Regolamento DORA, aggiornamenti agli accordi contrattuali sull’uso dei servizi ICT: cosa cambia
2023-11-10 22:16:36 Author: www.cybersecurity360.it(查看原文) 阅读量:8 收藏

L'ANALISI

Lo scorso giugno, le Autorità di Vigilanza Europee (AEV) hanno pubblicato un documento di consultazione da fornire alla Commissione europea in merito alla sua richiesta di consulenza tecnica per specificare i contenuti della politica per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti prestati da fornitori terzi. Ecco i punti salienti

Pubblicato il 10 Nov 2023

A settembre 2023 si è chiusa la fase di consultazione pubblica del Documento di consultazione sulla politica relativa agli accordi contrattuali sull’uso dei servizi ICT a supporto di funzioni essenziali o importanti delle Autorità di Vigilanza Europee (AEV), così come previsto dal Regolamento DORA.

Adesso si attende che la Commissione adotti il documento, entro gennaio 2024, tenendo in considerazione i pareri pervenuti e le questioni sollevate negli scorsi mesi estivi.

Il DORA è operativo. Così cambia la cyber security nella finanza europea

La necessità della proposta

L’affidamento delle entità finanziarie all’utilizzo delle tecnologie informatiche è in parte motivato dalla necessità di adattarsi all’emergente economia globale digitale, di incrementare la propria efficienza aziendale e di soddisfare la domanda dei consumatori.

Tutela il tuo business: scopri i livelli di rischio per Paese e settore produttivo

La natura e l’entità del ricorso agli strumenti digitali sono in continua evoluzione, favorendo la riduzione dei costi nell’intermediazione finanziaria, consentendo l’espansione dell’attività e i cambiamenti dei modelli di business, permettendo il progresso delle attività nel mondo finanziario e offrendo al contempo un’ampia gamma di strumenti informatici per gestire i processi interni.

Tutto ciò, ha portato all’aumento graduale e alla modifica degli accordi con i fornitori terzi. In particolare, l’uso di servizi ICT forniti da terzi che supportano funzioni essenziali o importanti è diventato più comune, portando le entità finanziarie a maggiori dipendenze e ad una maggiore concentrazione dei rischi ICT. L’elevata concentrazione di servizi ICT in un numero limitato di fornitori terzi di servizi (compresi i fornitori di servizi ICT infragruppo) sta comportando, di fatti, un rischio potenziale per la stabilità del mercato finanziario.

Inoltre, gli accordi contrattuali tra l’entità finanziaria e il fornitore di servizi ICT sono divenuti sempre più complessi e non sempre adeguati agli standard prudenziali o ad altri requisiti normativi a cui le entità finanziarie sono soggette.

Ad esempio, secondo le AEV, gli accordi contrattuali possono non prevedere sufficienti garanzie che consentano un monitoraggio completo dei servizi subappaltati, rendendo così le entità finanziarie incapaci di valutare i rischi associati e le autorità competenti di vigilare se le funzioni essenziali o importanti sono supportate in modo conforme al dettato normativo.

Inoltre, poiché i fornitori terzi di servizi ICT spesso forniscono servizi standardizzati a diversi tipi di clienti, tali accordi contrattuali non sempre soddisfano adeguatamente le esigenze individuali e/o specifiche degli operatori del settore finanziario.

Dunque, è stato necessario stabilire alcuni principi chiave per sostenere la gestione del rischio ICT da parte delle entità finanziarie, specialmente nel caso in cui le stesse ricorrono a fornitori terzi di servizi ICT per supportare le loro funzioni essenziali o importanti.

In questo contesto, nell’ambito del quadro di gestione del rischio ICT di cui all’articolo 6, paragrafo 1, e della strategia sul rischio ICT derivante da terze parti, le AEV sono state incaricate, ai sensi dell’articolo 28, paragrafo 10, del Regolamento DORA, di elaborare progetti di norme tecniche di regolamentazione per specificare i contenuti della politica per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti prestati da fornitori terzi.

La struttura del documento di consultazione

Prima di approfondire la struttura del documento di consultazione, si deve qui ricordare che “le entità finanziarie gestiscono i rischi informatici derivanti da terzi quali componenti integranti dei rischi informatici nel contesto del proprio quadro per la gestione di detti rischi di cui all’articolo 6 par. 1 e conformemente ai principi” dell’art. 28 par. 1 DORA.

Inoltre, “nel contesto del quadro per la gestione dei rischi informatici le entità tengono conto della strategia basata sull’art. 6 DORA, la quale comprende una politica per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti prestati da fornitori terzi”.

Il documento in consultazione approfondisce gli elementi che l’entità finanziaria deve tenere in considerazione nel momento in cui affida ad un terzo o ad una società infragruppo un servizio ICT a supporto di una funzione essenziale o importante.

Inoltre, il documento specifica che la politica dell’entità finanziaria sull’utilizzo dei fornitori terzi di servizi ICT che prestano supporto a funzioni essenziali o importanti, deve definire le parti cruciali dei dispositivi di governance, della gestione del rischio e del quadro di controllo interno dell’entità finanziaria.

Tale politica dovrebbe anche garantire che l’entità finanziaria mantenga il controllo dei propri rischi operativi, della sicurezza delle informazioni e della continuità operativa durante l’intero ciclo di vita degli accordi contrattuali con tali fornitori.

