Le autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESAs) hanno pubblicato oggi modelli, documenti tecnici e strumenti per l’esercizio di prova (dry run) sulla segnalazione dei registri dei contratti con i fornitori di servizi ICT di terze parti, nel contesto del Digital Operation Resilience Act (Regolamento DORA).
Come noto, il Digital Operational Resilience Act (DORA) diventerà applicabile il 17 gennaio 2025: a partire da tale data, tutte le entità finanziarie che rientrano nel suo ambito di applicazione dovranno disporre di un registro completo degli accordi contrattuali con i fornitori di servizi ICT di terze parti, disponibile a livello di entità, subconsolidato e consolidato.
I registri serviranno:
- alle entità finanziarie, per monitorare il rischio di terzi per le ICT
- alle autorità competenti dell’UE, per supervisionare la gestione del rischio ICT e di terze parti presso le entità finanziarie
- alle ESAs, per designare i fornitori di servizi ICT critici di terze parti (CTPP) che saranno soggetti a una supervisione a livello UE.
Per aiutare le entità finanziarie a prepararsi alla preparazione e alla presentazione dei loro registri di informazioni a partire da gennaio 2025, le ESAs e le autorità competenti, ad aprile 2024, avevano quindi annunciato che avrebbero svolto un esercizio di prova su base best-effort nel 2024, consultabile per completezza d’informazioni a questo link.
I materiali pubblicati oggi, relativi a tale esercizio di prova dunque, comprendono:
- modelli per i registri delle informazioni con esempi (in Excel)
- una bozza del pacchetto tecnico per la rendicontazione, che include il modello dei punti dati (DPM) il layout delle tabelle annotate e le regole di convalida
- strumento opzionale (macro VBA) per assistere nella conversione dei modelli Excel in file .csv e .zip per la loro presentazione
- domande frequenti sull’esercizio.
Le entità finanziarie possono utilizzare questi materiali e strumenti per preparare e comunicare i loro registri di informazioni sugli accordi contrattuali sull’utilizzo di fornitori di servizi ICT terzi nel contesto dell’esercizio di dry rune per comprendere le aspettative dell’autorità di vigilanza per la comunicazione di tali registri a partire dal 2025.
Le entità finanziarie partecipanti dovranno presentare i registri dei contratti con i fornitori di servizi ICT di terze parti alle autorità di vigilanza europee attraverso le loro autorità competenti tra il 1° luglio e il 30 agosto 2024.
Le ESAs ricordano che i materiali e gli strumenti pubblicati oggi sono destinati esclusivamente ai fini dell’esercizio di dry run, in quanto:
- si basano sulla relazione finale sui progetti di norme tecniche di attuazione (ITS) sui registri di informazioni pubblicata e presentata nel gennaio 2024 dalle ESA alla Commissione UE per l’adozione e, pertanto, non riflettono l’atto giuridico finale adottato dalla Commissione UE
- sono presentati in forma di bozza (DPM e regole di convalida): il pacchetto tecnico finale per la rendicontazione in regime stazionario, che inizierà nel 2025, sarà pubblicato nel corso dell’anno.
