Addendum - DORA

1. Introduzione

Il presente Addendum (“Addendum”) relativo alla Digital Operational Resilience Act (“DORA”) è redatto per documentare la conformità al REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 sulla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011.

Il presente Addendum entrerà in vigore dalla data di firma di entrambe le parti.

In caso di incongruenza o conflitto tra le disposizioni del presente Addendum e le disposizioni di qualsiasi altro documento cui si fa riferimento nell'Accordo, i termini del presente Addendum prevarranno nella misura di tale incongruenza o conflitto.

Definizioni

Accordo - indica la Conferma d'Ordine, i Termini e Condizioni, l'Accordo sul Trattamento dei Dati, l’addendum DORA e gli Accordi sul Livello di Servizio concordati tra Formalize e il Cliente.

Servizi TIC - ha il significato prescritto dall'articolo 3 di DORA.

Dati Personali - indica qualsiasi informazione come definita dall'articolo 4.1 del General Data Protection Regulation (UE) 2016/679.

Responsabile del Trattamento - ha il significato prescritto dall'articolo 4.8 del General Data Protection Regulation (UE) 2016/679..

Servizi - indica i servizi forniti al Cliente da Formalize ai sensi dell'Accordo.

Subappalto - ndica l’utilizzo da parte di Formalize di subappaltatori per adempiere ai propri obblighi e fornire i Servizi previsti dall’Accordo e dal presente Addendum.

2. Posizione delle Parti

Il Cliente è un’entità che rientra nell’ambito di applicazione di DORA, come definito nell’Articolo 2 di DORA e/o la relativa legge esecutiva nazionale.

Formalize si impegna a fornire al Cliente Servizi che costituiscono Servizi TIC come definiti in DORA. L’obiettivo del presente Addendum è quello di garantire che tali requisiti e standard siano inclusi nell’Accordo.

Ai fini del presente Addendum, le Parti presumono che Formalize ApS supporti le funzioni aziendali importanti o critiche del Cliente.

3. Descrizione di tutti i Servizi TIC

Una descrizione chiara e completa di tutte le funzioni e dei servizi TIC forniti da Formalize è contenuta nei Termini e Condizioni che fanno parte del presente Accordo. Tali Servizi TIC saranno considerati come servizi Cloud: SaaS.

Il Cliente ha il dovere di identificare quali tra questi servizi supportano le funzioni aziendali importanti o critiche del Cliente.

4. Monitoraggio

4.1 Monitoraggio

Il Cliente ha il diritto di monitorare le prestazioni di Formalize in relazione all’Accordo e ai livelli di servizio concordati su base continuativa. A tal proposito, al Cliente sono concessi:

• Diritti illimitati di accesso, ispezione e revisione da parte del Cliente, o di una terza parte nominata, e dell'autorità competente, e il diritto di prendere copie della documentazione pertinente in loco se sono fondamentali per le operazioni di Formalize, il cui esercizio effettivo non è impedito o limitato da altri accordi contrattuali o politiche di attuazione. A tal fine, Formalize riconosce di avere l'obbligo di cooperare pienamente con le autorità competenti e le autorità di risoluzione delle crisi dell'entità finanziaria, comprese le persone da esse nominate.
• Il diritto di concordare livelli di garanzia alternativi se i diritti di altri Clienti sono compromessi.
• Il diritto di richiedere a Formalize la piena collaborazione durante le ispezioni e gli audit in loco effettuati dalle autorità competenti, dal Lead Overseer, dal Cliente o da una terza parte designata; e di fornire dettagli sull'ambito, le procedure da seguire e la frequenza di tali ispezioni e audit.

Per facilitare l'esercizio di questi diritti, Formalize fornirà al Cliente certificazioni di terze parti e rapporti di audit interni ed esterni. Questi saranno disponibili in qualsiasi momento nel Trust Center di Formalize, come spiegato più avanti nel punto 4.3. Reporting.

