Art. 3
Definizioni
In vigore dal 14 dic 2022
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1)
«resilienza operativa digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza dei sistemi informatici e di rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni;
2)
«sistema informatico e di rete»: un sistema informatico e di rete quali definiti all’, punto 1), della direttiva (UE) 2022/2555;
3)
«sistema legacy»: un sistema di TIC che ha raggiunto la fine del suo ciclo di vita (fine vita), non si presta ad aggiornamenti o correzioni per motivi tecnologici o commerciali, o non è più supportato dal suo fornitore o da un fornitore terzo di servizi TIC, ma è ancora in uso e supporta le funzioni dell’entità finanziaria;
4)
«sicurezza dei sistemi informatici e di rete»: la sicurezza dei sistemi informatici e di rete quale definita all’, punto 2), della direttiva (UE) 2022/2555;
5)
«rischi informatici»: qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza dei sistemi informatici e di rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico;
6)
«patrimonio informativo»: una raccolta di informazioni, tangibili o intangibili, che è importante proteggere;
7)
«risorse TIC»: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria;
8)
«incidente connesso alle TIC»: un singolo evento, o una serie di eventi collegati non programmati dall’entità finanziaria, che compromette la sicurezza dei sistemi informatici e di rete e ha un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza dei dati o sui servizi forniti dall’entità finanziaria;
9)
«incidente operativo o di sicurezza dei pagamenti»: un singolo evento o una serie di eventi collegati non programmati dalle entità finanziarie di cui all’, paragrafo 1, lettere da a) a d), connessi alle TIC o meno, che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria;
10)
«grave incidente TIC»: un incidente connesso alle TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria;
11)
«grave incidente operativo o di sicurezza dei pagamenti»: un incidente operativo o di sicurezza dei pagamenti che ha un impatto avverso sui servizi connessi ai pagamenti forniti;
12)
«minaccia informatica»: minaccia informatica quale definita all’, punto 8), del regolamento (UE) 2019/881;
13)
«minaccia informatica significativa»: una minaccia informatica le cui caratteristiche tecniche indicano che potrebbe potenzialmente causare un grave incidente TIC o un grave incidente operativo o di sicurezza dei pagamenti;
14)
«attacco informatico»: un incidente doloso connesso alle TIC provocato dal tentativo, da parte dell’autore della minaccia, di distruggere, rivelare, alterare, disabilitare, rubare o utilizzare senza autorizzazione un’attività o ancora accedervi senza autorizzazione;
15)
«analisi delle minacce»: informazioni aggregate, trasformate, analizzate, interpretate o arricchite per offrire il contesto necessario al processo decisionale e consentire conoscenze pertinenti e sufficienti per attenuare l’impatto di un incidente connesso alle TIC o di una minaccia informatica, compresi i dettagli tecnici dell’attacco informatico, i responsabili dell’attacco, il loro modus operandi e le loro motivazioni;
16)
«vulnerabilità»: debolezza, predisposizione o difetto di una risorsa, un sistema, un processo o un controllo potenzialmente sfruttabile;
17)
«test di penetrazione guidato dalla minaccia (TLPT)»: un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team);
18)
«rischi informatici TIC derivanti da terzi»: rischi relativi alle TIC cui un’entità finanziaria può essere esposta in relazione al ricorso, da parte di questa, a servizi TIC offerti da fornitori terzi o da subappaltatori di tali fornitori, anche mediante accordi di esternalizzazione;
19)
«fornitore terzo di servizi TIC»: un’impresa che fornisce servizi TIC;
20)
«fornitore intragruppo di servizi TIC»: un’impresa che fa parte di un gruppo finanziario e fornisce prevalentemente servizi TIC a entità finanziarie dello stesso gruppo o a entità finanziarie appartenenti allo stesso sistema di tutela istituzionale (institutional protection scheme), comprese le loro società madri, imprese figlie e succursali o altre entità di proprietà comune o sotto controllo comune;
