Il quinto e ultimo pilastro del Regolamento DORA affronta un tema sempre più rilevante per il settore finanziario: la dipendenza dagli ICT Third-Party Service Providers (TPSP). Gli intermediari raramente operano in totale autonomia, bensì dipendono da una rete complessa di fornitori di servizi ICT – da provider di infrastrutture cloud a specialisti di cybersecurity, da gestori di payment a software vendor.
Tale dipendenza è sia tecnologica che strategica, in quanto il corretto svolgimento dei processi core dell’intermediario è strettamente legato alla disponibilità, all’affidabilità e alla sicurezza dei servizi ICT erogati da terzi, la cui garanzia di continuità è dunque un requisito chiave.
Tale dipendenza espone gli intermediari a rischi significativi, che devono essere coerentemente valutati e gestiti per l’intera durata del ciclo di vita degli accordi contrattuali: dalla fase di selezione del TPSP ICT e di stesura delle clausole contrattuali, fino alla fase di monitoraggio e risoluzione del rapporto.