REGOLAMENTO DELEGATO (UE) 2025/420 DELLA COMMISSIONE, 16 dicembre 2024
G.U.U.E. 24 marzo 2025, Serie L
Regolamento che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per specificare i criteri per determinare la composizione del gruppo di esaminatori congiunto, garantendo una partecipazione equilibrata dei membri del personale delle AEV e delle autorità competenti interessate, la loro nomina, i compiti e le modalità di lavoro. (Testo rilevante ai fini del SEE)
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 13 aprile 2025
Applicabile dal: 13 aprile 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (1), in particolare l'articolo 41, paragrafo 2, terzo comma,
considerando quanto segue:
1) Il quadro di sorveglianza istituito dal regolamento (UE) 2022/2554 dovrebbe basarsi su una cooperazione strutturata e continua tra le autorità europee di vigilanza (AEV) e le autorità competenti attraverso il forum di sorveglianza e i gruppi di esaminatori congiunti.
2) Le autorità di cui all'articolo 40, paragrafo 2, del regolamento (UE) 2022/2554 dovrebbero garantire che i propri membri del personale che devono essere designati come membri del gruppo di esaminatori congiunto di cui all'articolo 40, paragrafo 1, di detto regolamento possiedano le competenze tecniche richieste per i profili di cui i gruppi di esaminatori congiunti necessitano. Se un'autorità dimostra di non disporre di personale in possesso delle competenze tecniche specifiche di cui i gruppi di esaminatori congiunti necessitano, l'autorità di sorveglianza capofila dovrebbe considerare tale circostanza una giustificazione per esonerare, in quel momento, l'autorità dall'obbligo di nominare membri del personale che entrino a far parte dei gruppi di esaminatori congiunti. In tal caso, l'autorità dovrebbe tuttavia impegnarsi con la massima diligenza per ovviare a tale carenza di competenze e cercare di rafforzare le proprie capacità per contribuire ai gruppi di esaminatori congiunti nel quadro dell'esercizio successivo.
3) I membri del personale delle autorità di cui all'articolo 40, paragrafo 2, del regolamento (UE) 2022/2554 designati come membri di un gruppo di esaminatori congiunto di cui all'articolo 40, paragrafo 1, di detto regolamento dovrebbero continuare a essere dipendenti dell'autorità che effettua la nomina e dovrebbero pertanto essere soggetti all'orario di lavoro e alla sede di lavoro permanente definiti nei propri contratti di lavoro.
4) Affinché le risorse possano essere impiegate il più efficacemente possibile nell'esecuzione delle attività di sorveglianza, i membri dei gruppi di esaminatori congiunti dovrebbero poter far parte di più gruppi di esaminatori congiunti e sorvegliare molteplici fornitori terzi critici di servizi TIC. Il numero di fornitori terzi critici di servizi TIC da assegnare a uno specifico membro del gruppo di esaminatori congiunto e il fabbisogno complessivo di personale all'interno di tali gruppi dovrebbero tenere conto del profilo di rischio dei fornitori terzi critici di servizi TIC e del livello di intensità previsto delle attività di sorveglianza. Tale possibilità di sorvegliare molteplici fornitori terzi critici di servizi TIC è presa in considerazione nel piano strategico di sorveglianza pluriennale, aggiornato annualmente dalle autorità di sorveglianza capofila nella misura necessaria, e trova riscontro nel piano di sorveglianza individuale annuale. Per garantire l'affidabilità dell'impegno programmato e in essere delle autorità che effettuano la nomina di dotare i gruppi di esaminatori congiunti del personale necessario, l'autorità di sorveglianza capofila dovrebbe consultare sia la rete di sorveglianza comune che il forum di sorveglianza in merito al piano strategico di sorveglianza pluriennale.
