Pubblicato in Gazzetta Ufficiale dell’Unione Europea il Regolamento delegato (UE) 2024/1502 del 22 febbraio 2024, che integra il Regolamento (UE) 2022/2554 (Regolamento DORA), specificando i criteri per la designazione dei fornitori terzi di servizi ICT come critici per le entità finanziarie.
Ai sensi del Regolamento DORA, si definiscono servizi ITC quei servizi digitali e di dati, forniti, attraverso sistemi di ICT, a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti.
Per valutare se un fornitore terzo di servizi ICT sia qualificabile come critico per le entità finanziarie, e tenendo conto dei criteri di cui all’art. 31, paragrafo 2, del Regolamento DORA, le autorità europee di vigilanza (ESAs), in base al Regolamento, dovranno utilizzare dei sotto criteri nel quadro di un approccio di valutazione in due fasi.
La prima fase comprenderà dei sotto criteri quantitativi, necessari per effettuare una prima selezione di fornitori terzi di servizi ICT.
Nella seconda fase, dovranno essere utilizzati degli ulteriori criteri di approfondimento qualitativi.
La valutazione verrà essere effettuata per singolo fornitore terzo di servizi ICT o, se del caso, per gruppo di fornitori terzi di servizi ICT se il fornitore terzo appartiene a un gruppo ai sensi dell’art. 31, paragrafo 3, del DORA.
Ai fini di una valutazione globale del potenziale impatto sistemico sul settore finanziario dell’Unione, è stato ritenuto opportuno assoggettare alla valutazione delle ESAs anche i subappaltatori di ICT di fornitori terzi e, se del caso, designarli come fornitori terzi critici di servizi ICT.
Inoltre, al fine di valutare se sia pertinente designare come critico il fornitore terzo che offre servizi ICT, all’interno di una determinata categoria di entità finanziarie dovranno considerarsi quelle che utilizzano gli stessi servizi ICT, come pure il valore delle loro attività.
Onde determinare l’impatto sistemico dei fornitori terzi di servizi ICT sull’attività delle entità finanziarie, è dovrà essere valutato qualitativamente l’importanza sistemica e l’interconnessione di tali fornitori, come pure l’importanza che i servizi ICT da essi prestati rivestono per i servizi finanziari forniti dalle entità finanziarie, tenendo conto della stabilità e della continuità di tali servizi.
In particolare, per determinare il carattere sistemico e l’importanza delle entità finanziarie che dipendono dai servizi ICT, è necessario tenere conto della natura di tali entità.
Qualora entità finanziarie classificate come enti a rilevanza sistemica a livello globale (G-SII) o come altri enti a rilevanza sistemica (O-SII) o ancora identificate come «sistemiche» dipendano dagli stessi servizi ICT per supportare le loro funzioni essenziali o importanti, dovrà essere valutato se il fornitore terzo che presta i servizi ICT debba essere considerato critico per il settore finanziario dell’Unione.
Onde determinare il grado di sostituibilità del fornitore terzo di servizi ICT, le ESAs dovranno tenere conto del numero di fornitori terzi di servizi ICT attivi su un mercato specifico, dell’esistenza di soluzioni alternative per lo stesso servizio ICT, nonché dei costi della migrazione di dati e di carichi di lavoro relativi alle ICT ad altri fornitori terzi di servizi ICT.
Per assicurare la solidità del processo di valutazione, nel determinare se i fornitori terzi di servizi ICT debbano essere designati come critici è importante che le ESAs si basino sui dati dei registri delle informazioni di cui all’art. 28, paragrafo 3, del DORA e su qualsiasi altra informazione prontamente disponibile.
