Le Autorità europee di vigilanza (EBA, EIOPA ed ESMA – le ESAs) hanno posto in pubblica consultazione i nuovi standard tecnici di regolamentazione (RTS) in caso di subappalto a terzi di servizi ICT a supporto di funzioni critiche, in attuazione del Regolamento (UE) 2022/2554 (DORA).
Nello specifico, l’art. 30, paragrafo 2 lett. a) della DORA impone agli operatori del settore finanziario (cd. entità finanziarie) di includere negli accordi contrattuali relativi al subappalto di tali servizi ICT :
- una descrizione chiara e completa di tutte le funzioni e dei servizi IT che il fornitore terzo di servizi ICT deve svolgere;
- l’indicazione dell’eventuale autorizzazione a subappaltare un servizio ICT a sostegno di una funzione essenziale o importante o parti significative di essa;
- le condizioni di tale subappalto.
L’art. 30 paragrafo 5 della DORA incarica dunque le ESAs, tramite il comitato congiunto, di elaborare progetti di norme tecniche di regolamentazione per specificare ulteriormente le indicazioni e le condizioni, che, ai sensi del citato art. 20 par. 2 lett. a), l’entità finanziaria deve determinare e valutare quando subappalta servizi ICT a supporto di funzioni essenziali o importanti.
All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le ESAs, conformemente al mandato, devono tenere conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni.
In conformità al Regolamento DORA, la bozza di RTS in pubblica consultazione, pertanto:
- stabilisce i requisiti per l’utilizzo di servizi ICT in subappalto, che supportino funzioni critiche o importanti o parti sostanziali di essi;
- stabilisce le condizioni che si applicano a tale subappalto;
- richiede che le entità finanziarie valutino i rischi associati al subappalto prima della loro concessione, tramite un processo di due diligence;
- stabilisce i requisiti relativi all’implementazione, al monitoraggio e alla gestione degli accordi contrattuali di subappalto per l’utilizzo di servizi ICT che supportino funzioni critiche o importanti o parti rilevanti di esse, garantendo che gli enti finanziari siano in grado di monitorare l’intera catena di subappalto delle ICT.
Si ricorda che il periodo di consultazione durerà fino al 4 marzo 2024.
La bozza finale di RTS e ITS sarà quindi pubblicata dopo la consultazione pubblica entro il 17 luglio 2024.