La Banca centrale europea (BCE) ha pubblicato oggi la versione finale della Guida sull’esternalizzazione di servizi cloud a fornitori terzi di servizi cloud, a seguito della consultazione pubblica conclusasi nel luglio 2024.
Analogamente ad altre guide della BCE, questo documento non stabilisce requisiti, prassi o norme giuridicamente vincolanti e non introduce nuove norme od obblighi rispetto a quelli attualmente imposti dal Regolamento DORA, ma chiarisce le aspettative della BCE nei confronti delle banche per quanto riguarda il rispetto dei requisiti del DORA e offre buone prassi per un’efficace gestione dei rischi di esternalizzazione per le banche sottoposte alla vigilanza della BCE che utilizzano servizi cloud forniti da terzi.
La BCE riconosce che l’uso dei servizi cloud offre diversi vantaggi alle entità soggette a vigilanza; rispetto alle infrastrutture interne ITC, i servizi cloud sono efficienti in termini di costi,
scalabili, sicuri, grazie all’uso di tecnologie di sicurezza all’avanguardia da parte dei fornitori, resilienti, grazie alle soluzioni di backup dei dati e alle opzioni di ripristino di emergenza e forniscono alle entità soggette a vigilanza l’accesso a tecnologie innovative.
Allo stesso tempo, poiché il mercato dei servizi cloud è altamente concentrato, con molti fornitori di servizi cloud (CSP) che si affidano a tecnologie proprietarie, in particolare per i modelli di approvvigionamento SaaS e PaaS, i servizi cloud espongono gli enti sottoposti a vigilanza a diversi rischi derivanti dalla dipendenza da un fornitore di servizi ICT terzo.
Inoltre, la natura dei servizi cloud pone sfide relative alla gestione dei rischi specifici del cloud, nonché al monitoraggio e alla revisione dei servizi cloud forniti dai CSP.
Sottese alla Guida BCE sull’esternalizzazione dei servizi cloud oggi pubblicata vi sono tre questioni chiave:
- gli enti sottoposti a vigilanza stanno passando sempre più dall’utilizzo di infrastrutture e risorse interne ITC all’utilizzo di servizi cloud offerti dai fornitori di servizi cloud (CSP): gli enti sottoposti a vigilanza in questione devono comprendere, valutare e monitorare queste tecnologie.
- la BCE ha individuato delle carenze nell’esternalizzazione dei servizi ITC che gli enti sottoposti a vigilanza devono colmare, per migliorare la loro resilienza operativa: ciò è indicato nelle priorità di vigilanza della BCE per il periodo 2024-26.
- l’Unione europea ha recentemente adottato il Regolamento DORA al fine di consolidare e aggiornare i requisiti in materia di rischio ICT nell’ambito dei requisiti di rischio operativo, che includono principi chiave per la sana gestione del rischio ICT di terze parti: in particolare, i requisiti stabiliti nell’art. 5 di DORA e nell’art. 74 della CRD, sono dettati dalla necessità di istituire una governance efficace del rischio ICT – compresa in particolare la gestione del rischio ICT di terze parti – e quadri di sicurezza ICT e resilienza informatica, necessari per affrontare in modo proattivo eventuali rischi non mitigati che potrebbero portare a un’interruzione significativa di funzioni o servizi critici o importanti.
Le aspettative e le buone prassi BCE sull’esternalizzazione dei servizi cloud
L’obiettivo della Guida della BCE è chiarire primariamente le aspettative della BCE in merito ai requisiti previsti da DORA, promuovendo così la coerenza della vigilanza e contribuendo a garantire condizioni di parità attraverso una maggiore trasparenza.
La BCE fornisce inoltre nella Guida, al contempo, per ciascuna aspettativa, una raccolta di buone prassi osservate, basate sulle esperienze acquisite nell’ambito della vigilanza continua e in loco, nonché sul feedback ottenuto dal dialogo costante con il settore, che illustrano esempi concreti di azioni valutate come adeguate dalla BCE.
