Subappalti TIC: le nuove RTS su DORA impongono obblighi stringenti alle entità finanziarie
Il 2 luglio 2025 è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il Regolamento delegato (UE) 2025/532 del 24 marzo 2025, che integra il Regolamento DORA (Digital Operational Resilience Act) con specifiche norme tecniche di regolamentazione (RTS) relative alla gestione dei subappalti dei servizi ICT che supportano funzioni essenziali o importanti.
Queste RTS, adottate ai sensi dell’art. 30, par. 5 di DORA, mirano a rafforzare la capacità di valutazione e gestione dei rischi derivanti dalla catena di subappalto ICT, ponendo al centro dell’attenzione la resilienza operativa, la trasparenza contrattuale e la tracciabilità dei fornitori critici.
Principali adempimenti per le entità finanziarie
Il regolamento impone una visione olistica e proporzionata del rischio ICT, tarata sulle dimensioni, la struttura e la complessità operativa dell’ente finanziario. In particolare, in presenza di subappalti che coinvolgono funzioni critiche, le entità sono chiamate a rispettare una serie di obblighi preventivi e contrattuali. Vediamoli in dettaglio:
1. Mappatura e valutazione preventiva della catena di subappalto
Le entità finanziarie devono:
- mappare l’intera catena di subappalto, anche quando articolata su più livelli o gestita da fornitori interni al gruppo;
- identificare i fornitori critici, valutandone l’impatto sulla continuità operativa;
- analizzare i rischi connessi alla localizzazione geografica e alla concentrazione dei servizi presso pochi soggetti;
- accertarsi che anche i subappaltatori intragruppo siano soggetti agli stessi obblighi di diligenza.
2. Due diligence precontrattuale
Prima di concludere un contratto che preveda subappalto di servizi TIC critici, l’ente deve:
- condurre una valutazione di due diligence sui fornitori;
- analizzare i rischi legati alla località dei subappaltatori e all’accessibilità delle autorità competenti;
- garantire la presenza di meccanismi di monitoraggio e audit, estesi anche ai subappaltatori;
- verificare l’assenza di ostacoli ai poteri di ispezione da parte dell’ente e delle autorità di vigilanza;
- assicurarsi di disporre di risorse interne sufficienti, in termini finanziari, umani e tecnici, per monitorare i rischi derivanti dal subappalto;
- valutare i rischi di concentrazione TIC a livello complessivo;
- assicurare che ogni modifica sostanziale agli accordi di subappalto sia preannunciata e soggetta ad approvazione preventiva.
Contenuti obbligatori dei contratti
I contratti con i fornitori terzi dovranno contenere:
- l’indicazione dei servizi che possono essere subappaltati;
- obblighi di notifica per ogni variazione rilevante nella catena di subappalto;
- obblighi relativi ai piani operativi d’emergenza, in linea con l’art. 30, par. 3, lett. c) di DORA;
- una clausola di recesso in caso di violazioni gravi, come subappalti non autorizzati o superamento della tolleranza al rischio;
- le misure di sicurezza ICT e ogni requisito supplementare in materia di sicurezza;
- le cause specifiche di risoluzione del contratto, come previsto all’art. 6 del regolamento delegato.
Un approccio coerente a livello di gruppo
In caso di strutture consolidate, il regolamento stabilisce che la capogruppo garantisca l’applicazione coerente delle regole di gestione dei subappalti TIC a tutte le entità del gruppo che ne fanno uso.
Conclusioni
Il Regolamento delegato (UE) 2025/532 rappresenta un passaggio chiave nell’attuazione di DORA, ribadendo che la resilienza operativa non può prescindere da un controllo stringente sulle relazioni contrattuali e operative con i fornitori TIC, inclusi i subappaltatori. Le entità finanziarie devono agire tempestivamente per adeguare policy, processi e contratti al nuovo quadro normativo.
🔗 Testo completo del Regolamento (UE) 2025/532 (Gazzetta Ufficiale)