EBA, con Q&A 7388/2025, ha chiarito se le microimprese finanziarie, che applicano il quadro semplificato per la gestione dei rischi informatici di cui all’art. 16 di DORA, oltre ad essere escluse dall’applicazione degli artt. 5- 15, siano altresì esclusi anche dall’applicazione dell’art. 28, ovvero se siano o meno esonerati dall’obbligo di tenere e aggiornare un registro delle informazioni sugli accordi contrattuali con fornitori terzi ICT.
Si ricorda, sul tema, che la nostra Rivista ha organizzato per la mattina del 30 settembre 2025 un webinar dal titolo “DORA e subappalto di servizi ICT – Gestione del rischio ICT e dei contratti nei nuovi RTS DORA“, che approfondirà i necessari presidi di governance del rischio sotteso al subappalto di tali servizi ICT.
L’art. 16, par. 1, menziona solo l’esenzione dagli artt. da 5 a 15; tuttavia, la formulazione dell’art. 28 potrebbe suggerire che tali enti siano esenti dall’applicazione dell’intero articolo 28, compreso l’obbligo di tenere un registro delle informazioni.
EBA, preliminarmente, ricorda che il considerando 21 di DORA specifica che, al fine di mantenere il pieno controllo sul rischio ICT, le entità finanziarie devono disporre di capacità complete che consentano una gestione forte ed efficace del rischio ICT, nonché di meccanismi e politiche specifici per la gestione di tutti gli incidenti legati alle TIC e per la segnalazione degli incidenti gravi legati alle TIC.
DORA afferma inoltre, nello stesso Considerando 21, che il livello minimo di resilienza operativa digitale per gli enti finanziari dovrebbe essere aumentato, consentendo al contempo un’applicazione proporzionata dei requisiti per determinati enti finanziari, in particolare le microimprese, nonché per gli enti finanziari soggetti a un quadro semplificato di gestione dei rischi ICT.
Inoltre, il considerando 43 di DORA afferma che gli enti finanziari che si qualificano come microimprese o che sono soggetti al quadro semplificato di gestione dei rischi ICT ai sensi del regolamento non dovrebbero essere tenuti a istituire un ruolo per monitorare gli accordi conclusi con fornitori terzi di servizi ICT sull’uso dei servizi ICT.
Tuttavia, l’art. 28, par. 3, di DORA stabilisce l’obbligo di tenere e aggiornare un registro delle informazioni relative a tutti gli accordi contrattuali sull’uso dei servizi ICT forniti da fornitori di servizi ICT terzi, senza eccezioni: tutti gli enti finanziari soggetti al DORA sono quindi tenuti a tenere un registro delle informazioni.
Inoltre, devono necessariamente applicare un quadro di gestione dei rischi di terzi proporzionato ai rischi associati alle loro attività: ciò significa che la portata e la complessità delle misure di gestione del rischio devono corrispondere al livello di rischio coinvolto.
Ad esempio, gli enti finanziari di dimensioni più piccole, che in genere utilizzano meno servizi ICT, avrebbero requisiti di gestione del rischio più semplici rispetto agli enti di dimensioni maggiori: il principio di proporzionalità è già integrato nei requisiti del registro delle informazioni, garantendo che le misure siano adeguate alle dimensioni e alla complessità delle operazioni dell’ente.
