Il Digital Operational Resilience Act (DORA) è in vigore da gennaio. A luglio, le autorità di vigilanza europee EBA, ESMA ed EIOPA hanno presentato le linee guida per la vigilanza dei fornitori terzi critici di servizi ICT. L'attenzione è rivolta in particolare ai fornitori terzi critici di tecnologie dell'informazione e della comunicazione (CTPP).
Obiettivo e rilevanza della vigilanza
Le linee guida DORA specificano i poteri di vigilanza delle autorità di vigilanza europee sui CTPP. Si inserisce nell'approccio normativo generale dell'Unione per rafforzare la resilienza digitale del settore finanziario. L'obiettivo è quello di ridurre strutturalmente la vulnerabilità dei mercati finanziari ai guasti delle TIC (tecnologie dell'informazione e della comunicazione) e ai rischi informatici. L'orientamento persegue diversi obiettivi interconnessi:
L'obiettivo è quello di identificare e minimizzare tempestivamente i rischi sistemici derivanti dalla crescente dipendenza di molte società finanziarie da un piccolo numero di potenti fornitori di servizi ICT. Il cosiddetto problema del rischio di concentrazione, ossia la dipendenza critica di molti operatori di mercato da singoli fornitori, comporta notevoli pericoli per la stabilità dell'intero sistema finanziario. La registrazione e la valutazione regolamentare di questi rischi nell'ambito della DORA mira a rendere tali rischi di concentrazione più trasparenti e più facili da gestire.
L'obiettivo è anche quello di contribuire alla stabilità intersettoriale del mercato finanziario europeo. La definizione e i criteri di valutazione standardizzati per i fornitori terzi critici non solo creano una comparabilità normativa, ma anche una piattaforma per misure coordinate. Ciò favorisce la coerenza delle misure normative in tutti i sottosettori.
Infine, il rafforzamento della resilienza operativa delle stesse entità finanziarie è una preoccupazione fondamentale. I requisiti della DORA sono complementari ai sistemi interni di gestione del rischio ICT delle FE (entità finanziarie). La supervisione diretta dei CTPP non significa che le entità finanziarie possano esimersi dalle loro responsabilità. Piuttosto, i risultati esterni dovrebbero metterli in una posizione migliore per prendere le proprie decisioni in modo più orientato al rischio.
In pratica, ciò significa che la vigilanza sui CTPP integra la vigilanza esistente sulle società finanziarie e non la sostituisce. In futuro, i responsabili della compliance dovranno tenere sotto controllo entrambi i livelli, la propria organizzazione e le sue dipendenze da terze parti critiche.
Struttura di governance della supervisione DORA
La struttura di governance della supervisione DORA si basa su un'architettura organizzativa multilivello e strettamente connessa, volta a garantire sia il coordinamento intersettoriale che l'efficienza operativa. Tre attori centrali sono al centro di questa struttura:
I cosiddetti Supervisore capo (LO) assumere il ruolo di guida nella vigilanza dei fornitori terzi critici. Ciascuna delle tre autorità di vigilanza europee (EBA, ESMA, EIOPA) funge da LO per i CTPP che operano principalmente nel rispettivo settore finanziario. La determinazione avviene sulla base dei totali di bilancio aggregati delle società finanziarie interessate che utilizzano i servizi di questo fornitore terzo. Il LO è responsabile della pianificazione, dell'attuazione e del follow-up delle misure di vigilanza nei confronti del rispettivo fornitore.
Le attività di vigilanza sono svolte da Squadre d'esame congiunte (JET) supporto operativo. Questi team sono composti da specialisti delle ESA e delle autorità di vigilanza nazionali competenti. Essi contribuiscono con competenze sia tecnologiche che normative. Le JET svolgono indagini, valutano i rischi e formulano raccomandazioni. A seconda della natura del rischio, il loro lavoro può essere svolto sia regolarmente che su base ad hoc.
Il coordinamento strategico è assicurato dal Rete di supervisione congiunta (JON) e il Forum di supervisione (OF). Lo JON serve a coordinare le ESA (European Supervisory Authorities) partecipanti e a garantire la condivisione delle informazioni sui rischi e sugli sviluppi tra i vari settori. L'Oversight Forum, a sua volta, funge da organo consultivo in cui rappresentanti di alto livello delle autorità di vigilanza europee e nazionali si riuniscono per discutere gli sviluppi generali e garantire l'armonizzazione delle pratiche di vigilanza.
Questa struttura di governance assicura un monitoraggio coordinato, trasparente e orientato al rischio dei CTPP e promuove un dialogo efficace tra il livello europeo e quello nazionale. Per i responsabili della conformità, ciò significa che i requisiti normativi non derivano da un'unica fonte, ma che si deve tenere conto dell'interazione di diversi attori.
Gli strumenti di vigilanza DORA in sintesi
1. designazione
Un fornitore di TIC terzo viene classificato come critico a seguito di un processo di valutazione in due fasi basato su criteri quantitativi e qualitativi (tra cui rilevanza sistemica, sostituibilità, struttura della clientela). La categorizzazione viene effettuata annualmente sulla base dei dati registrati presso le autorità di vigilanza. I fornitori che non sono stati inseriti nell'elenco possono richiedere una rivalutazione volontaria (opt-in).
