LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (1), in particolare l'articolo 28, paragrafo 9, secondo comma,

considerando quanto segue:

1) E' necessario stabilire modelli standard in relazione al registro delle informazioni per quanto riguarda tutti gli accordi contrattuali per l'utilizzo di servizi TIC prestati da fornitori terzi di servizi di tecnologie dell'informazione e della comunicazione (TIC) di cui all'articolo 28, paragrafo 3, del regolamento (UE) 2022/2554. Le informazioni raccolte in tale registro sono essenziali per la gestione interna dei rischi informatici delle entità finanziarie, per l'efficace vigilanza delle entità finanziarie da parte delle loro autorità competenti e per l'istituzione e l'attuazione della sorveglianza dei fornitori terzi critici di servizi TIC da parte dell'autorità di sorveglianza capofila. Tali informazioni sono inoltre essenziali per il processo annuale di designazione dei fornitori terzi critici di servizi TIC da parte dell'Autorità bancaria europea, dell'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali e dell'Autorità europea degli strumenti finanziari e dei mercati [denominate collettivamente «autorità europee di vigilanza» (AEV)].

2) Per garantire risultati di vigilanza coerenti con i quadri di vigilanza esistenti, l'impresa madre delle entità finanziarie che fanno parte di un gruppo ai sensi del regolamento (UE) 2022/2554 dovrebbe determinare le entità da includere nel registro delle informazioni su base subconsolidata e consolidata conformemente alla normativa dell'Unione in materia di servizi finanziari. Per ridurre i costi amministrativi dei gruppi, i gruppi dovrebbero avere la possibilità di mettere a punto a livello di entità, su base subconsolidata e su base consolidata, un registro unico delle informazioni su tutti gli accordi contrattuali per l'utilizzo di servizi TIC prestati da fornitori terzi di servizi TIC a tutte le entità finanziarie che fanno parte di tale gruppo. In questi casi il registro unico delle informazioni dovrebbe consentire a ciascuna entità finanziaria di adempiere l'obbligo di mantenere e aggiornare il registro delle informazioni a livello di entità e su base subconsolidata, se del caso, compresa la segnalazione alla propria autorità competente.

3) A norma dell'articolo 28, paragrafo 1, lettera b), del regolamento (UE) 2022/2554, la gestione dei rischi informatici derivanti da terzi da parte delle entità finanziarie deve tener conto della natura, della portata, della complessità e dell'importanza delle dipendenze connesse alle TIC, nonché dei rischi derivanti dagli accordi contrattuali per l'utilizzo di servizi TIC conclusi con fornitori terzi di servizi TIC. Tale valutazione del rischio dovrebbe tenere conto della criticità o dell'importanza dei servizi, processi o funzioni dell'entità finanziaria e del potenziale impatto sulla continuità e la disponibilità delle attività e dei servizi finanziari a livello di entità e di gruppo.

4) Alcune normative settoriali dell'Unione in materia di servizi finanziari contengono requisiti in materia di esternalizzazione. Questi ultimi sono stati ulteriormente sviluppati negli orientamenti emanati dalle AEV. In base a tali orientamenti, alcune entità finanziarie dovrebbero registrare informazioni specifiche sui propri accordi di esternalizzazione, in alcuni casi anche sotto forma di registri, nell'ambito della gestione del rischio di esternalizzazione. Negli ultimi anni diverse autorità nazionali competenti e la BCE hanno raccolto informazioni incluse in tali registri nell'ambito della vigilanza sulla conformità delle entità finanziarie ai requisiti in materia di esternalizzazione. Sulla base degli insegnamenti tratti dai diversi esercizi di raccolta dei dati dei registri di esternalizzazione effettuati negli ultimi anni dalle AEV e dalle autorità competenti, i modelli standard dovrebbero essere concepiti in modo tecnologicamente neutro con tabelle aperte, con un numero predefinito di colonne e un numero indefinito di righe. Sarebbe inoltre opportuno collegare i modelli standard tra loro utilizzando chiavi specifiche diverse che formino una struttura relazionale fra tali modelli.

5) Per ricevere servizi TIC da un fornitore terzo di servizi TIC, compresi i fornitori intragruppo di servizi TIC, le entità finanziarie concludono un contratto scritto con il fornitore terzo di servizi TIC. In caso di gruppi, i fornitori intragruppo di servizi TIC possono concludere un contratto con fornitori terzi di TIC esterni al gruppo per prestare servizi TIC a una o più entità finanziarie del gruppo. Per cogliere l'intera catena di approvvigionamento dei servizi TIC, le entità finanziarie che mantengono il registro delle informazioni dovrebbero comunicare sia informazioni sull'accordo contrattuale con il loro fornitore intragruppo di servizi TIC, sia informazioni sull'accordo stipulato dal fornitore intragruppo di servizi TIC e dai fornitori terzi di TIC esterni al gruppo in qualità di subappaltatori. Pertanto il registro delle informazioni dovrebbe includere un modello specifico che consenta controlli incrociati fra i contratti intragruppo e i contratti con fornitori terzi di servizi TIC esterni al gruppo.

6) La fornitura di servizi TIC alle entità finanziarie può basarsi su catene di subappalto potenzialmente lunghe o complesse che dovrebbero essere monitorate dalle entità finanziarie. Le entità finanziarie dovrebbero valutare i rischi associati, compresi i rischi di concentrazione di servizi TIC prestati da terzi in relazione ai fornitori terzi di servizi TIC a supporto di una funzione essenziale o importante o parti significative di essa, adottando un approccio basato sul rischio e tenendo conto del principio di proporzionalità. Per consentire tale valutazione, le entità finanziarie dovrebbero essere tenute a registrare nel registro delle informazioni soltanto i subappaltatori che svolgono un ruolo effettivo nei servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, compresi tutti i subappaltatori che prestano servizi TIC la cui perturbazione comprometterebbe la sicurezza o la continuità della prestazione del servizio. Nell'individuare tali subappaltatori, le entità finanziarie dovrebbero prendere in considerazione gli aspetti relativi alla continuità operativa, alla continuità dei servizi TIC e alla sicurezza delle TIC.

