REGOLAMENTO DELEGATO (UE) 2025/532 DELLA COMMISSIONE, 24 marzo 2025
G.U.U.E. 2 luglio 2025, Serie L
Regolamento che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano gli elementi che l'entità finanziaria deve determinare e valutare quando subappalta servizi TIC a supporto di funzioni essenziali o importanti. (Testo rilevante ai fini del SEE)
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 22 luglio 2025
Applicabile dal: 22 luglio 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (1), in particolare l'articolo 30, paragrafo 5, quarto comma,
considerando quanto segue:
1) La fornitura di servizi TIC a entità finanziarie dipende spesso da una complessa catena di subappaltatori di TIC ove i fornitori terzi di servizi TIC possono stipulare uno o più accordi di subappalto con altri fornitori terzi di servizi TIC. Il ricorso indiretto a subappaltatori di TIC può avere un impatto sulla capacità dell'entità finanziaria di individuare, valutare e gestire i propri rischi, compresi i rischi connessi alle lacune nelle informazioni fornite dai fornitori terzi di servizi TIC, nonché sulla limitata capacità dell'entità finanziaria di ottenere informazioni dai subappaltatori di TIC che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse. A tale riguardo, qualora la fornitura di servizi TIC a entità finanziarie dipenda da una catena potenzialmente lunga o complessa di subappaltatori di TIC, è essenziale che le entità finanziarie individuino l'intera catena di subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti.
2) Tra i subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti, le entità finanziarie dovrebbero concentrarsi in modo particolare e continuativo su quelli che svolgono un ruolo effettivo nel servizio TIC a supporto di funzioni essenziali o importanti, compresi tutti i subappaltatori che prestano servizi TIC la cui perturbazione comprometterebbe la sicurezza o la continuità del servizio, come stabilito nel registro delle informazioni di cui all'articolo 28, paragrafo 3, del regolamento (UE) 2022/2554.
3) Le entità finanziarie variano notevolmente per dimensioni, struttura, organizzazione interna, natura e complessità delle loro attività. Al fine di garantire la proporzionalità, è opportuno tenere conto di tale diversità in sede di specificazione degli elementi che l'entità finanziaria dovrebbe determinare e valutare quando subappalta servizi TIC a supporto di funzioni essenziali o importanti.
4) Se consentito dalle entità finanziarie conformemente all'articolo 30, paragrafo 2, del regolamento (UE) 2022/2554, l'utilizzo di servizi TIC subappaltati a supporto di funzioni essenziali o importanti da parte di fornitori terzi di servizi TIC non può limitare la responsabilità finale degli organi di gestione delle entità finanziarie di gestire i loro rischi e di rispettare i loro obblighi legislativi e normativi. Laddove sia consentito il subappalto di servizi TIC a supporto di funzioni essenziali o importanti, è importante che le entità finanziarie abbiano una visione chiara e olistica dei rischi associati al subappalto di servizi a supporto di funzioni essenziali o importanti, affinché siano in grado di monitorare, gestire e attenuare tali rischi. Esse dovrebbero pertanto valutare tali rischi prima di subappaltare i servizi in questione.
5) I subappaltatori intragruppo di TIC che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, compresi i subappaltatori intragruppo di TIC interamente o collettivamente di proprietà di entità finanziarie nell'ambito dello stesso sistema di tutela istituzionale, dovrebbero essere considerati subappaltatori di TIC.
6) Se del caso, nel contesto di un gruppo, l'impresa madre di entità finanziarie dovrebbe garantire che la politica in materia di ricorso a subappaltatori di TIC che prestano servizi TIC a supporto di funzioni essenziali o importanti o una parte significativa di esse sia applicata in modo uniforme e coerente all'interno del gruppo.
7) E' importante garantire una gestione completa dei rischi che possono insorgere in caso di subappalto di servizi TIC a supporto di funzioni essenziali o importanti. Per tale motivo, le entità finanziarie dovrebbero seguire le fasi del ciclo di vita di un accordo contrattuale per l'utilizzo di servizi TIC a supporto di tali funzioni prestati da fornitori terzi di servizi TIC, anche per quanto riguarda gli accordi di subappalto. E' pertanto necessario stabilire requisiti per le entità finanziarie che dovrebbero riflettersi nei loro accordi contrattuali con i fornitori terzi di servizi TIC in cui è consentito l'utilizzo di servizi TIC subappaltati a supporto di funzioni essenziali o importanti.
