EBA, con Q&A n. 7309 pubblicata il 14 agosto 2025, si è soffermata sulla comunicazione dei dati inclusi nel Registro delle informazioni dei contratti con i fornitori terzi di servizi ICT, in ambito DORA.
La questione posta concerne l’art. 28, par. 3, del Regolamento DORA: in particolare, viene richiesto se è necessaria una comunicazione separata e specifica, oltre al registro delle informazioni, oppure la comunicazione di tali dati sia già soddisfatta attraverso la presentazione annuale dello stesso registro, quale unico obbligo di conformità. Inoltre, nel caso in cui sia richiesta una comunicazione separata oltre alla presentazione annuale del registro delle informazioni, vinee richiesto quale sia il significato del termine “categorie di fornitori terzi di servizi ICT”.
Il prossimo 30 Settembre si terrà il webinar: “DORA e subappalto di servizi ICT”, sui contratti di subappalto di servizi ICT, a supporto di funzioni critiche/importanti, conformi al framework normativo DORA. Maggiori informazioni al seguente link.
EBA precisa che, al fine di garantire la coerenza nell’estrazione dei dati, la decisione delle ESAs 22/2024 richiede che le Autorità competenti forniscano alle ESAs, su base annuale, i registri delle informazioni di cui all’art. 28, par. 3, di DORA, in conformità con i termini di segnalazione stabiliti agli artt. 4 e 5 della decisione.
In generale, pertanto, per EBA ciò soddisfa il requisito e non è necessaria una seconda comunicazione specifica.
Oltre alla suddetta presentazione annuale, gli enti finanziari mettono a disposizione dell’autorità competente, su sua richiesta, il registro delle informazioni conformemente all’art. 28, par. 3, c. 4 di DORA; infine, gli enti finanziari informano tempestivamente l’autorità competente in merito a qualsiasi accordo contrattuale previsto con terzi fornitori di servizi ICT a supporto di funzioni critiche o importanti o qualora una funzione supportata da terzi fornitori di servizi ICT diventi critica o importante, ai sensi dell’art. 28, par. 3, c. 5.
Quanto alla classificazione dei fornitori terzi di servizi ITC, per EBA dovrebbe essere effettuata in base al tipo di servizio che forniscono, utilizzando la tipologia di servizi di cui all’allegato III di DORA.