logo la Trifora - newsletter di casa & associati di aggiornamento giuridico

I contratti di servizi TIC che il settore finanziario dell’UE dovrà rendere conformi ai requisiti del Regolamento 2022/2554 (DORA)

Il Regolamento DORA (“Digital Operational Resilience Act”) del 14 Dicembre 2022 sarà vincolante a partire dal 17 Gennaio 2025. Le entità finanziarie e i fornitori di servizi TIC dovranno, dunque, avviare un percorso di adeguamento al fine di adempiere ai numerosi obblighi stabiliti dalla normativa europea e, di conseguenza, procedere alla revisione e rinegoziazione dei contratti aventi ad oggetto la prestazione tale tipologia di servizi – di Avv. Melissa Soler

Il 27 dicembre 2022 è stato pubblicato in Gazzetta Ufficiale il Regolamento (UE) 2022/25541 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act, di seguito “DORA” o il “Regolamento”). Il legislatore europeo concede ai soggetti destinatari della norma di adempiere ai numerosi obblighi entro il 17 gennaio 2025. Comprendere, dunque, quali contratti dovranno adeguarsi ai requisiti stabiliti dal Regolamento è fondamentale per le imprese del settore finanziario ai fini della loro revisione e rinegoziazione.

Il Regolamento ha come obbiettivi, affrontare la gestione del rischio informatico nel settore dei servizi finanziari, assicurando un ambiente sicuro e resiliente agli attacchi informatici e ad altri rischi cyber, e armonizzare le normative sulla gestione del rischio informatico già esistenti nei singoli Stati membri dell’UE.

Il DORA si rivolge a tutte le istituzioni finanziarie dell’UE. Sono incluse le entità finanziarie tradizionali, quali banche, società di investimento e istituti di credito, ed anche le entità non tradizionali, come fornitori di servizi legati a criptovalute e piattaforme di crowdfunding. Il Regolamento si applica anche ad alcune entità generalmente escluse dalla regolamentazione finanziaria, come ad esempio, i fornitori di servizi di terze parti che forniscono a ditte finanziarie sistemi e servizi TIC.

Allo scopo di capire i rapporti contrattuali interessati occorre, innanzitutto, esaminare la definizione di servizi TIC. Il DORA definisce i servizi TIC come servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware.

È altrettanto importante valutare i criteri che consentono di individuare i fornitori critici. L’art. 31 del Regolamento presenta i criteri per individuarli, alcuni esempi di questi criteri sono: l’impatto sistemico sulla stabilità, la continuità o la qualità della fornitura di servizi finanziari, il carattere sistemico della fornitura di servizi essenziali e l’importanza delle entità finanziarie che dipendono dal fornitore terzo di servizi TIC.

Considerando, dunque, la definizione molto ampia di servici TIC prevista dal Regolamento, essi comprendono moltissime possibilità, come la fornitura di infrastrutture cloud, licenze software, hardward, servizi di rating e di data analytics, sistemi informatici e dispositivi digitali, ecc.

Pertanto, gli accordi contrattuali che disciplinano la prestazione di servizi TIC sottoscritti dalle entità finanziarie e dai fornitori TIC dovrebbero, in particolare, contenere:

  • le descrizioni complete di funzioni e servizi, l’indicazione delle località in cui si esercitano tali funzioni e deve aver luogo il trattamento dei dati nonché le descrizioni dei livelli di servizio;
  • disposizioni contrattuali che specificano in che modo il fornitore terzo di servizi TIC garantisce l’accessibilità, la disponibilità, l’integrità, la sicurezza e la protezione dei dati personali;
  • disposizioni che stabiliscono le pertinenti garanzie per consentire l’accesso, il ripristino e la restituzione dei dati in caso di insolvenza, risoluzione o cessazione dell’operatività del fornitore terzo di servizi TIC;
  • disposizioni che impongono al fornitore terzo di servizi TIC di prestare assistenza in caso di incidenti connessi alle TIC in relazione ai servizi forniti, senza costi supplementari oppure a un costo stabilito ex ante;
  • disposizioni sull’obbligo per il fornitore terzo di servizi TIC di cooperare senza riserve con le autorità competenti e con le autorità di risoluzione dell’entità finanziaria; e
  • disposizioni sui diritti di risoluzione e sui relativi termini minimi di preavviso per la risoluzione degli accordi contrattuali, conformemente alle attese delle autorità competenti e delle autorità di risoluzione.

Occorre notare che le disposizioni del Regolamento saranno completate da standard tecnici regolatori attualmente in processo di sviluppo dalle Autorità competenti. Tuttavia, sarà fondamentale per tutte le entità finanziarie adottare un approccio proattivo e consapevole, attraverso lo svolgimento di attività preparatorie che consentano di determinare l’effettivo impatto del DORA sulla propria organizzazione e di non trovarsi impreparate al momento della relativa applicazione.

In tal senso, quindi, si ritene necessario per i soggetti destinatari della norma di procedere quanto prima con la mappatura dei contratti con i fornitori critici di servizi TIC, l’analisi puntuale delle clausole e la rinegoziazione dei contratti oggeto della fornitura di servizi TIC. In sede di rinegoziazione, al fine di perseguire la conformità con i requisiti del DORA, le entità finanziarie e i fornitori di servizi TIC dovrebbero garantire la copertura delle principali disposizioni contrattuali di cui al Regolamento.



CONDIVIDI L'ARTICOLO ↴

ISCRIVITI ALLA NEWSLETTER

Iscriviti per ricevere approfondimenti e consigli sul mondo giuridico