Introduzione

Lo Studio assiste le entità finanziarie nella conformità al Regolamento DORA, supportandole nell’analisi dei rischi TIC, nella gestione dei rapporti con fornitori terzi, nella revisione dei contratti di esternalizzazione e nell’adeguamento delle politiche interne.

Regolamento DORA (Reg. UE 2022/2254)

Ambito di applicazione: non solo entità finanziarie

Il Regolamento non riguarda esclusivamente le entità finanziarie: specifiche disposizioni si applicano direttamente anche nei confronti di fornitori terzi critici di servizi TIC, riconoscendo il ruolo centrale di questi ultimi nella catena di fornitura tecnologica.

Gestione del rischio TIC di terze parti: Focus

  • Tra i «pilastri» del Regolamento DORA si segnala in particolare l’insieme di regole volte a gestire il rischio TIC derivante da terze parti, ossia dai fornitori terzi a cui le entità finanziarie esternalizzano i servizi TIC, i.e. «servizi digitali e di dati forniti attraverso sistemi di TIC ad uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali».
  • Alcuni esempi di servizi TIC: concessione di licenze software, servizi cloud (IaaS, PaaS, SaaS), fornitura di infrastrutture di rete, Hardware as a Service e servizi di assistenza tecnica, comprese le attività di aggiornamento software e firmware fornite dal produttore dell’hardware.
  • Per mitigare il rischio derivante dall’esternalizzazione, le entità finanziarie devono adottare misure organizzative e contrattuali specifiche con i fornitori terzi di servizi TIC.

Contratti per l’utilizzo di servizi TIC

  • Prima della conclusione di qualsiasi contratto con fornitori terzi di servizi TIC è obbligatorio svolgere una specifica analisi precontrattuale, che include un’attività di due diligence sulle qualifiche e caratteristiche del fornitore.
  • I contratti con i fornitori terzi di servizi TIC devono rispettare i requisiti minimi definiti dal Regolamento DORA, distinguendo a seconda che il servizio TIC sia utilizzato o meno a supporto di funzioni essenziali o importanti.

Questi elementi includono previsioni che impattano anche sul trattamento dei dati personali da parte dei fornitori.

Come procedere?

  • I contratti di esternalizzazione già in essere, aventi ad oggetto servizi TIC, devono essere rinegoziati dall’entità finanziaria per renderli conformi al Regolamento DORA.
  • I nuovi contratti di esternalizzazione devono essere redatti e negoziati tenendo conto dei nuovi requisiti normativi.

In entrambi i casi, è consigliabile che l’entità finanziaria si doti di un proprio modello contrattuale standard, da sottoporre a ciascun fornitore con le personalizzazioni del caso, per assicurare la conformità al Regolamento DORA.

Flash news a cura del Team IP-IT & Privacy:

Alessandra Feller – alessandra.feller@crccdlex.com

Giulia Iozzia – giulia.iozzia@crccdlex.com

Ginevra Lombardi – ginevra.lombardi@crccdlex.com

Scarica PDF