Στις 8 Ιουλίου 2025, η Ευρωπαϊκή Αρχή Τραπεζών (EBA) ξεκίνησε τη διαδικασία αντικατάστασης των υφιστάμενων Κατευθυντήριων Γραμμών της για τις ρυθμίσεις εξωτερικής ανάθεσης (outsourcing), δημοσιεύοντας ένα έγγραφο διαβούλευσης για την «ορθή διαχείριση του κινδύνου τρίτων μερών». Αυτή η κίνηση αποσκοπεί στην ευθυγράμμιση των ισχυόντων κανόνων για τη διαχείριση των παρόχων υπηρεσιών τρίτων μερών που δεν σχετίζονται με την Πληροφορική (μη-ΤΠΕ) με τις νέες απαιτήσεις του Νόμου για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), ο οποίος εστιάζει στον κίνδυνο ΤΠΕ.
Η EBA σημείωσε την ανάγκη για αυτήν την ευθυγράμμιση, δηλώνοντας: «Οι προϋποθέσεις για τη διαχείριση του κινδύνου τρίτων μερών... για λειτουργίες που δεν σχετίζονται με ΤΠΕ... δεν είναι εναρμονισμένες στον ίδιο βαθμό όπως για τις υπηρεσίες ΤΠΕ [στο πλαίσιο του DORA]. Θα πρέπει να επιτευχθεί στενή ευθυγράμμιση... για να διασφαλιστούν ισότιμοι όροι ανταγωνισμού και να προωθηθεί η εποπτική σύγκλιση.»
Βασικές Προτεινόμενες Αλλαγές
Για την ευθυγράμμιση με τον DORA, το σχέδιο κατευθυντήριων γραμμών προτείνει αρκετές βασικές αλλαγές:
Ευρύτερη Ταξινόμηση Ρυθμίσεων: Οι νέοι κανόνες θα ισχύουν για όλες τις «ρυθμίσεις με τρίτα μέρη», μια ευρεία κατηγορία που περιλαμβάνει τις υφιστάμενες ρυθμίσεις εξωτερικής ανάθεσης ως υποσύνολο. Αυτό σημαίνει ότι περισσότερες συμβάσεις θα εμπίπτουν στο πλαίσιο διαχείρισης κινδύνου. Η εστίαση για την εξαίρεση μετατοπίζεται από υπηρεσίες που η εταιρεία δεν θα εκτελούσε κανονικά η ίδια, σε ρυθμίσεις που δεν έχουν ουσιώδη αντίκτυπο στην έκθεση της εταιρείας σε κινδύνους ή στην επιχειρησιακή της ανθεκτικότητα. Οι υπηρεσίες ΤΠΕ που καλύπτονται από τον DORA εξαιρούνται ρητά από αυτές τις συγκεκριμένες κατευθυντήριες γραμμές.
Εστίαση στις «Λειτουργίες» αντί για τις «Ρυθμίσεις»: Προηγουμένως, οι εταιρείες αξιολογούσαν εάν ολόκληρη η ρύθμιση εξωτερικής ανάθεσης ήταν κρίσιμη. Ο DORA μετατοπίζει την εστίαση στην κρισιμότητα της λειτουργίας που υποστηρίζεται από τρίτο μέρος. Οι νέες κατευθυντήριες γραμμές πιθανότατα θα υιοθετήσουν αυτή την προσέγγιση, απαιτώντας από τις εταιρείες να προσδιορίζουν τις κρίσιμες λειτουργίες και να διαχειρίζονται ανάλογα τους σχετικούς κινδύνους τρίτων μερών.
Ενοποιημένο Μητρώο Πληροφοριών: Οι εταιρείες υποχρεούνται ήδη να διατηρούν μητρώο εξωτερικών αναθέσεων. Ο DORA προσθέτει την απαίτηση για ένα «Μητρώο Πληροφοριών» για όλες τις συμβάσεις υπηρεσιών ΤΠΕ. Η EBA προτείνει την ευθυγράμμιση της μορφής του μητρώου εξωτερικών αναθέσεων με αυτό το νέο μητρώο του DORA, επιτρέποντας στις εταιρείες να διαχειρίζονται τις πληροφορίες τόσο για τις υπηρεσίες ΤΠΕ όσο και για τις μη-ΤΠΕ με συνέπεια, πιθανώς εντός ενός ενιαίου μητρώου.
Επόμενα Βήματα
Η διαβούλευση είναι ανοιχτή για σχόλια έως τις 8 Οκτωβρίου 2025.
Μόλις οριστικοποιηθούν οι κατευθυντήριες γραμμές, θα δοθεί μια μεταβατική περίοδος δύο ετών. Κατά τη διάρκεια αυτής της περιόδου, οι εταιρείες πρέπει να αναθεωρήσουν και να τροποποιήσουν τις ρυθμίσεις τους με τρίτα μέρη και να ενημερώσουν τα μητρώα τους για να συμμορφωθούν με τις νέες απαιτήσεις.