DORA: la Commissione Europea respinge gli standard
Respinti gli standard DORA per il ‘Registro accordi contrattuali fornitori ICT’ dalla Commissione europea. Sarebbe necessario lasciare la scelta del fornitore alle entità finanziarie senza imporne necessariamente uno.
Le Autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESAs) hanno pubblicato un parere sulla reiezione da parte della Commissione UE della bozza di Implementing Technical Standards (ITS) sul registro delle informazioni sugli accordi contrattuali delle entità finanziarie con i fornitori di servizi ICT di terze parti, ai sensi del Digital Operational Resilience Act (DORA).
Come noto il Digital Operational Resilience Act, o altresì detto Regolamento DORA introduce un framework armonizzato di disposizioni relativo alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario a livello comunitario. In correlazione le c.d. ESAs – Autorità Europee di Vigilanza (EBA, EIOPA, ESMA) - sono incaricate di redigere alcuni standard tecnici di regolamentazione e di attuazione (ITS).
A quest’ultimo riguardo e avendo presente che l’obiettivo del Regolamento DORA di garantire un solido monitoraggio del rischio ICT derivante da fornitori terzi di servizi ICT è presidiato attraverso la previsione per cui tutte le entità finanziarie siano tenute a mantenere e aggiornare un registro di informazioni su tutti gli accordi contrattuali , le ESAs hanno elaborato una bozza di ITS per stabilire i modelli standard per il registro delle informazioni che è stata però respinta dalla Commissione Europea.
Ad avviso di quest’ultima, sarebbe necessario consentire alle entità finanziarie di scegliere se identificare i propri fornitori di servizi ICT terzi registrati nell’UE utilizzando l’identificatore di entità giuridica (LEI) o l’identificatore unico europeo (EUID) e non imporne uno solo dei due come prevista nell’inziale bozza.
Il parere della ESAs sulle ragioni della reiezione rimane critico ritenendo che la coesistenza di due identificatori potrebbe comportare un’ulteriore complessità che avrebbe un impatto negativo sulla qualità dei dati utilizzati.
Si ricorda, infine ed a carattere generale, che la LEGGE 28 giugno 2024, n. 90 (c.d. Legge sulla cybersicurezza), modificando la legge di delegazione europea attribuisce formalmente delega al Governo, non ancora esercitata, per l'estensione del Reg DORA – sul piano soggettivo - anche agli intermediari finanziari ex art. 106 del TUB tra cui rientrano anche le società di leasing, in aggiunta agli enti creditizi (quindi le banche già contemplati dal Regolamento).