Il Regolamento DORA pone in capo agli enti finanziari l’onere di includere elementi specifici all’interno degli accordi contrattuali sull’utilizzo dei servizi ICT, tra cui l’indicazione, con le relative condizioni, di eventuali subappalti di funzioni ICT a sostegno di funzioni essenziali o importanti.
Il ricorso a molteplici subappaltatori di ICT, soprattutto qualora coinvolgano funzioni essenziali/importanti dell’ente, può infatti incidere sulla capacità dell’ente stesso di individuare, valutare e gestire i propri rischi, in ragione alla limitata capacità di ottenere informazioni da tali subappaltatori.
Ai fini di una migliore gestione del rischio da parte degli enti, pertanto, è stato recentemente pubblicato in GUUE il Regolamento delegato (UE) 2025/532, che disciplina nel dettaglio gli elementi che le entità finanziarie devono considerare e valutare in caso di subappalto di tali servizi ICT da parte dei fornitori terzi.
Tra queste, di particolare rilievo le misure previste in relazione alla mappatura della catena di subappalto, nonché alle garanzie minime a presidio del rischio, da includere negli accordi contrattuali con il fornitore terzo ICT e fra quest’ultimo ed il subappaltatore di servizi ICT a supporto di funzioni essenziali o importanti.
Il corso si propone quindi di approfondire i necessari presidi di governance del rischio sotteso al subappalto di tali servizi ICT: partendo proprio dall’individuazione, nella supply chain, dei fornitori a supporto di funzioni essenziali/importanti, si analizzeranno quindi i necessari requisiti richiesti dal Regolamento DORA e dal Regolamento delegato per una corretta gestione del rischio, in relazione alle quattro diverse fasi del ciclo di vita di tali accordi contrattuali con i fornitori terzi ICT, ovvero la fase precontrattuale, quella contrattuale, di monitoraggio e di exit.
Tematiche oggetto di attenzione e discussione
- Il subappalto dei servizi ICT a supporto di funzioni essenziali o importanti (FEI)
- La mappatura della supply chain
- Il caso dei subappaltatori infragruppo
- La valutazione dei rischi in capo all’ente
- Il rischio di concentrazione a livello di entità
- Le condizioni minime da rispettare in caso di subappalto di servizi ICT a supporto di FEI
- La due diligence richiesta sui fornitori ICT in caso di subappalto
- La previa valutazione di idoneità a monitorare i rischi informatici lungo l’intera catena di valore
- La valutazione d’impatto dell’inadempimento del subappaltatore
- Il contenuto minimo degli accordi contrattuali con il fornitore ICT, che possa consentire il subappalto
- La delimitazione chiara dei servizi ICT a supporto di FEI subappaltabili
- La specificazione degli obblighi di monitoraggio e comunicazione del fornitore ICT verso l’ente
- Le condizioni di subappalto a garanzia dell’ente, nel contratto fra fornitore ICT e subappaltatore
- Le garanzie sui diritti di audit e ispezione nei confronti del subappaltatore
- Il monitoraggio delle modifiche sostanziali agli accordi di subappalto: le garanzie contrattuali ente -fornitore ICT
- La fase di exit: clausole di risoluzione del contratto ente – fornitore ICT, a garanzia dell’ente
- La disciplina del subappalto nei gruppi