DORA richiede agli enti finanziari di presidiare il rischio ICT di terze parti. Anche i fornitori devono quindi produrre evidenze coerenti, aggiornate e facilmente condivisibili.
Governance ICT e responsabilita'
Includi policy, ruoli, metriche e processi di escalation. Il cliente deve capire chi prende decisioni, come vengono approvati i cambiamenti e come vengono monitorati i rischi.
Incidenti, continuita' e test
Prepara procedure di incident management, esempi di notifiche, risultati di test di continuita' e piani di miglioramento. Le evidenze devono mostrare non solo il documento, ma anche l'esecuzione.
Subfornitori e outsourcing chain
Elenca i subfornitori critici, la localizzazione dei dati, i controlli contrattuali e il processo di review periodica. Per servizi cloud o managed service, chiarisci responsabilita' condivise e SLA.
Struttura consigliata del pack
- Executive summary per procurement e risk owner.
- Control register DORA con mapping evidenze.
- Report incidenti e business continuity.
- Registro subfornitori critici.
- Remediation aperte con stato e data target.