Le Autorità europee di vigilanza (EBA, EIOPA, ESMA – le ESAs) hanno pubblicato una guida sulle attività di vigilanza verso i fornitori terzi di servizi critici ICT (CTPP) ai sensi del Digital Operational Resilience Act (DORA).
Lo scopo di questa guida è fornire una panoramica dei processi utilizzati dalle ESAs attraverso i Joint Examination Teams (JET), per vigilare sui fornitori di servizi critici nel settore delle tecnologie dell’informazione e della comunicazione (ICT).
Si ricorda che DORA ha introdotto un quadro di vigilanza per i fornitori di servizi critici ICT (CTPP) nel settore delle tecnologie dell’informazione e della comunicazione (ICT) e le ESAs devono vigilare sui CTPP a livello UE, migliorando la resilienza operativa digitale complessiva nei vari settori finanziari dell’Unione.
Il quadro di vigilanza contribuisce ad affrontare i potenziali rischi sistemici e di concentrazione derivanti dalla dipendenza del settore finanziario da un numero limitato di fornitori di ICT: integra, anziché sostituire, le responsabilità delle entità finanziarie nella gestione dei rischi legati alle ICT e la vigilanza già esercitata su di esse dalle autorità competenti.
Le ESAs sono le prime responsabili della designazione dei CTPP, in quanto tali entità devono essere identificate per ciascuno dei settori finanziari di loro competenza.
Successivamente, ciascuna Autorità assume il ruolo di autorità di vigilanza capofila per i CTPP all’interno del proprio settore finanziario, in collaborazione con le Autorità competenti pertinenti, garantendo un approccio coordinato alla gestione dei rischi ICT in tutto il panorama finanziario.
Le ESA hanno il potere di richiedere informazioni, condurre indagini e ispezioni generali, formulare raccomandazioni, monitorarne l’attuazione e imporre sanzioni pecuniarie periodiche ai CTPP.
Questi compiti di vigilanza sono svolti da gruppi di esame congiunti (JET), composti da personale delle ESAs, delle autorità competenti che vigilano sulle entità finanziarie nell’UE e delle autorità NIS che vigilano sui CTPP.
La governance del quadro di vigilanza è definita con l’obiettivo di promuovere la convergenza e un solido processo decisionale: comprende in particolare la rete di vigilanza congiunta (JON) e il forum di vigilanza (OF), organismi creati con la responsabilità fondamentale di garantire il mantenimento di un quadro coordinato, incentrato sui risultati e proporzionato, con particolare attenzione alla fiducia, alla responsabilità di vigilanza e alla trasparenza.
La guida fornisce in sintesi una panoramica:
- della struttura di governance
- dei processi di supervisione
- dei principi fondanti la vigilanza
- degli strumenti a disposizione dei supervisori
- del processo di adozione delle decisioni.
Le ESAs invitano il pubblico, gli enti finanziari e, soprattutto, i fornitori terzi, a utilizzare questo documento per prepararsi all’attuazione della supervisione.