5) L'autorità di sorveglianza capofila dovrebbe applicare una combinazione di criteri e principi nello stabilire il numero di membri del personale in ciascun gruppo di esaminatori congiunto e la composizione del gruppo stesso. In considerazione della diversità dell'impronta tecnologica e geografica e del ricorso da parte di varie entità finanziarie a fornitori terzi critici di servizi TIC, tali criteri e principi dovrebbero tenere conto della natura tecnica dei compiti di sorveglianza, del diverso grado di dipendenza delle entità finanziarie dai servizi prestati dai fornitori terzi critici di servizi TIC, della distribuzione geografica, delle dimensioni e del numero di entità finanziarie che dipendono da tali servizi e, ove possibile, di una rappresentanza intersettoriale proporzionata. Nello svolgimento di tale compito, l'autorità di sorveglianza capofila dovrebbe basarsi sulle informazioni fornite dalle autorità competenti nel contesto della designazione dei fornitori terzi critici di servizi TIC, comprese le informazioni necessarie per tutti i sottocriteri di cui al regolamento delegato (UE) 2024/1502 della Commissione (2) e considerare la criticità dei fornitori terzi critici di servizi TIC per la fornitura di servizi finanziari specifici sia a livello di Stato membro che di Unione.
6) Per garantire che la struttura e la composizione dei gruppi di esaminatori congiunti siano adeguate allo scopo e per garantire costantemente l'efficienza e l'efficacia del quadro di sorveglianza, l'autorità di sorveglianza capofila e i membri dei gruppi di esaminatori congiunti dovrebbero valutare periodicamente i risultati conseguiti dai gruppi. L'autorità di sorveglianza capofila e le autorità che effettuano la nomina dovrebbero utilizzare tali valutazioni per verificare se i membri dei gruppi di esaminatori congiunti siano ancora idonei a svolgere i rispettivi compiti e modificare la composizione di tali gruppi ove opportuno.
7) Al fine di garantire che i membri dei gruppi di esaminatori congiunti operino in modo coordinato e che le attività di sorveglianza siano svolte in modo coerente, le AEV dovrebbero specificare le procedure di sorveglianza che i membri dei gruppi di esaminatori congiunti e il coordinatore dell'autorità di sorveglianza capofila devono seguire nell'esercizio delle rispettive funzioni.
8) Poiché i compiti di sorveglianza comportano il trattamento di informazioni riservate, l'autorità di sorveglianza capofila dovrebbe concedere ai membri del gruppo di esaminatori congiunto l'accesso a tali informazioni e alle relative risorse informatiche (compresi strumenti, applicazioni e serie di dati) e non informatiche (compresi documenti, politiche e procedure) in funzione della «necessità di sapere» e nell'ambito specifico dei loro incarichi, se ciò è necessario affinché i membri del gruppo di esaminatori congiunto possano assistere l'autorità di sorveglianza capofila nell'adempimento delle sue funzioni o dei suoi compiti statutari. Nel definire gli accordi tra l'autorità di sorveglianza capofila e le autorità competenti per l'attuazione del presente regolamento, in linea con il regolamento delegato (UE) 2024/1505 della Commissione (3), al fine di garantire l'adeguato finanziamento dei costi associati alle risorse fornite dalle autorità che effettuano la nomina, l'autorità di sorveglianza capofila dovrebbe includere in tali accordi una sezione che specifichi la procedura di rimborso dei costi diretti e indiretti di tutte le autorità che effettuano la nomina coinvolte nei gruppi di esaminatori congiunti. Inoltre, al fine di garantire l'esecuzione trasparente e affidabile delle attività di sorveglianza, tali accordi dovrebbero altresì garantire che i membri dei gruppi di esaminatori congiunti siano esenti da qualsiasi conflitto di interessi nell'esercizio delle loro funzioni.
9) Il presente regolamento è basato sui progetti di norme tecniche di regolamentazione presentati alla Commissione europea dall'Autorità bancaria europea, dall'Autorità europea delle assicurazioni e delle pensioni aziendali o professionali e dall'Autorità europea degli strumenti finanziari e dei mercati.
