Sintesi Articolo 7
Viene richiesto alle entità finanziarie di informare le autorità competenti se intendono esternalizzare l’obbligo di segnalazione degli incidenti. Questo obbligo include la comunicazione del nome, dei contatti e del codice identificativo della terza parte che si occuperà delle segnalazioni. Le autorità devono essere informate prima della prima notifica nell’ambito dell’accordo di esternalizzazione o immediatamente dopo la conclusione dell’accordo stesso. Inoltre, le entità finanziarie devono notificare alle autorità se l’esternalizzazione viene interrotta o annullata.
- Un fornitore terzo, al quale sono stati esternalizzati gli obblighi di segnalazione, può aggregare le informazioni relative a un incidente TIC significativo che impatta su più entità finanziarie in una singola notifica o report e inviarlo all’autorità competente per tutte le entità finanziarie interessate, a condizione che siano soddisfatte tutte le seguenti condizioni:
- a) gli incidenti significativi da segnalare hanno origine o sono causati da un fornitore terzo;
- b) questo fornitore terzo fornisce il servizio TIC pertinente a più di una entità finanziaria o a un gruppo, nello Stato Membro;
- c) l’incidente è classificato come significativo individualmente da ciascuna entità finanziaria coperta nel rapporto aggregato;
- d) l’incidente riguarda entità finanziarie all’interno di un singolo Stato Membro e il report aggregato riguarda entità finanziarie supervisionate dalla stessa autorità competente;
- e) le entità finanziarie colpite dall’incidente hanno esternalizzato gli obblighi di segnalazione a un fornitore terzo in conformità con l’Articolo 19 DORA e con l’Articolo 6 ITS, e
- f) le autorità competenti hanno esplicitamente permesso la segnalazione aggregata a tali entità finanziarie.
- Le istituzioni di credito significative in conformità con l’Articolo 6(4) del Regolamento (UE) n. 1024/2013, i gestori di sedi di negoziazione e le controparti centrali sono tenuti a presentare una notifica o un rapporto sugli incidenti a livello individuale alla loro autorità competente.
- Su richiesta dell’autorità competente, le entità finanziarie devono presentare una notifica o un report sugli incidenti separato e individuale.