La Direttiva NIS 2, normativa gemella di DORA o, per meglio dire, un sottoinsieme di quest’ultima, rivolta a settori diversi da quello delle entità finanziarie (con pochissime eccezioni, quali il settore bancario), può essere di grande aiuto a queste ultime nel presidiare la loro catena di fornitura.
Sconto crediti fiscali
Finanziamenti e contributi
Anche se DORA si applica altresì ai fornitori ICT delle entità finanziarie, l’unica prescrizione che riguarda questi soggetti è relativa all’obbligo di formalizzare il loro rapporto con le entità finanziarie mediante un contratto.
DORA e Data Act: gli adempimenti
Per quanto riguarda tutti gli altri adempimenti atti a garantire la resilienza operativa digitale in carico alle entità finanziarie, se questi coinvolgono per la loro implementazione anche i loro fornitori ICT, per questi valgono solo i vincoli contrattuali.
Questo è vero, ad eccezione del caso nel quale un fornitore ICT non sia esso stesso soggetto alla NIS 2, nel qual caso, vista la similitudine di adempimenti richiesti fra le due normative, il vincolo contrattuale si arricchisce ed è integrato dal vincolo normativo.
I fornitori ICT soggetti alla NIS 2 dovranno pertanto mettere in atto, per obbligo normativo, la stessa tipologia di adempimenti che le entità finanziarie impongono loro a livello contrattuale.
Queste ultime possono quindi disporre di una doppia leva per imporre ai fornitori l’implementazione di una serie di adempimenti, sia quella contrattuale che normativa.
Prestito personale
Delibera veloce
Chiarito il ruolo dalla NIS 2, vediamo perché anche il Data Act assume un ruolo analogo nell’ambito del presidio della catena di fornitura.
Tuttavia, l’impatto del Data Act sulla catena di fornitura è molto più limitato e puntuale rispetto a quello della NIS 2.
In altre parole, il Data Act aiuta le entità finanziarie nel presidiare solo una precisa disposizione di DORA, fra l’altro già presente in precedenza nella normativa EBA e quindi già nota almeno al mondo bancario.
Ciò nondimeno, si tratta di uno degli adempimenti che da sempre ho ritenuto essere fra i più impattanti in assoluto in termini di impegno per la sua implementazione. E, in molti casi, un requisito molto difficile da rispettare da parte di alcune realtà.
DORA, l’obbligo rispetto alla catena di fornitura
Stiamo parlando dell’obbligo, imposto da DORA, di disporre di una strategia di uscita da parte delle entità finanziarie rispetto ai propri fornitori, con particolare riferimento alle attività svolte in outsourcing.
A ciò si aggiunge l’obbligo di testare le soluzioni di uscita individuate. Un adempimento che rivela, finalmente, la pericolosità e miopia di talune scelte imprenditoriali da parte di un’entità finanziaria, consistenti per esempio nell’affidarsi ad un unico fornitore ICT per la gestione del proprio sistema informativo.
Si tratta di un obbligo, quello di definire una strategia ed un piano di uscita (per ogni servizio esternalizzato), che probabilmente non è stato ben compreso nella sua reale portata da parte delle entità finanziarie.
Queste infatti spesso pensano di risolvere il tutto limitandosi alla compilazione di qualche riga di dati nell’ambito della valutazione di un fornitore, senza una vera e propria elaborazione di un piano di uscita.
Contabilità
Buste paga
Quest’ultimo documento, per dimensioni e complessità, non è in realtà meno complesso di un piano di continuità operativa settoriale.
Il Data Act agevola un piano di uscita rispetto alla catena di fornitura
Il Data Act è una normativa un po’ anomala in quanto a contenuti. L’articolo 1 evidenzia infatti che il numero di ambiti trattati dal Data Act è molto diversificato. Ed ognuno degli ambiti trattati è particolarmente ampio e, con molta probabilità, ancora non ben compreso dai destinatari della normativa.
Ma questo aspetto non è una novità. C’è scarsa percezione, da parte dei fornitori di prodotti e servizi ICT, del loro potenziale coinvolgimento nel rispetto dei requisiti imposti dalla normativa DORA. E ciò, indipendentemente dal fatto che fossero dei fornitori ICT diretti di una entità finanziaria.
Questo in funzione del fatto che DORA richiede il presidio dell’intera catena di ogni fornitura ICT. Non c’è quindi da stupirsi che anche molti dei destinatari del Data Act non siano coscienti di esserlo.
