Recolha de informação para designação de Terceiros Prestadores de Serviços de TIC críticos ao abrigo do Regulamento DORA
A 27 de dezembro de 2022, foi publicado o Regulamento (UE) 2022/2554, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que estabelece um quadro de resiliência operacional digital comum ao setor financeiro (doravante, Regulamento DORA) e que será aplicável a partir de 17 de janeiro de 2025.
Este regulamento, conforme disposto no n.º 3 do seu artigo 28.º, exige que todas as entidades financeiras sob o seu âmbito mantenham e atualizem um registo de informações em relação a todos os acordos contratuais relativos à utilização de serviços de tecnologias da informação e comunicação (TIC) prestados por terceiros prestadores de serviços de TIC.
Adicionalmente, prevê a alínea a) do n.º 1 do artigo 30.º do Regulamento DORA a designação pelas Autoridades Europeias de Supervisão (ESA) de terceiros prestadores de serviços de TIC que são críticos para as entidades financeiras.
Nesta sequência, as ESA publicaram, no passado dia 15 de novembro de 2024, uma Decisão sobre a informação que as autoridades competentes devem reportar àquelas Autoridades para a designação de terceiros prestadores de serviços de TIC críticos ao abrigo do Regulamento DORA.
Em particular, a referida Decisão determina o reporte pelas autoridades competentes, até 30 de abril de 2025, dos registos de informações sobre os acordos contratuais das entidades financeiras com terceiros prestadores de serviços de TIC. Para o efeito, as autoridades competentes deverão solicitar os registos de informações às entidades supervisionadas previamente à referida data.
Embora as normas técnicas de execução sobre o registo de informações ainda não tenham sido adotadas pela Comissão Europeia, nota-se que eventuais alterações ao projeto de normas técnicas publicado pelas ESA1 decorrentes da sua rejeição por aquela instituição e do Parecer de resposta das ESA2 deverão ser limitadas.
Neste sentido, com a presente nota de informação, a ASF pretende alertar as entidades financeiras por si supervisionadas que estão abrangidas pelo Regulamento DORA para os requisitos constantes do referido projeto de normas técnicas de execução e para a necessidade de antecipar, na medida do possível, a preparação dos registos de informação.
A Decisão das ESA pode ser consultada aqui.
(1) Disponível em https://www.eiopa.europa.eu/esas-publish-first-set-rules-under-dora-ict-and-third-party-risk-management-and-incident-2024-01-17_en.
(2) Disponível em https://www.eba.europa.eu/publications-and-media/press-releases/esas-respond-european-commissions-rejection-technical-standards-registers-information-under-digital.