Novità NormativeRegolamento delegato (UE) 2025/532
22 luglio 2025

Regolamento delegato (UE) 2025/532

Integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC a supporto di funzioni essenziali o importanti.

Il testo, pubblicato nella GUCE del 2.7.2025, è entrato in vigore il 22 luglio 2025.

L'atto delegato specifica gli elementi che l’entità finanziaria deve determinare e valutare quando subappalta servizi ITC a supporto di FEI o parti significative di esse, prevedendo:

  • la mappatura della catena di subappalto: le entità finanziarie devono mappare l'intera catena di subappalto per i servizi TIC, identificando i fornitori critici e valutando i rischi legati alla loro localizzazione, alla concentrazione e alla continuità del servizio;
  • la valutazione dei rischi di concentrazione delle TIC a livello di entità;
  • l’esecuzione di una due diligence preventiva sui subappaltatori;
  • l’inserimento di determinate previsioni contrattuali: i contratti con i fornitori di servizi TIC devono essere più strutturati e minuziosi, indicando chiaramente i servizi che possono essere subappaltati, imponendo obblighi di comunicazione su ogni variazione rilevante (prevedendo un ragionevole termine di preavviso entro il quale l’entità finanziaria deve approvare le modifiche o opporvisi) e prevedendo il diritto di recesso in caso di violazioni sostanziali (es. subappalto non autorizzato o mancato rispetto della tolleranza al rischio);
  • sia l’entità finanziaria che il fornitore terzo di servizi TIC devono disporre di risorse finanziarie, umane e tecniche adeguate al monitoraggio continuo dei rischi informatici legati ai servizi subappaltati.

Dal Regolamento in esame emerge che il fatto di fare affidamento sui risultati della valutazione dei rischi effettuata dai fornitori terzi di servizi TIC nei confronti dei loro subappaltatori non limita la responsabilità finale delle entità finanziarie di rispettare i propri obblighi giuridici e normativi di cui al Regolamento Dora.

Il regolamento mira a eliminare la "black box" dei subappalti, richiedendo una maggiore trasparenza e la possibilità per le autorità competenti di esercitare diritti di audit, ispezione e accesso.

FONDO PENSIONE DEI DIPENDENTI DELLE SOCIETÀ DEL GRUPPO ZURIGO

Via Benigno Crespi, 23 MILANO - Cod. Fisc. 97073460152
Iscritto all'Albo dei Fondi Pensione – I Sezione Speciale n. 1089 il 23/11/99
Il Fondo è sottoposto alla vigilanza Covip
Messaggio promozionale riguardante forme pensionistiche complementari. Prima dell'adesione leggere la Parte I "Le informazioni chiave per l'aderente" e l'Appendice "Informativa sulla sostenibilità" della Nota Informativa. Maggiori informazioni sono rinvenibili nella Parte II ‘Le informazioni integrative' della Nota informativa e nello Statuto, disponibili nella sezione "Documenti del Fondo" del presente sito.