Regolamento 2024-10-23 301. Regolamento delegato (UE) 2025/301 della Commissione, del 23 ottobre 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano il contenuto e i termini della notifica iniziale, della relazione intermedia e della relazione finale per gli incidenti gravi connessi alle TIC nonche' il contenuto della notifica volontaria per le minacce informatiche significative - Pubblicato il 20 febbraio 2025

• Published date: 17 Aprile 2025
• Enactment Date: 23 Ottobre 2024
• Section: Unione Europea
• Gazette Issue: 30
• Issuer: Regolamenti, Decisioni e Direttive

— 106 —

GAZZETTA UFFICIALEDELLA REPUBBLICA ITALIANA

17-4-2025 2a Serie speciale - n. 30

REGOLAMENTO DELEGATO (UE) 2025/301 DELLA COMMISSIONE

del 23 ottobre 2024

che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto

riguarda le norme tecniche di regolamentazione che specificano il contenuto e i termini della notifica

iniziale, della relazione intermedia e della relazione finale per gli incidenti gravi connessi alle TIC

nonché il contenuto della notifica volontaria per le minacce informatiche significative

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza

operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE)

n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (

1

), in particolare l’articolo 20, terzo comma,

considerando quanto segue:

(1) Al fine di garantire l’armonizzazione e la semplificazione degli obblighi di notifica e di segnalazione degli incidenti

gravi connessi alle TIC di cui all’articolo 19, paragrafo 4, del regolamento (UE) 2022/2554, i termini per la

segnalazione degli incidenti gravi connessi alle TIC dovrebbero seguire un approccio coerente per tutti i tipi di entità

finanziarie. Per tali motivi, nella misura del possibile, i termini dovrebbero seguire un approccio coerente anche con

le disposizioni di cui alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (

2

) ed avere almeno un

effetto equivalente alle stesse.

(2) Onde evitare di imporre un onere di segnalazione eccessivo alle entità finanziarie nel momento in cui trattano

l’incidente connesso alle TIC, il contenuto della notifica iniziale dovrebbe essere limitato alle informazioni più

significative. Per poter adottare misure di vigilanza adeguate è necessario che le autorità competenti ricevano le

informazioni sugli incidenti gravi connessi alle TIC il più rapidamente possibile dopo che l’entità finanziaria ha

classificato un incidente connesso alle TIC come grave. Di conseguenza il termine per la trasmissione della notifica

iniziale di cui all’articolo 19, paragrafo 4, lettera a), del regolamento (UE) 2022/2554 dovrebbe essere il più breve

possibile dopo che un incidente connesso alle TIC è stato classificato come grave, pur consentendo flessibilità,

soprattutto per i modelli operativi dei servizi che non sono particolarmente critici in termini di tempo, nel caso in

cui le entità finanziarie abbiano bisogno di più tempo per trattare l’incidente connesso alle TIC dopo esserne venute

a conoscenza.

(3) Dopo aver ricevuto la notifica iniziale, le autorità competenti dovrebbero ricevere informazioni più dettagliate

sull’incidente connesso alle TIC nella relazione intermedia e tutte le informazioni pertinenti nella relazione finale. Le

informazioni contenute in tali relazioni dovrebbero consentire alle autorità competenti di esaminare ulteriormente

l’incidente connesso alle TIC e di valutare le misure di vigilanza che potrebbero considerare di adottare.

(4) I termini per la segnalazione di cui all’articolo 20, primo comma, lettera a), punto ii), del regolamento

(UE) 2022/2554 dovrebbero pertanto trovare un equilibrio tra la necessità per le autorità competenti di ricevere le

informazioni rapidamente e la necessità di concedere alle entità finanziarie il tempo sufficiente per ottenere

informazioni complete e accurate.

(5) Tenendo conto dei criteri di cui all’articolo 20, primo comma, lettera a), del regolamento (UE) 2022/2554, i termini

per la segnalazione non dovrebbero comportare un onere sproporzionato per le microimprese e le altre entità

finanziarie che non sono significative. Inoltre, per evitare un onere sproporzionato per le entità finanziarie, i

termini per la segnalazione dovrebbero tenere conto dei fine settimana e dei giorni festivi.

(

1

) GU L 333 del 27.12.2022, pag. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(

2

) Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune

elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che

abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80, ELI: http://data.europa.eu/eli/dir/2022/

2555/oj).