DORA: Registro delle informazioni contrattuali ICT – l’Autorità di vigilanza finanziaria polacca darà presto il segnale “Sto controllando”

Uno degli obblighi importanti che il regolamento DORA impone agli enti finanziari è quello di tenere e presentare un registro delle informazioni contrattuali ICT (ROI) all’Autorità di vigilanza finanziaria polacca.

Questo registro è più di un semplice elenco di contratti con fornitori ICT. Il suo scopo è creare un database fondamentale dal punto di vista della gestione del rischio ICT. Il ROI ha lo scopo di mappare le dipendenze tra l’entità finanziaria e i suoi fornitori, fornendo alle autorità di vigilanza una visione completa e il controllo su queste relazioni.

La scadenza per la preparazione e la presentazione del primo ROI alla KNF si avvicina. Secondo la KNF, i primi rapporti ROI saranno presentati nell’aprile 2025 (la data esatta sarà annunciata all’inizio di aprile).

Ambito di responsabilità e sfide chiave

Per preparare il ROI, gli istituti finanziari dovranno raccogliere una serie di informazioni, tra cui:

• Informazioni su contratti ICT specifici, incluse informazioni di base quali le parti, il tipo di servizi, le date di conclusione e validità, nonché informazioni più dettagliate sul valore del contratto, i periodi di preavviso, il luogo di fornitura del servizio o l’archiviazione dei dati.
• Numeri LEI di fornitori e subappaltatori ICT.
• Per i contratti che supportano funzioni critiche o importanti, sono necessarie informazioni complete sulla catena di fornitura.

Per molti istituti finanziari, la sfida principale è ottenere i dati per il registro del ROI. Spesso queste informazioni non vengono raccolte a livello centrale, il che richiede il coinvolgimento di varie unità organizzative e fornitori esterni di ICT, il che può ritardare il processo.

Requisiti formali, convalida e modifiche alle linee guida

La raccolta dei dati è solo il primo passo. La sfida successiva è compilare correttamente il registro ROI in conformità con i requisiti dell’Autorità di vigilanza finanziaria polacca (KNF).

L’obbligo di segnalazione sarà adempiuto tramite il sistema di segnalazione KNF, utilizzando moduli ROI dedicati. Il registro deve soddisfare determinati standard: un formato dei dati non corretto, campi obbligatori mancanti o un nome file errato possono comportare il rifiuto, il che significa correzione urgente e nuova presentazione.

Il mutevole contesto normativo rappresenta un’ulteriore sfida. Tassonomie, moduli e istruzioni sono costantemente aggiornati, quindi gli istituti finanziari devono seguire le linee guida della KNF e dell’EBA per rispettare i requisiti più recenti ed evitare difficoltà al momento dell’invio del registro.

Consolidamento dei dati nei gruppi di capitali

Per i gruppi di capitali, il consolidamento del registro ROI rappresenta un’ulteriore sfida. Un’entità finanziaria tenuta a mantenere un ROI consolidato deve includere non solo i propri contratti con i fornitori ICT, ma anche informazioni simili provenienti dalle proprie società controllate (se soggette a DORA).

Per le entità finanziarie, ciò significa la necessità di:

✔ Verificare se e in che misura il loro ROI è soggetto a consolidamento,

✔ Se sono tenuti a consolidare, ottenere i dati dalle filiali in tempo per verificarli e inserirli nel registro.

Standardizzare il modo in cui i dati vengono riportati dalle singole entità è fondamentale per evitare incongruenze nel registro consolidato del ROI.

Come prepararsi?

A causa della complessità del processo di preparazione di un ROI corretto, a mio parere, la chiave del successo dell’intera impresa è l’implementazione di un processo interno per la preparazione del registro, che dovrebbe includere:

1. un’attenta familiarizzazione con le definizioni in DORA e gli atti di attuazione, nonché l’interpretazione delle linee guida KNF;
2. per i gruppi di capitali: identificare le entità coperte dal registro – determinare quali entità all’interno del gruppo finanziario sono soggette all’obbligo di segnalazione;
3. raccogliere e completare i dati nei moduli appropriati – identificare le informazioni mancanti e contattare i fornitori per ottenerle.
4. rispettare i formati e la tassonomia
5. Monitoraggio regolare delle modifiche normative: tenere traccia degli aggiornamenti della KNF e dell’EBA per garantire che l’organizzazione stia lavorando sui moduli corretti e in conformità con le linee guida vigenti.

In sintesi…

Il registro delle informazioni contrattuali ICT è un obbligo fondamentale per gli enti finanziari coperti dal DORA e la sua preparazione richiede tempo, cura e precisione. Il mancato rispetto dei requisiti della PFSA può comportare il rigetto della relazione e, in casi estremi, sanzioni severe.

Gli istituti finanziari dovrebbero lavorare intensamente sui propri registri e monitorare gli aggiornamenti forniti dalla PFSA e dall’EBA, poiché la modifica delle linee guida può richiedere ulteriori adeguamenti nella rendicontazione.

Materiali utili

• EBA: Linee guida e materiali relativi al DORA
• KNF: Portale di segnalazione DORA (moduli di segnalazione, istruzioni dettagliate e linee guida KNF, richiede login)