DORA e subappalto di servizi ICT

Il Regolamento DORA pone in capo agli enti finanziari l’onere di includere elementi specifici all’interno degli accordi contrattuali sull’utilizzo dei servizi ICT, tra cui l’indicazione, con le relative condizioni, di eventuali subappalti di funzioni ICT a sostegno di funzioni essenziali o importanti.

Il ricorso a molteplici subappaltatori di ICT, soprattutto qualora coinvolgano funzioni essenziali/importanti dell’ente, può infatti incidere sulla capacità dell’ente stesso di individuare, valutare e gestire i propri rischi, in ragione alla limitata capacità di ottenere informazioni da tali subappaltatori.

Ai fini di una migliore gestione del rischio da parte degli enti, pertanto, è stato recentemente pubblicato in GUUE il Regolamento delegato (UE) 2025/532, che disciplina nel dettaglio gli elementi che le entità finanziarie devono considerare e valutare in caso di subappalto di tali servizi ICT da parte dei fornitori terzi.

Tra queste, di particolare rilievo le misure previste in relazione alla mappatura della catena di subappalto, nonché alle…