EBA ha pubblicato una nuova Q&A in ambito Regolamento DORA, relativamente al quadro di supervisione dei fornitori dei servizi ITC critici, con particolare riferimento ai fornitori infragruppo.
Delle tematiche afferenti alla presente notizia se ne discuterà nel corso del prossimo webinar DB del 20 febbraio 2025 “DORA: le richieste Banca d’Italia sulla gestione del rischio ICT“.
La questione posta è la seguente: è corretto interpretare che un fornitore di servizi ICT infragruppo con sede al di fuori dell’UE (paese extra-UE), che fornisce servizi critici a un istituto finanziario con sede nell’UE (impresa madre), rientri nell’esenzione di cui all’art. 31, par. 8, del DORA, esentando così dalla necessità di creare una filiale nell’UE?
EBA ricorda che ai sensi dell’art. 31, par. 12, del DORA, gli istituti finanziari possono utilizzare i servizi di fornitori di ITC di Paesi terzi che sono stati designati come critici, solo se questi fornitori hanno stabilito una filiale nell’UE entro 12 mesi dalla designazione.
Tuttavia, il paragrafo 8 prevede delle eccezioni, che includono i fornitori di servizi ICT infragruppo, non distinguendo il caso dei fornitori terzi con sede non UE, che fanno parte di un gruppo finanziario con l’impresa madre stabilita in un Paese dell’UE: il fornitore deve tuttavia offrire principalmente servizi alle istituzioni finanziarie dello stesso gruppo, soddisfacendo i criteri di un “fornitore di servizi ITC infragruppo” come definito nell’art. 3.
Per EBA, quindi, ai sensi dell’art. 31, par. 8, punto iii), del DORA, la designazione di fornitore terzo che fornisce ITC critici, di cui all’art. 31, paragrafo 1, del DORA, non si applica ai fornitori di servizi ITC infragruppo; tale disposizione non fa infatti distinzione tra fornitori infragruppo stabiliti all’interno dell’Unione o in un Paese terzo.