2. valutazione del rischio e pianificazione della supervisione
Nell'ambito del processo di valutazione del rischio di sorveglianza (ORAP) viene redatto annualmente un profilo di rischio. Ne derivano un piano di supervisione personalizzato e un piano pluriennale settoriale.
3. Esami
Questi includono:
- Monitoraggio in corsoInterazioni regolari, relazioni periodiche, trasmissione di dati e riunioni.
- Indagini generaliAudit speciali tematici o basati sul rischio. Esistono anche audit orizzontali (multi-provider) o di follow-up.
- IspezioniIspezioni approfondite, comprese le ispezioni in loco con un elevato fabbisogno di risorse.
4. richieste di informazioni
Le indagini possono essere avviate mediante richieste di informazioni informali (RfI semplici) o formali (RfI con decisione). Se le informazioni vengono rifiutate o fornite in modo errato in risposta a una richiesta di informazioni con decisione, possono essere imposte sanzioni.
5. raccomandazioni e follow-up
Sulla base delle verifiche vengono emesse raccomandazioni non vincolanti. I CTPP devono accettarle entro 60 giorni o presentare un rifiuto motivato. In caso di rifiuto ingiustificato, è possibile che venga fatta una comunicazione pubblica di non conformità. Le autorità di vigilanza nazionali possono anche adottare misure operative nei confronti delle FE, come ordinare la cessazione della collaborazione con il rispettivo CTPP.
Dimensione internazionale della supervisione
A determinate condizioni, la vigilanza può estendersi anche a Paesi terzi, se vi sono filiali di CTPP che forniscono servizi a istituzioni finanziarie dell'UE. Ciò richiede, tra l'altro, l'approvazione dell'autorità competente nel paese in questione. Paese terzo e il Consenso del fornitore interessato. Le autorità di vigilanza europee si stanno adoperando per raggiungere accordi di cooperazione (Memorandum of Understanding, MoU) con i Paesi terzi.
Suggerimento di lettura: Il DORA entrerà in vigore a partire da gennaio 2025: queste le aziende interessate
Rilevanza della conformità per la pratica
La rilevanza pratica delle linee guida DORA si sviluppa su due livelli centrali: in primo luogo, per le società finanziarie che utilizzano fornitori di servizi ICT critici. In secondo luogo, per gli stessi fornitori terzi, che in futuro saranno soggetti alla vigilanza europea.
È fondamentale che le organizzazioni finanziarie valutino sistematicamente i CTPP con cui collaborano dal punto di vista della resilienza digitale. Le informazioni ottenute e trasmesse nell'ambito della supervisione DORA dei CTPP sono un prezioso punto di riferimento. I responsabili della compliance devono verificare se i contratti di outsourcing esistenti soddisfano ancora le aspettative normative future e se i meccanismi di controllo e di escalation concordati contrattualmente sono idonei ad affrontare adeguatamente raccomandazioni o sanzioni nei confronti dei CTPP. Dovrebbero inoltre prepararsi in modo proattivo ai potenziali impatti che potrebbero derivare dalle raccomandazioni della DORA ai CTPP, ad esempio se viene messo in discussione l'uso continuato di determinati servizi.
I fornitori terzi, a loro volta, devono allineare le loro strutture interne di governance e di gestione del rischio ai nuovi requisiti. La preparazione organizzativa per gli audit da parte delle Joint Examination Teams (JET) e la creazione di un'interfaccia di supervisione efficace sono compiti fondamentali. Ciò include non solo requisiti tecnici e documentali, ma anche la creazione di una presenza giuridicamente e operativamente solida all'interno dell'UE. È particolarmente importante fornire un'interfaccia funzionale alle autorità di vigilanza, in grado di rispondere in modo rapido e vincolante alle richieste di informazioni, raccomandazioni e indagini.
Conclusione: linee guida DORA sulla supervisione del CTPP
L'architettura finanziaria europea è sempre più caratterizzata da infrastrutture digitali, la cui stabilità, sicurezza e Disponibilità hanno un impatto diretto sul funzionamento del mercato. Il DORA si occupa proprio di questa interfaccia: attraverso la supervisione mirata di fornitori terzi particolarmente critici e la promozione della resilienza intersettoriale. Allo stesso tempo, le pratiche di vigilanza nazionali esistenti saranno consolidate e trasferite in un sistema coerente a livello europeo.
Le linee guida DORA sulla supervisione del CTPP chiariscono come le disposizioni teoriche del regolamento si traducano in meccanismi di audit specifici, valutazioni del rischio, misure e fasi di escalation. In questo modo si crea Trasparenzapianificazione e comparabilità per tutte le parti coinvolte.
In definitiva, il DORA non riguarda solo le questioni normative. Conformitàma di garantire servizi digitali stabili e affidabili per l'intero settore finanziario. L'attuazione coerente dei nuovi meccanismi di vigilanza darà quindi un contributo decisivo alla sovranità e alla sicurezza digitale nell'UE.
Fonte: Guida alla supervisione DORA
German 
English 
Italian 
French