Conformità a NIS2 per il settore delle infrastrutture del mercato finanziario

Le infrastrutture del mercato finanziario (FMIs) consentono la compensazione, il regolamento, la negoziazione e la registrazione delle transazioni finanziarie in tutta l'Unione Europea. Poiché si trovano al centro dei mercati dei capitali e degli ecosistemi di pagamento, gli incidenti informatici che li interessano possono avere conseguenze sistemiche.

La direttiva NIS2 stabilisce obblighi di cybersicurezza a livello UE per le entità Essenziali e Importanti, ampliando l'ambito e la capacità di applicazione del quadro NIS originario. La conformità a NIS2 per le infrastrutture del mercato finanziario rafforza i requisiti di resilienza operativa per le entità la cui interruzione potrebbe destabilizzare i mercati.

La direttiva si applica alle organizzazioni di medie e grandi dimensioni che operano in settori designati, comprese le infrastrutture del mercato finanziario. Data la loro funzione sistemica, la maggior parte delle FMIs soddisferà le soglie rilevanti e rientrerà nel campo di applicazione.

Se la vostra organizzazione opera come infrastruttura del mercato finanziario, potreste rientrare in NIS2 come entità essenziale.

Il settore delle infrastrutture del mercato finanziario è classificato come:

Allegato rilevante: Allegato I (Entità essenziali)

Queste entità svolgono un ruolo fondamentale nella stabilità finanziaria facilitando le funzioni di negoziazione, compensazione e regolamento dei titoli. Le entità che soddisfano le soglie dimensionali applicabili sono trattate come entità essenziali ai sensi di NIS2.

• Entità essenziale ai sensi dell'Allegato I

• Operatori di sedi di negoziazione
• Controparti centrali (CCP)
• Depositari centrali (CSD)

Copertura dei sottosettori (Allegato I – Infrastrutture del mercato finanziario):

La conformità a NIS2 per le infrastrutture del mercato finanziario si applica a:

Date la scala e l'importanza sistemica delle sedi di negoziazione, delle CCP e dei CSD, la maggior parte delle entità di questo settore rientrerà automaticamente nel campo di applicazione come entità essenziali.

Sebbene l'applicabilità di NIS2 alle PMI sia meno comune in questo settore a causa dei requisiti di licenza e della scala operativa, qualsiasi entità che soddisfi le soglie dimensionali è coperta. Le FMIs transfrontaliere che operano in più Stati membri restano soggette agli obblighi NIS2 nell'ambito dell'UE, con la dovuta coordinazione fra autorità di vigilanza.

• Imprese di medie dimensioni (≥50 dipendenti e/o €10 milioni di fatturato annuo o totale dell'attivo)
• Imprese di grandi dimensioni che superano tali soglie

Ai sensi dell'Articolo 21 della direttiva NIS2, le infrastrutture del mercato finanziario devono implementare misure tecniche e organizzative appropriate e proporzionate per gestire i rischi informatici.

Misure obbligatorie includono:

Per le FMIs, queste misure di sicurezza NIS2 devono proteggere i sistemi ad elevato volume di transazioni, i motori di compensazione, le piattaforme di regolamento e le infrastrutture dei dati di mercato in tempo reale. Controlli di resilienza robusti, piani di ridondanza e garanzie d'integrità sono essenziali per prevenire interruzioni sistemiche dei mercati.

La conformità a NIS2 per le infrastrutture del mercato finanziario richiede un allineamento tra la governance della cybersicurezza e i framework di rischio dei mercati finanziari esistenti. Le entità devono garantire che le misure di resilienza ICT supportino la continuità del mercato e gli obiettivi di stabilità finanziaria.

• Quadro di gestione del rischio
• Procedure di gestione degli incidenti
• Continuità operativa e disaster recovery
• Sicurezza della catena di fornitura
• Sviluppo e manutenzione sicuri
• Politiche su crittografia e cifratura
• Controllo degli accessi e autenticazione a più fattori (MFA)
• Gestione delle vulnerabilità e patch management
• Formazione sull'igiene informatica
• Uso di comunicazioni sicure

Le infrastrutture del mercato finanziario devono rispettare i tempi di segnalazione previsti da NIS2 quando si verificano incidenti significativi.

