Art. 3 · Dovuta diligenza e valutazione dei rischi per quanto riguarda il ricorso a subappaltatori a supporto di funzioni essenziali o importanti

Art. 3

Dovuta diligenza e valutazione dei rischi per quanto riguarda il ricorso a subappaltatori a supporto di funzioni essenziali o importanti

In vigore dal 24 mar 2025
Dovuta diligenza e valutazione dei rischi per quanto riguarda il ricorso a subappaltatori a supporto di funzioni essenziali o importanti 1.   Prima di stipulare un accordo contrattuale con un fornitore terzo di servizi TIC, l’entità finanziaria decide se tale fornitore terzo di servizi TIC possa subappaltare un servizio TIC a supporto di funzioni essenziali o importanti o parti significative di esse. L’entità finanziaria stipula tale accordo contrattuale solo dopo avere accertato il rispetto di tutte le condizioni seguenti: a) i processi di dovuta diligenza nei confronti del fornitore terzo di servizi TIC garantiscono che quest’ultimo sia in grado di selezionare e valutare le capacità operative e finanziarie dei potenziali subappaltatori di TIC di prestare i servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, anche partecipando, se richiesto dall’entità finanziaria, ai test di resilienza operativa digitale di cui al capo IV del regolamento (UE) 2022/2554; b) il fornitore terzo di servizi TIC è in grado di individuare tutti i subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, di notificare e informare l’entità finanziaria di tali subappaltatori nonché di fornire all’entità finanziaria tutte le informazioni necessarie ai fini della valutazione delle condizioni di cui al presente articolo; c) il fornitore terzo di servizi TIC garantisce che gli accordi contrattuali con i subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse consentano all’entità finanziaria di rispettare i propri obblighi derivanti dal regolamento (UE) 2022/2554 e dalla legislazione dell’Unione e nazionale applicabile; d) il subappaltatore concede all’entità finanziaria, alle autorità competenti e alle autorità di risoluzione gli stessi diritti contrattuali di accesso e di ispezione concessi dal fornitore terzo di servizi TIC; e) fatta salva la responsabilità finale dell’entità finanziaria di rispettare i propri obblighi giuridici e normativi, il fornitore terzo di servizi TIC stesso possiede sufficienti capacità e competenze nonché adeguate risorse finanziarie, umane e tecniche per monitorare i rischi informatici a livello dei subappaltatori, anche mediante l’applicazione di standard appropriati in materia di sicurezza delle informazioni e predisponendo una struttura organizzativa adeguata, la gestione dei rischi e controlli interni, nonché la segnalazione degli incidenti e le relative risposte; f) l’entità finanziaria possiede sufficienti capacità e competenze nonché adeguate risorse finanziarie, umane e tecniche per monitorare i rischi informatici relativi al servizio a supporto di funzioni essenziali o importanti o parti significative di esse che è stato subappaltato, anche mediante l’applicazione di standard appropriati in materia di sicurezza delle informazioni e predisponendo una struttura organizzativa adeguata nonché la gestione dei rischi, la risposta agli incidenti, la gestione della continuità operativa e controlli interni; g) l’entità finanziaria ha valutato l’impatto sulla propria resilienza operativa digitale e solidità finanziaria di un eventuale inadempimento di un subappaltatore che presta servizi TIC a supporto di funzioni essenziali o importanti o una parte significativa di esse; h) l’entità finanziaria ha valutato i rischi associati alla località in cui si trovano i potenziali subappaltatori in relazione ai servizi TIC a supporto di funzioni essenziali o importanti o una parte significativa di esse prestati dal fornitore terzo di servizi TIC; i) l’entità finanziaria ha valutato i rischi di concentrazione delle TIC a livello di entità conformemente all’articolo 29 del regolamento (UE) 2022/2554; j) l’entità finanziaria ha valutato l’esistenza di ostacoli all’esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti, delle autorità di risoluzione o dell’entità finanziaria, compresi i soggetti da esse designati. 2.   Le entità finanziarie che ricorrono a fornitori terzi di servizi di TIC che subappaltano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse effettuano periodicamente la valutazione dei rischi di cui al paragrafo 1, lettere da f) a j), a fronte di eventuali cambiamenti del loro contesto aziendale, compresi i cambiamenti delle funzioni aziendali supportate, delle valutazioni dei rischi, tra cui le minacce connesse alle TIC, i rischi di concentrazione delle TIC e i rischi geopolitici. 3.   Il fatto di fare affidamento sui risultati della valutazione dei rischi effettuata dai loro fornitori terzi di servizi TIC nei confronti dei loro subappaltatori in termini di rispetto degli obblighi di cui al presente articolo non limita la responsabilità finale delle entità finanziarie di rispettare i propri obblighi giuridici e normativi di cui al regolamento (UE) 2022/2554.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2025:532:oj#art-3