7) Le entità finanziarie dovrebbero mantenere e aggiornare un registro delle informazioni anche nel caso in cui un'entità finanziaria esternalizzi tutte le sue attività a un'altra entità, in quanto la tenuta del registro delle informazioni contribuisce alla resilienza operativa di tale entità finanziaria. Pertanto, se un'entità agisce per conto di un'entità finanziaria per tutte le attività di quest'ultima (compresi i servizi TIC), i fornitori terzi diretti che prestano servizi TIC a tale entità dovrebbero essere registrati nei pertinenti modelli del registro delle informazioni dell'entità finanziaria. In tal caso l'entità è registrata solo come entità che mantiene il registro.

8) Per assicurare la trasparenza e la comparabilità degli accordi contrattuali e il monitoraggio costante di tali accordi, il registro delle informazioni dovrebbe concentrarsi sui legami operativi tra le entità finanziarie e i fornitori terzi di servizi TIC. A tal fine il registro delle informazioni dovrebbe utilizzare quattro chiavi che, tra l'altro, colleghino i dati pertinenti tra loro nei modelli del registro delle informazioni: i) il numero di riferimento dell'accordo contrattuale tra l'entità finanziaria che firma tale accordo e il fornitore terzo diretto di servizi TIC, ii) un identificativo adeguato delle entità finanziarie e dei fornitori terzi di servizi TIC, iii) l'identificativo della funzione e iv) il tipo di servizi TIC.

9) Per documentare adeguatamente gli accordi contrattuali tra le entità finanziarie e i fornitori terzi di servizi TIC, come previsto dal regolamento (UE) 2022/2554, resta inteso che i fornitori terzi di servizi TIC dovrebbero prevedere un numero di identificazione che ne consenta l'identificazione coerente e accurata da parte delle entità finanziarie, delle AEV, del forum di sorveglianza e delle autorità competenti, nell'esercizio dei loro poteri di vigilanza, anche per la designazione dei fornitori terzi critici di servizi TIC a norma dell'articolo 31 di tale regolamento. Per quanto riguarda le persone giuridiche, il LEI e l'EUID sono identificativi internazionali ed europei riconosciuti che garantiscono un'identificazione coerente, unica e solida delle imprese. Di conseguenza, per l'identificazione dei fornitori terzi di servizi TIC stabiliti nell'Unione ai fini dell'applicazione di tale regolamento dovrebbe essere utilizzato uno di questi due identificativi, da considerarsi un'informazione comune a tutti gli accordi contrattuali, mentre per l'identificazione dei fornitori terzi di servizi TIC stabiliti in paesi terzi dovrebbe essere utilizzato esclusivamente il LEI. I modelli utilizzati per il registro delle informazioni sui fornitori terzi di servizi TIC dovrebbero richiedere informazioni su uno di questi due identificativi per i fornitori di servizi TIC che sono persone giuridiche, consentendo nel contempo alle persone fisiche che agiscono in qualità di fornitori di servizi TIC di utilizzare codici di identificazione alternativi.

10) Tutte le entità finanziarie, comprese quelle dello stesso gruppo, hanno una propria tassonomia interna delle funzioni a seconda dei rispettivi modelli aziendali specifici e delle organizzazioni interne. Per consentire un chiaro monitoraggio che distingua le funzioni delle entità finanziarie da quelle dei servizi TIC, le entità finanziarie dovrebbero designare esse stesse le funzioni pertinenti utilizzando l'identificativo della funzione a livello individuale e di gruppo.

11) Al fine di permettere l'operabilità del registro delle informazioni a livello di entità, su base subconsolidata e su base consolidata, in tutte le entità finanziarie che fanno parte dello stesso gruppo le entità finanziarie dovrebbero garantire la correttezza e la coerenza di tutti i dati contenuti in tale registro. Per consentire tale operabilità è necessario in particolare assicurare la coerenza nel consolidamento degli identificativi, vale a dire i numeri di riferimento dell'accordo contrattuale, l'identificativo della funzione, il LEI delle entità finanziarie e gli identificativi dei fornitori terzi di servizi TIC.

12) Per garantire la coerenza e l'armonizzazione ed evitare un ritrattamento oneroso dei dati a fini di segnalazione, la struttura dei modelli e i requisiti degli elementi di dati dovrebbero tenere conto della gestione dei dati e delle prospettive di segnalazione. Per garantire la piena comparabilità tra le informazioni riportate nel registro delle informazioni e quelle fornite in altre segnalazioni regolamentari o statistiche, le entità finanziarie dovrebbero attenersi ai principi di qualità dei dati quando mantengono e aggiornano tale registro.

13) Il presente regolamento si basa sul progetto di norme tecniche di attuazione che le AEV hanno presentato alla Commissione.

14) Le AEV hanno condotto consultazioni pubbliche sul progetto di norme tecniche di attuazione su cui si basa il presente regolamento, hanno analizzato i potenziali costi e benefici correlati e hanno chiesto la consulenza dei gruppi delle parti interessate delle autorità europee di vigilanza, istituiti in conformità dell'articolo 37 del regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (2), dell'articolo 37 del regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio (3) e dell'articolo 37 del regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (4).

15) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio il Garante europeo della protezione dei dati è stato consultato (5),

HA ADOTTATO IL PRESENTE REGOLAMENTO: