Pubblicato in Gazzetta Ufficiale (UE) il Regolamento delegato (UE) 2025/295, del 24 ottobre 2024, che integra il Regolamento (UE) 2022/2554 (DORA) per quanto riguarda le norme tecniche di regolamentazione (RTS) sull’armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza.
Il Regolamento, in sostanza, dettaglia:
- le informazioni che il fornitore terzo di servizi TIC deve fornire nella domanda di designazione quale fornitore critico: il fornitore terzo di servizi ITC che decida di presentare una domanda di designazione volontaria quale fornitore critico dovrebbe fornire all’Autorità di vigilanza ricevente tutte le informazioni necessarie per dimostrare la propria criticità, conformemente ai principi e ai criteri di cui al Regolamento DORA; le informazioni da includere nella domanda volontaria dovranno essere sufficientemente dettagliate e complete, in modo da consentire una valutazione chiara della criticità, ai sensi dell’art. 31, par. 11.
- il contenuto, la struttura ed il formato delle informazioni da trasmettere, diffondere o segnalare da parte dei fornitori terzi critici di servizi TIC
- le informazioni che i fornitori terzi critici di servizi TIC devono fornire dopo la formulazione di raccomandazioni da parte delle Autorità di vigilanza: al fine di garantire un monitoraggio efficiente ed efficace delle azioni adottate o dei rimedi applicati dai fornitori terzi critici di servizi ITC in relazione a tali raccomandazioni, l’autorità di sorveglianza capofila dovrà poter richiedere le relazioni di cui all’art. 35, par. 1, lett. c), del DORA, vale a dire le relazioni intermedie sullo stato di avanzamento e le relazioni finali.
- la struttura e il formato delle informazioni trasmesse dai fornitori terzi critici di servizi TIC: ai fini della valutazione di cui all’art. 42, par. 1, del DORA, secondo cui l’autorità di sorveglianza capofila è tenuta a valutare se la spiegazione fornita dal fornitore terzo critico di servizi ITC sia sufficiente, la notifica all’autorità di sorveglianza capofila da parte del fornitore terzo critico di servizi ITC della sua intenzione di attenersi alle raccomandazioni ricevute, dovrà essere integrata da una descrizione delle azioni e delle misure adottate, per attenuare i rischi delineati nelle raccomandazioni, unitamente alla rispettiva tempistica; tale spiegazione assumerà la forma di un piano correttivo.
- il modello per la trasmissione di informazioni relative agli accordi di subappalto: il modello terrà conto del fatto che i fornitori terzi critici di servizi ITC hanno strutture diverse rispetto alle entità finanziarie
- le modalità di valutazione da parte delle autorità competenti dei rischi trattati nelle raccomandazioni dell’autorità di sorveglianza capofila: una volta che l’autorità di sorveglianza capofila ha formulato le raccomandazioni a un fornitore terzo critico di servizi ITC e che le autorità competenti hanno informato le entità finanziarie interessate dei rischi individuati in tali raccomandazioni, l’autorità di sorveglianza capofila dovrebbe monitorare e valutare l’attuazione, da parte del fornitore terzo critico di servizi ITC, delle azioni e dei rimedi per conformarsi alle raccomandazioni. Le autorità competenti dovrebbero quindi monitorare e valutare in che misura le entità finanziarie sono esposte ai rischi individuati in tali raccomandazioni: al fine di mantenere condizioni di parità nello svolgimento dei rispettivi compiti, in particolare quando i rischi individuati nelle raccomandazioni sono gravi e condivisi da un gran numero di entità finanziarie in più Stati membri, sia le autorità competenti, che l’autorità di sorveglianza capofila, dovranno condividere tra loro tutte le risultanze pertinenti necessarie per svolgere i rispettivi compiti.
