Pubblicato in Gazzetta Ufficiale dell’Unione Europea, Serie L, del 24 marzo 2025, il Regolamento delegato (UE) 2025/420 del 16 dicembre 2024, che integra il Regolamento DORA con le norme tecniche di regolamentazione sui criteri per determinare la composizione del gruppo di esaminatori congiunto ESAs – Autorità nazionali competenti, che deve essere istituito per la sorveglianza sui fornitori terzi critici di servizi ITC.
Si ricorda che la tematica dei fornitori critici di servizi ITC, nonché della corretta tenuta del registro da parte di ciascuna istituzione finanziaria, verrà approfondito altresì nel corso del prossimo webinar DB del 10 aprile 2025 ” DORA: autovalutazione del rischio ICT – La compilazione dei modelli Banca d’Italia”.
In particolare, il Regolamento garantisce una partecipazione equilibrata dei membri del personale delle ESAs e delle autorità competenti interessate, e stabilisce criteri per la loro nomina, i compiti e le modalità di lavoro.
Si ricorda che, nello svolgimento di attività di sorveglianza sui fornitori critici ITC, in particolare indagini generali o ispezioni, l’autorità di sorveglianza capofila, ai sensi dell’art. 40 di DORA, è coadiuvata da un gruppo di esaminatori congiunto istituito per ciascun fornitore terzo critico di servizi ITC: le autorità devono quindi garantire che i propri membri del personale, designati come membri del gruppo di esaminatori congiunto, possiedano le competenze tecniche richieste dal menzionato paragrafo 2 dell’art. 40 (competenze in materia di ITC e rischi operativi).
I membri designati come membri di un gruppo di esaminatori congiunto, dovranno inoltre continuare a essere dipendenti dell’autorità che effettua la nomina.
In base al Regolamento delegato, affinché le risorse possano essere impiegate in modo più efficace, i citati membri faranno parte di più gruppi di esaminatori congiunti, e sorveglieranno molteplici fornitori terzi critici di servizi ITC: il numero di fornitori terzi critici da assegnare a uno specifico membro del gruppo, e il fabbisogno complessivo di personale all’interno di tali gruppi, dovranno quindi considerare il profilo di rischio dei fornitori critici ITC, nonché e il livello di intensità previsto delle attività di sorveglianza.
In base all’art. 5 del Regolamento delegato, le ESAs specificheranno quindi le procedure di sorveglianza che i membri dei gruppi di esaminatori congiunti e il coordinatore dell’autorità di sorveglianza capofila dovranno seguire, nell’esercizio dei compiti di sorveglianza sui fornitori critici ITC, in base a DORA, per garantire uniformità di azione, coerenza e coordinamento fra i membri dei gruppi di esaminatori congiunti.