DORA e regole per i subfornitori (utili per tutti)

La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.

 

Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).

 

Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):

- il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;

- la sede del subappaltatore di TIC e dove sono trattati i dati;

- la lunghezza e la complessità della catena di subappaltatori;

- la natura dei dati condivisi con i subappaltatori;

- se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membre;

- se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;

- se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;

- il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.

 

Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.

 

Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.

 

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.