21)
«servizi TIC»: servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali;
22)
«funzione essenziale o importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari;
23)
«fornitore terzo critico di servizi TIC»: un fornitore terzo di servizi TIC designato come critico in conformità dell’;
24)
«fornitore terzo di servizi TIC stabilito in un paese terzo»: un fornitore terzo di servizi TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un’entità finanziaria per la fornitura di servizi TIC;
25)
«impresa figlia»: impresa figlia ai sensi dell’, punto 10), e dell’ della direttiva 2013/34/UE;
26)
«gruppo»: un gruppo quale definito all’, punto 11), della direttiva 2013/34/UE;
27)
«impresa madre»: impresa madre ai sensi dell’, punto 9), e dell’ della direttiva 2013/34/UE;
28)
«subappaltatore di TIC stabilito in un paese terzo»: un subappaltatore di TIC che è una persona giuridica stabilita in un paese terzo che ha stipulato un accordo contrattuale con un fornitore terzo di servizi TIC o con un fornitore terzo di servizi TIC stabilito in un paese terzo;
29)
«rischio di concentrazione delle TIC»: l’esposizione a fornitori terzi critici di servizi TIC, singoli o molteplici e correlati tra loro, che crea un grado di dipendenza tale da detti fornitori che l’indisponibilità, i guasti o altri tipi di carenze che si verificassero presso di essi potrebbero mettere a repentaglio la capacità di un’entità finanziaria di assolvere funzioni essenziali o importanti oppure di assorbire altri tipi di effetti avversi, comprese perdite cospicue, o potrebbero mettere a repentaglio la stabilità finanziaria dell’intera Unione;
30)
«organo di gestione»: organo di gestione quale definito all’, paragrafo 1, punto 36), della direttiva 2014/65/UE, all’, paragrafo 1, punto 7), della direttiva 2013/36/UE, all’, paragrafo 1, lettera s), della direttiva 2009/65/CE del Parlamento europeo e del Consiglio (31), all’, paragrafo 1, punto 45), del regolamento (UE) n. 909/2014, all’, paragrafo 1, punto 20), del regolamento (UE) 2016/1011 e alla pertinente disposizione del regolamento sui mercati delle cripto-attività oppure le persone equivalenti che gestiscono di fatto l’entità o che assolvono funzioni chiave conformemente al pertinente diritto dell’Unione o nazionale;
31)
«ente creditizio»: ente creditizio ai sensi dell’, paragrafo 1, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (32);
32)
«ente esentato dalla direttiva 2013/36/UE»: un’entità di cui all’, paragrafo 5, punti da 4) a 23), della direttiva 2013/36/UE;
33)
«impresa di investimento»: un’impresa di investimento quale definita all’, paragrafo 1, punto 1), della direttiva 2014/65/UE;
34)
«impresa di investimento piccola e non interconnessa»: un’impresa di investimento che soddisfa le condizioni di cui all’, paragrafo 1, del regolamento (UE) 2019/2033 del Parlamento europeo e del Consiglio (33);
35)
«istituto di pagamento»: un istituto di pagamento quale definito all’, punto 4), della direttiva (UE) 2015/2366;
36)
«istituto di pagamento esentato a norma della direttiva (UE) 2015/2366»: un istituto di pagamento esentato a norma dell’, paragrafo 1, della direttiva (UE) 2015/2366;
37)
«prestatore di servizi di informazione sui conti»: un prestatore di servizi di informazione sui conti di cui all’, paragrafo 1, della direttiva (UE) 2015/2366;
38)
«istituto di moneta elettronica»: un istituto di moneta elettronica quale definito all’, punto 1), della direttiva 2009/110/CE del Parlamento europeo e del Consiglio;
39)
«istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE»: un istituto di moneta elettronica; che beneficia di un’esenzione ai sensi dell’, paragrafo 1, della direttiva 2009/110/CE;
40)
«controparte centrale»: una controparte centrale quale definita all’, punto 1), del regolamento (UE) n. 648/2012;
41)
«repertorio di dati sulle negoziazioni»: un repertorio di dati sulle negoziazioni quale definito all’, punto 2), del regolamento (UE) n. 648/2012;
