Accordi contrattuali: una sfida fondamentale per le entità finanziarie e i fornitori terzi

Accordi contrattuali

I requisiti normativi relativi agli accordi contrattuali sono definiti nella normativa di primo livello e negli RTS & ITS di secondo livello, sia per le entità finanziarie sia per i fornitori terzi di servizi ICT. Il compito di entrambe le parti è innanzitutto quello di identificare e comprendere lo stato dei contratti in essere, e da lì stabilire un contatto con le controparti. L’obiettivo comune sarà quello di concordare i termini di un accordo contrattuale che consenta all’entità finanziaria e al fornitore di servizi ICT di essere conformi a DORA.

A prima vista può sembrare un semplice aggiornamento del contratto esistente e l’implementazione di un processo di due diligence all’interno dell’entità finanziaria che gestisce l’onboarding del fornitore di servizi ICT attraverso le fasi stabilite da DORA.

Ma gli operatori finanziari hanno caratteristiche diverse e le differenze di natura, scala e complessità fanno sì che le conversazioni tra le entità finanziarie e i loro fornitori di servizi informatici, quando iniziano, producano più domande che risposte. Queste conversazioni sono iniziate e le domande che ne derivano sono rivolte, in parte, alle Autorità di Vigilanza per ottenere indicazioni e risposte.

In occasione della recente audizione pubblica delle autorità europee di vigilanza sul secondo lotto di norme tecniche, tenutasi il 23 gennaio 2024, la sessione dedicata all’RTS sul subappalto di servizi ICT ha suscitato un notevole interesse e sono state presentate molteplici domande da parte degli operatori di mercato. Alcune entità hanno espresso preoccupazione e incertezza circa la possibilità di soddisfare pienamente i requisiti DORA sugli accordi contrattuali entro il 17 gennaio 2025.

Il punto di vista del settore

Nel corso dell’audizione è stata posta una serie di domande sul tema in questione, ma le tematiche più urgenti sono state le seguenti:

1. la capacità delle entità finanziarie con un gran numero di fornitori di servizi ICT critici di soddisfare tutti i requisiti contrattuali entro la scadenza, dato che la versione definitiva delle norme tecniche non sarà disponibile prima della metà dell’estate 2024.
2. la capacità delle entità finanziarie di esaminare con successo la catena dei propri fornitori e dei relativi sub-fornitori di servizi informatici critici, in particolare per alcuni player globali di grandi dimensioni che possono avere un gran numero di outsourcer che supportano funzioni critiche.
3. la possibilità che un’entità finanziaria non sia in grado di stipulare contratti con alcuni dei principali fornitori di servizi di grandi dimensioni, a causa dell’impossibilità di esaminare la catena dei loro sub-appaltatori per convalidarne la conformità.
4. la capacità dei fornitori di servizi ICT di gestire punti di vista divergenti e potenzialmente contraddittori sulla normativa da parte dei loro diversi clienti.

In risposta alle domande poste durante l’audizione, le Autorità di Vigilanza hanno ricordato ai partecipanti che il testo di primo livello della normativa non rientrava nell’ambito dell’audizione e che questi requisiti avrebbero dovuto essere soddisfatti.

Per quanto riguarda le preoccupazioni relative alla tempistica, le autorità hanno riconosciuto la sfida che il settore deve affrontare, ma hanno fatto notare che DORA è entrato in vigore più di 12 mesi prima, proprio per dare il tempo agli enti finanziari di attrezzarsi. Una risposta corretta in riferimento alla normativa di primo livello, forse meno in relazione al testo finale del secondo gruppo di RTS che non sarà finalizzato prima dell’estate 2024.

Inoltre, ai partecipanti all’udienza è stato ricordato che le linee guida sull’outsourcing sono in vigore da tempo e che le entità finanziarie impattate hanno già svolto gran parte del lavoro di base per quanto riguarda la revisione e le richieste di supervisione da parte di terzi. È stato tuttavia riconosciuto che le imprese più grandi, con un elevato numero di fornitori terzi di servizi ICT, potrebbero avere difficoltà ad adeguarsi completamente entro la scadenza del 17 gennaio 2025, ma devono fare del proprio meglio per raggiungere tale scadenza.

Sebbene non siano state fatte concessioni sulla tempistica e siano state fornite risposte talvolta non pienamente in linea con le aspettative degli operatori del settore, le entità finanziarie e i fornitori di servizi ICT avranno l’opportunità di rispondere per iscritto entro il 4 marzo, termine ultimo per l’invio di feedback sul secondo lotto di RTS & ITS.

In quale direzione si muoverà il settore d’ora in avanti?

A una settimana dalla scadenza del 4 marzo, le Autorità di Vigilanza hanno l’opportunità di rispondere alle domande sull’adeguatezza e la chiarezza degli articoli del secondo lotto di RTS & ITS.

Il pragmatismo, come già indicato da Gerry Cross, in qualità di Presidente del Sottocomitato delle Autorità di Vigilanza Europee per l’attuazione di DORA, sarà un ingrediente chiave per l’implementazione di DORA. Le società impattate da DORA sperano che questo concetto si traduca in una versione finale dell’RTS sul subappalto più simile a quello di altri RTS, con un maggior uso di “se possibile” o “se applicabile”, e magari in una riformulazione delle scadenze relative alla revisione dei contratti – per esempio richiedendo tale attività sia stata avviata (anziché completata) entro Gennaio 2025.

Sebbene le sfide che gli operatori devono affrontare per essere conformi a DORA sull’intero perimetro dei contratti di outsourcing siano significative, iniziare subito è la migliore strategia per il raggiungimento dell’obiettivo.

I testi finali degli RTS sul subappalto potrebbero arrivare tra 5 mesi, ma i requisiti di primo livello devono essere affrontati ed è necessario trovare delle soluzioni. I dettagli degli RTS di secondo livello potrebbero cambiare, ma questi eventuali cambiamenti dovranno essere incorporati a lavori in corso, piuttosto che attendere la versione finale, in quanto questa opzione comporta semplicemente un rischio maggiore di non riuscire ad essere conformi entro la scadenza normativa – o di non essere in grado di dimostrare di aver profuso il massimo sforzo per il raggiungimento della conformità (che è una posizione comunque migliore rispetto a quella in cui ci si troverebbe avendo iniziato tardi).

Un dialogo tempestivo tra entità finanziarie e fornitori di servizi ITC per tracciare un percorso di collaborazione tra le parti nel corso del 2024 è un passo cruciale che dovrebbe essere effettuato dai team che gestiscono i progetti DORA. Prima di ciò, durante le fasi di gap analysis progettuale, occorre dare molta importanza all’identificazione delle controparti che rientrano nel perimetro DORA, sia che si tratti di un’entità finanziaria con molti fornitori, sia che si tratti di un fornitore con un’ ampio numero di clienti.

Sebbene il tempo possa sembrare scarso, l’avvio delle attività ad inizio 2024 è sufficiente per gettare le basi, che potranno poi essere sviluppate dopo luglio, quando si avranno informazioni complete sui requisiti normativi.

La strategia più prudente è quella di agire piuttosto che reagire.

Per ulteriori approfondimenti e orientamenti su DORA, non esitare a contattare il team di Parva Consulting per esplorare come possiamo assisterti nelle tue esigenze di conformità normativa.