Le aspettative possono quindi essere così sinteticamente elencate:
- Governance dei servizi cloud, nel cui ambito la BCE raccomanda che un ente vigilato, nell’ambito del proprio quadro di gestione dei rischi ICT:
- presti particolare attenzione ai ruoli e alle responsabilità connessi all’utilizzo dei servizi cloud
- conduca una valutazione completa dei rischi prima di stipulare un accordo contrattuale con un fornitore di servizi cloud (CSP)
- garantisca la coerenza tra la propria strategia cloud e la propria strategia complessiva.
- Disponibilità e resilienza dei servizi cloud, per cui, per poter continuare a operare in caso di gravi interruzioni dell’attività, un’entità soggetta a vigilanza:
- deve disporre di adeguate misure di continuità operativa ICT nell’ambito della propria politica generale di continuità operativa
- devono avere una visione olistica delle misure di continuità operativa per le soluzioni cloud
- devono procedere ad una adeguata valutazione del piano di disaster recovery del CSP, elaborando un’adeguata politica di continuità operativa, al fine di garantire che siano in grado di far fronte a tale scenario e abbiano accesso ai dati necessari per gestire il servizio in questione.
- Sicurezza, riservatezza e integrità delle TIC e dei dati, per cui, quando gli enti soggetti a vigilanza collegano i propri sistemi interni ad applicazioni basate sul cloud, devono valutare attentamente i rischi e prendere decisioni informate sulla gestione degli stessi, tenendo conto dei requisiti di cui all’art. 9 e all’art. 28, par. 5, del DORA, nonché all’art. 11 del Regolamento delegato (UE) 2024/1774 (che integra DORA) e, in particolare:
- devono proteggere i propri dati (compresi i relativi backup) da accessi non autorizzati, ad esempio mantenendo elevati livelli di crittografia dei dati e adattandosi costantemente alle minacce informatiche (ex art. 6 del Regolamento delegato (UE) 2024/1774, ciò comporta la crittografia dei dati in transito, inattivi e, ove possibile, in uso, utilizzando metodi di crittografia adeguati in linea con la politica di classificazione della sensibilità dei dati dell’ente sottoposto a vigilanza e seguendo un approccio basato sul rischio)
- devono accertarsi del rispetto dei requisiti fondamentali di sicurezza e accuratezza dei dati in transito e dei dati inattivi, compresa l’infrastruttura cloud, in quanto il mancato rispetto di tali requisiti potrebbe causare gravi danni alla reputazione e avere un impatto finanziario significativo
- devono mantenere la responsabilità dei propri dati, limitando le ubicazioni in cui i CSP possono archiviare i loro dati e applicando meccanismi di tracciamento appropriati per monitorare il rispetto di tali restrizioni, garantendo al contempo che i dati siano accessibili quando necessario.
- Strategie di uscita e diritti di risoluzione, da intendersi le strategie di exit per i servizi ICT a supporto di funzioni critiche o importanti di cui all’art. 28, par. 8, del DORA, da applicarsi quando un ente soggetto a vigilanza decide di risolvere un accordo contrattuale con un CSP:
- le strategie di uscita devono essere elaborate sulla base di ruoli e responsabilità chiaramente predefinite e costi stimati per tutti i servizi cloud in outsourcing che supportano funzioni critiche o importanti, prima che tali sistemi entrino in funzione
- il tempo necessario per l’uscita dovrebbe riflettere il periodo di transizione indicato nel relativo accordo contrattuale.
- Supervisione, monitoraggio e audit interni, per cui gli enti soggetti a vigilanza:
- sono tenuti a dotarsi di un solido quadro di gestione dei rischi ICT, compreso un adeguato monitoraggio dei rischi ICT di terzi, che è soggetto a regolari audit interni
- devono prestare particolare attenzione alla redazione delle disposizioni contrattuali relative alla segnalazione degli incidenti, che sono una parte essenziale del monitoraggio dei rischi ICT di terzi
- ex art. 6, par. 4, di DORA, gli enti sottoposti a vigilanza sono tenuti a garantire un’adeguata separazione e indipendenza delle funzioni di gestione dei rischi ICT, delle funzioni di controllo e delle funzioni di audit interno, in conformità con il modello delle tre linee di difesa.