Le autorità di vigilanza europee (EBA, EIOPA ed ESMA, le ESAs) hanno pubblicato oggi una decisione sulle informazioni che le Autorità competenti dovranno comunicare loro per la designazione di fornitori critici di servizi ICT ai sensi del Digital Operational Resilience Act (DORA), invitando le entità finanziarie ad anticipare il più possibile la preparazione dei registri sugli accordi contrattuali con i fornitori ICT.
In particolare, la decisione richiede alle autorità competenti di comunicare entro il 30 aprile 2025 i registri delle informazioni sugli accordi contrattuali delle entità finanziarie con i fornitori di servizi ICT terzi.
A seguito dell’entrata in vigore del DORA il 17 gennaio 2025, le ESAs, insieme alle autorità competenti, inizieranno la supervisione dei fornitori critici di servizi ICT (CTPP) che offrono servizi alle entità finanziarie nell’UE: la prima attività di supervisione è la designazione dei CTPP.
La decisione pubblicata oggi fornisce quindi un quadro generale per la comunicazione annuale alle ESAs delle informazioni necessarie per la designazione CTPP, comprese:
- le tempistiche e la frequenza
- le date di riferimento
- le procedure generali per la presentazione delle informazioni
- la garanzia della qualità
- le revisioni dei dati presentati
- la riservatezza e l’accesso alle informazioni.
Poiché la scadenza per la prima presentazione dei registri di informazioni alle ESA è fissata per il 30 aprile 2025, le ESAs si aspettano che le autorità competenti raccolgano in anticipo i registri di informazioni dalle entità finanziarie sotto la loro supervisione, seguendo le proprie tempistiche.
Sebbene le norme tecniche di attuazione (ITS) sui registri di informazioni non siano ancora state adottate dalla Commissione UE, le ESAs osservano che la parte essenziale dei requisiti per i registri di informazioni è disponibile al pubblico sin dalla pubblicazione della relazione finale delle ESAs del gennaio 2024 e che qualsiasi potenziale modifica dei registri a seguito del rifiuto da parte della Commissione UE e del parere delle ESAs sul rifiuto, dovrebbe essere limitata.
Pertanto, le ESAs incoraggiano le entità finanziarie ad anticipare il più possibile la preparazione dei loro registri, in particolare per le informazioni che potrebbero non essere immediatamente disponibili (ad esempio gli identificatori pertinenti dei loro fornitori ICT).
Per supportare i preparativi del settore, le ESAs ricordano che hanno già condiviso le bozze di modelli, il modello di punti dati e il pacchetto tecnico di reporting a maggio 2024 e hanno svolto un esercizio di Dry Run volontario sulla segnalazione dei registri di informazioni con la partecipazione di circa 1000 entità finanziarie in tutto il settore finanziario nell’UE.
Le ESAs hanno inoltre pubblicato un elenco di regole di convalida che saranno utilizzate durante l’analisi dei registri di informazioni e la rappresentazione visiva del modello di dati: tali regole saranno incluse nel pacchetto tecnico di reporting aggiornato (incluso il modello di punti dati aggiornato, la tassonomia e le regole di convalida), la cui pubblicazione è prevista per dicembre 2024.