Regolamento 2024-10-23 302. Regolamento di esecuzione (UE) 2025/302 della Commissione, del 23 ottobre 2024, che stabilisce norme tecniche di attuazione per l'applicazione del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda i formati, i modelli e le procedure standard con cui le entita' finanziarie devono segnalare un incidente grave connesso alle TIC e notificare una minaccia informatica significativa - Pubblicato il 20 febbraio 2025

• Published date: 17 Aprile 2025
• Enactment Date: 23 Ottobre 2024
• Section: Unione Europea
• Gazette Issue: 30
• Issuer: Regolamenti, Decisioni e Direttive

— 122 —

GAZZETTA UFFICIALEDELLA REPUBBLICA ITALIANA

17-4-2025 2a Serie speciale - n. 30

REGOLAMENTO DI ESECUZIONE (UE) 2025/302 DELLA COMMISSIONE

del 23 ottobre 2024

che stabilisce norme tecniche di attuazione per l’applicazione del regolamento (UE) 2022/2554 del

Parlamento europeo e del Consiglio per quanto riguarda i formati, i modelli e le procedure st andard

con cui le entità finanziarie devono segnalare un incidente grave connesso alle TIC e notificare una

minaccia informatica significativa

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza

operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE)

n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (

1

), in particolare l’articolo 20, quarto comma,

considerando quanto segue:

(1) Al fine di garantire che le entità finanziarie segnalino gli incidenti gravi alle rispettive autorità competenti in modo

coerente e far sì che trasmettano a tali autorità dati di buona qualità, è opportuno specificare quali campi di dati

debbano essere compilati dalle entità finanziarie nelle varie fasi della segnalazione di cui all’articolo 19, paragrafo 4,

del regolamento (UE) 2022/2554. È importante che tali informazioni siano presentate in modo da fornire un’unica

panoramica dell’incidente. A tal fine è pertanto necessario definire un modello unico per la segnalazione.

(2) Le entità finanziarie dovrebbero compilare i campi di dati del modello di segnalazione che corrispondono agli

obblighi di informazione della rispettiva notifica o relazione. Tuttavia le entità finanziarie che dispongono già di

informazioni che devono essere fornite in una fase successiva della segnalazione, ossia nella relazione intermedia o

finale, dovrebbero essere autorizzate ad anticipare la trasmissione dei dati.

(3) Poiché gli incidenti multipli o ricorrenti possono costituire un incidente grave ai sensi dell’articolo 8 del regolamento

delegato (UE) 2024/1772 della Commissione(

2

), l’impostazione del modello di segnalazione e dei campi di dati

dovrebbe consentire alle entità finanziarie di segnalare tali incidenti ricorrenti.

(4) Per garantire la presentazione di informazioni accurate e aggiornate, il modello di segnalazione dovrebbe consentire

alle entità finanziarie, all’atto della trasmissione della relazione intermedia e finale, di aggiornare le informazioni

presentate in precedenza e, se necessario, di riclassificare gli incidenti gravi come non gravi.

(5) L’identificazione giuridica delle entità dovrebbe essere allineata agli identificatori specificati nelle norme tecniche di

attuazione adottate ai sensi dell’articolo 28, paragrafo 9, del regolamento (UE) 2022/2554.

(6) Qualora le entità finanziarie esternalizzino a terzi gli obblighi di segnalazione di incidenti gravi connessi alle TIC, le

autorità competenti dovrebbero essere a conoscenza dell’identità del terzo che effettua la segnalazione per conto

dell’entità finanziaria prima della trasmissione della prima notifica o relazione, al fine di verificare la legittimità del

terzo che effettua la segnalazione.

(

1

) GU L 333 del 27.12.2022, pag. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(

2

) Regolamento delegato (UE) 2024/1772 della Commissione, del 13 marzo 2024, che integra il regolamento (UE) 2022/2554 del

Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano i criteri per la

classificazione degli incidenti connessi alle TIC e delle minacce informatiche, stabiliscono le soglie di rilevanza e specificano i dettagli

delle segnalazioni di gravi incidenti (GU L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).