8) Per attenuare i rischi connessi al subappalto è necessario specificare le condizioni alle quali i fornitori terzi di servizi TIC possono ricorrere a subappaltatori per la fornitura di servizi TIC a supporto di funzioni essenziali o importanti. A tal fine, gli accordi contrattuali in materia di TIC tra entità finanziarie e fornitori terzi di servizi TIC dovrebbero stabilire tali condizioni, tra cui la pianificazione degli accordi di subappalto, le valutazioni dei rischi, la dovuta diligenza e il processo di approvazione di nuovi accordi di subappalto di TIC per i servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, o le modifiche sostanziali apportate a quelli esistenti dal fornitore terzo di servizi TIC.
9) Al fine di individuare i rischi che potrebbero insorgere prima che l'entità finanziaria stipuli un accordo con un subappaltatore di TIC, i fornitori terzi di servizi TIC dovrebbero valutare, in modo appropriato e proporzionale, l'idoneità dei potenziali subappaltatori sulla base degli accordi contrattuali in materia di TIC conclusi dal fornitore terzo di servizi TIC con l'entità finanziaria. Tali accordi contrattuali in materia di TIC dovrebbero pertanto imporre al fornitore terzo di servizi TIC, o direttamente all'entità finanziaria, a seconda del caso, di valutare le risorse del potenziale subappaltatore, tra cui le sue competenze e disponibilità di risorse finanziarie, umane e tecniche adeguate, la sicurezza delle informazioni e la struttura organizzativa, compresi la gestione dei rischi e i controlli interni di cui il subappaltatore dovrebbe disporre.
10) Al fine di attenuare le vulnerabilità e le minacce che possono comportare rischi per i loro sistemi e le loro operazioni TIC, le entità finanziarie dovrebbero poter monitorare le prestazioni del servizio TIC ed essere informate di eventuali modifiche pertinenti nella loro catena di subappalto delle TIC qualora tali modifiche riguardino funzioni essenziali o importanti.
11) Al fine di consentire alle entità finanziarie di valutare i rischi associati agli accordi di subappalto o alle relative modifiche sostanziali, i fornitori terzi di servizi TIC dovrebbero informare le entità finanziarie alle quali prestano servizi TIC di tutti i nuovi accordi o delle modifiche ben prima che tali accordi o modifiche inizino ad applicarsi. Per lo stesso motivo, le entità finanziarie dovrebbero avere il diritto di risolvere il contratto con il fornitore terzo di servizi TIC qualora il risultato della loro valutazione dei rischi dimostri che i nuovi accordi o le modifiche sostanziali comportano un livello di rischio superiore alla loro tolleranza al rischio.
12) Le autorità europee di vigilanza hanno condotto una consultazione pubblica sul progetto di norme tecniche di regolamentazione su cui si basa il presente regolamento, ne hanno analizzato i potenziali costi e benefici e hanno chiesto la consulenza dei gruppi delle parti interessate delle autorità europee di vigilanza, istituiti in conformità dell'articolo 37 del regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (2), dell'articolo 37 del regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio (3) e dell'articolo 37 del regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (4).
13) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (5), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 20 agosto 2024,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 333 del 27.12.2022, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/78/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
Regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/79/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
Regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l'Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati), modifica la decisione n. 716/2009/CE e abroga la decisione 2009/77/CE della Commissione (GU L 331 del 15.12.2010, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Profilo di rischio complessivo e complessità
Le entità finanziarie tengono conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e degli elementi di maggiore o minore complessità dei loro servizi, delle loro attività e della loro operatività, compresi gli elementi relativi a quanto segue:
a) il tipo di servizi TIC a supporto di funzioni essenziali o importanti inclusi nell'accordo contrattuale tra l'entità finanziaria e il fornitore terzo di servizi TIC;
b) il tipo di servizi TIC inclusi nell'accordo contrattuale tra il fornitore terzo di servizi TIC e i suoi subappaltatori;
c) la sede del subappaltatore di TIC che fornisce servizi TIC a supporto di funzioni essenziali o importanti o una parte significativa di esse, o la sede della sua impresa madre;
d) la lunghezza e la complessità della catena di subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse utilizzati dal fornitore terzo di servizi TIC;
e) la natura dei dati condivisi con i subappaltatori di TIC che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse;
f) se i servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse sono prestati da subappaltatori situati all'interno di uno Stato membro o in un paese terzo, considerando anche il luogo in cui i servizi TIC sono effettivamente prestati e il luogo in cui i dati sono effettivamente trattati e conservati;
g) se i subappaltatori di TIC che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse fanno parte dello stesso gruppo dell'entità finanziaria cui sono prestati tali servizi;
h) se i subappaltatori di TIC che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse sono autorizzati, registrati o soggetti a vigilanza o sorveglianza da parte di un'autorità competente in uno Stato membro o sono soggetti al quadro di sorveglianza di cui al capo V, sezione II, del regolamento (UE) 2022/2554;
i) se i fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse stesse sono autorizzati, registrati o soggetti a vigilanza o sorveglianza da parte di un'autorità di vigilanza di un paese terzo;
j) se la fornitura di servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse è concentrata su un unico subappaltatore di un fornitore terzo di servizi TIC o su un numero ridotto di tali subappaltatori;
k) se il subappalto di servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse inciderebbe sulla trasferibilità di tali servizi TIC a un altro fornitore terzo di servizi TIC;
l) il potenziale impatto di perturbazioni sulla continuità e sulla disponibilità dei servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse prestati dal fornitore terzo di servizi TIC quando questi ricorre a un subappaltatore che presta servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse.
Applicazione a livello di gruppo
Quando il presente regolamento si applica su base subconsolidata o consolidata, l'impresa madre responsabile della redazione del bilancio consolidato o subconsolidato del gruppo garantisce che le condizioni per subappaltare l'utilizzo di servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, laddove il subappalto sia consentito dagli accordi contrattuali sull'utilizzo dei servizi TIC, siano attuate in modo coerente in tutte le entità finanziarie che fanno parte del gruppo e siano adeguate per l'efficace applicazione del presente regolamento a tutti i livelli pertinenti.
Dovuta diligenza e valutazione dei rischi per quanto riguarda il ricorso a subappaltatori a supporto di funzioni essenziali o importanti
1. Prima di stipulare un accordo contrattuale con un fornitore terzo di servizi TIC, l'entità finanziaria decide se tale fornitore terzo di servizi TIC possa subappaltare un servizio TIC a supporto di funzioni essenziali o importanti o parti significative di esse. L'entità finanziaria stipula tale accordo contrattuale solo dopo avere accertato il rispetto di tutte le condizioni seguenti:
a) i processi di dovuta diligenza nei confronti del fornitore terzo di servizi TIC garantiscono che quest'ultimo sia in grado di selezionare e valutare le capacità operative e finanziarie dei potenziali subappaltatori di TIC di prestare i servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, anche partecipando, se richiesto dall'entità finanziaria, ai test di resilienza operativa digitale di cui al capo IV del regolamento (UE) 2022/2554;