Di seguito i dodici articoli elaborati nella norma tecnica di regolamentazione:

  • Articolo 1 – Considerazioni sulla complessità e sul rischio, dove si chiede di tenere conto dell’entità della fornitura;
  • Articolo 2 – Applicazione di gruppo;
  • Articolo 3 – Disposizioni di governance relative alla politica sull’uso dei servizi ICT a supporto di funzioni critiche o importanti, in cui vengono elaborati compiti per gli organi di vertice;
  • Articolo 4 – Fornitori terzi di servizi ICT e servizi ICT a supporto di funzioni essenziali o importanti, in cui vengono individuate le diverse tipologie di fornitori di servizi ICT;
  • Articolo 5 – Principali fasi del ciclo di vita per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti forniti da fornitori terzi di servizi ICT, in cui vengono elaborati tutti quei comportamenti prodromici alla stipula di una tale tipologia di fornitura;
  • Articolo 6 – Valutazione del rischio ex-ante;
  • Articolo 7 – Due diligence;
  • Articolo 8 – Conflitto di interessi;
  • Articolo 9 – Clausole contrattuali per l’utilizzo di servizi ICT a supporto di attività essenziali o importanti, dove vengono richiamati tutti gli elementi di cui all’art. 30 par. 2 DORA;
  • Articolo 10 – Monitoraggio degli accordi contrattuali per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti;
  • Articolo 11 – Uscita e risoluzione di accordi contrattuali per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti;
  • Articolo 12 – Entrata in vigore.

I contenuti del documento di consultazione

In linea con il Regolamento DORA, il documento di consultazione stabilisce i requisiti per la politica delle entità finanziarie sull’utilizzo di fornitori terzi di servizi ICT, compresi i fornitori di servizi ICT all’interno del gruppo e riguarda tutti i servizi informatici prestati da questi ultimi che supportano funzioni essenziali o importanti.

Nel documento viene sancito espressamente che l’utilizzo di fornitori di servizi ICT non può ridurre la responsabilità delle entità finanziarie nella gestione dei rischi (specialmente quando trattasi di supporto a funzioni essenziali o importanti). Infatti, il documento include disposizioni che assicurano l’assegnazione delle responsabilità interne per l’approvazione, la gestione, il controllo e la documentazione degli accordi contrattuali sull’uso dei servizi ICT prestati da fornitori terzi di servizi a supporto di funzioni essenziali o importanti.

Come sopra indicato, la politica dell’entità finanziaria sull’utilizzo dei fornitori terzi di servizi ICT deve definire le parti cruciali dei dispositivi di governance, della gestione del rischio e del quadro di controllo interno dell’entità finanziaria in relazione all’utilizzo di servizi ICT forniti da terze parti.

Tale politica garantisce che l’entità finanziaria mantenga il controllo dei propri rischi operativi, della sicurezza delle informazioni e della continuità operativa durante l’intero ciclo di vita degli accordi contrattuali con i fornitori di servizi ICT a supporto di funzioni essenziali o importanti.

In altre parole, il documento in questione copre l’intero ciclo di vita di tali accordi, iniziando dalla fase di pianificazione dell’acquisto di servizi ICT, tenendo conto delle valutazioni del rischio e dei processi di due diligence, dell’erogazione continua del servizio, del monitoraggio, della revisione, e terminando con le exit strategies da prevedere.

Al fine di assicurare che i servizi ICT siano forniti con la qualità necessaria e che non vi siano ulteriori rischi operativi o di reputazione, le entità finanziarie dovranno valutare la reputazione commerciale del fornitore terzo di servizi ICT assicurandosi che lo stesso:

  1. abbia le competenze e le risorse finanziarie, umane e tecniche adeguate;
  2. adotti determinati presidi di sicurezza delle informazioni;
  3. sia dotato di una struttura organizzativa adeguata;
  4. adotti processi per la gestione del rischio e per l’effettuazione di controlli interni;
  5. sia in grado di rispettare i requisiti contrattuali e normativi.

I prossimi passi per gli operatori di mercato

Alle entità finanziarie e ai fornitori di servizi ICT è richiesto un approccio proattivo al fine di non trovarsi impreparati all’applicazione dei requisiti previsti dalla norma che, qui si ricorda, diventerà vincolante dal 17 gennaio 2025.

Nei prossimi mesi, sia per le entità finanziarie che per i fornitori di servizi ICT nel mondo finanziario, sarà perciò necessario adottare azioni preliminari che permettano di valutare la maturità organizzativa dell’attuale modello di gestione dei rischi ICT specialmente nel momento in cui l’entità affidi la prestazione di servizi ICT a supporto di funzioni essenziali o importanti.

In particolare, per le entità finanziarie sarà necessario eseguire un esame sulla catena di fornitura e sull’attuale regolamentazione interna per quanto riguarda regolamenti, procedure, linee guida adottati per la gestione degli accordi di esternalizzazione (e non) di funzioni essenziali o importanti.

Allo stesso modo, per i fornitori terzi di servizi ICT – specialmente per coloro i quali prestano attualmente servizi ICT per entità finanziarie supportando funzioni essenziali o importanti – dovrà essenzialmente svolgersi una gap analysis identificando gli elementi richiesti dal corpus di regole al fine di potere continuare a svolgere tali servizi in linea con il quadro normativo attuale.

Sai davvero gestire al meglio clienti e fornitori? Ecco le 10 regole da conoscere

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/regolamento-dora-aggiornamenti-agli-accordi-contrattuali-sulluso-dei-servizi-ict-cosa-cambia/
如有侵权请联系:admin#unsafe.sh