10) Il comitato congiunto delle autorità europee di vigilanza di cui all'articolo 54 del regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (4), all'articolo 54 del regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio (5) e all'articolo 54 del regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (6) ha condotto consultazioni pubbliche sui progetti di norme tecniche di regolamentazione su cui si basa il presente regolamento, ha analizzato i potenziali costi e benefici delle norme proposte e ha chiesto il parere del gruppo delle parti interessate nel settore bancario, istituito ai sensi dell'articolo 37 del regolamento (UE) n. 1093/2010, dei gruppi delle parti interessate nel settore dell'assicurazione e della riassicurazione e nel settore dei fondi pensionistici aziendali e professionali, istituiti ai sensi dell'articolo 37 del regolamento (UE) n. 1094/2010, e del gruppo delle parti interessate nel settore degli strumenti finanziari e dei mercati, istituito ai sensi dell'articolo 37 del regolamento (UE) n. 1095/2010,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 333 del 27.12.2022, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
Regolamento delegato (UE) 2024/1502 della Commissione, del 22 febbraio 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio specificando i criteri per la designazione dei fornitori terzi di servizi TIC come critici per le entità finanziarie (GU L, 2024/1502, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj).
Regolamento delegato (UE) 2024/1505 della Commissione, del 22 febbraio 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio determinando l'importo delle commissioni per le attività di sorveglianza che l'autorità di sorveglianza capofila addebita ai fornitori terzi critici di servizi TIC e le relative modalità di pagamento (GU L, 2024/1505, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1505/oj).
Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/78/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
Regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/79/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
Compiti dei membri del gruppo di esaminatori congiunto
1. I membri del gruppo di esaminatori congiunto sono coordinati nello svolgimento dei propri compiti dal coordinatore dell'autorità di sorveglianza capofila. Tali compiti comprendono un sostegno continuo alle attività svolte dall'autorità di sorveglianza capofila e l'esecuzione di compiti specifici. Tali compiti sono i seguenti:
a) assistere l'autorità di sorveglianza capofila nella preparazione e nella redazione del piano di sorveglianza individuale annuale di cui all'articolo 33, paragrafo 4, del regolamento (UE) 2022/2554;
b) assistere l'autorità di sorveglianza capofila nell'eseguire la valutazione di cui all'articolo 33, paragrafo 2, del regolamento (UE) 2022/2554;
c) valutare le informazioni che l'autorità di sorveglianza capofila ha ottenuto dal fornitore terzo critico di servizi TIC a norma dell'articolo 37 del regolamento (UE) 2022/2554 e del capo II del regolamento delegato 2025/295 della Commissione (1);
d) svolgere le indagini generali sui fornitori terzi critici di servizi TIC di cui all'articolo 38 del regolamento (UE) 2022/2554;
e) condurre le ispezioni di cui all'articolo 39, paragrafo 1, del regolamento (UE) 2022/2554;
f) redigere le raccomandazioni di cui all'articolo 35, paragrafo 1, lettera d), del regolamento (UE) 2022/2554;
g) valutare il piano correttivo e le relazioni sullo stato di avanzamento di cui all'articolo 4 del regolamento delegato 2025/XXX;
h) preparare e redigere le richieste e le decisioni di cui all'articolo 35, paragrafo 6, all'articolo 37, paragrafo 1, all'articolo 38, paragrafo 4, e all'articolo 39, paragrafo 6, del regolamento (UE) 2022/2554;
i) assistere l'autorità di sorveglianza capofila nel suo contributo alle attività di sorveglianza orizzontale, anche per quanto riguarda l'elaborazione dei parametri di riferimento generali di cui all'articolo 32, paragrafo 3, del regolamento (UE) 2022/2554;
j) garantire che le informazioni pertinenti relative alle entità finanziarie che si avvalgono dei servizi prestati da fornitori terzi critici di servizi TIC siano condivise con l'autorità di sorveglianza capofila;
k) assistere l'autorità di sorveglianza capofila in attività ad hoc non programmate ritenute necessarie dall'autorità di sorveglianza capofila ai fini della sorveglianza.
2. Se l'autorità di sorveglianza capofila rivede in modo significativo il piano di sorveglianza individuale annuale nel corso dell'anno, l'autorità di sorveglianza capofila coinvolge i membri del gruppo di esaminatori congiunto nell'esecuzione del piano di sorveglianza individuale annuale e nella relativa revisione.
Regolamento delegato (UE) 2025/295 della Commissione, del 24 ottobre 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione sull'armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza (GU L, 2025/295, 13.2.2025, ELI: http://data.europa.eu/eli/reg_del/2025/295/oj).
