Le Autorità di Vigilanza Europee (EBA, EIOPA ed ESMA – le ESAs) pubblicano oggi l’elenco dei fornitori di terze parti ICT critici designati (CTPP) ai sensi del Digital Operational Resilience Act (DORA). Questa designazione rappresenta un passo cruciale nell’implementazione del quadro di vigilanza previsto dal DORA.
L’elenco dei CTPP designati dalle ESAs è accessibile tramite questo https://www.eba.europa.eu/sites/default/files/2025-11/e388451b-356b-408a-bbf2-b8e425865d75/List%20of%20designated%20CTPPs.pdf .
Il processo di designazione ha seguito la metodologia prevista dal DORA.
In primo luogo, le ESAs hanno raccolto dati dai Registri delle Informazioni tenuti dalle entità finanziarie, che dettagliano i loro accordi contrattuali relativi ai servizi ICT.
In secondo luogo, le ESAs hanno condotto una valutazione dettagliata della criticità in collaborazione con le Autorità Competenti (CAs) di tutta l’UE nei settori bancario, assicurativo e previdenziale, e dei mercati e strumenti finanziari. Tale valutazione è stata effettuata in conformità ai criteri multifattoriali stabiliti dal DORA, che richiedono una valutazione completa dell’importanza sistemica di un fornitore, del suo ruolo nel supportare funzioni critiche o importanti per le entità finanziarie e del livello di sostituibilità dei suoi servizi.
In terzo luogo, i fornitori ICT di terze parti considerati critici sono stati formalmente notificati, dopo di che hanno potuto esercitare il diritto di essere ascoltati presentando una dichiarazione motivata. Le decisioni finali di designazione sono state adottate dopo un’attenta revisione di tutte le informazioni rilevanti, garantendo l’integrità del processo.
I CTPP designati forniscono una gamma di servizi ICT (ad esempio, dall’infrastruttura principale ai servizi aziendali e dati) a entità finanziarie di tutti i tipi e dimensioni nell’Unione Europea, riflettendo il loro ruolo centrale all’interno dell’ecosistema finanziario.
L’obiettivo del Quadro di Vigilanza DORA, affidato alle ESAs, è promuovere una gestione solida del rischio ICT da parte dei fornitori critici. Attraverso un coinvolgimento diretto di vigilanza, le ESAs valuteranno se i CTPP dispongono di adeguati framework di gestione del rischio e di governance per garantire la resilienza dei servizi che forniscono alle entità finanziarie. Questo serve a mitigare i rischi che potrebbero influire sulla resilienza operativa del settore finanziario dell’UE.
Le ESAs continueranno a interagire con i CTPP nel corso delle future attività di esame.
