Le autorità di vigilanza europee (EBA, EIOPA ed ESMA, le ESA) hanno pubblicato oggi una decisione sulle informazioni che le autorità competenti devono comunicare loro per la designazione di fornitori di servizi ICT terzi critici ai sensi del Digital Operational Resilience Act (DORA). In particolare, la decisione richiede alle autorità competenti di comunicare entro il 30 aprile 2025 i registri delle informazioni sugli accordi contrattuali delle entità finanziarie con i fornitori di servizi ICT terzi.
A seguito dell'entrata in vigore del DORA il 17 gennaio 2025, le ESA, insieme alle autorità competenti, inizieranno la supervisione dei fornitori di servizi terzi ICT critici (CTPP) che offrono servizi a entità finanziarie nell'UE. La prima attività di supervisione è la designazione dei CTPP.
La decisione pubblicata oggi fornisce un quadro generale per la comunicazione annuale all'ESA delle informazioni necessarie per la designazione CTPP, tra cui: tempistiche, frequenza e date di riferimento, procedure generali per la presentazione delle informazioni, garanzia della qualità e revisioni dei dati presentati, nonché riservatezza e accesso alle informazioni.
Poiché la scadenza per la prima presentazione dei registri di informazioni alle ESA è fissata al 30 aprile 2025, le ESA si aspettano che le autorità competenti raccolgano in anticipo i registri di informazioni dalle entità finanziarie sottoposte alla loro vigilanza, secondo le proprie tempistiche.
Sebbene gli standard tecnici di attuazione (ITS) sui registri delle informazioni non siano ancora stati adottati dalla Commissione UE, le ESA osservano che la parte essenziale dei requisiti per i registri delle informazioni è disponibile al pubblico dalla pubblicazione del rapporto finale delle ESA nel gennaio 2024 e che qualsiasi potenziale modifica nei registri a seguito del rifiuto da parte della Commissione UE e del parere delle ESA sul rifiuto dovrebbe essere limitata. Pertanto, le ESA incoraggiano le entità finanziarie ad anticipare il più possibile la preparazione dei loro registri, in particolare per le informazioni che potrebbero non essere immediatamente disponibili (ad esempio gli identificatori pertinenti dei loro fornitori ICT).
Supporto all'industria
Per supportare i preparativi del settore, le ESA hanno condiviso le bozze dei modelli, il modello di punti dati e il pacchetto tecnico di rendicontazione nel maggio 2024 e hanno svolto un'esercitazione di prova volontaria sulla rendicontazione dei registri di informazioni con la partecipazione di circa 1000 entità finanziarie del settore finanziario dell'UE.
Le ESA hanno inoltre pubblicato oggi un elenco di regole di convalida che saranno utilizzate durante l'analisi dei registri di informazioni e della rappresentazione visiva del modello di dati . Tali regole saranno incluse nel pacchetto tecnico di reporting aggiornato (compreso il modello di punti dati aggiornato, la tassonomia e le regole di convalida), la cui pubblicazione è prevista per dicembre 2024.
Laboratorio
Gli enti finanziari che desiderano saperne di più su come preparare i propri registri informativi e conoscere i risultati dell'esercitazione di prova del 2024 sono invitati a partecipare a un workshop informativo il 18 dicembre 2024.
Il workshop si terrà virtualmente dalle 10:00 alle 13:00. Gli interessati possono registrarsi entro il 16 dicembre 2024 al seguente link.
Base giuridica e contesto
L'articolo 31(1)(a) del regolamento (UE) 2022/2554 (DORA) richiede alle ESA, tramite il comitato congiunto e su raccomandazione dell'Oversight Forum, di designare annualmente i CTPP. Tale designazione deve basarsi sui criteri di cui all'articolo 31(2) del DORA e al regolamento delegato (UE) 2024/1502 della Commissione (atto delegato sulla criticità).
Per effettuare la designazione, le ESA avranno bisogno delle informazioni necessarie per la valutazione dei criteri di criticità di cui all'articolo 31(2) del DORA e di quelle stabilite nell'atto delegato sulla criticità, e dovranno raccoglierle dalle CA. Tali informazioni dovranno essere segnalate alle ESA su base annuale per la designazione CTPP. Per garantire un approccio comune in tutto il settore finanziario, le ESA devono adottare una decisione congiunta sulla base dell'articolo 35 dei loro regolamenti istitutivi.
15 novembre 2024
Fonte: eba.europa.eu
Commentaires