42)
«depositario centrale di titoli»: un depositario centrale di titoli quale definito all’, paragrafo 1, punto 1), del regolamento (UE) n. 909/2014;
43)
«sede di negoziazione»: una sede di negoziazione quale definita all’, paragrafo 1, punto 24), della direttiva 2014/65/UE;
44)
«gestore di fondi di investimento alternativi»: un gestore di fondi di investimento alternativi quale definito all’, paragrafo 1, lettera b), della direttiva 2011/61/UE;
45)
«società di gestione»: una società di gestione quale definita all’, paragrafo 1, lettera b), della direttiva 2009/65/CE;
46)
«fornitore di servizi di comunicazione dati»: un fornitore di servizi di comunicazione dati ai sensi del regolamento (UE) n. 600/2014, , paragrafo 1, punti da 34) a 36);
47)
«impresa di assicurazione»: impresa di assicurazione ai sensi dell’, punto 1), della direttiva 2009/138/CE;
48)
«impresa di riassicurazione»: impresa di riassicurazione ai sensi dell’, punto 4), della direttiva 2009/138/CE;
49)
«intermediario assicurativo»: un intermediario assicurativo quale definito all’, paragrafo 1, punto 3), della direttiva (UE) 2016/97 del Parlamento europeo e del Consiglio (34);
50)
«intermediario assicurativo a titolo accessorio»: un intermediario assicurativo quale definito all’, paragrafo 1, punto 4), della direttiva (UE) 2016/97;
51)
«intermediario riassicurativo»: un intermediario riassicurativo quale definito all’, paragrafo 1, punto 5), della direttiva (UE) 2016/97;
52)
«ente pensionistico aziendale o professionale»: un ente pensionistico aziendale o professionale quale definito all’, punto 1), della direttiva 2016/2341;
53)
«piccolo ente pensionistico aziendale o professionale»: un ente pensionistico aziendale o professionale che gestisce schemi pensionistici che contano congiuntamente meno di 100 aderenti in totale;
54)
«agenzia di rating del credito»: un’agenzia di rating del credito quale definita all’, paragrafo 1, lettera a), del regolamento (CE) n. 1060/2009;
55)
«fornitore di servizi per le cripto-attività»: un fornitore di servizi per le cripto-attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;
56)
«emittente di token collegati ad attività»: un emittente di token collegati ad attività quale definito alla pertinente disposizione del regolamento sui mercati delle cripto-attività;
57)
«amministratore di indici di riferimento critici»: un amministratore di indici di riferimento critici quale definito all’, punto 25), del regolamento (UE) 2016/1011;
58)
«fornitore di servizi di crowdfunding»: un fornitore di servizi di crowdfunding quale definito all’, paragrafo 1, lettera e), del regolamento (UE) 2020/1503 del Parlamento europeo e del Consiglio (35);
59)
«repertorio di dati sulle cartolarizzazioni»: un repertorio di dati sulle cartolarizzazioni quale definito all’, punto 23), del regolamento (UE) 2017/2402 del Parlamento europeo e del Consiglio (36);
60)
«microimpresa»: un’entità finanziaria, diversa da una sede di negoziazione, una controparte centrale, un repertorio di dati sulle negoziazioni o un depositario centrale di titoli, che occupa meno di 10 persone e realizza un fatturato annuo e/o un totale di bilancio annuo non superiore a 2 milioni di EUR;
61)
«autorità di sorveglianza capofila»: l’autorità europea di vigilanza designata a norma dell’, paragrafo 1, lettera b), del presente regolamento;
62)
«comitato congiunto»: il comitato di cui all’ dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010;
63)
«piccola impresa»: un’entità finanziaria che occupa 10 o più persone ma meno di 50 persone e realizza un fatturato annuo e/o un totale di bilancio annuo che supera 2 milioni di EUR ma non superiore a 10 milioni di EUR;
64)
«media impresa»: un’entità finanziaria che non è una piccola impresa, occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di EUR e/o un bilancio annuo non superiore a 43 milioni di EUR;
65)
«autorità pubblica»: qualsiasi ente governativo o altro ente della pubblica amministrazione, comprese le banche centrali nazionali.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2022:2554:oj#art-3