b) il fornitore terzo di servizi TIC è in grado di individuare tutti i subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, di notificare e informare l'entità finanziaria di tali subappaltatori nonché di fornire all'entità finanziaria tutte le informazioni necessarie ai fini della valutazione delle condizioni di cui al presente articolo;
c) il fornitore terzo di servizi TIC garantisce che gli accordi contrattuali con i subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse consentano all'entità finanziaria di rispettare i propri obblighi derivanti dal regolamento (UE) 2022/2554 e dalla legislazione dell'Unione e nazionale applicabile;
d) il subappaltatore concede all'entità finanziaria, alle autorità competenti e alle autorità di risoluzione gli stessi diritti contrattuali di accesso e di ispezione concessi dal fornitore terzo di servizi TIC;
e) fatta salva la responsabilità finale dell'entità finanziaria di rispettare i propri obblighi giuridici e normativi, il fornitore terzo di servizi TIC stesso possiede sufficienti capacità e competenze nonché adeguate risorse finanziarie, umane e tecniche per monitorare i rischi informatici a livello dei subappaltatori, anche mediante l'applicazione di standard appropriati in materia di sicurezza delle informazioni e predisponendo una struttura organizzativa adeguata, la gestione dei rischi e controlli interni, nonché la segnalazione degli incidenti e le relative risposte;
f) l'entità finanziaria possiede sufficienti capacità e competenze nonché adeguate risorse finanziarie, umane e tecniche per monitorare i rischi informatici relativi al servizio a supporto di funzioni essenziali o importanti o parti significative di esse che è stato subappaltato, anche mediante l'applicazione di standard appropriati in materia di sicurezza delle informazioni e predisponendo una struttura organizzativa adeguata nonché la gestione dei rischi, la risposta agli incidenti, la gestione della continuità operativa e controlli interni;
g) l'entità finanziaria ha valutato l'impatto sulla propria resilienza operativa digitale e solidità finanziaria di un eventuale inadempimento di un subappaltatore che presta servizi TIC a supporto di funzioni essenziali o importanti o una parte significativa di esse;
h) l'entità finanziaria ha valutato i rischi associati alla località in cui si trovano i potenziali subappaltatori in relazione ai servizi TIC a supporto di funzioni essenziali o importanti o una parte significativa di esse prestati dal fornitore terzo di servizi TIC;
i) l'entità finanziaria ha valutato i rischi di concentrazione delle TIC a livello di entità conformemente all'articolo 29 del regolamento (UE) 2022/2554;
j) l'entità finanziaria ha valutato l'esistenza di ostacoli all'esercizio dei diritti di audit, ispezione e accesso da parte delle autorità competenti, delle autorità di risoluzione o dell'entità finanziaria, compresi i soggetti da esse designati.
2. Le entità finanziarie che ricorrono a fornitori terzi di servizi di TIC che subappaltano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse effettuano periodicamente la valutazione dei rischi di cui al paragrafo 1, lettere da f) a j), a fronte di eventuali cambiamenti del loro contesto aziendale, compresi i cambiamenti delle funzioni aziendali supportate, delle valutazioni dei rischi, tra cui le minacce connesse alle TIC, i rischi di concentrazione delle TIC e i rischi geopolitici.
3. Il fatto di fare affidamento sui risultati della valutazione dei rischi effettuata dai loro fornitori terzi di servizi TIC nei confronti dei loro subappaltatori in termini di rispetto degli obblighi di cui al presente articolo non limita la responsabilità finale delle entità finanziarie di rispettare i propri obblighi giuridici e normativi di cui al regolamento (UE) 2022/2554.
Condizioni alle quali possono essere subappaltati servizi TIC a supporto di funzioni essenziali o importanti o una parte significativa di esse
1. L'accordo contrattuale stipulato tra l'entità finanziaria e il fornitore terzo di servizi TIC individua i servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse ammissibili al subappalto e le relative condizioni. Tale contratto specifica:
a) che il fornitore terzo di servizi TIC è responsabile della fornitura dei servizi prestati dai subappaltatori;
b) che il fornitore terzo di servizi TIC è tenuto a monitorare tutti i servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse subappaltati, al fine di garantire il costante rispetto dei propri obblighi contrattuali nei confronti dell'entità finanziaria;
c) gli obblighi di monitoraggio e di comunicazione del fornitore terzo di servizi TIC nei confronti dell'entità finanziaria per quanto riguarda i subappaltatori che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse;
d) che il fornitore terzo di servizi TIC è tenuto a valutare tutti i rischi associati alla località in cui si trovano i subappaltatori attuali o potenziali che prestano servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse, e in cui si trova la loro impresa madre e al luogo da cui il servizio TIC in questione è prestato;