Articolo 1: oggetto e ambito di applicazione
Analizziamo gli ambiti citati dall’articolo 1. Il presente regolamento stabilisce norme armonizzate per quanto riguarda, tra l’altro:
- la messa a disposizione dei dati del prodotto connesso e di un servizio correlato all’utente del prodotto connesso o del servizio correlato;
- la messa a disposizione di dati da parte dei titolari dei dati ai destinatari dei dati;
- la messa a disposizione di dati da parte dei titolari dei dati agli enti pubblici, alla Commissione, alla Banca centrale europea e a organismi dell’Unione, a fronte di necessità eccezionali per tali dati, per l’esecuzione di un compito specifico svolto nell’interesse pubblico;
- la facilitazione del passaggio da un servizio di trattamento dei dati all’altro;
- l’introduzione di garanzie contro l’accesso illecito di terzi ai dati non personali;
- e lo sviluppo di norme di interoperabilità per i dati a cui accedere, da trasferire e utilizzare.
In particolare la nostra attenzione deve riguardare la lettera d) del comma 1 dell’articolo 1: la facilitazione del passaggio da un servizio di trattamento dei dati all’altro.
Il passaggio fra servizi di trattamento dei dati
Al riguardo la normativa dedica un intero capo: passaggio fra servizi di trattamento dei dati, con 9 articoli che trattano sia gli aspetti tecnici, sia quelli economici, sia quelli regolamentari di questo passaggio.
Cessione crediti fiscali
procedure celeri
Cosa prevede la normativa
In estrema sintesi la normativa prevede che i fornitori di servizi di trattamento dei dati (leggi cloud provider), come si desume dalla definizione di tale tipo di servizio:
- «servizio di trattamento dei dati»: uUn servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi;
- debbano garantire, salvo alcune eccezioni, il passaggio del servizio da un fornitore ad un altro (o la sua reinternalizzazione), così come descritto nell’articolo 23.
Articolo 23: eliminare gli ostacoli all’effettivo passaggio
I fornitori di servizi di trattamento dei dati adottano le misure di cui agli articoli 25, 26, 27, 29 e 30 per consentire ai clienti di passare a un servizio di trattamento dei dati, che copre lo stesso tipo di servizio ed è fornito da un diverso fornitore di servizi di trattamento dei dati, o a un’infrastruttura TIC locale, o, se del caso, di utilizzare più fornitori di servizi di trattamento dei dati contemporaneamente.
I fornitori di servizi di trattamento dei dati non impongono ed eliminano in particolare gli ostacoli pre commerciali, commerciali, tecnici, contrattuali e organizzativi che impediscono ai clienti di:
- risolvere, dopo il termine massimo di preavviso e il completamento positivo del processo di passaggio, conformemente all’articolo 25, il contratto del servizio di trattamento dei dati;
- concludere nuovi contratti con un altro fornitore di servizi di trattamento dei dati che coprono lo stesso tipo di servizio;
- trasferire i dati esportabili del cliente e risorse digitali a un diverso fornitore di servizi di trattamento dei dati o a un’infrastruttura TIC locale, anche dopo aver beneficiato di un’offerta gratuita;
- conformemente all’articolo 24, conseguire l’equivalenza funzionale nell’utilizzo del nuovo servizio di trattamento dei dati nell’ambiente informatico di un altro fornitore di servizi di trattamento dei dati che copre il servizio equivalente;
- disaggregare, ove tecnicamente fattibile, i servizi di trattamento dei dati di cui all’articolo 30, paragrafo 1, da altri servizi di trattamento dei dati forniti dal fornitore di servizi di trattamento dei dati.
L’obbligo normativo del fornitore
In parole povere, la possibilità di passare da un fornitore all’altro, relativamente a questa specifica fattispecie di fornitura, grazie al Data Act si trasforma da un problema in gestione alla entità finanziaria a un obbligo normativo del fornitore.
Da notare che il Data Act prevede espressamente le due diverse fattispecie previste anche dalla normativa DORA (art. 30.3.f) in merito alle strategie di uscita:
- f) le strategie di uscita, in particolare la definizione di un adeguato periodo di transizione obbligatorio: ii) che permetta all’entità finanziaria di migrare verso un altro fornitore terzo di servizi Tlc oppure di adottare soluzioni interne coerenti con la complessità del servizio prestato.
Particolarmente interessante il fatto che il Data Act regoli anche il prezzo che può essere richiesto per questo tipo di operazione da parte del fornitore di servizi. Tale prezzo, a partire dal 12 gennaio 2027, dovrà essere pari a zero, come prevede l’articolo 29.
Prestito personale
Delibera veloce
Articolo 29: abolizione graduale delle tariffe di passaggio
A decorrere dal 12 gennaio 2027, i fornitori di servizi di trattamento dei dati non impongono al cliente tariffe di passaggio per il processo di passaggio ad altri fornitori.
