EBA, con risposta alla Q&A 7089/2025, in ambito DORA, ha fornito chiarimenti in ordine all’inclusione, nel registro delle informazioni sugli accordi contrattuali con i fornitori terzi di servizi ICT, di informazioni sui subappaltatori ICT di fornitori non ICT.
EBA ricorda preliminarmente che il considerando 7 dell’ITS sul registro delle informazioni suggerisce che gli enti finanziari dovrebbero valutare se i fornitori di servizi non ICT si avvalgano di servizi ICT: in tal caso, ai fini del registro delle informazioni, tali fornitori possono essere considerati fornitori ICT, ed i loro subappaltatori ICT dovrebbero essere inseriti nel registro, a condizione che essi sostengano effettivamente servizi a supporto di funzioni critiche o importanti.
Riassumendo la casistica, EBA puntualizza che:
- qualora il fornitore di servizi terzo diretto di un ente finanziario non fornisca un servizio ICT, il servizio non rientra nell’ambito di applicazione del registro delle informazioni DORA
- qualora tale fornitore di servizi terzo, utilizzi servizi ICT, per l’adempimento dei propri servizi contrattuali tramite subappaltatori ICT, questi restano al di fuori dell’ambito di applicazione del registro delle informazioni (art. 28, par. 3, DORA): pertanto, tale utilizzo di servizi ICT tramite subappaltatori ICT non deve essere documentato nel registro delle informazioni DORA
- qualora l’ente finanziario ritenga, nell’ambito della propria valutazione dei rischi, che il servizio ICT fornito dal subappaltatore ICT supporti una funzione critica o importante o parti significative di essa in misura tale da poter essere riqualificato come equivalente a un servizio ICT fornito direttamente all’ente finanziario, si applicheranno i requisiti del capitolo V del Regolamento DORA.
