DORA e regole per i subfornitori (utili per tutti)

La Commissione Europea ha emesso, il 25 marzo, il Regolamento delegato (UE) 2025/532 con le "norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R0532.

Penso sia interessante per tutti. Ricordo che TIC (Tecnologie dell’informazione e della comunicazione) è la traduzione in italiano di ITC (o ancora più semplicemente IT).

Trovo soprattutto interessante come richiede di valutare la criticità della fornitura e del subappalto dei servizi IT. Gli elementi da considerare sono (sintetizzo):

• il tipo di servizi IT offerti dal fornitore e dai suoi subappaltatori;
• la sede del subappaltatore di TIC e dove sono trattati i dati;
• la lunghezza e la complessità della catena di subappaltatori;
• la natura dei dati condivisi con i subappaltatori;
• se i subappaltatori sono soggetti a vigilanza o sorveglianza da parte di un’autorità competente in uno Stato membro o di uno Stato non membro;
• se il servizio IT è concentrato su un numero ridotto o meno di subappaltatori;
• se il subappalto incide sulla trasferibilità dei servizi a un altro fornitore di servizi;
• il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi.

Viene quindi richiesto, all'organizzazione che usa i servizi, di valutare e monitorare le capacità del proprio fornitore di controllare la catena di approvvigionamento.

Mi sembra poi interessante la richiesta di valutare se il fornitore e i subfornitori permettono l’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti.

Ringrazio Franco Vincenzo Ferrari per avermi segnalato la pubblicazione di tale regolamento.