Quindi non solo il Data Act permette di risolvere uno degli adempimenti di DORA più significativi nell’ambito della gestione della catena di fornitura, ma annulla anche i costi ad esso associati.
Full outsourcing
Grazie al Data Act, una banca che è in full outsourcing presso un fornitore di servizi che offra applicazioni standard [1] per svolgere l’attività bancaria, non dovrà più preoccuparsi di questa scelta.
Sarà infatti responsabilità di tale fornitore il garantire la portabilità dei suoi servizi verso un concorrente.
Ma c’è anche un altro aspetto del Data Act molto rilevante ai fini di DORA.
Articolo 34: interoperabilità ai fini di un uso in parallelo dei servizi di trattamento dei dati
Un altro capo della normativa è infatti dedicato all’interoperabilità, come meglio specificato in particolare negli articoli 34 e 35:
- i requisiti di cui agli articoli 23 e 24, all’articolo 25, paragrafo 2, lettera a), punti ii) e iv), all’articolo 25, paragrafo 2, lettere e) ed f), e all’articolo 30, paragrafi 2, 3, 4 e 5, si applicano mutatis mutandis anche ai fornitori di servizi di trattamento dei dati per facilitare l’interoperabilità ai fini di un uso in parallelo dei servizi di trattamento dei dati;
- se un servizio di trattamento dei dati viene utilizzato parallelamente a un altro servizio di trattamento dei dati, i fornitori di servizi di trattamento dei dati possono imporre tariffe di uscita dei dati, ma solo al fine di ribaltare i costi di uscita sostenuti, senza superarli.
L’articolo 35: interoperabilità dei servizi di trattamento dei dati
Le specifiche di interoperabilità aperte e le norme armonizzate per l’interoperabilità dei servizi di trattamento dei dati:
Finanziamo agevolati
Contributi per le imprese
- conseguono ove tecnicamente fattibile, l’interoperabilità tra diversi servizi di trattamento dei dati che riguardano lo stesso tipo di servizio;
- aumentano la portabilità delle risorse digitali tra diversi servizi di trattamento dei dati che riguardano lo stesso tipo di servizio;
- facilitano, ove tecnicamente fattibile, l’equivalenza funzionale tra i diversi servizi di trattamento dei dati di cui all’articolo 30, paragrafo 1, che riguardano lo stesso tipo di servizio;
- non incidono negativamente sulla sicurezza e sull’integrità dei servizi di trattamento dei dati e dei dati stessi;
- sono concepite in modo tale da consentire i progressi tecnologici e l’inclusione di nuove funzioni e innovazioni nei servizi di trattamento dei dati.
Interoperabilità: le specifiche
Le specifiche di interoperabilità aperte e le norme armonizzate per l’interoperabilità dei servizi di trattamento dei dati contemplano adeguatamente:
- gli aspetti di interoperabilità del cloud per quanto riguarda l’interoperabilità del trasporto, quella sintattica, quella semantica dei dati, l’interoperabilità comportamentale e l’interoperabilità in conformità del quadro organizzativo, giuridico e strategico (policy interoperability);
- gli aspetti della portabilità dei dati su cloud per quanto riguarda la portabilità sintattica dei dati, la portabilità semantica dei dati e la portabilità dei dati in conformità del quadro organizzativo, giuridico e strategico (data policy portability);
- gli aspetti delle applicazioni su cloud per quanto riguarda la portabilità sintattica delle applicazioni, quella delle istruzioni delle applicazioni, la portabilità dei metadati delle applicazioni, quella del comportamento delle applicazioni e quella delle applicazioni in conformità del quadro organizzativo, giuridico e strategico (application policy portability).
Conclusioni
È molto facile intuire come le prescrizioni di tali articoli possano favorire l’implementazione di soluzione atte a garantire la resilienza dei servizi esternalizzati basata sulla ridondanza dei fornitori.
Il Data Act è quindi un formidabile strumento a disposizione delle entità finanziarie per garantire un più facile rispetto della normativa DORA.
Note
[1] Articolo 31: Regime specifico per taluni servizi di trattamento dei dati. Gli obblighi di cui all’articolo 23, lettera d), all’articolo 29 e all’articolo 30, paragrafi 1 e 3, non si applicano ai servizi di trattamento dei dati le cui caratteristiche principali siano state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente, o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente, e qualora tali servizi di trattamento dei dati non siano offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore di servizi di trattamento dei dati.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Opportunità uniche acquisto in asta
ribassi fino al 70%
