La Banca Centrale europea (BCE) ha pubblicato il proprio parere sulla proposta di regolamento noto come “Digital Omnibus“.
La proposta in questione modifica i Regolamenti (UE) 2016/679 (GDPR), (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 (Data Act) e le Direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo digitale, e che abroga i Regolamenti (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 e la Direttiva (UE) 2019/1024.
La BCE sostiene la proposta di regolamento c.d. Digital Omnibus, che costituisce un’importante riforma volta a semplificare e ottimizzare l’applicazione del quadro normativo in materia digitale nell’Unione.
In particolare, accoglie con favore le proposte volte a semplificare le modalità di condivisione dei dati tra amministrazioni pubbliche e imprese e tra imprese e amministrazioni pubbliche, nonché le disposizioni che disciplinano il trattamento dei dati personali contenute nel Regolamento (UE) 2023/2854 (Data Act).
La BCE è ampiamente coinvolta nella raccolta, nello sviluppo, nella produzione e nella diffusione di dati, che utilizza per svolgere i compiti e le attività che rientrano nei suoi settori di competenza, come la raccolta di informazioni statistiche per svolgere i compiti del Sistema europeo di banche centrali (SEBC) ai sensi dell’art. 5 dello Statuto del SEBC.
La BCE è inoltre coinvolta in numerose iniziative di cooperazione a sostegno della condivisione dei dati e della collaborazione con altre istituzioni, organi, uffici e agenzie dell’Unione, nonché con le autorità competenti degli Stati membri, dei paesi terzi e delle organizzazioni internazionali.
Nello svolgimento dei propri compiti, in determinate circostanze può anche trattare dati personali in conformità al Regolamento (UE) 2018/1725 (EUDPR).
Per tali ragioni, sostiene misure volte a creare un quadro normativo coerente e coeso a sostegno della disponibilità e dell’utilizzo dei dati.
La BCE è inoltre responsabile di garantire il rispetto del Regolamento (UE) 2022/2554 (DORA) per gli enti creditizi classificati come significativi: in tale veste, la BCE riceve segnalazioni da parte degli enti creditizi significativi alle rispettive autorità nazionali competenti in merito a gravi incidenti relativi alle tecnologie dell’informazione e della comunicazione (“incidenti relativi alle TIC”) e a minacce informatiche significative.
La BCE riceve inoltre segnalazioni di incidenti da parte di istituti di pagamento e di emissione di moneta elettronica ai sensi del regolamento DORA.
Alla luce di tali responsabilità e compiti, la BCE accoglie con favore, in linea di massima, gli sforzi volti a semplificare e armonizzare ulteriormente il quadro di segnalazione degli incidenti informatici all’interno dell’Unione e ad attuare una segnalazione centralizzata degli incidenti informatici di maggiore rilevanza, come previsti dalla proposta c.d. Digital Omnibus.
Tuttavia, la BCE nutre preoccupazioni riguardo alla misura in cui il regolamento proposto darebbe effetto all’obiettivo di semplificazione in casi specifici in cui non alleggerisce l’onere della
conformità normativa a cui sono soggette le imprese e le autorità pubbliche.
Di conseguenza, la BCE ha formulato alcune osservazioni tecniche specifiche e suggerimenti sul regolamento proposto.
A causa di tali preoccupazioni, la BCE accoglie inoltre con favore il fatto che la Commissione effettuerà una valutazione dei capitoli principali del Data Act entro il 12 settembre 2028 e dei nuovi capitoli entro cinque anni dall’entrata in vigore del regolamento proposto.
Allo stesso modo, ritiene importante che la clausola di revisione contenuta in DORA rimanga invariata, imponendo alla Commissione di effettuare una revisione e di presentare una relazione sul funzionamento di molti aspetti della DORA: tale clausola dovrebbe garantire che i regolamenti in questione continuino a funzionare efficacemente per raggiungere i loro obiettivi, sostenendo in tal modo lo sviluppo dell’economia digitale nell’Unione.
Digital Omnibus e osservazioni in tema di segnalazione degli incidenti ICT di cui al Regolamento DORA
Pur sostenendo tali sforzi di semplificazione, la BCE nutre tuttavia alcune riserve su alcuni aspetti delle misure relative alla segnalazione degli incidenti informatici contenute nella proposta di regolamento, per tre ragioni principali:
- la proposta di un punto di ingresso unico non è efficace nel ridurre l’onere di segnalazione per gli enti finanziari e le altre imprese soggette agli obblighi di segnalazione degli incidenti. Sebbene il punto di ingresso unico garantisca l’esistenza di un unico portale per la segnalazione degli incidenti, non cambia il fatto che sussistano ancora diverse tassonomie, modelli e procedure di segnalazione per ciascuna segnalazione di incidente nell’ambito dei diversi quadri normativi diversi da DORA: per segnalare un incidente, un ente finanziario deve redigere separate segnalazioni in conformità con diverse normative (ad esempio ai sensi del GDPR e del DORA) ed il semplice fatto di consentire che tali segnalazioni siano inviate a un unico destinatario non alleggerisce l’onere amministrativo in modo significativo; pertanto, per la BCE sarebbe opportuno tenere debitamente conto delle norme tecniche di regolamentazione adottate ai sensi del DORA per facilitare processi di segnalazione più efficienti e snelli; allo stesso modo, la BCE accoglierebbe inoltre con favore un ulteriore allineamento e, ove opportuno, la fusione di tassonomie, modelli e procedure di segnalazione per gli incidenti nell’ambito dei vari quadri normativi, al fine di ottenere una vera semplificazione
- una segnalazione di incidente ai sensi del DORA innesca processi in cui il tempo è un fattore critico che potenzialmente comportano l’attivazione di procedure di crisi: l’inclusione di un nuovo attore e di un nuovo sistema nella ricezione di tali segnalazioni di incidenti comporta rischi aggiuntivi in termini di disponibilità e tempestività della segnalazione delle informazioni richieste; pertanto, l’opzione più efficace e resiliente consiste nell’inviare tali segnalazioni direttamente all’autorità competente, come previsto da DORA, al fine di evitare qualsiasi indebito ritardo nella reazione di vigilanza a una situazione potenzialmente critica
- occorre tenere conto dello sforzo e delle spese già sostenute dal settore finanziario per l’attuazione di DORA, che si applica solo dal 17 gennaio 2025: gli enti creditizi sottoposti a vigilanza
e le autorità competenti hanno investito risorse significative nell’attuazione del nuovo quadro normativo; per la BCE, sarebbe opportuno rinviare l’integrazione della segnalazione degli incidenti relativi alle ITC tramite il punto di ingresso unico e ciò darebbe più tempo per individuare potenziali miglioramenti e modalità per semplificare ulteriormente l’onere amministrativo, sia per l’SSM che per gli enti creditizi sottoposti a vigilanza.
Per questi motivi, la BCE propone che DORA sia escluso dal regolamento proposto. Sarebbe opportuno acquisire esperienza separatamente con il nuovo punto di accesso unico (che copre gli altri regolamenti, compreso l’EUDPR) e il regime di segnalazione DORA di recente attuazione, per poi valutare come integrarli al meglio in una fase successiva.
