DORA e servizi ICT di terze parti

Il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale (DORA), che si applicherà a decorrere dal 17 gennaio 2025, prevede un regime ad hoc per la gestione dei rapporti con terze parti, prescrivendo agli operatori finanziari di gestire adeguatamente i rischi derivanti dall’esternalizzazione di servizi ICT a fornitori terzi, soprattutto laddove siano a supporto di funzioni critiche o importanti.

Oltre alle prescrizioni del DORA, gli operatori dovranno rispettare gli standard tecnici di attuazione di cui al Regolamento delegato (UE) 2024/1773 pubblicato nella GU UE lo scorso 25 giugno, i modelli per i registri dei contratti con i fornitori di servizi ICT definiti dalle ESAs, oltre alle Linee guida sviluppate Autorità di vigilanza europee in materia di esternalizzazione.

Gli operatori dovranno quindi: (i) adottare una strategia complessiva sui rischi, nonché definire adeguati presidi di governance e controllo sugli accordi contrattuali; (ii) valutare le proprie esigenze operative e commerciali, alla base dell’esternalizzazione del…