Istituzione del gruppo di esaminatori congiunto
1. Dopo aver designato per la prima volta un fornitore terzo di servizi TIC come critico a norma dell'articolo 31, paragrafo 1, lettera a), del regolamento (UE) 2022/2554, l'autorità di sorveglianza capofila, di concerto con la rete di sorveglianza comune di cui all'articolo 34, paragrafo 1, del regolamento (UE) 2022/2554, istituisce il gruppo di esaminatori congiunto responsabile dello svolgimento delle attività di sorveglianza su tale fornitore terzo critico di servizi TIC.
2. Qualora intervengano modifiche di rilievo riguardanti la situazione del fornitore terzo critico di servizi TIC, l'autorità di sorveglianza capofila può aggiornare, d'intesa con la rete di sorveglianza comune, la composizione del gruppo di esaminatori congiunto responsabile dello svolgimento delle attività di sorveglianza su tale fornitore terzo critico di servizi TIC.
A tal fine, le modifiche di rilievo riguardanti il fornitore terzo critico di servizi TIC interessano uno degli aspetti seguenti:
a) i servizi prestati dal fornitore terzo critico di servizi TIC;
b) le attività svolte da entità finanziarie e supportate da servizi TIC del fornitore terzo critico di servizi TIC;
c) l'elenco dei fornitori terzi critici di servizi TIC a livello di Unione di cui all'articolo 31, paragrafo 9, del regolamento (UE) 2022/2554.
3. Le autorità di cui all'articolo 40, paragrafo 2, del regolamento (UE) 2022/2554 nominano una o più persone all'interno del proprio personale da designare come membri del gruppo di esaminatori congiunto. Una persona può essere nominata e designata come membro di uno o più gruppi di esaminatori congiunti.
4. L'autorità di sorveglianza capofila nomina le persone designate come membri del gruppo di esaminatori congiunto a tempo pieno o a tempo parziale, a seconda della loro disponibilità, delle esigenze specifiche dell'autorità di sorveglianza capofila e dell'accordo esistente tra l'autorità che effettua la nomina e l'autorità di sorveglianza capofila.
5. Nel nominare i membri dei gruppi di esaminatori congiunti, le autorità di cui all'articolo 40, paragrafo 2, del regolamento (UE) 2022/2554 valutano le relative competenze tecniche, qualifiche e capacità nelle TIC e negli ambiti pertinenti, comprese le competenze in materia di comunicazione e collaborazione, nonché le competenze in materia di audit e vigilanza.
6. L'autorità di sorveglianza capofila può chiedere alle autorità che effettuano la nomina di modificare le nomine effettuate solo in circostanze giustificate e se i profili delle persone nominate non corrispondono al profilo delle risorse necessarie.
7. L'autorità di sorveglianza capofila e le autorità adottano tutte le misure possibili e appropriate affinché il gruppo di esaminatori congiunto disponga del personale necessario conformemente al piano di sorveglianza individuale annuale.
Membri del gruppo di esaminatori congiunto
1. L'autorità di sorveglianza capofila determina il numero dei membri e la composizione del gruppo di esaminatori congiunto d'intesa con la rete di sorveglianza comune di cui all'articolo 34, paragrafo 1, del regolamento (UE) 2022/2554 e in consultazione con il forum di sorveglianza di cui all'articolo 32, paragrafo 1, di detto regolamento.
2. L'autorità di sorveglianza capofila determina tale numero nell'ambito del processo di istituzione del gruppo di esaminatori congiunto e, in funzione delle necessità nel corso del tempo, tenendo conto di quanto segue:
a) i compiti inclusi nei piani di sorveglianza individuali annuali redatti per ciascun fornitore terzo critico di servizi TIC soggetto alla sorveglianza del gruppo di esaminatori congiunto;
b) gli obiettivi strategici del piano di sorveglianza pluriennale redatto per tutti i fornitori terzi critici di servizi TIC soggetti alla sorveglianza di tutti i gruppi di esaminatori congiunti.
