Panorama Assicurativo Ania

🇪🇺 Cyber risk, Vigilanza

EBA, EIOPA, ESMA: ROADMAP PER LA DESIGNAZIONE DEI FORNITORI DI SERVIZI ICT, AI SENSI DELLE NORME DORA

«The ESAs provide a roadmap towards the designation of CTPPs under DORA» NEWS ARTICLE e ROADMAP - Feb. 18, 2025

EIOPA - EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY
https://www.eiopa.europa.eu/

EIOPA - NEWS ARTICLE / Roadmap (Feb. 18, 2025)


Le Autorità europee di vigilanza sui mercati finanziari (EBA, EIOPA ed ESMA) stanno progredendo nell'attuazione del quadro di vigilanza per i fornitori terzi di servizi ICT di rilevanza “cruciale” (Critical Third-Party Service Providers - CTPPs), con l'obiettivo di designare i CTPP e di avviare l'azione di vigilanza nel corso del corrente anno.

Ai fini della designazione dei CTPP nel 2025, le ESA dovranno provvedere a quanto segue:

  • raccolta dei Registri delle informazioni: le Autorità competenti sono tenute a presentare alle ESA, entro il 30 aprile 2025, i Registri delle informazioni sugli accordi ICT con terzi ricevuti da istituti finanziari(1);
     
  • valutazioni delle criticità: le ESA effettueranno le valutazioni delle criticità (secondo quanto previsto dalle norme DORA) e notificheranno ai fornitori terzi di servizi ICT la loro classificazione di “Critical ICT Third-Party Service Provider” entro luglio 2025. Tale notifica darà inizio a un periodo (di sei settimane) durante il quale i provider  possono opporsi alla valutazione, attraverso una “dichiarazione motivata” e la pertinente informativa di supporto;
     
  • designazione finale: trascorso il periodo di sei settimane, le ESA designeranno i CTPP e daranno il via all’azione di vigilanza. I providers non designati come “critical”  possono chiedere volontariamente di essere designati come tali, una volta pubblicato l'elenco dei CTPP.  

Attuazione del quadro di vigilanza e istituzione della funzione congiunta di vigilanza delle ESA

Le tre Autorità europee hanno provveduto a realizzare la governance, le procedure e le metodologie necessarie allo svolgimento delle attività di vigilanza; tuttavia, ai fini di (I) massimizzare le sinergie, (II) garantire la coerenza dei compiti di vigilanza e (III) utilizzare le risorse secondo criteri di efficienza, le ESA hanno istituito una “funzione congiunta di sorveglianza DORA”. Tale funzione consentirà alle ESA di svolgere il lavoro quotidiano di vigilanza attraverso un approccio integrato fra i rispettivi  settori.

Per fornire chiarezza al mercato in merito alle attività preparatorie, al processo di designazione e all'approccio di vigilanza, le ESA intendono organizzare un online workshop con gli ICT third-party service provider  nel corso del secondo trimestre 2025.

________________________________

(1) Sullo stesso tema, si veda:
“EBA, EIOPA, ESMA: positivi i risultati del test volontario di reporting delle informazioni sui fornitori di servizi ICT”,
in Panorama Assicurativo n. 256, febbraio 2025 (Sezione “UNIONE EUROPEA”)
https://www.panoramassicurativo.ania.it/newsletter/88987/articolo/89368