Registro dei fornitori ICT secondo DORA: cosa contiene

Tra gli obblighi del regolamento DORA, il registro delle informazioni sui fornitori terzi di servizi ICT è uno dei più concreti — e spesso uno dei più sottovalutati.

Che cos'è il registro dei fornitori ICT

È un registro che ogni entità finanziaria deve tenere e mantenere aggiornato, con tutte le informazioni sugli accordi contrattuali per l'uso di servizi ICT forniti da terzi. Serve all'entità per governare il rischio di terze parti e alle autorità di vigilanza per avere visibilità sulle dipendenze del settore.

Quali informazioni contiene

Il registro raccoglie, in forma strutturata, elementi come:

• l'anagrafica del fornitore e del gruppo di appartenenza;
• la tipologia di servizio ICT fornito;
• se il servizio supporta una funzione essenziale o importante;
• la catena di subfornitura rilevante;
• date, durata e condizioni di uscita dei contratti.

Perché è impegnativo

Il registro non è un documento statico: va aggiornato quando cambiano contratti, fornitori o subfornitori. Le difficoltà tipiche sono:

• informazioni sparse tra contratti, uffici acquisti e funzioni IT;
• mappatura incompleta dei subfornitori;
• difficoltà a collegare un fornitore alla funzione di business che supporta.

Come tenerlo aggiornato

La chiave è trattare il registro come un dato vivo, alimentato dalle fonti contrattuali e organizzative reali. Consolidare contratti, policy ed evidenze in un'unica base di conoscenza interrogabile — come abilita la piattaforma SinergIA con il RAG privato — permette di estrarre e verificare le informazioni del registro con tracciabilità fino al documento di origine.

In sintesi

Il registro dei fornitori ICT è il modo in cui DORA rende visibile il rischio di terze parti. Tenerlo accurato e aggiornato è tanto un tema di processo quanto di gestione della conoscenza.

Approfondisci il regolamento DORA.

---

Questa guida ha scopo informativo e non costituisce consulenza legale.