Le ESAs hanno pubblicato una dichiarazione congiunta, con cui invitano le entità finanziarie e i fornitori di terze parti ad anticipare i preparativi richiesti dall’applicazione del Regolamento DORA, per garantire la loro preparazione.
Il Regolamento DORA, insieme agli standard tecnici e alle linee guida sviluppate dalle Autorità di vigilanza europee (ESA) nel gennaio e luglio 2024, si applicheranno a partire dal 17 gennaio 2025: poiché il Regolamento non prevede un periodo di transizione, le autorità di vigilanza europee sottolineano l’importanza che i soggetti finanziari adottino un approccio robusto e strutturato, al fine di adempiere ai propri obblighi in modo tempestivo.
Le entità finanziarie sono tenute a identificare e ad affrontare tempestivamente le lacune tra i loro assetti interni e i requisiti richiesti da DORA: tali requisiti non sono del tutto nuovi, poiché molte finanziarie sono state soggette a linee guida settoriali esistenti, a regolamenti o aspettative della vigilanza nelle aree della gestione del rischio ICT, della segnalazione degli incidenti e dell’outsourcing.
Le autorità di vigilanza europee riconoscono inoltre che lo sforzo per conformarsi a DORA può essere maggiore per alcune entità finanziarie, che finora sono state soggette a minori requisiti settoriali in materia di gestione della resilienza operativa digitale: in ogni caso, le autorità di vigilanza europee e le autorità competenti (CA) hanno fornito indicazioni per sostenere la corretta attuazione del Regolamento DORA e continueranno a farlo.
Le entità finanziarie, in particolare, devono mettere a disposizione delle autorità competenti i registri degli accordi contrattuali dei fornitori terzi di ICT all’inizio del 2025, in quanto questi ultimi dovranno segnalarli alle autorità di vigilanza europee entro il 30 aprile 2025; a tal fine, dovrebbero trarre insegnamento dalle lezioni apprese dal 2024 delle ESAs e prendere in considerazione le ITS sul registro delle informazioni adottate dalla Commissione il 20 aprile 2025, e recentemente pubblicate in Gazzetta Ufficiale UE.
Inoltre, è importante che le entità finanziarie siano in grado di classificare e segnalare i principali incidenti legati alle ICT a partire dalla data di applicazione.
Considerando il profilo di rischio, le dimensioni, la scala e la complessità delle attività delle varie entità finanziarie, le autorità competenti sono pronte a vigilare sui requisiti DORA, tenendo conto delle priorità strategiche di vigilanza dell’Unione di EBA, ESMA ed EIOPA.
Le autorità di vigilanza europee continuano a collaborare con le autorità competenti per fornire un approccio pragmatico, incentrato sui risultati e tempestivo all’attuazione: invitano inoltre anche i fornitori di servizi ICT di terze parti che ritengono di poter soddisfare i criteri di criticità pubblicati nel maggio 2024, a valutare il loro assetto operativo rispetto ai requisiti DORA.
La prima designazione dei CTPP è prevista per la seconda metà del 2025.