EBA, EIOPA ED ESMA: DECISIONE IN MATERIA DI REPORTING SUI FORNITORI TERZI DI SERVIZI ICT AI SENSI DEL DORA
“The ESAs announce timeline to collect information for the designation of critical ICT third-party service providers under the Digital Operational Resilience Act” (NEWS, 15 novembre 2024) “Decision of the European Banking Authority, Decision of the European Securities and Markets Authority, Decision of the European Insurance and Occupational Pensions Authority concerning the reporting by competent authorities to the ESAs of information necessary for the designation of critical ICT third party service providers in accordance with Article 31(1)(a) of Regulation (EU) 2022/2554” (ESA 2024 22)
EIOPA – EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY
https://www.eiopa.europa.eu/
Le tre Autorità europee di vigilanza finanziaria (EBA, EIOPA ed ESMA – ESA) hanno pubblicato una Decisione sulle informazioni che le Autorità competenti devono comunicare per la designazione dei fornitori terzi di servizi ICT ai sensi del Digital Operational Resilience Act (DORA)(1). In particolare, la Decisione impone alle Autorità competenti di segnalare, entro il 30 aprile 2025, i registri delle informazioni sugli accordi contrattuali delle istituzioni finanziarie vigilate con gli ICT third-party service providers.
A seguito dell’entrata in vigore di DORA, il 17 gennaio 2025, le ESA, insieme alle Autorità competenti, avvieranno la supervisione dei fornitori che offrono servizi ICT a soggetti finanziari nell’UE (CTPP).
La Decisione pubblicata fornisce un quadro generale per la comunicazione annuale alle ESA delle informazioni necessarie per la designazione dei CTPP, tra cui: tempistiche, frequenza e date di riferimento, procedure generali per la presentazione delle informazioni, garanzia della qualità e revisioni dei dati presentati, nonché la riservatezza e l'accesso alle informazioni.
Poiché la scadenza per la prima presentazione dei registri delle informazioni alle tre Autorità europee è fissata al 30 aprile 2025, le ESA si aspettano che le Autorità competenti raccolgano in anticipo i registri delle informazioni dalle entità finanziarie sotto la loro supervisione, seguendo le proprie tempistiche.
Le ESA hanno inoltre pubblicato un elenco di regole di validazione che verranno utilizzate nell'analisi dei registri delle informazioni e nella rappresentazione visiva del modello dei dati. Queste regole saranno incluse nel pacchetto tecnico di reporting aggiornato (compreso il modello aggiornato dei data point, la tassonomia e le regole di convalida), che sarà pubblicato nel dicembre 2024.
_______________
(1) Si veda, in proposito: “EBA, EIOPA, ESMA: test volontario per preparare l’industria dei servizi finanziari alla prossima fase di attuazione di DORA”, in Panorama Assicurativo n. 247, maggio 2024 (Sezione “UE”).
https://www.panoramassicurativo.ania.it/newsletter/87309/articolo/87735