Si avvicina la data di applicazione del Regolamento DORA, ossia il Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale: gli operatori economici soggetti al Regolamento DORA dovranno implementare, entro la data del 17 gennaio 2025, gli obblighi previsti dalla normativa europea in merito alla gestione dei rischi informatici, tenendo altresì in considerazione, in tale processo di adeguamento, gli standard tecnici definiti nel frattempo dalle Autorità Europee di Vigilanza, ossia le ITS (Implementing Technical Standard) e le RTS (Regulatory Technical Standard), che chiariscono e specificano alcuni obblighi di cui al Regolamento DORA.
A tal proposito, si segnala che in data 17 gennaio 2024 le Autorità di Vigilanza Europee hanno pubblicato le bozze finali del primo set di ITS e RTS, ora al vaglio della Commissione Europea. Il secondo set di norme tecniche sarà finalizzato e presentato alla Commissione Europea entro il 17 luglio 2024.
Indice degli argomenti
Nuovi obblighi sulla gestione dei fornitori di servizi ICT
Dal 17 gennaio 2025, tra i vari obblighi introdotti dal Regolamento, le entità finanziarie dovranno prevedere e riesaminare periodicamente una strategia per la gestione dei rischi informatici derivanti da tutti i fornitori di servizi ICT.
Il Regolamento,infatti, amplia considerevolmente il perimetro dei soggetti rispetto ai quali le entità finanziarie debbono disciplinare adeguatamente i propri rapporti: non più solo i fornitori di servizi informatici a cui le entità finanziarie abbiano esternalizzato funzioni essenziali o importanti, bensì tutti i fornitori di servizi ICT.
Tale processo di gestione delle terze parti comincia dallanecessità di definire chiari ruoli e responsabilità nella gestione delle diverse fasi di processo nonché dei relativi flussi che si instaurano nei diversi livelli dell’organizzazione aziendale.
Oltre a ciò, le entità finanziarie sono tenute a elaborare una chiara tassonomia delle forniture e svolgere adeguate due diligence sui fornitori dei servizi ICT di cui intendono avvalersi: le entità finanziarie dovranno infatti essere in grado di effettuare, già nella fase precedente alla stipulazione degli accordi contrattuali, una valutazione dei rischi informatici per tutte le tipologie di forniture inquadrate nella tassonomia e, conseguentemente, definire per ciascuna di esse un set “minimo” di misure tecniche e organizzative di mitigazione da sottoporre al fornitore sin dalla fase di qualifica, come requisiti da soddisfare per essere selezionato.
La contrattualizzazione dei fornitori di servizi ICT
Dopo la qualifica e la valutazione dei fornitori, vi è il momento della redazione del contratto. Il Regolamento DORA individua specifici obblighi in capo ai fornitori di servizi ICT, che dovranno essere tradotti in apposite clausole contrattuali.
Ciò rende necessaria, in primo luogo, un’attività di analisi e revisione dei contratti già in essere e dei modelli contrattuali da utilizzare per il futuro, al fine di individuare eventuali gap rispetto a tali obblighi normativi e, successivamente, un’attività interpretativa finalizzata a “tradurre” i suddetti obblighi normativi in clausole contrattuali chiare e definite.
Occorrerà, ad esempio:
- disciplinare i diritti di cessazione contrattuale (risoluzione, recesso) e i relativi effetti;
- predisporre adeguate strategie di uscita contrattuale che prevedano meccanismi di transizione dei servizi forniti, per non compromettere la business continuity dell’entità finanziaria;
- disciplinare l’eventuale diritto di subappalto del fornitore, anche alla luce di quanto definito nella bozza di RTS pubblicata nel mese di gennaio 2024 con riferimento al monitoraggio della catena del subappalto dei servizi ICT;
- declinare, secondo un principio di proporzionalità, l’engagement dei fornitori rispetto ai programmi di sensibilizzazione sulla sicurezza e alle attività di formazione sulla resilienza operativa digitale delle entità finanziarie.
Particolare attenzione dovrà essere dedicata, nel contratto tra entità finanziaria e fornitore di servizi ICT, anche alla formalizzazione delle attività e degli strumenti di monitoraggio della fornitura (ad esempio, KPI e SLA, KRI, Indicatori di conformità ai requisiti di riservatezza, integrità, disponibilità), nonché alla gestione degli incidenti con i fornitori.
Infine, le entità finanziarie dovranno documentare tutti gli accordi con i fornitori di servizi ICT in un apposito registro (ossia il registro delle informazioni sui contratti con i fornitori di servizi ICT, che le entità finanziarie debbono mantenere ai sensi dell’art. 28 del Regolamento DORA), la cui struttura e contenuto sono stati analiticamente disciplinati nella bozza di ITS pubblicata nel mese di gennaio 2024.
Il webinar su DORA e sulla gestione delle terze parti
Se desideri approfondire questi argomenti, partecipa al webinar online “Regolamento DORA e gestione delle terze parti: come realizzare una compliance integrata tra aspetti tecnologici, di sicurezza e legali”, che si terrà in data 12 aprile 2024, dalle ore 14.30 alle ore 16.30. Per iscriverti, clicca qui.
