Le ESAs hanno posto in consultazione i nuovi standard tecnici del Regolamento (UE) n. 2022/2554 (DORA), tra cui il progetto di norme tecniche di regolamentazione (RTS) per specificare il contenuto dettagliato della politica in relazione agli accordi contrattuali sull’uso dei servizi ICT a supporto di funzioni critiche o importanti prestati da fornitori terzi.
L’articolo 28, paragrafo 2, del Regolamento (UE) n. 2022/2554 prevede che i soggetti finanziari adottino e rivedano regolarmente, come parte del loro quadro di gestione del rischio ICT, una strategia sul rischio ICT dipendente da terzi.
La strategia sul rischio ICT derivante da terzi deve includere una politica sull’uso di servizi ICT a supporto di funzioni critiche o importanti forniti da fornitori di terzi di servizi ICT.
Il DORA da mandato alle ESAs di sviluppare progetti di RTS per specificare ulteriormente il contenuto dettagliato di questa politica in relazione agli accordi contrattuali sull’uso di servizi ICT che supportano funzioni critiche o importanti prestati da fornitori terzi di servizi ICT.
In linea con il Regolamento DORA, la bozza di RTS in consultazione stabilisce i requisiti per la politica degli enti finanziari sull’utilizzo di fornitori terzi di servizi ICT, compresi i fornitori TIC infragruppo, e riguarda tutti i servizi ICT forniti da terzi che supportano funzioni critiche o importanti.
Gli RTS si applicano a tutti questi servizi ICT e non si limita agli accordi di outsourcing.
La politica sull’utilizzo dei fornitori terzi di servizi ICT definisce i profili essenziali dei dispositivi di governance, della gestione del rischio e del quadro di controllo interno dell’ente finanziario in relazione all’utilizzo dei servizi ICT forniti da terzi.
Tali requisiti dovrebbero garantire che l’ente finanziario mantenga il controllo dei propri rischi operativi, della sicurezza delle informazioni e della continuità operativa durante l’intero ciclo di vita degli accordi contrattuali con tali fornitori.
È fondamentale che le entità finanziarie eseguano valutazioni dei rischi e processi di due diligence prima di concludere accordi contrattuali con fornitori terzi di servizi ICT e che garantiscano strategie di exit da tali accordi, laddove necessario, nonché assicurino la continuità operativa per la funzione critica o importante supportata, ad esempio nel caso in cui un servizio non sia fornito in modo appropriato, i sistemi ICT esterni si guastino o nel caso in cui un servizio non possa più essere ricevuto a seguito di sanzioni imposte.