INFORMATION TECHNOLOGY
Pubblicato il Regolamento di esecuzione (UE) 2024/2956 che stabilisce norme tecniche di attuazione del Regolamento (DORA) sui modelli standard del registro delle informazioni degli accordi contrattuali con i fornitori terzi di servizi TIC.
Il Regolamento di esecuzione (UE) 2024/2956 della Commissione UE – applicabile a partire dal prossimo 22 Dicembre 2024 - introduce i modelli standard in relazione al registro delle informazioni sui contratti con fornitori terzi di servizi di tecnologie dell'informazione e della comunicazione (TIC).
L’articolo 28, comma 3, del Regolamento DORA prescrive alle entità finanziarie l’obbligo di mantenere un registro dettagliato di tutti gli accordi contrattuali con fornitori terzi di servizi TIC che rientrano nel perimetro di gestione dei rischi emergenti rappresentati da specifici fornitori di servizi ICT a supporto dei processi commerciali e dei servizi finanziari resi dalle entità finanziarie (banche, assicurazioni, intermediari, etc). Questo registro deve includere informazioni specifiche sui contratti, come la durata, i servizi forniti e le misure di sicurezza adottate.
Il regolamento di esecuzione introduce dunque modelli standard per la registrazione delle informazioni, garantendo uniformità e coerenza nella raccolta e nella gestione dei dati. Questi modelli aiutano a facilitare la supervisione e la gestione dei rischi informatici rappresentati da fornitori terzi di servizi TIC. Le informazioni raccolte nel registro sono essenziali per la gestione interna dei rischi informatici delle entità finanziarie e per l'efficace vigilanza da parte delle autorità competenti. Le autorità di vigilanza europee (EBA, EIOPA, ESMA) utilizzeranno queste informazioni per i propri compiti di ispezione e monitoraggio e per designare i fornitori terzi critici di servizi TIC, designazione che sarà appunto basata sulle informazioni raccolte nei registri da parte delle entità finanziarie.
Per ridurre i costi amministrativi, i gruppi finanziari possono mantenere un registro unico delle informazioni su base sub consolidata e consolidata, purché sia consentito a ciascuna entità finanziaria di adempiere agli obblighi di mantenimento e aggiornamento delle informazioni.
L’articolo 28, comma 3, del Regolamento DORA prescrive alle entità finanziarie l’obbligo di mantenere un registro dettagliato di tutti gli accordi contrattuali con fornitori terzi di servizi TIC che rientrano nel perimetro di gestione dei rischi emergenti rappresentati da specifici fornitori di servizi ICT a supporto dei processi commerciali e dei servizi finanziari resi dalle entità finanziarie (banche, assicurazioni, intermediari, etc). Questo registro deve includere informazioni specifiche sui contratti, come la durata, i servizi forniti e le misure di sicurezza adottate.
Il regolamento di esecuzione introduce dunque modelli standard per la registrazione delle informazioni, garantendo uniformità e coerenza nella raccolta e nella gestione dei dati. Questi modelli aiutano a facilitare la supervisione e la gestione dei rischi informatici rappresentati da fornitori terzi di servizi TIC. Le informazioni raccolte nel registro sono essenziali per la gestione interna dei rischi informatici delle entità finanziarie e per l'efficace vigilanza da parte delle autorità competenti. Le autorità di vigilanza europee (EBA, EIOPA, ESMA) utilizzeranno queste informazioni per i propri compiti di ispezione e monitoraggio e per designare i fornitori terzi critici di servizi TIC, designazione che sarà appunto basata sulle informazioni raccolte nei registri da parte delle entità finanziarie.
Per ridurre i costi amministrativi, i gruppi finanziari possono mantenere un registro unico delle informazioni su base sub consolidata e consolidata, purché sia consentito a ciascuna entità finanziaria di adempiere agli obblighi di mantenimento e aggiornamento delle informazioni.
