DORA gestione rischio fornitori ICT e resilienza operativa

Il Digital Operational Resilience Act (DORA) estende la gestione della resilienza operativa delle entità finanziarie oltre la loro infrastruttura interna, includendo nella valutazione anche i fornitori ICT terzi e l’intera supply chain, con particolare attenzione alla continuità operativa e ai servizi ICT di terze parti che supportano funzioni vitali per il business.

Testing DORA e dipendenze esterne

DORA stabilisce che eventuali disruzioni presso fornitori critici possono generare crisi sistemiche tali da minacciare la stabilità del settore finanziario. Le entità finanziarie mantengono la responsabilità finale della conformità e della gestione del rischio anche per operazioni esternalizzate. I programmi di test di resilienza vengono quindi estesi alle dipendenze esterne per assicurare la resistenza e il ripristino dei servizi, anche in caso di incidenti che colpiscano i partner tecnologici.

Funzioni critiche o importanti supportate da terzi

I fornitori ICT che supportano funzioni critiche o importanti (CIF) sono soggetti a requisiti di monitoraggio e testing particolarmente rigorosi. È richiesto che le entità finanziarie:

• Identifichino in modo esplicito nel registro informativo quali asset e fornitori supportano le funzioni critiche o importanti.
• Valutino l’impatto potenziale di un fallimento del fornitore sulla resilienza operativa e sulla continuità dei servizi.
• Includano i sistemi “live” dei fornitori che supportano CIF nel perimetro dei test avanzati (TLPT).

Due diligence, clausole contrattuali e vulnerability handling

La gestione del rischio ICT third-party risk DORA si articola su tutto il ciclo di vita del rapporto con il fornitore:

• Due Diligence: Prima di contrattualizzare un fornitore per una funzione critica o importante, è necessario valutarne reputazione, risorse tecniche e finanziarie, e standard di sicurezza delle informazioni.
• Clausole Contrattuali: I contratti devono dettagliare i servizi, stabilire livelli di servizio (SLA) attesi, e prevedere diritti di accesso, ispezione e audit.
• Vulnerability Handling: I fornitori sono tenuti a gestire le vulnerabilità legate ai servizi forniti, analizzarne le cause profonde e segnalare tempestivamente i rischi critici all’entità finanziaria.

Auditabilità e registro informativo

Tutte le entità finanziarie devono mantenere un Register of Information (RoI) aggiornato che riporti ogni accordo contrattuale con fornitori ICT terzi. Questo registro:

• Offre alle autorità competenti una panoramica sulle dipendenze tecnologiche e sui rischi di concentrazione.
• Consente la tracciabilità della catena di subfornitura, identificando subappaltatori materiali coinvolti nelle funzioni critiche o importanti.
• Permette all’entità di esercitare diritti di audit e test lungo l’intera catena del valore tecnologico.

Errori frequenti con cloud e MSP

• Basso potere contrattuale: Le entità hanno spesso difficoltà a imporre clausole di test personalizzate ai grandi Cloud Service Providers, ma DORA richiede che tali clausole siano presenti già in fase contrattuale.
• Mancata visibilità sui subfornitori: Limitarvisi al monitoraggio del fornitore diretto è un errore; occorre ottenere visibilità anche sui subappaltatori e sulla loro effettiva partecipazione ai servizi critici.
• Confusione sulle responsabilità: L’esternalizzazione non comporta una delega totale di responsabilità; l’entità deve accertare che le misure di sicurezza dei provider siano allineate alle proprie policy.

FAQ

• Si può chiedere evidenza di VA/PT ai fornitori? Sì. Le entità finanziarie sono titolari del diritto contrattuale di richiedere report di audit, certificazioni di sicurezza di terze parti (come ISO o SOC), o i risultati dei test condotti dal fornitore per validare la sicurezza dei sistemi.
• DORA richiede audit su tutti i provider? Tutti i fornitori devono essere inclusi nella strategia di rischio, ma audit indipendenti e verifiche approfondite sono obbligatori esclusivamente per i servizi ICT che supportano funzioni critiche o importanti.
• Come gestire i subfornitori? Il contratto con il fornitore diretto deve garantire che i subappaltatori critici concedano i medesimi diritti di accesso, ispezione e audit, e partecipino ai test di resilienza operativa ove richiesto.

Third-party testing readiness assessment

Non lasciare zone d’ombra nella tua resilienza: richiedi oggi un Third-party testing readiness assessment per mappare i tuoi fornitori critici e validare i tuoi diritti di audit e testing secondo DORA.