Nella GU UE serie L del 30 maggio 2024 è stato pubblicato il Regolamento delegato (UE) 2024/1502 che integra il regolamento (UE) 2022/2554 (cd. Regolamento DORA) specificando i criteri per la designazione dei fornitori terzi di servizi TIC come critici per le entità finanziarie (documento integrale).

Il suddetto Regolamento delegato definisce l’approccio di valutazione in due fasi e i sottocriteri che le autorità europee di vigilanza (EBA, ESMA e EIOPA—cd. ESAs) devono utilizzare per valutare se un fornitore terzo di servizi ICT sia critico per le entità finanziarie, tenendo conto dei criteri di cui all’articolo 31, paragrafo 2, del Regolamento DORA. Tale sistema di valutazione intende fungere da filtro per la popolazione di fornitori terzi di servizi ITC e individuare quelli più critici, considerando l’elevato numero di servizi ITC e la diversità degli enti finanziari che utilizzano tali servizi.

Il Regolamento delegato individua i sottocriteri quantitativi da considerare nella prima fase della valutazione per effettuare una prima selezione di fornitori terzi di servizi ICT, alla quale deve far seguito una seconda analisi approfondita in funzione di sottocriteri qualitativi.

Nell’indicare l’approccio di valutazione il Regolamento delegato considera anche situazioni ad hoc. Ad esempio, qualora entità finanziarie classificate come enti a rilevanza sistemica a livello globale (G-SII) o come altri enti a rilevanza sistemica (O-SII) o ancora identificate come “sistemiche” dipendano dagli stessi servizi ICT per supportare le loro funzioni essenziali o importanti, le ESAs dovranno valutare se il fornitore terzo che presta tali servizi debba essere considerato critico per il settore finanziario dell’UE.

Ancora, nel valutare i servizi ITC a supporto di funzioni essenziali o importanti, le ESAs dovranno includere nella propria valutazione anche la tipologia e la natura critica di tali servizi.

Infine, per determinare il grado di sostituibilità del fornitore terzo di servizi ICT, il Regolamento precisa che le ESAs devono considerare anche il numero di fornitori terzi di servizi ICT attivi su un mercato specifico, l’esistenza di soluzioni alternative, nonché i costi di migrazione dei dati.

La valutazione dovrà essere effettuata per singolo fornitore terzo di servizi ICT o, se del caso, per gruppo di fornitori terzi di servizi TIC se il fornitore terzo appartiene a un gruppo ex art. 31, par. 3, Regolamento DORA. Le ESAs valuteranno anche i subappaltatori di ICT di fornitori terzi.

Il Regolamento è in vigore dal 19 giugno 2024.