Come si seleziona un fornitore IT critico secondo DORA: la checklist operativa
- 1 giorno fa
- Tempo di lettura: 3 min
Se un fornitore ICT critico non è contrattualizzato correttamente secondo i requisiti di DORA, le conseguenze possono essere gravi. Si rischiano audit non superati, sanzioni amministrative e danni reputazionali. Per chi gestisce vendor selection IT bancario, questo significa dover affrontare rischi operativi e normativi che possono compromettere la continuità del servizio e la compliance regolamentare.
In SR Infotech, con oltre 20 anni di esperienza in progetti mission-critical per banche, SGR, FinTech e operatori finanziari, abbiamo visto spesso come una selezione e contrattualizzazione superficiale di fornitori ICT critici porti a problemi concreti. Per questo motivo, vogliamo condividere una checklist operativa, pratica e precisa, per aiutare i responsabili IT e procurement a gestire correttamente il processo di vendor selection e contrattualizzazione secondo DORA.
Definizione di fornitore ICT critico secondo DORA
DORA (Digital Operational Resilience Act) definisce un fornitore ICT critico come un soggetto esterno che fornisce servizi o prodotti ICT essenziali per le operazioni di un intermediario finanziario. Questi fornitori hanno un impatto diretto sulla resilienza operativa e sulla sicurezza dei dati.
Per identificare un fornitore ICT critico, bisogna valutare:
L’importanza del servizio o prodotto ICT per le funzioni core dell’istituto.
Il livello di dipendenza operativa dal fornitore.
La possibilità che un’interruzione del servizio impatti la continuità operativa o la sicurezza.
La presenza di dati sensibili o regolamentati gestiti dal fornitore.
In pratica, un fornitore ICT critico può essere un provider di infrastrutture cloud, un gestore di piattaforme di pagamento, o un fornitore di software per la gestione del rischio.
Clausole contrattuali obbligatorie secondo DORA
Il contratto con un fornitore ICT critico deve includere clausole specifiche per garantire la conformità a DORA e tutelare l’istituto finanziario. Ecco le principali:
Definizione chiara del servizio: descrizione dettagliata dei servizi ICT forniti, livelli di servizio (SLA) e metriche di performance.
Requisiti di sicurezza e resilienza: obblighi del fornitore in materia di sicurezza informatica, gestione degli incidenti e continuità operativa.
Diritto di audit: possibilità per l’istituto o per enti terzi di effettuare controlli periodici sulle attività del fornitore.
Gestione del rischio e segnalazione: obbligo di comunicare tempestivamente eventi che possano impattare la continuità o la sicurezza.
Piano di exit strategy: modalità di uscita dal contratto e trasferimento dei dati e servizi senza interruzioni.
Queste clausole non sono opzionali. Devono essere integrate nel contratto fornitore DORA per evitare rischi di non conformità.
Contratto con clausole DORA firmato da responsabile IT
Criteri di valutazione del rischio per il fornitore ICT critico
La valutazione del rischio è un passaggio fondamentale nella vendor selection IT bancario. Non basta scegliere un fornitore con un’offerta tecnologica valida. Bisogna analizzare:
Stabilità finanziaria: il fornitore deve avere solidità economica per garantire continuità.
Capacità di gestione degli incidenti: verificare la presenza di procedure documentate e testate.
Conformità normativa: il fornitore deve rispettare normative europee e italiane, inclusi GDPR e DORA.
Localizzazione dei dati: preferire fornitori che garantiscano la gestione dei dati in aree giuridicamente sicure.
Subappaltatori e terze parti: valutare la catena di fornitura e i rischi associati.
In SR Infotech, utilizziamo metodologie di assessment che integrano questi criteri con analisi quantitative e qualitative, per fornire un quadro completo del rischio.
Diritto di audit e controllo continuo
DORA impone che il contratto con il fornitore ICT critico preveda il diritto di audit. Questo significa che l’istituto finanziario deve poter:
Accedere a documenti, report e sistemi del fornitore.
Effettuare ispezioni in loco o remote.
Verificare la conformità ai requisiti di sicurezza e resilienza.
Monitorare l’aderenza agli SLA.
Il diritto di audit deve essere esercitabile anche da enti regolatori o da terze parti incaricate. È importante definire nel contratto le modalità, la frequenza e i limiti di tali audit per evitare conflitti.
Audit IT su infrastruttura critica di un fornitore
Piano di exit strategy per garantire la continuità
Un piano di exit strategy è essenziale per gestire la fine del rapporto con un fornitore ICT critico senza rischi per l’istituto. Deve prevedere:
Procedure per il trasferimento dei dati e delle applicazioni.
Tempi e modalità di dismissione dei servizi.
Garanzie sulla cancellazione sicura dei dati.
Supporto tecnico durante la transizione.
Clausole per evitare lock-in tecnologici.
Questo piano deve essere testato periodicamente con esercitazioni pratiche. Solo così si può garantire che, in caso di necessità, il passaggio a un nuovo fornitore o la gestione interna avvenga senza interruzioni.
Conclusione
Selezionare un fornitore ICT critico secondo DORA richiede rigore e attenzione ai dettagli. La checklist operativa che abbiamo condiviso aiuta a evitare errori comuni e a costruire contratti solidi, conformi e sicuri.
In SR Infotech supportiamo i responsabili IT e procurement nella vendor selection IT bancario, offrendo consulenza specializzata per affrontare con successo i requisiti di DORA e l’outsourcing ICT regolamentato.
Se vuoi mettere al sicuro la tua organizzazione da audit e sanzioni, contattaci per una consulenza dedicata.
Commenti