Gli obblighi di segnalazione includono:

Le segnalazioni devono essere inviate al CSIRT nazionale pertinente o all'autorità competente designata ai sensi di NIS2.

Data l'importanza sistemica dei sistemi di compensazione e regolamento, gli incidenti che interessano la continuità delle negoziazioni, l'integrità delle transazioni o l'accesso al mercato spesso saranno considerati significativi. La regola NIS2 delle 24 ore richiede procedure di escalation rapide e comunicazioni coordinate con le autorità di vigilanza.

La mancata osservanza dei tempi di segnalazione può comportare azioni di enforcement regolamentare.

La conformità a NIS2 per le infrastrutture del mercato finanziario impone responsabilità dirette sull'organo di gestione.

Requisiti chiave di governance includono:

L'Articolo 21 della direttiva NIS2 eleva la cybersicurezza a responsabilità del livello del consiglio di amministrazione. La leadership esecutiva deve garantire che le strategie di resilienza, i protocolli di gestione degli incidenti e le valutazioni del rischio siano formalmente documentati e integrati nella governance aziendale.

Per le FMIs, i fallimenti di governance possono non solo esporre l'entità a sanzioni regolamentari, ma anche mettere a rischio la stabilità più ampia dei mercati finanziari.

• Approvazione delle misure di gestione del rischio informatico da parte dell'organo di gestione
• Oversight dell'implementazione e dell'efficacia
• Formazione obbligatoria sulla cybersicurezza per il management
• Possibile esposizione a responsabilità personali secondo il diritto nazionale

In quanto entità dell'Allegato I, le infrastrutture del mercato finanziario sono soggette a supervisione proattiva. Le autorità competenti possono condurre audit, ispezioni e valutazioni di sicurezza indipendentemente dal verificarsi di un incidente.

Le sanzioni amministrative per la non conformità sono:

Le leggi di recepimento nazionali possono definire ulteriormente il coordinamento di supervisione tra autorità di regolamentazione finanziaria e autorità competenti NIS2. Tuttavia, la direttiva stabilisce soglie minime armonizzate per le sanzioni tra gli Stati membri.

Dato il profilo di rischio sistemico delle FMIs, è previsto che l'applicazione sia rigorosa e strettamente allineata ai framework di vigilanza finanziaria.

• Entità essenziali: Fino a €10 milioni o il 2% del fatturato annuo mondiale totale (la cifra più elevata)

Le infrastrutture del mercato finanziario dovrebbero adottare un approccio strutturato alla conformità:

La preparazione anticipata riduce il rischio di enforcement e protegge la continuità operativa.

1. Condurre un'analisi delle lacune rispetto a NIS2 allineata ai framework di resilienza delle infrastrutture di mercato esistenti
2. Mappare i sistemi critici di compensazione, regolamento e negoziazione
3. Formalizzare un quadro documentato di gestione del rischio informatico
4. Aggiornare le procedure di risposta agli incidenti e di coordinamento in caso di crisi
5. Rivedere i contratti con fornitori terzi di tecnologia e dati
6. Formare i membri del consiglio e il senior management
7. Stabilire una procedura di segnalazione 24h/72h/1 mese

Le infrastrutture del mercato finanziario affrontano rischi specifici del settore ai sensi di NIS2:

La conformità a NIS2 per le infrastrutture del mercato finanziario è quindi una componente critica della stabilità sistemica e della garanzia regolamentare.

• Interruzione del mercato: gli incidenti informatici possono fermare i processi di negoziazione o regolamento.
• Contagio sistemico: i guasti possono propagarsi sui mercati finanziari.
• Compromissione dell'integrità dei dati: la manipolazione dei registri delle transazioni può minare la fiducia.
• Sanzioni regolamentari: la non conformità espone le entità a rilevanti penali finanziarie.
• Danno reputazionale: la fiducia del mercato dipende dalla resilienza operativa.