Aggiungi un segnalibro per cominciare

Man_holding_smartphone_S_0813
8 marzo 20244 minuti di lettura

Il Registro degli accordi commerciali per l'utilizzo di servizi TIC

Proseguiamo la nostra disamina, iniziata con il precedente articolo, sul primo set di Implementing Technical standard (ITS) e Regulatory technical standard (RTS) relativi al Regolamento DORA.

Iniziamo l’analisi di dettagli degli standard pubblicati dalle ESA con l’ITS che riguarda il Registro degli accordi commerciali per l’utilizzo di servizi TIC (il “Registro”).

Secondo il disposto dell’art. 28(3) del Regolamento DORA, “le entità finanziarie mantengono e aggiornano a livello di entità, e su base subconsolidata e consolidata, un registro di informazioni su tutti gli accordi contrattuali per l’utilizzi di servizi TIC prestati da fornitori terzi”.

Il Registro ha un duplice scopo. Da un lato, fornisce alle entità finanziarie una mappa aggiornata dei loro rapporti con i fornitori terzi, contenente tutte le informazioni rilevanti e facilmente consultabili. Dall'altro lato, consente alle autorità di vigilanza di verificare se e in che misura le entità finanziarie stiano adempiendo ai loro obblighi tramite la consultazione del registro.

L’ITS sul Registro ha particolare rilevanza. Proponendo uno standard armonizzato che tutte le entità finanziarie dovranno adottare, le ESA mirano a facilitare i compiti sia delle entità finanziarie sia delle autorità competenti.

All’interno del Registro, le informazioni sono organizzate in tabelle aperte a cui è assegnato un identificativo alfanumerico specifico, così composto: RT.xy.wz. I primi numeri (xy) indicano una determinata categoria o ambito cui le informazioni si riferiscono, mentre i secondi (wz) rappresentano una specifica informazione o indicazione da inserire nella tabella in relazione alla categoria.

L’ITS individua le seguenti informazioni che dovranno essere incluse nel Registro:

RT.01 – entità finanziaria e relativo gruppo

a)    RT.01.01: informazioni generali sull'entità finanziaria che mantiene il Registro a livello di entità e su base consolidata e sub-consolidata;

b)    RT.01.02: informazioni generali sulle entità appartenenti al gruppo;

c)     RT.01.03: identificazione delle filiali delle entità finanziarie di cui alla tabella RT.01.02, situate al di fuori nel paese di origine delle stesse;

RT.02 – contratti TIC

d)    RT.02.01: informazioni generali sui contratti con i fornitori di servizi TIC;

e)    RT.02.02: informazioni di dettaglio su ciascun contratto di cui alla tabella RT.02.01;

f)      RT.02.03: informazioni sui collegamenti tra i contratti intra-gruppo e i contratti con i fornitori TIC non facenti parte del gruppo;

RT.03 – parti dei contratti TIC

g)    RT.03.01: informazioni sulle entità che stipulano i contratti con i fornitori TIC;

h)    RT.03.02: identificazione dei fornitori di servizi di TIC;

i)      RT.03.03:identificazione delle entità di cui alla tabella RT.01.02 che stipulano i contratti di cui alla tabella 2.02.01 al fine di fornire servizi TIC ad altre entità del gruppo;

R.04 – entità che utilizzano i servizi TIC

j)      RT.04.01: informazioni sulle entità che utilizzano i servizi TIC erogati dai fornitori;

RT.05 – catena di fornitura dei servizi TIC

k)     RT.05.01: informazioni sui tutti i fornitori TIC inclusi (i) i fornitori diretti; (ii) i fornitori infragruppo; e (iii) i subfornitori inclusi nelle catene di fornitura di cui alla tabella RT.05.02

l)      RT.05.02:informazioni sui collegamenti tra ciascun fornitore e tra questi e la relativa catena di subfornitura;

RT.06 – funzioni dell’entità

m)   RT.06.01:informazioni sulle funzioni dell’entità finanziaria che utilizza i servizi TIC;

RT.07 – valutazione dei servizi

n)    RT.07.01: informazioni sulla valutazione di rischio svolta dall’entità finanziaria (e.g., sostituibilità, data dell’ultimo audit e relativi risultati, etc.) sui servizi TIC oggetto di fornitura;

RT.99 – definizioni e termini

o)    RT.99.01: definizioni e termini utilizzati dall’entità finanziaria all’interno del Registro.

Per ciascuna tabella, l’ITS include le specifiche indicazioni di compilazione e le esatte informazioni che deve contenere. Rimandiamo quindi agli allegati della bozza di ITS per un elenco preciso in tal senso(Il report finale sull’ITS pubblicato lo scorso 17 gennaio è disponibile qui). In ogni caso, le informazioni inserite nel Registro dovranno essere accurate e costantemente aggiornate.

Da ultimo, l’ITS prevede che l’entità finanziaria possa cancellare le informazioni contenute nel Registro solo dopo 5 anni dalla data di cessazione dell’efficacia del contratto con il fornitore cui le informazioni si riferiscono.

Nell’attesa che l’ITS venga approvato dalla Commissione, è essenziale che le entità finanziarie inizino a raccogliere e organizzare le informazioni necessarie per un efficace controllo sui propri fornitori TIC, preparandosi così a facilitare le verifiche delle autorità competenti.

Nei nostri prossimi articoli, continueremo ad esplorare gli altri standard proposti dalle ESA, con il prossimo che affronterà l'RTS sulla policy interna relativa ai fornitori di servizi TIC che supportano funzioni critiche o importanti.