e) il luogo in cui i dati sono trattati o conservati dal subappaltatore, se del caso;
f) che il fornitore terzo di servizi TIC è tenuto a specificare nel contratto con i propri subappaltatori gli obblighi di monitoraggio e di comunicazione di tale subappaltatore nei confronti del fornitore terzo di servizi TIC e, se concordato, nei confronti dell'entità finanziaria;
g) che il fornitore terzo di servizi TIC è tenuto a garantire la continuità dei servizi TIC a supporto di funzioni essenziali o importanti lungo tutta la catena dei subappaltatori in caso di mancato adempimento da parte di un subappaltatore di TIC dei propri obblighi contrattuali;
h) che l'accordo contrattuale tra il fornitore terzo di servizi TIC e i propri subappaltatori comprende gli obblighi relativi ai piani operativi d'emergenza di cui all'articolo 30, paragrafo 3, lettera c), del regolamento (UE) 2022/2554 e specifica i livelli di servizio che i subappaltatori di TIC devono rispettare in relazione a tali piani;
i) che l'accordo contrattuale tra il fornitore terzo di servizi TIC e i propri subappaltatori specifica le norme di sicurezza delle TIC e gli eventuali requisiti di sicurezza supplementari di cui all'articolo 30, paragrafo 3, lettera c), del regolamento (UE) 2022/2554;
j) che il subappaltatore concede all'entità finanziaria e alle autorità competenti e autorità di risoluzione interessate gli stessi diritti di accesso, ispezione e audit di cui all'articolo 30, paragrafo 3, lettera e), del regolamento (UE) 2022/2554;
k) che il fornitore terzo di servizi TIC è tenuto a notificare all'entità finanziaria qualsiasi modifica sostanziale degli accordi di subappalto;
l) che l'entità finanziaria ha il diritto di risolvere il contratto con il fornitore terzo di servizi TIC quando sono soddisfatte le condizioni di cui all'articolo 6 del presente regolamento o le condizioni di cui all'articolo 28, paragrafo 7, del regolamento (UE) 2022/2554.
2. Le modifiche relative agli accordi contrattuali tra l'entità finanziaria e i fornitori terzi di servizi TIC che prestano un servizio TIC a supporto di funzioni essenziali o importanti o parti significative di esse, rese necessarie per conformarsi al presente regolamento, sono attuate tempestivamente e non appena possibile. L'entità finanziaria documenta la tempistica prevista per l'attuazione.
Modifiche sostanziali degli accordi di subappalto dei servizi TIC a supporto di funzioni essenziali o importanti o parti significative di esse
1. L'accordo contrattuale prevede che il fornitore terzo di servizi TIC informi l'entità finanziaria in merito a qualsiasi modifica sostanziale che intende apportare ai propri accordi di subappalto in tempo utile per consentire all'entità finanziaria di valutare:
a) l'impatto sui rischi cui è o potrebbe essere esposta;
b) se tali modifiche sostanziali possano incidere sulla capacità del fornitore terzo di servizi TIC di adempiere ai propri obblighi contrattuali nei confronti dell'entità finanziaria.
2. L'accordo contrattuale prevede un ragionevole termine di preavviso entro il quale l'entità finanziaria deve approvare le modifiche o opporvisi.
3. Il fornitore terzo di servizi TIC attua le modifiche sostanziali ai propri accordi di subappalto solo dopo che l'entità finanziaria ha approvato le modifiche o non vi si è opposta entro la scadenza del termine di preavviso.
4. Se ritiene che le modifiche sostanziali di cui al paragrafo 1 superino la propria tolleranza al rischio, prima della scadenza del termine di preavviso l'entità finanziaria:
a) ne informa il fornitore terzo di servizi TIC;
b) si oppone alle modifiche e chiede di apportare variazioni a tali modifiche prima della loro attuazione.
Risoluzione del contratto tra l'entità finanziaria e il fornitore terzo di servizi TIC
L'entità finanziaria ha il diritto di prevedere nell'accordo contrattuale con il fornitore terzo di servizi TIC che tale accordo sia risolto in ciascuno dei casi seguenti:
a) l'entità finanziaria si è opposta a modifiche sostanziali degli accordi di subappalto a supporto di funzioni essenziali o importanti e ha chiesto di apportare variazioni a tali accordi, tuttavia il fornitore terzo di servizi TIC ha comunque attuato tali modifiche sostanziali;
b) il fornitore terzo di servizi TIC ha attuato modifiche sostanziali agli accordi di subappalto a supporto di funzioni essenziali o importanti o parti significative di esse prima della scadenza del termine di preavviso senza l'approvazione dell'entità finanziaria;
c) il fornitore terzo di servizi TIC subappalta un servizio TIC a supporto di una funzione essenziale o importante o una parte significativa di essa non esplicitamente ammesso al subappalto dal contratto tra l'entità finanziaria e il fornitore terzo di servizi TIC.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 24 marzo 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN