Articolo 29 – Valutazione preliminare del rischio di concentrazione delle TIC a livello di entità

Sintesi Articolo 29

Quando le entità finanziarie stanno considerando contratti per servizi TIC che supportano funzioni critiche o importanti, devono valutare vari rischi e considerazioni. Questi includono la sostituibilità del fornitore di servizi terzi TIC e le implicazioni di avere diversi contratti con fornitori simili o strettamente connessi. Le entità dovrebbero anche valutare i pro e i contro delle potenziali disposizioni di subappalto, specialmente se il subappaltatore è basato in un paese terzo. Inoltre, devono considerare le implicazioni legali nel caso di fallimento del fornitore di servizi terzi e garantire la conformità alle norme dell’Unione sulla protezione dei dati. L’obiettivo è mantenere la supervisione e consentire una sorveglianza efficace, specialmente quando sono coinvolte complesse catene di subappalto.

  1. All’atto dell’identificazione e della valutazione dei rischi di cui all’articolo 28, paragrafo 4, lettera c), le entità finanziarie tengono conto altresì dell’eventualità che la prevista conclusione di un accordo contrattuale relativo a servizi TIC a supporto di funzioni essenziali o importanti possa avere una delle seguenti conseguenze:
    • a) la conclusione di un contratto con un fornitore terzo di servizi TIC non facilmente sostituibile; o
    • b) la presenza di molteplici accordi contrattuali relativi alla prestazione di servizi TIC a supporto di funzioni essenziali o importanti con lo stesso fornitore terzo oppure con fornitori terzi strettamente connessi.

Le entità finanziarie vagliano i benefici e i costi di soluzioni alternative, quali il ricorso a diversi fornitori terzi di servizi TIC, verificando se e come le soluzioni previste soddisfino le esigenze commerciali e consentano di conseguire gli obiettivi fissati nella propria strategia di resilienza digitale.

  1. Qualora gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prevedano la possibilità che un fornitore terzo di servizi TIC subappalti a sua volta servizi TIC a supporto di una funzione essenziale o importante ad altri fornitori terzi di servizi TIC, le entità finanziarie vagliano i benefici e i rischi che possono derivare da tale subappalto, in particolare nel caso di un subappaltatore di TIC stabilito in un paese terzo.

Qualora gli accordi contrattuali riguardino servizi TIC a supporto delle funzioni essenziali o importanti, le entità finanziarie tengono in debita considerazione le disposizioni del diritto fallimentare applicabili in caso di fallimento del fornitore terzo di servizi TIC come pure eventuali restrizioni relative all’urgente ripristino dei dati dell’entità finanziaria.

Qualora gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti siano conclusi con un fornitore terzo di servizi TIC stabilito in un paese terzo, le entità finanziarie, in aggiunta alle considerazioni di cui al secondo comma, tengono conto altresì del rispetto delle norme dell’UE sulla protezione dei dati e dell’effettiva applicazione della legge in tale paese terzo.

Qualora gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prevedano un subappalto, le entità finanziarie valutano se e come catene di subappalti potenzialmente lunghe e complesse possano incidere sulla loro capacità di monitorare pienamente le funzioni appaltate e sulla capacità dell’autorità competente di vigilare efficacemente, a tal proposito, sull’entità finanziaria.

Tutti gli articoli