WEBINAR / 10 Luglio
La digitalizzazione dei contratti e delle firme


Problematiche attuali e casistiche rilevanti

ZOOM MEETING
Offerte per iscrizioni entro il 20/06


WEBINAR / 10 Luglio
La digitalizzazione dei contratti e delle firme
www.dirittobancario.it
Flash News

DORA e subappalto di servizi ICT a supporto di funzioni essenziali/importanti

2 Luglio 2025
Di cosa si parla in questo articolo

Pubblicato in Gazzetta Ufficiale dell’Unione europea del 02 luglio 2025, il Regolamento delegato (UE) 2025/532 del 24 marzo 2025, che integra DORA con le RTS che specificano gli elementi che l’entità finanziaria deve determinare e valutare in caso di subappalto di servizi ICT a supporto di funzioni essenziali o importanti.

Il Regolamento delegato, conformemente al mandato previsto nell’art. 30, par. 5 del Regolamento DORA, stabilisce  norme tecniche di regolamentazione volte a rafforzare la capacità delle entità finanziarie di valutare e gestire i rischi derivanti dal subappalto dei servizi ICT da parte di fornitori terzi, in particolare quando questi servizi supportano funzioni essenziali o importanti.

Il testo riconosce che le catene di subappalto possono essere complesse e stratificate, con impatti sulla trasparenza, il controllo del rischio e la resilienza operativa.

Pertanto, le entità finanziarie devono:

  • mappare l’intera catena di subappalto
  • identificare i fornitori critici
  • valutare i rischi legati alla localizzazione, alla concentrazione e alla continuità del servizio
  • verificare che anche i subappaltatori intragruppo siano soggetti agli stessi obblighi.

Il regolamento impone l’adozione di una visione olistica e proporzionata dei rischi, tenendo conto delle dimensioni, della struttura e della complessità dell’ente.

Prima di stipulare un accordo contrattuale con un fornitore terzo di servizi ICT, che preveda la possibilità di un subappalto di servizi ICT a supporto di funzioni essenziali o importanti, l’entità finanziaria, conformemente a DORA, deve:

  • effettuare una valutazione di due diligence sui fornitori terzi
  • valutare i rischi associati alla località in cui si trovano i potenziali subappaltatori in relazione ai servizi TIC a supporto di funzioni essenziali o importanti
  • accertarsi che esistano meccanismi di monitoraggio, audit e controllo anche presso i subappaltatori, da parte non solo del fornitore terzo, ma altresì dell’ente finanziario
  • valutare l’esistenza di ostacoli all’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti, delle autorità di risoluzione o dell’entità finanziaria, compresi i soggetti da esse designati
  • accertarsi che l’entità finanziaria possieda sufficienti capacità e competenze nonché adeguate risorse finanziarie, umane e tecniche, per monitorare i rischi informatici relativi al servizio a supporto di funzioni essenziali o importanti, che è stato subappaltato
  • valutare i rischi di concentrazione delle TIC a livello di entità
  • garantire che le modifiche sostanziali agli accordi di subappalto siano preannunciate e soggette ad approvazione preventiva.

È inoltre previsto che i contratti con i fornitori terzi:

  • indichino con chiarezza i servizi che possono essere subappaltati
  • impongano obblighi di comunicazione su ogni variazione rilevante
  • comprendano gli obblighi relativi ai piani operativi d’emergenza ex art. 30, par. 3, lett. c), di DORA
  • prevedano il diritto di recesso del contratto in caso di violazioni sostanziali (es. subappalto non autorizzato o mancato rispetto della tolleranza al rischio)
  • specifichino le norme di sicurezza delle ITC e gli eventuali requisiti di sicurezza supplementari di cui all’art. 30, par. 3, di DORA
  • specifichino le specifiche cause di risoluzione del contratto indicate nell’art. 6 del regolamento delegato oggi pubblicato.

A livello di gruppo, la capogruppo deve garantire un’applicazione coerente delle regole a tutte le entità coinvolte.

Di cosa si parla in questo articolo

WEBINAR / 10 Luglio
La digitalizzazione dei contratti e delle firme


Problematiche attuali e casistiche rilevanti

ZOOM MEETING
Offerte per iscrizioni entro il 20/06


WEBINAR / 16 Settembre
Rischi climatici e ambientali: aspettative Banca d’Italia


Principali criticità e buone prassi per l'attuazione 2025

ZOOM MEETING
Offerte per iscrizioni entro il 28/08

Iscriviti alla nostra Newsletter