Esiste un nesso importante tra il tema della sovranità nell’offerta di servizi cloud da parte di provider e la pratica applicativa del DORA, Regolamento che ricordiamo essere entrato in vigore il 17 gennaio 2025 e che riguarda i soggetti operanti nel settore finanziario europeo.
Il Regolamento DORA interviene infatti in maniera molto significativa sul rapporto delle aziende nel settore finanziario con i loro fornitori di servizi ICT, entrando a gamba tesa nel merito della gestione della supply chain, ridefinendo i requisiti che i fornitori devono garantire in materia di sicurezza informatica e resilienza. In questo contesto, la gestione del rischio legato alle terze parti assume un ruolo centrale anche ai fini della conformità normativa: le entità finanziarie devono quindi prestare particolare attenzione nell’individuare fornitori di servizi di cybersecurity idonei, come Netech, dotati di certificazioni ISO/IEC 27001:2022, standard internazionale che definisce i requisiti per la creazione, l’implementazione, la gestione e il miglioramento continuo di un sistema di gestione della sicurezza delle informazioni.
La gestione del rischio derivante da fornitori terzi di servizi ICT, nodo dirompente del DORA, introduce quindi una serie di obblighi contrattuali stringenti per le entità finanziarie europee. Si tratta nello specifico di un regime di oversight che ha un impatto significativo sui fornitori di servizi cloud e che, nella pratica applicativa del Regolamento, ha generato tensioni con i grandi provider mondiali. Ciò ha dato avvio a negoziazioni contrattuali delicate, volte a includere, ad esempio, diritti di accesso, ispezione e audit che le entità finanziarie devono poter esercitare. Aspetti che nei modelli contrattuali standardizzati di big player globali come Google Cloud e Microsoft non sono contemplati. L’articolo 30 del Regolamento DORA richiede inoltre che gli accordi con i fornitori ICT includano una serie di clausole che coprono la chiara e completa descrizione di tutte le funzioni e servizi ICT da erogare, luoghi di elaborazione e conservazione dei dati (con obbligo di notifica preventiva in caso di eventuali cambiamenti), disposizioni in tema di disponibilità, autenticità, integrità e riservatezza dei dati, garanzie di accesso, ripristino e restituzione dei dati e, come anticipato, diritti di accesso, ispezione e audit ivi inclusi quelli da parte delle autorità di vigilanza del comparto. E ancora, livelli di servizio concordato con precisi obiettivi quantitativi e qualitativi, termini di preavviso e obblighi di segnalazione e strategie di uscita con previsione di un periodo di transizione obbligatorio.
Un altro aspetto che nel DORA afferisce la supply chain dei servizi ICT riguarda poi la valutazione del rischio di concentrazione (articolo 29 del Regolamento). Le entità finanziarie devono in pratica analizzare se via sia eccessiva dipendenza da un singolo fornitore o da un gruppo ristretto di provider, e valutare in merito se siano presenti potenziali meccanismi di lock-in tecnologico e contrattuale. L’articolo 28 del DORA introduce invece un importante strumento di governance, il Registro dei contratti con fornitori terzi di servizi ICT. Al riguardo, le autorità di vigilanza europee hanno pubblicato dei modelli standard per la realizzazione di questo registro (Implementing Technical Standards, ITS). Attraverso questi registri, le entità finanziarie europee devono documentare: l’identificazione dei fornitori di servizi ICT e delle entità coinvolte negli accordi contrattuali; le informazioni relative alle funzioni esternalizzate; i dettagli sulla catena di fornitura dei servizi ICT e sulla valutazione dei servizi stessi. Devono inoltre registrare la cronologia di eventi rilevanti, come interruzioni o incidenti, e le misure di controllo e monitoraggio delle performance e della sicurezza, nonché informazioni sulla conformità normativa e dettagli sui piani di exit e sulle strategie di transizione.
Il DORA introduce infine un altro elemento fortemente innovativo nel panorama dei fornitori terzi di servizi ICT, che di fatto va a riscrivere il rapporto tra autorità di vigilanza e fornitori tecnologici, implementando regimi di supervisione spesso in precedenza inesistenti. Si tratta nello specifico dell’identificazione da parte delle Autorità di vigilanza europee (EBA, EIOPA, ESMA) dei Fornitori terzi critici di servizi ICT (Critical Third-Party Providers, CTPP, articoli 31-44), il cui malfunzionamento può impattare a livello di sistema su tutto il settore finanziario europeo. A seguito dell’entrata in vigore del DORA, questi soggetti sono oggi sottoposti a un regime di vigilanza che comprende ispezioni generali e in loco, richieste di informazioni, raccomandazioni e persino sanzioni pecuniarie in caso di inosservanza. Il regolamento ha inoltre stabilito una roadmap chiara per il processo di designazione di questi fornitori, che prevede: la valutazione della criticità, basata su criteri come l’importanza sistemica, il numero e la tipologia di entità finanziarie servite e la concentrazione di mercato; la notifica ai fornitori, con la prima registrazione avvenuta a luglio 2025 e un successivo periodo di sei settimane per eventuali obiezioni motivate; la designazione finale, con la pubblicazione della lista dei CTPP dopo aver valutato le obiezioni presentate; infine, l’avvio della vigilanza, con l’inclusione dei fornitori critici nel perimetro di vigilanza diretta delle autorità europee.