Le tre autorità di vigilanza europee (EBA, EIOPA ed ESMA – ESAs) hanno pubblicato oggi la relazione finale congiunta sulla bozza di standard tecnici di regolamentazione (RTS), che specificano come determinare e valutare le condizioni per il subappalto di servizi di tecnologia dell’informazione e della comunicazione (ICT) che supportano funzioni critiche o importanti, ai sensi del Regolamento (UE) 2022/2554 (DORA).
I requisiti prescritti dal DORA per l’implementazione e la gestione degli accordi contrattuali sulle condizioni di subappalto, definiti con questi RTS, sono volti a garantire che le entità finanziarie monitorino concretamente i subappaltatori di servizi ICT che supportino funzioni critiche o importanti, e che, conseguentemente, monitorino adeguatamente i rischi collegati.
La questione – unitamente ad altri temi di rilievo per banche, assicurazioni, e operatori finanziari – sarà oggetto di approfondimento nel corso del webinar organizzato dalla nostra Rivista il 01 ottobre 2024 “DORA e servizi ICT di terze parti: la gestione dei rapporti contrattuali e dei processi“.
L’art. 30, paragrafo 5, del DORA incarica infatti le ESAs di elaborare, tramite il comitato congiunto, progetti di RTS per specificare ulteriormente gli elementi, di cui all’art. 30, paragrafo 2, lettera a), che un’entità finanziaria deve determinare e valutare, quando concede il subappalto di servizi ITC che supportano funzioni critiche o importanti, o parti sostanziali di esse.
L’art. 30, paragrafo 2, lettera a) del DORA, infatti, prevede che, in caso di subappalto da parte di fornitori ICT, gli accordi contrattuali con il terzo fornitore di servizi ICT specifichino le condizioni applicabili a tale subappalto: più nel dettaglio, i soggetti finanziari devono stabilire accordi contrattuali sull’uso dei servizi ICT, che:
- includano almeno una descrizione chiara e completa di tutte le funzioni e dei servizi ICT che il fornitore di servizi ICT deve fornire
- indichino l’eventuale autorizzazione a subappaltare un servizio ITC a sostegno di una funzione essenziale o importante, o parti significative di essa
- in caso di autorizzazione, le condizioni di tale subappalto.
Gli RTS pubblicati oggi dalle ESAs, quindi, in sintesi, stabiliscono i requisiti relativi all’implementazione, al monitoraggio e alla gestione degli accordi contrattuali relativi alle condizioni di subappalto, per l’utilizzo di servizi ITC che supportano funzioni critiche o importanti, o parti rilevanti di esse.
Tali requisiti saranno di ausilio alle entità finanziarie, al fine di ottemperare alle prescrizioni del DORA, consentendo loro:
- valutare i rischi associati al subappalto durante la fase precontrattuale, tramite un processo di due diligence
- monitorare l’intera catena di subappalto di servizi ICT che supportano funzioni critiche o importanti.
