Obblighi dei fornitori ICT di DORA
Il Regolamento europeo sulla resilienza operativa digitale (DORA), in vigore da gennaio 2025, richiede alle istituzioni finanziarie — banche, compagnie assicurative, società di investimento, fornitori di servizi di pagamento — di implementare rigorosi programmi di gestione del rischio dei fornitori ICT di terze parti. Requisiti chiave:
Disposizioni contrattuali obbligatorie (Articolo 30): DORA specifica clausole obbligatorie per i contratti con i fornitori di servizi ICT di terze parti, comprese disposizioni per accesso completo, ispezione e diritti di audit; tempistiche di notifica degli incidenti; strategie di uscita; e standard di prestazione.
Valutazioni annuali (Articolo 28): Le istituzioni finanziarie devono eseguire la due diligence su tutti i fornitori di servizi ICT di terze parti materiali almeno annualmente. "Materiale" è definito in modo ampio — qualsiasi fornitore ICT la cui interruzione influirebbe significativamente sulle operazioni, inclusi gli strumenti di anonimizzazione utilizzati nei flussi di lavoro di conformità.
Registro dei fornitori ICT di terze parti (Articolo 28(3)): Le istituzioni finanziarie devono mantenere e aggiornare un registro di tutti gli accordi materiali con fornitori ICT di terze parti, inclusa la documentazione di sicurezza.
Gestire le rivalutazioni annuali di decine di fornitori ICT è operativamente costoso. La stima tipica per una valutazione personalizzata non strutturata: 40–80 ore per fornitore all'anno. Per una banca olandese con 50 fornitori ICT materiali, le valutazioni annuali rappresentano 2.000–4.000 ore di tempo del team di conformità — l'equivalente di uno o due membri del personale a tempo pieno dedicati esclusivamente alla valutazione dei fornitori.
Il Vantaggio della Valutazione Annuale ISO 27001
Il valore della certificazione ISO 27001 per la conformità a DORA è la sua struttura di sorveglianza annuale. L'ente di certificazione esegue audit di sorveglianza annualmente e audit di ricertificazione ogni tre anni. La certificazione rimane valida finché gli audit di sorveglianza confermano la conformità continua. Il certificato stesso ha una data di scadenza.
Per il requisito di valutazione annuale di DORA, un'istituzione finanziaria può soddisfare lo standard di "due diligence eseguita" estraendo annualmente il certificato ISO 27001 attuale del fornitore e verificando la sua validità. Il certificato dimostra che un ente di audit indipendente ha valutato i 93 controlli di sicurezza del fornitore nell'ultimo anno. Questa prova è documentata nel registro dei fornitori ICT di terze parti.
Una banca olandese soggetta a DORA può valutare un fornitore di anonimizzazione certificato ISO 27001 verificando la validità del certificato — impiegando ore piuttosto che settimane. La banca risparmia 60 ore di tempo di valutazione per fornitore all'anno. Su 20 fornitori certificati ISO 27001 nel loro registro, il risparmio annuale rappresenta 1.200 ore — sufficienti per riallocare risorse significative per la conformità.
La Rilevanza di DORA per gli Strumenti di Privacy
Gli strumenti di privacy e anonimizzazione sono fornitori ICT nell'ambito di applicazione di DORA per le istituzioni finanziarie che li utilizzano per elaborare dati dei clienti, rispettare il GDPR, preparare sottomissioni normative o gestire la documentazione KYC. Uno strumento di anonimizzazione che elabora dati dei clienti è un fornitore ICT materiale se la sua interruzione impedirebbe all'istituzione di rispettare i requisiti di minimizzazione dei dati del GDPR o di produrre sottomissioni normative conformi al GDPR.
Fonti: