Pubblicato in Gazzetta Ufficiale dell’Unione europea del 02 luglio 2025, il Regolamento delegato (UE) 2025/532 del 24 marzo 2025, che integra DORA con le RTS che specificano gli elementi che l’entità finanziaria deve determinare e valutare in caso di subappalto di servizi ICT a supporto di funzioni essenziali o importanti.
Il Regolamento delegato, conformemente al mandato previsto nell’art. 30, par. 5 del Regolamento DORA, stabilisce norme tecniche di regolamentazione volte a rafforzare la capacità delle entità finanziarie di valutare e gestire i rischi derivanti dal subappalto dei servizi ICT da parte di fornitori terzi, in particolare quando questi servizi supportano funzioni essenziali o importanti.
Il testo riconosce che le catene di subappalto possono essere complesse e stratificate, con impatti sulla trasparenza, il controllo del rischio e la resilienza operativa.
Pertanto, le entità finanziarie devono:
- mappare l’intera catena di subappalto
- identificare i fornitori critici
- valutare i rischi legati alla localizzazione, alla concentrazione e alla continuità del servizio
- verificare che anche i subappaltatori intragruppo siano soggetti agli stessi obblighi.
Il regolamento impone l’adozione di una visione olistica e proporzionata dei rischi, tenendo conto delle dimensioni, della struttura e della complessità dell’ente.
Prima di stipulare un accordo contrattuale con un fornitore terzo di servizi ICT, che preveda la possibilità di un subappalto di servizi ICT a supporto di funzioni essenziali o importanti, l’entità finanziaria, conformemente a DORA, deve:
- effettuare una valutazione di due diligence sui fornitori terzi
- valutare i rischi associati alla località in cui si trovano i potenziali subappaltatori in relazione ai servizi TIC a supporto di funzioni essenziali o importanti
- accertarsi che esistano meccanismi di monitoraggio, audit e controllo anche presso i subappaltatori, da parte non solo del fornitore terzo, ma altresì dell’ente finanziario
- valutare l’esistenza di ostacoli all’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti, delle autorità di risoluzione o dell’entità finanziaria, compresi i soggetti da esse designati
- accertarsi che l’entità finanziaria possieda sufficienti capacità e competenze nonché adeguate risorse finanziarie, umane e tecniche, per monitorare i rischi informatici relativi al servizio a supporto di funzioni essenziali o importanti, che è stato subappaltato
- valutare i rischi di concentrazione delle TIC a livello di entità
- garantire che le modifiche sostanziali agli accordi di subappalto siano preannunciate e soggette ad approvazione preventiva.
È inoltre previsto che i contratti con i fornitori terzi:
- indichino con chiarezza i servizi che possono essere subappaltati
- impongano obblighi di comunicazione su ogni variazione rilevante
- comprendano gli obblighi relativi ai piani operativi d’emergenza ex art. 30, par. 3, lett. c), di DORA
- prevedano il diritto di recesso del contratto in caso di violazioni sostanziali (es. subappalto non autorizzato o mancato rispetto della tolleranza al rischio)
- specifichino le norme di sicurezza delle ITC e gli eventuali requisiti di sicurezza supplementari di cui all’art. 30, par. 3, di DORA
- specifichino le specifiche cause di risoluzione del contratto indicate nell’art. 6 del regolamento delegato oggi pubblicato.
A livello di gruppo, la capogruppo deve garantire un’applicazione coerente delle regole a tutte le entità coinvolte.