Con la pubblicazione del Regolamento delegato (UE) 2025/532 sulla Gazzetta Ufficiale del 2 luglio 2025, entra in una nuova fase l’attuazione del DORA (noto altresì come “Digital Operational Resilience Act”), che sarà operativo dal 22 luglio 2025. Questo regolamento, firmato dalla presidente della Commissione Ursula Von Der Leyen, introduce sette norme tecniche di regolamentazione mirate alla gestione dei rischi connessi al subappalto di servizi ICT da parte delle entità finanziarie. Il testo integra il DORA specificando cosa le organizzazioni devono fare per garantire la resilienza operativa quando affidano servizi informatici a terzi, soprattutto se questi servizi supportano funzioni essenziali o importanti.

Tra le principali novità emergono tre fattori-chiave: la mappatura completa della catena di subfornitura, una maggiore accountability nei controlli e una contrattualistica più precisa. Per quanto riguarda la mappatura, le entità finanziarie sono obbligate a identificare tutti i fornitori coinvolti nella catena di subappalto, inclusi quelli interni al gruppo aziendale, e a valutare i rischi legati alla localizzazione geografica, alla concentrazione dei servizi e alla loro continuità. In merito alla responsabilità durante le verifiche, le nuove disposizioni impongono che le istituzioni finanziarie possiedano adeguate risorse economiche, tecniche e umane per monitorare continuamente i rischi informatici legati ai servizi subappaltati. Inoltre, devono assicurarsi che le autorità competenti possano esercitare i loro diritti di ispezione e audit anche sui subappaltatori, e che ogni modifica rilevante ai contratti sia preventivamente approvata.

A livello contrattuale, i contratti con i fornitori ICT dovranno indicare esplicitamente quali servizi possono essere subappaltati e includere obblighi di comunicazione per ogni variazione significativa, nonché disposizioni sui piani operativi di emergenza. Dovranno inoltre essere previste clausole di risoluzione in caso di gravi violazioni, come il ricorso a subappalti non autorizzati. Il regolamento richiede anche l’adozione di una visione proporzionata dei rischi, considerando la struttura e la complessità delle singole entità finanziarie. Prima di stipulare un contratto che preveda il subappalto di servizi ICT a supporto di funzioni essenziali, è necessaria una due diligence accurata sui fornitori, valutando anche i rischi legati alla localizzazione dei subappaltatori.

Il testo normativo si compone di 13 Considerando e 7 articoli, tra cui spicca l’articolo 3, dedicato alla dovuta diligenza e alla valutazione dei rischi. Esso stabilisce che prima di concludere un accordo contrattuale con un fornitore terzo, l’entità finanziaria deve verificare se quest’ultimo sia in grado di selezionare e monitorare adeguatamente i subappaltatori, garantendo il rispetto degli standard previsti dal DORA. Il fornitore deve anche identificare e comunicare tutti i soggetti coinvolti nella catena di subappalto, assicurando che i relativi accordi consentano all’entità finanziaria di adempiere agli obblighi previsti dalla normativa europea e nazionale.

È previsto altresì che le autorità competenti e di risoluzione abbiano accesso diretto e diritti di ispezione nei confronti dei subappaltatori, analoghi a quelli riconosciuti verso i fornitori diretti. Infine, sia il fornitore terzo sia l’entità finanziaria devono dimostrare di possedere risorse e competenze adeguate al fine di poter monitorare i rischi cyber lungo tutta la catena del subappalto, adottando standard appropriati in materia di sicurezza delle informazioni e garantendo una struttura organizzativa idonea alla gestione dei rischi e alla risposta agli incidenti. In definitiva, dunque, il Regolamento delegato (UE) 2025/532 rappresenta un tassello fondamentale per rafforzare la resilienza digitale del settore finanziario europeo, promuovendo maggiore trasparenza, controllo e consapevolezza nei processi di esternalizzazione dei servizi ICT.

Visualizzazioni: 3