EBA, EIOPA ED ESMA DESIGNANO I FORNITORI DI SERVIZI CRITICI ICT AI SENSI DEL DORA
“European Supervisory Authorities designate critical ICT third-party providers under the Digital Operational Resilience Act” (NEWS, 18 novembre 2025)
EIOPA – EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY
https://www.eiopa.europa.eu
EIOPA – Link all’ELENCO ("designated critical ICT third-party service providers at Union level")
Le tre Autorità europee di vigilanza finanziaria (EBA, EIOPA ed ESMA - ESA) hanno recentemente pubblicato l'elenco dei fornitori terzi di servizi ICT critici (CTPP) designati ai sensi del Digital Operational Resilience Act (DORA). La designazione segna un passo cruciale nell'attuazione del quadro di vigilanza DORA(1).
Il processo di designazione ha seguito la metodologia richiesta dal DORA.
Innanzitutto, le ESA hanno raccolto dati dai Registri Informativi tenuti dagli enti finanziari, che dettagliano i loro accordi contrattuali per i servizi ICT.
In secondo luogo, le Autorità europee hanno condotto una valutazione dettagliata della criticità, in collaborazione con le Autorità nazionali competenti nei settori bancario, assicurativo, pensionistico e dei mercati finanziari. Tale valutazione è stata condotta in linea con i molteplici criteri stabiliti nel DORA, che richiedono una valutazione completa dell'importanza sistemica di un fornitore, del suo ruolo nel supportare funzioni critiche o importanti per gli enti finanziari e del livello di sostituibilità dei suoi servizi.
In terzo luogo, i fornitori terzi di servizi ICT valutati come “critici” sono stati formalmente notificati, dopodiché hanno beneficiato del loro diritto di essere ascoltati fornendo una dichiarazione motivata. Le decisioni finali di designazione sono state adottate a seguito di un'attenta analisi di tutte le informazioni pertinenti, garantendo l'integrità del processo.
I CTPP designati forniscono una gamma di servizi ICT (ad esempio, dall'infrastruttura di base ai servizi aziendali e di dati) a enti finanziari di ogni tipo e dimensione in tutta l'Unione europea, riflettendo il loro ruolo centrale all'interno dell'ecosistema finanziario.
L'obiettivo del quadro di vigilanza DORA, affidato alle ESA, è quello di promuovere la sana gestione del rischio ICT da parte dei fornitori di servizi critici. Attraverso un coinvolgimento diretto nella vigilanza, le ESA valuteranno se i CTPP dispongono di adeguati quadri di gestione del rischio e di governance per garantire la resilienza dei servizi forniti alle entità finanziarie. Ciò contribuisce a mitigare i rischi che potrebbero influire sulla resilienza operativa del settore finanziario dell'UE.
Le ESA continueranno a collaborare con i CTPP nel corso delle prossime attività di verifica.
___________________
(1) Sul tema, si veda: “EBA, EIOPA ed ESMA: guida sulla vigilanza sui Third Party Providers ai sensi del “Digital Operational Resilience Act”, in Panorama Assicurativo n. 262, agosto 2025 (Sezione “UE”).
https://www.panoramassicurativo.ania.it/newsletter/90193/articolo/90743