Le ESAs hanno pubblicato in consultazione diversi standard tecnici di attuazione del Regolamento (UE) 2022/2554 (DORA), tra cui i progetti di norme tecniche di attuazione (ITS) per stabilire i modelli che compongono il registro delle informazioni in relazione a tutti gli accordi contrattuali sull’uso dei servizi ICT da fornitori terzi.
Tra gli obiettivi del Regolamento DORA vi è quello di garantire un solido monitoraggio del rischio ICT derivante da fornitori terzi di servizi ICT nel settore finanziario.
Lo svolgimento di tale monitoraggio dovrebbe seguire un approccio formalizzato attraverso una strategia dedicata al rischio ICT dipendente da terzi che sia adottata dagli organi di gestione degli enti finanziari (FE), radicata in uno screening continuo di tutte le dipendenze ICT da terzi.
In tale contesto, e al fine tra l’altro di consentire alle autorità competenti un’efficace supervisione delle dipendenze da fornitori terzi di servizi ICT, l’articolo 28, paragrafo 3, del DORA prevede che tutte le entità finanziarie siano tenute a mantenere e aggiornare, a livello di entità e su base subconsolidata e consolidata, un registro di informazioni su tutti gli accordi contrattuali per l’utilizzo di servizi TIC prestati da fornitori terzi.
L’articolo 28, paragrafo 9, del DORA dà mandato alle ESAs di elaborare progetti di ITS per stabilire i modelli standard ai fini del registro delle informazioni, comprese le informazioni comuni a tutti gli accordi contrattuali sull’uso dei servizi ICT.
In adempimento del mandato, la bozza di ITS in consultazione include i modelli del registro delle informazioni.
Sebbene gli ITS non contengano specifiche relative al processo di condivisione delle informazioni dalle entità finanziarie alle autorità competenti e dalle autorità competenti al forum di sorveglianza di cui all’art. 32 DORA, gli ITS sono stati concepiti in una prospettiva di gestione e rendicontazione dei dati, per garantire coerenza e armonizzazione dal punto di vista progettuale ed evitare un’onerosa rielaborazione dei dati ai fini della rendicontazione.
Il registro delle informazioni mira a garantire un livello minimo di contenuto e di armonizzazione.
Le ESAs si aspettano comunque che le entità finanziarie integrino le informazioni richieste dai modelli inclusi nella bozza di ITS adattandoli alle loro finalità interne e individuali di gestione del rischio.
L’insieme dei modelli che compongono il registro delle informazioni è proporzionato, in quanto la quantità di informazioni da includere dipende dal grado di dipendenza dai servizi ICT forniti da terzi.
Pertanto, un’entità finanziaria che si affida a un numero significativo di fornitori di servizi ICT di terze parti ha più informazioni da riportare nel registro delle informazioni rispetto a un’entità finanziaria che dipende da un numero ridotto di fornitori di servizi ICT di terze parti.
Ai fini della proporzionalità, le entità finanziarie sono tenute a segnalare alcune informazioni aggiuntive, come le informazioni complementari sulla valutazione del rischio, sulla catena di fornitura delle TIC o sul coinvolgimento di subfornitori laddove il servizio ICT fornito supporti una funzione critica o importante.
I modelli inclusi nella bozza di ITS sono stati realizzati tenendo conto delle pratiche correnti relative alla supervisione dell’outsourcing da parte di diverse autorità di vigilanza, e i modelli si basano sugli insegnamenti tratti da precedenti esercizi di raccolta dati svolti dalle autorità di vigilanza e dalle autorità di vigilanza europee.