Pubblicato nella Gazzetta Ufficiale dell’Unione Europea, Serie L, del 02 dicembre 2024, il Regolamento di esecuzione (UE) 2024/2956 del 29 novembre 2024 che stabilisce norme tecniche di attuazione per l’applicazione del Regolamento (UE) 2022/2554 (DORA) per quanto riguarda i modelli standard in relazione al registro delle informazioni degli accordi contrattuali con i fornitori terzi di servizi ITC.
Il regolamento, in particolare, stabilisce i i modelli standard in relazione al registro delle informazioni per quanto riguarda tutti gli accordi contrattuali per l’utilizzo di servizi ITC prestati da fornitori terzi, di cui all’art. 28, paragrafo 3, del Regolamento DORA.
Si ricorda che le informazioni raccolte in tale registro sono essenziali:
- per la gestione interna dei rischi informatici delle entità finanziarie
- per l’efficace vigilanza delle entità finanziarie da parte delle loro autorità competenti
- per l’istituzione e l’attuazione della sorveglianza dei fornitori terzi critici di servizi ITC da parte dell’autorità di sorveglianza capofila
- per il processo annuale di designazione dei fornitori terzi critici di servizi TIC da parte delle ESAs.
Per garantire risultati di vigilanza coerenti con i quadri di vigilanza esistenti, l’impresa madre delle entità finanziarie che fanno parte di un gruppo, dovrà determinare le entità da includere nel registro delle informazioni su base sub consolidata e consolidata, conformemente alla normativa UE in materia di servizi finanziari.
Per ridurre i costi amministrativi dei gruppi, i gruppi potranno mettere a punto a livello di entità, su base sub consolidata e consolidata, un registro unico delle informazioni su tutti gli accordi contrattuali per l’utilizzo di servizi ITC prestati da fornitori terzi, a tutte le entità finanziarie che fanno parte di tale gruppo: in questi casi il registro unico delle informazioni consentirà a ciascuna entità finanziaria di adempiere l’obbligo di mantenere e aggiornare il registro delle informazioni a livello di entità e su base sub consolidata, se del caso, compresa la segnalazione alla propria autorità competente.
Alcune normative settoriali dell’Unione in materia di servizi finanziari contengono requisiti in materia di esternalizzazione, sviluppati negli orientamenti ESAs: in base agli stessi, alcune entità finanziarie dovrebbero registrare informazioni specifiche sui propri accordi di esternalizzazione, in alcuni casi anche sotto forma di registri, nell’ambito della gestione del rischio di esternalizzazione.
Negli ultimi anni diverse autorità nazionali competenti e la BCE hanno raccolto informazioni incluse in tali registri nell’ambito della vigilanza sulla conformità delle entità finanziarie ai requisiti in materia di esternalizzazione: i modelli standard saranno concepiti in modo tecnologicamente neutro con tabelle aperte, con un numero predefinito di colonne e un numero indefinito di righe, ed i modelli standard saranno collegati fra loro, utilizzando chiavi specifiche diverse che formano una struttura relazionale fra tali modelli.
Per ricevere servizi ITC da un fornitore terzo, compresi i fornitori intra gruppo, le entità finanziarie concludono un contratto scritto con il fornitore terzo di servizi TIC: in caso di gruppi, i fornitori intra gruppo di servizi ITC possono concludere un contratto con fornitori terzi di TIC esterni al gruppo per prestare servizi TIC a una o più entità finanziarie del gruppo.
Per cogliere l’intera catena di approvvigionamento dei servizi ITC, le entità finanziarie che mantengono il registro delle informazioni comunicheranno:
- informazioni sull’accordo contrattuale con il loro fornitore intra gruppo di servizi ITC
- informazioni sull’accordo stipulato dal fornitore intra gruppo di servizi TIC e dai fornitori terzi di TIC esterni al gruppo in qualità di subappaltatori.
Pertanto il registro delle informazioni includerà un modello specifico che consenta controlli incrociati fra i contratti intra gruppo e i contratti con fornitori terzi di servizi ITC esterni al gruppo.
La fornitura di servizi ITC alle entità finanziarie può basarsi su catene di subappalto potenzialmente lunghe o complesse che devono essere monitorate dalle entità finanziarie: le entità finanziarie devono valutare i rischi associati, compresi i rischi di concentrazione di servizi TIC prestati da terzi in relazione ai fornitori terzi di servizi ITC a supporto di una funzione essenziale o importante o parti significative di essa, adottando un approccio basato sul rischio e tenendo conto del principio di proporzionalità.
Per consentire tale valutazione, le entità finanziarie dovranno registrare nel registro delle informazioni soltanto i subappaltatori che svolgono un ruolo effettivo nei servizi ITC a supporto di funzioni essenziali o importanti o parti significative di esse, compresi tutti i subappaltatori che prestano servizi ITC la cui perturbazione comprometterebbe la sicurezza o la continuità della prestazione del servizio: nell’individuare tali subappaltatori, le entità finanziarie considereranno aspetti relativi alla continuità operativa, alla continuità dei servizi ITC e alla sicurezza delle ITC.
Le entità finanziarie manterranno e aggiorneranno un registro delle informazioni anche nel caso in cui esternalizzino tutte le sue attività a un’altra entità: pertanto, se un’entità agisce per conto di un’entità finanziaria per tutte le attività di quest’ultima (compresi i servizi ITC), i fornitori terzi diretti che prestano servizi ITC a tale entità saranno registrati nei pertinenti modelli del registro delle informazioni dell’entità finanziaria; in tal caso, l’entità viene registrata solo come entità che mantiene il registro.
Per assicurare la trasparenza e la comparabilità degli accordi contrattuali e il monitoraggio costante di tali accordi, il registro delle informazioni si concentrerà sui legami operativi tra le entità finanziarie e i fornitori terzi di servizi ITC ed a tal fine utilizzerà quattro chiavi che colleghino i dati pertinenti tra loro nei modelli del registro delle informazioni:
- il numero di riferimento dell’accordo contrattuale tra l’entità finanziaria che firma tale accordo e il fornitore terzo diretto di servizi ITC
- un identificativo adeguato delle entità finanziarie e dei fornitori terzi di servizi ITC
- l’identificativo della funzione
- il tipo di servizi ITC.
Per documentare adeguatamente gli accordi contrattuali tra le entità finanziarie e i fornitori terzi di servizi ITC, i fornitori terzi di servizi ITC prevederanno un numero di identificazione che ne consenta l’identificazione: per quanto riguarda le persone giuridiche, il LEI e l’EUID sono identificativi internazionali ed europei riconosciuti che garantiscono un’identificazione coerente, unica e solida delle imprese.
Di conseguenza, per l’identificazione dei fornitori terzi di servizi ITC stabiliti nell’UE sarà utilizzato uno di questi due identificativi, da considerarsi un’informazione comune a tutti gli accordi contrattuali, mentre per l’identificazione dei fornitori terzi di servizi ITC stabiliti in paesi terzi sarà utilizzato esclusivamente il LEI.
I modelli utilizzati per il registro delle informazioni sui fornitori terzi di servizi ITC richiederanno informazioni su uno di questi due identificativi per i fornitori di servizi ITC che sono persone giuridiche, consentendo nel contempo alle persone fisiche che agiscono in qualità di fornitori di servizi ITC di utilizzare codici di identificazione alternativi.