DORA: caratteristiche e focus sulla gestione del rischio di terze parti
Il DORA prevede un framework vincolante ed armonizzato relativo alla gestione del rischio delle tecnologie dell’informazione e della comunicazione (TIC) stabilendo requisiti tecnici cui le entità finanziarie e i relativi provider terzi di TIC saranno tenuti ad uniformarsi. Le quattro principali linee direttrici del DORA prevedono: obblighi applicabili alle entità finanziarie (tra cui obblighi di governance, di segnalazione alle autorità competenti, test di resilienza operativa digitale e misure di gestione dei rischi); obblighi relativi agli accordi contrattuali con i fornitori terzi di servizi TIC; norme per l’istituzione di un quadro di sorveglianza per i fornitori terzi di servizi TIC; e norme sulla cooperazione tra autorità competenti e sulla vigilanza e l’applicazione da parte delle autorità competenti in merito alle materie sopra descritte. Il presente contributo fornisce una sintesi dei principali obblighi applicabili alle entità finanziarie e si concentra, in particolare, su quei requisiti applicabili ai rapporti con i fornitori terzi di servizi TIC per gestire adeguatamente i rischi informatici derivanti da terzi. Con riferimento a questo ultimo profilo (i.e. rischio terze parti), le entità finanziarie saranno infatti tenute a negoziare nuovi accordi e/o rinegoziare quelli esistenti per conformarsi alle nuove previsioni del DORA. Alle entità finanziarie non sarà consentito stipulare contratti con fornitori TIC che non siano conformi a tali requisiti.