3. Per determinare il numero dei membri e la composizione del gruppo di esaminatori congiunto, l'autorità di sorveglianza capofila prende in considerazione almeno tutti gli elementi seguenti:
a) il livello previsto di intensità delle attività di sorveglianza da svolgere in relazione a tutti i fornitori terzi critici di servizi TIC;
b) le dimensioni e la complessità del fornitore terzo di servizi TIC soggetto alla sorveglianza del gruppo di esaminatori congiunto e delle AEV in qualità di autorità di sorveglianza capofila;
c) le specifiche esigenze di sorveglianza individuali relative allo specifico fornitore terzo critico di servizi TIC, valutate dall'autorità di sorveglianza capofila;
d) la stabilità della composizione del gruppo di esaminatori congiunto, assicurando un'adeguata conservazione delle conoscenze;
e) le competenze necessarie per l'esecuzione dei compiti da parte del gruppo di esaminatori congiunto, tenendo conto dei requisiti relativi alle conoscenze tecniche e non tecniche in materia di TIC;
f) gli Stati membri in cui il fornitore terzo critico di servizi TIC presta servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie e le autorità competenti che vigilano sulle entità finanziarie che si avvalgono di tali servizi;
g) le diversità in termini di tipologia, dimensione e numero di entità finanziarie a cui il fornitore terzo critico di servizi TIC presta servizi TIC a supporto di funzioni essenziali o importanti;
h) le autorità competenti che vigilano sulle entità finanziarie maggiormente dipendenti dai servizi TIC prestati dai fornitori terzi critici di servizi TIC;
i) una rappresentanza intersettoriale proporzionata delle autorità che nominano il gruppo di esaminatori congiunto.
4. Nel nominare i membri del gruppo di esaminatori congiunto, le autorità di cui all'articolo 40, paragrafo 2, del regolamento (UE) 2022/2554 tengono conto almeno del paragrafo 3, lettere c), d), e), g) e h).
Modifica della composizione del gruppo di esaminatori congiunto
Periodicamente, oppure in caso di cambiamento dell'autorità di sorveglianza capofila o qualora intervengano modifiche di rilievo quali specificate all'articolo 2, paragrafo 2, l'autorità di sorveglianza capofila, dopo aver consultato i membri del gruppo di esaminatori congiunto, valuta i risultati di questi ultimi. Sia le autorità che effettuano la nomina che l'autorità di sorveglianza capofila utilizzano i risultati di tale valutazione per decidere se sia opportuno modificare la composizione del gruppo di esaminatori congiunto.
Modalità di lavoro dei membri del gruppo di esaminatori congiunto
1. I membri del gruppo di esaminatori congiunto svolgono i rispettivi compiti individuati nel piano di sorveglianza individuale annuale con la competenza, la cura e la diligenza dovute, in maniera imparziale e conformemente alle istruzioni del coordinatore dell'autorità di sorveglianza capofila di cui all'articolo 40, paragrafo 2, secondo comma, del regolamento (UE) 2022/2554.
2. Nello svolgimento dei compiti di sorveglianza, i membri del gruppo di esaminatori congiunto seguono le procedure di sorveglianza elaborate congiuntamente dalle autorità europee di vigilanza in relazione allo svolgimento delle attività di sorveglianza e a qualsiasi ambito operativo pertinente, anche per quanto riguarda le specifiche relative all'uso di attrezzature e strumenti informatici e alla gestione del tempo.
3. I membri del gruppo di esaminatori congiunto seguono le specifiche e le istruzioni per il trattamento delle informazioni e dei dati fornite dal coordinatore dell'autorità di sorveglianza capofila di cui all'articolo 40, paragrafo 2, secondo comma, del regolamento (UE) 2022/2554 e rispettano il regime di riservatezza delle autorità europee di vigilanza.
4. L'autorità di sorveglianza capofila e le autorità che effettuano la nomina definiscono modalità di attuazione delle prescrizioni di cui al presente regolamento, anche per quanto riguarda il tempo impiegato e i costi stimati per le attività di sorveglianza svolte dal gruppo di esaminatori congiunto, la formazione e le considerazioni in materia di etica e di condotta in relazione al ruolo dei membri del gruppo di esaminatori congiunto, se del caso.
5. L'autorità di sorveglianza capofila e le autorità che effettuano la nomina provvedono affinché le modalità di cui al paragrafo 4 siano attuate, riesaminate e aggiornate tempestivamente.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 16 dicembre 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN