Il registro delle informazioni è un obbligo centrale di DORA: ogni ente finanziario deve mantenere e aggiornare un inventario completo di tutti gli accordi contrattuali con i fornitori terzi di servizi TIC.
Il registro delle informazioni è previsto dall'Articolo 28(3) di DORA. Si tratta di un inventario strutturato che documenta tutti gli accordi contrattuali per l'uso di servizi TIC forniti da terzi, a livello di singolo ente, di sottogruppo e di gruppo consolidato.
Il registro deve distinguere tra i servizi TIC che supportano funzioni essenziali o importanti e gli altri servizi. Costituisce la base per la vigilanza sul rischio dei fornitori terzi di servizi TIC e per la designazione dei fornitori critici.
Il Regolamento di esecuzione (UE) 2024/2956 (ITS) definisce quindici modelli interconnessi che compongono il registro. Tra i principali figurano:
I modelli successivi riguardano la catena dei subappaltatori, le persone giuridiche del gruppo e le strategie di uscita.
Le autorità competenti raccolgono i registri in un formato armonizzato. Lo standard tecnico richiesto è xBRL-CSV, ossia un insieme di file CSV strutturati secondo la tassonomia definita dalle Autorità europee di vigilanza e raccolti in un pacchetto di report conforme.
Questo formato garantisce l'interoperabilità e consente l'elaborazione automatizzata dei dati da parte delle autorità. La correttezza tecnica del file è una condizione essenziale per l'accettazione della trasmissione.
Per assicurare la qualità e la coerenza dei dati, il registro impone l'uso di vocabolari controllati e identificativi standardizzati:
Gli enti finanziari devono presentare il registro delle informazioni alle proprie autorità competenti su base almeno annuale. La prima raccolta a livello dell'Unione, coordinata dalle ESA, ha utilizzato una data di riferimento fissata e una finestra di trasmissione che, nelle prassi nazionali, si colloca tipicamente entro la fine di aprile (circa il 30 aprile).
È fondamentale verificare le istruzioni specifiche dell'autorità competente, che possono precisare la data di riferimento, le scadenze e il canale di invio applicabili a ciascun ente.
I dati raccolti tramite i registri delle informazioni alimentano il processo di designazione dei fornitori terzi critici di servizi TIC (CTPP). Sulla base di criteri quali l'impatto sistemico, la sostituibilità e il numero di enti finanziari serviti, le Autorità europee di vigilanza individuano i fornitori da sottoporre al quadro di sorveglianza dell'Unione.
Un registro accurato e completo non è quindi solo un obbligo formale: contribuisce direttamente alla mappatura della concentrazione del rischio nel sistema finanziario europeo.
Crea il tuo registro delle informazioni →
Tutti gli enti finanziari nell'ambito di DORA devono mantenere e aggiornare il registro delle informazioni a livello di singolo ente e, ove pertinente, a livello di sottogruppo e di gruppo consolidato, ai sensi dell'Articolo 28(3).
Il Regolamento di esecuzione (UE) 2024/2956 definisce quindici modelli interconnessi che documentano gli accordi contrattuali, i fornitori, le funzioni interessate, la catena dei subappaltatori e altri elementi.
Il registro deve essere trasmesso in formato xBRL-CSV: un insieme di file CSV strutturati secondo la tassonomia definita dalle Autorità europee di vigilanza e raccolti in un pacchetto di report conforme.
Il registro va presentato all'autorità competente su base almeno annuale. La finestra di trasmissione si colloca tipicamente entro la fine di aprile (circa il 30 aprile), ma occorre verificare le istruzioni specifiche dell'autorità competente.
Il codice LEI consente di identificare in modo univoco gli enti e i fornitori dotati di personalità giuridica, garantendo la qualità e la confrontabilità dei dati raccolti dalle autorità di vigilanza.
I dati dei registri alimentano la designazione dei fornitori terzi critici di servizi TIC (CTPP) da parte delle ESA, sulla base di criteri come l'impatto sistemico e la sostituibilità. Tali fornitori sono poi soggetti a sorveglianza diretta dell'Unione.
Questa pagina è un supporto professionale, non una consulenza legale. · Versione inglese