Il presente regolamento mira a consolidare e aggiornare i requisiti in materia di rischi informatici nell’ambito dei requisiti in materia di rischi operativi che sono state finora trattati separatamente in vari atti giuridici dell’Unione. Tali atti riguardavano le principali categorie di rischio finanziario (ad esempio rischio di credito, rischio di mercato, rischio di controparte e rischio di liquidità, rischio di condotta sul mercato), ma nel momento in cui sono stati adottati non trattavano in maniera globale tutte le componenti della resilienza operativa. Le norme sui rischi operativi ulteriormente sviluppate in tali atti giuridici dell’Unione hanno sovente privilegiato il tradizionale approccio quantitativo alla gestione dei rischi (ossia la definizione di un requisito patrimoniale a copertura dei rischi informatici) rispetto a norme qualitative mirate concernenti le capacità di protezione, individuazione, contenimento, ripristino e rimedio in relazione agli incidenti connessi alle TIC, oppure le capacità di segnalazione e test digitali. Tali atti si prefiggevano principalmente lo scopo di trattare e aggiornare le norme fondamentali in materia di vigilanza prudenziale e integrità o condotta sul mercato. Tramite il consolidamento e l’aggiornamento delle diverse norme sui rischi informatici, tutte le disposizioni in materia di rischio digitale nel settore finanziario dovrebbero essere coerentemente riunite per la prima volta in un unico atto legislativo. Il presente regolamento colma pertanto le lacune o pone rimedio alle incoerenze di taluni fra i precedenti atti legislativi, anche per quanto riguarda la terminologia utilizzata, e fa esplicito riferimento ai rischi informatici tramite norme specifiche in materia di capacità di gestione dei rischi informatici, segnalazione degli incidenti, test di resilienza operativa e monitoraggio dei rischi informatici derivanti da terzi. Pertanto il presente regolamento dovrebbe altresì accrescere la consapevolezza dei rischi informatici e riconoscere che gli incidenti connessi alle TIC e la mancanza di resilienza operativa potrebbero compromettere la solidità delle entità finanziarie.