DORA: Registro delle informazioni contrattuali ICT – l’Autorità di vigilanza finanziaria polacca darà presto il segnale “Sto controllando”
3 Aprile 2025 / Articoli
Uno degli obblighi importanti che il regolamento DORA impone agli enti finanziari è quello di tenere e presentare un registro delle informazioni contrattuali ICT (ROI) all’Autorità di vigilanza finanziaria polacca.
Questo registro è più di un semplice elenco di contratti con fornitori ICT. Il suo scopo è creare un database fondamentale dal punto di vista della gestione del rischio ICT. Il ROI ha lo scopo di mappare le dipendenze tra l’entità finanziaria e i suoi fornitori, fornendo alle autorità di vigilanza una visione completa e il controllo su queste relazioni.
La scadenza per la preparazione e la presentazione del primo ROI alla KNF si avvicina. Secondo la KNF, i primi rapporti ROI saranno presentati nell’aprile 2025 (la data esatta sarà annunciata all’inizio di aprile).
Ambito di responsabilità e sfide chiave
Per preparare il ROI, gli istituti finanziari dovranno raccogliere una serie di informazioni, tra cui:
- Informazioni su contratti ICT specifici, incluse informazioni di base quali le parti, il tipo di servizi, le date di conclusione e validità, nonché informazioni più dettagliate sul valore del contratto, i periodi di preavviso, il luogo di fornitura del servizio o l’archiviazione dei dati.
- Numeri LEI di fornitori e subappaltatori ICT.
- Per i contratti che supportano funzioni critiche o importanti, sono necessarie informazioni complete sulla catena di fornitura.
Per molti istituti finanziari, la sfida principale è ottenere i dati per il registro del ROI. Spesso queste informazioni non vengono raccolte a livello centrale, il che richiede il coinvolgimento di varie unità organizzative e fornitori esterni di ICT, il che può ritardare il processo.
Requisiti formali, convalida e modifiche alle linee guida
La raccolta dei dati è solo il primo passo. La sfida successiva è compilare correttamente il registro ROI in conformità con i requisiti dell’Autorità di vigilanza finanziaria polacca (KNF).
L’obbligo di segnalazione sarà adempiuto tramite il sistema di segnalazione KNF, utilizzando moduli ROI dedicati. Il registro deve soddisfare determinati standard: un formato dei dati non corretto, campi obbligatori mancanti o un nome file errato possono comportare il rifiuto, il che significa correzione urgente e nuova presentazione.
Il mutevole contesto normativo rappresenta un’ulteriore sfida. Tassonomie, moduli e istruzioni sono costantemente aggiornati, quindi gli istituti finanziari devono seguire le linee guida della KNF e dell’EBA per rispettare i requisiti più recenti ed evitare difficoltà al momento dell’invio del registro.
Consolidamento dei dati nei gruppi di capitali
Per i gruppi di capitali, il consolidamento del registro ROI rappresenta un’ulteriore sfida. Un’entità finanziaria tenuta a mantenere un ROI consolidato deve includere non solo i propri contratti con i fornitori ICT, ma anche informazioni simili provenienti dalle proprie società controllate (se soggette a DORA).
Per le entità finanziarie, ciò significa la necessità di:
✔ Verificare se e in che misura il loro ROI è soggetto a consolidamento,
✔ Se sono tenuti a consolidare, ottenere i dati dalle filiali in tempo per verificarli e inserirli nel registro.
Standardizzare il modo in cui i dati vengono riportati dalle singole entità è fondamentale per evitare incongruenze nel registro consolidato del ROI.
Come prepararsi?
A causa della complessità del processo di preparazione di un ROI corretto, a mio parere, la chiave del successo dell’intera impresa è l’implementazione di un processo interno per la preparazione del registro, che dovrebbe includere:
- un’attenta familiarizzazione con le definizioni in DORA e gli atti di attuazione, nonché l’interpretazione delle linee guida KNF;
- per i gruppi di capitali: identificare le entità coperte dal registro – determinare quali entità all’interno del gruppo finanziario sono soggette all’obbligo di segnalazione;
- raccogliere e completare i dati nei moduli appropriati – identificare le informazioni mancanti e contattare i fornitori per ottenerle.
- rispettare i formati e la tassonomia
- Monitoraggio regolare delle modifiche normative: tenere traccia degli aggiornamenti della KNF e dell’EBA per garantire che l’organizzazione stia lavorando sui moduli corretti e in conformità con le linee guida vigenti.
In sintesi…
Il registro delle informazioni contrattuali ICT è un obbligo fondamentale per gli enti finanziari coperti dal DORA e la sua preparazione richiede tempo, cura e precisione. Il mancato rispetto dei requisiti della PFSA può comportare il rigetto della relazione e, in casi estremi, sanzioni severe.
Gli istituti finanziari dovrebbero lavorare intensamente sui propri registri e monitorare gli aggiornamenti forniti dalla PFSA e dall’EBA, poiché la modifica delle linee guida può richiedere ulteriori adeguamenti nella rendicontazione.
Materiali utili
- EBA: Linee guida e materiali relativi al DORA
- KNF: Portale di segnalazione DORA (moduli di segnalazione, istruzioni dettagliate e linee guida KNF, richiede login)
Hai bisogno di aiuto con questo argomento?
Scrivi al nostro esperto
Articoli in questa categoria
La MiCA non riguarda la DeFi. Cosa significa questo per il mercato delle criptoattività nell’UE?
La MiCA non riguarda la DeFi. Cosa significa questo per il mercato delle criptoattività nell’UE?Responsabilità per i danni causati dai veicoli autonomi: chi è responsabile ai sensi della legge?
Responsabilità per i danni causati dai veicoli autonomi: chi è responsabile ai sensi della legge?Jacek Cieśliński su Puls Biznesu riguardo alla corretta indicazione delle promozioni
Jacek Cieśliński su Puls Biznesu riguardo alla corretta indicazione delle promozioniBugie verdi, conseguenze reali: il greenwashing alla luce della legge
Bugie verdi, conseguenze reali: il greenwashing alla luce della leggeAtto europeo sull’accessibilità (EAA) – guida completa per le imprese
Atto europeo sull’accessibilità (EAA) – guida completa per le imprese