Le Autorità europee di vigilanza (EBA, EIOPA ed ESMA – le ESAs) hanno pubblicato in consultazione le Linee guida di attuazione del Regolamento DORA per la cooperazione nella vigilanza dei fornitori di servizi ICT a supporto di funzioni critiche.
L’art. 32 del Regolamento (UE) 2022/2554 (DORA) introduce un quadro di sorveglianza specifico per la vigilanza dei fornitori di servizi ICT di terze parti designati come critici (CTPP). In questo contesto, le ESAs e le Autorità di vigilanza nazionali sono state assegnate nuovi ruoli e responsabilità.
La singola ESA designata come “Autorità di sorveglianza capofila” eserciterà le attività di supervisione sui CTPP, emetterà raccomandazioni e vigilerà sulla loro implementazione da parte dei CTPP. Le Autorità di vigilanza nazionali supervisioneranno l’attività dell’Autorità di sorveglianza capofila sui CTPP e vigileranno sugli operatori del settore finanziario in merito ai rischi identificati nelle raccomandazioni.
Le linee guida, formulate in adempimento all’art. 32, comma 7 del Regolamento DORA, riguardano lo scambio di informazioni e la reciproca assistenza tra le autorità coinvolte nel quadro di sorveglianza. L’obiettivo è garantire un approccio coerente e convergente nei casi in cui le entità finanziarie utilizzino i servizi ICT forniti da un CTPP, evitando duplicazioni e sovrapposizioni nelle misure volte a monitorare i rischi dei CTPP.
Il documento in consultazione è suddiviso in cinque sezioni:
- Considerazioni generali: Indicazioni sulla lingua, mezzi di comunicazione, punti di contatto e gestione delle differenze di opinione tra le Autorità di sorveglianza capofila, le ESAs e le autorità competenti.
- Designazioni dei CTPP: Scambi di informazioni per la designazione dei fornitori IT quali CTPP, tra Autorità di sorveglianza capofila, autorità competenti e “Forum di sorveglianza”.
- Attività di supervisione: Dettagli sulle procedure e scambi di informazioni relativi al piano annuale di supervisione, alle indagini generali e alle ispezioni in loco, nonché alle misure adottate dalle autorità competenti nei confronti dei CTPP, solo in accordo con l’Autorità di sorveglianza capofila.
- Follow-up delle raccomandazioni: Principi generali e scambi di informazioni per garantire il follow-up delle raccomandazioni.
- Disposizioni finali: Applicazione delle linee guida e la loro revisione entro quattro anni dalla pubblicazione da parte delle autorità europee.
Si ricorda che il periodo di consultazione durerà fino al 4 marzo 2024; la bozza finale delle Linee Guida sarà quindi pubblicata dopo la consultazione pubblica entro il 17 luglio 2024.
