WEBINAR / 23 Maggio
Titolare effettivo in trust e istituti affini: nuova guida GAFI

ZOOM MEETING
Offerte per iscrizioni entro il 07/05

SCOPRI I DETTAGLI

WEBINAR / 23 Maggio
Titolare effettivo in trust e istituti affini: nuova guida GAFI
SCOPRI I DETTAGLI
Login
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
www.dirittobancario.it
Flash News
Governance e controlli IT

Subappalto di servizi ICT a supporto di funzioni critiche

12 Dicembre 2023
Di cosa si parla in questo articolo
Cybersecurity DORA
Condividi

Le Autorità europee di vigilanza (EBA, EIOPA ed ESMA – le ESAs) hanno posto in pubblica consultazione i nuovi standard tecnici di regolamentazione (RTS) in caso di subappalto a terzi di servizi ICT a supporto di funzioni critiche, in attuazione del Regolamento (UE) 2022/2554 (DORA).

Nello specifico, l’art. 30, paragrafo 2 lett. a) della DORA impone agli operatori del settore finanziario (cd. entità finanziarie) di includere negli accordi contrattuali relativi al subappalto di tali servizi ICT :

  • una descrizione chiara e completa di tutte le funzioni e dei servizi IT che il fornitore terzo di servizi ICT deve svolgere;
  • l’indicazione dell’eventuale autorizzazione a subappaltare un servizio ICT a sostegno di una funzione essenziale o importante o parti significative di essa;
  • le condizioni di tale subappalto.

L’art. 30 paragrafo 5 della DORA incarica dunque le ESAs, tramite il comitato congiunto, di elaborare progetti di norme tecniche di regolamentazione per specificare ulteriormente le indicazioni e le condizioni, che, ai sensi del citato art. 20 par. 2 lett. a), l’entità finanziaria deve determinare e valutare quando subappalta servizi ICT a supporto di funzioni essenziali o importanti.

All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le ESAs, conformemente al mandato, devono tenere conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni.

In conformità al Regolamento DORA, la bozza di RTS in pubblica consultazione, pertanto:

  • stabilisce i requisiti per l’utilizzo di servizi ICT in subappalto, che supportino funzioni critiche o importanti o parti sostanziali di essi;
  • stabilisce le condizioni che si applicano a tale subappalto;
  • richiede che le entità finanziarie valutino i rischi associati al subappalto prima della loro concessione, tramite un processo di due diligence;
  • stabilisce i requisiti relativi all’implementazione, al monitoraggio e alla gestione degli accordi contrattuali di subappalto per l’utilizzo di servizi ICT che supportino funzioni critiche o importanti o parti rilevanti di esse, garantendo che gli enti finanziari siano in grado di monitorare l’intera catena di subappalto delle ICT.

Si ricorda che il periodo di consultazione durerà fino al 4 marzo 2024.

La bozza finale di RTS e ITS sarà quindi pubblicata dopo la consultazione pubblica entro il 17 luglio 2024.

Di cosa si parla in questo articolo
Cybersecurity DORA
Allegati

WEBINAR / 30 Maggio
Clausole di fallback e piani di sostituzione nel nuovo 118-bis TUB

ZOOM MEETING
Offerte per iscrizioni entro il 16/05

SCOPRI I DETTAGLI

WEBINAR / 23 Maggio
Titolare effettivo in trust e istituti affini: nuova guida GAFI

ZOOM MEETING
Offerte per iscrizioni entro il 07/05

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI