Pubblicato in Gazzetta Ufficiale UE il Regolamento delegato (UE) 2024/1773 del 13 marzo 2024 che integra il Regolamento DORA con gli standard tecnici di attuazione relativi al contenuto dettagliato della politica relativa agli accordi contrattuali per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti.
Il Regolamento (UE) 2022/2554 (DORA) prevede infatti che le entità finanziarie stabiliscano alcuni principi fondamentali per la gestione dei rischi informatici derivanti da terzi, di particolare importanza quando le entità finanziarie ricorrono a fornitori terzi di servizi ICT a supporto delle loro funzioni essenziali o importanti: pertanto, nel contesto del quadro per la gestione dei rischi informatici, sono tenute ad adottare, e a riesaminare periodicamente, una strategia per i rischi informatici derivanti da terzi.
Ai sensi dell’art. 28, paragrafo 2, del DORA, tale strategia deve necessariamente includere una politica per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti prestati da fornitori terzi, che si applica su base individuale e, se del caso, su base subconsolidata e consolidata.
Gli standard tecnici attuativi del DORA pubblicati in GU, redatti dalle ESAs e confermati dalla Commissione UE, tengono in dovuta considerazione le dimensioni, la struttura e l’organizzazione interna degli enti finanziari, nonché la natura e la complessità delle loro attività e operazioni: sono quindi stati imposti alcuni requisiti normativi fondamentali adeguati a tutte le entità finanziarie che elaborano la politica relativa agli accordi contrattuali per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti, al fine di garantire che tali requisiti siano applicati in modo proporzionato.
In sintesi, ecco le misure previste dal Regolamento attuativo del DORA relativamente alla politica relativa agli accordi contrattuali per l’uso di servizi ICT:
Applicabilità della politica ai gruppi ed alla catena di fornitura di servizi ICT
- quando le entità finanziarie appartengano a un gruppo, l’impresa madre responsabile della redazione del bilancio consolidato o sub consolidato per il gruppo garantirà che la politica sia applicata in modo uniforme e coerente all’interno del gruppo
- nell’applicazione della politica i fornitori infragruppo di servizi ICT, compresi quelli interamente o collettivamente di proprietà di entità finanziarie nell’ambito dello stesso sistema di tutela istituzionale, sono considerati fornitori terzi di servizi ICT
- ove esista una catena di fornitori terzi di servizi ICT, la politica si applicherà altresì ai subappaltatori che forniscono servizi ICT a supporto di funzioni essenziali o importanti o parti significative di essi a fornitori terzi di servizi ICT
Politica sugli accordi contrattuali e governance del rischio:
- principio guida applicabile anche all’utilizzo di fornitori terzi di servizi ICT è la responsabilità finale dell’organo di gestione nell’affrontare i rischi informatici di un’entità finanziaria: ciò implica il costante coinvolgimento di tale organo nel controllo e nel monitoraggio della gestione dei rischi informatici, anche attraverso l’adozione e il riesame, almeno una volta all’anno, della politica relativa agli accordi contrattuali per l’uso di servizi ICT
- per garantire un’adeguata segnalazione all’organo di gestione la politica deve specificare e individuare chiaramente le responsabilità interne per l’approvazione, la gestione, il controllo e la documentazione degli accordi contrattuali per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti, compresi i servizi ICT prestati nell’ambito degli accordi contrattuali di cui all’art. 28, paragrafo 1, lettera a), del DORA (rischi informatici derivanti da terzi)
Politica, gestione della fase precontrattuale e monitoraggio del rischio
- al fine di tenere conto di tutti i possibili rischi che possono sorgere quando si concludono contratti per la fornitura di servizi ICT a supporto di funzioni essenziali o importanti, la struttura della politica deve seguire tutti i passaggi di ciascuna fase principale del ciclo di vita degli accordi contrattuali con fornitori terzi
- per attenuare i rischi individuati, la politica deve specificare la pianificazione degli accordi contrattuali, compresi la valutazione dei rischi, la dovuta diligenza e il processo di approvazione di nuovi accordi contrattuali o di modifiche sostanziali di tali accordi
- al fine di gestire i rischi che potrebbero insorgere prima di stipulare un accordo contrattuale con un fornitore terzo di servizi TIC, la politica deve specificare un processo adeguato e proporzionato per selezionare i potenziali fornitori terzi di servizi ICT e valutarne l’idoneità e prescrivere che l’entità finanziaria prenda in considerazione un elenco non esaustivo di elementi che i fornitori terzi di servizi ICT dovrebbero presentare: tale elenco dovrebbe includere elementi relativi alla reputazione commerciale dei fornitori di servizi, alle loro risorse finanziarie, umane e tecniche, alla loro sicurezza delle informazioni, alla loro struttura organizzativa, compresa la gestione dei rischi, e ai loro controlli interni
Politica e requisiti minimi per gli accordi contrattuali
- la politica, ai sensi delle RTS attuative del DORA, deve contenere informazioni sull’attuazione, sul monitoraggio e sulla gestione degli accordi contrattuali, anche a livello consolidato e subconsolidato, includendo i requisiti relativi alle clausole contrattuali sugli obblighi reciproci delle entità finanziarie e dei fornitori terzi di servizi ICT, che è opportuno definire per iscritto
- la politica deve garantire il diritto delle entità finanziarie o di terze parti designate e delle autorità competenti di effettuare ispezioni e accedere alle informazioni, nonché specificare ulteriormente le strategie di uscita e i processi di risoluzione.
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione in Gazzetta Ufficiale UE.