum di sorveglianza, le AEV, tramite il comitato congiunto, trasmettono ogni anno una relazione sull’applicazione della presente sezione al Parlamento europeo, al Consiglio e alla Commissione.