Inoltre, il Cliente avrà il diritto di richiedere, con una frequenza ragionevole e legittima dal punto di vista della gestione del rischio, la modifica dell'ambito delle certificazioni o dei report di audit ad altri sistemi e controlli rilevanti e il diritto contrattuale di eseguire audit individuali ed in pool a sua discrezione in relazione agli accordi contrattuali e di esercitare tali diritti in linea con la frequenza concordata.

4.2 Notifica

Formalize si impegna a notificare il Cliente senza ingiustificato ritardo e per iscritto qualsiasi sviluppo che possa avere un impatto significativo sulla capacità di Formalize di eseguire efficacemente i Servizi in conformità a:

• i livelli di servizio concordati come stabilito nell'Accordo;
• leggi applicabili e i requisiti normativi; o
• le disposizioni delineate nell'Accordo.

4.3 Reporting

Formalize è sottoposta ad audit annuali e, nell'ambito delle certificazioni e dei report ottenuti e rinnovati, il piano di emergenza aziendale viene rivisto e testato. Formalize esegue inoltre, al fine di mantenere le certificazioni e le relazioni di cui sopra, un test semestrale del piano di Disaster Recovery; e ancora, Formalize esegue annualmente un test di penetrazione eseguito da una terza parte indipendente. I risultati di questi esercizi sono pubblicati sulla pagina web di Formalize presso il Trust Center.

Il Cliente ha il diritto di richiedere a Formalize la fornitura di report (inclusi audit interni o esterni) laddove tali report indichino l’incapacità di Formalize di eseguire efficacemente i Servizi in conformità ai requisiti stabiliti nella presente Clausola.

Il Cliente ha la responsabilità di fornire a Formalize e di tenere aggiornata una mail specifica dove verranno fornite le comunicazioni relative al DORA.

4.4 Incidenti

Gli incidenti saranno gestiti e comunicati al Cliente come descritto nell'Accordo sul Livello di Servizio.

Formalize fornirà al Cliente tutta l’assistenza necessaria in caso di un Incidente derivante o connesso ai Servizi.

Qualsiasi assistenza in relazione a un Incidente relativo ai Servizi TIC sarà fornita da Formalize gratuitamente, salvo diverso accordo tra le Parti.

5. Subappalto

Formalize può utilizzare subappaltatori per eseguire parte dei Servizi ("Subappalto" verso un "Partner Subappaltatore").

Per quanto riguarda i Servizi subappaltati, l'ubicazione, la lunghezza della catena di fornitura, la natura dei dati, il subappaltatore e i luoghi dei servizi (elaborazione e archiviazione dei dati), tali informazioni sono reperibili nel modulo Formalize - DORA - Dati del Fornitore e nell'Accordo sul trattamento dei dati, forniti insieme al presente Addendum.

Nel caso in cui Formalize utilizzi Partner Subappaltatori per eseguire parte dei servizi, Formalize riconosce e accetta:

• che Formalize rimane responsabile ai sensi dell’Accordo per i Servizi eseguiti dai suoi Partner Subappaltatori e monitorerà le sue prestazioni;
• di informare il Cliente sull’ingaggio di nuovi Partner Subappaltatori o qualsiasi Subappalto pianificato dei Servizi e/o eventuali cambiamenti sostanziali senza ritardo, in particolare laddove tale cambiamento influisca sulla capacità di Formalize di soddisfare le proprie responsabilità ai sensi dell’Accordo;
• di fornire, senza ritardo e su richiesta scritta del Cliente, informazioni sufficienti riguardo il Subappalto e i Partner Subappaltatori per consentire al Cliente di adempiere ai propri obblighi ai sensi del DORA.

6. Trattamento dei Dati

6.1 Ubicazione dei Dati

Formalize fornisce, nell’Accordo sul Trattamento dei Dati, una panoramica aggiornata delle ubicazioni (paesi) in cui sono forniti i servizi subappaltati e in cui i dati sono trattati, inclusa la posizione di archiviazione.

Formalize informerà il Cliente di qualsiasi modifica alle ubicazioni in cui vengono fornite le funzioni e i servizi subappaltati.

6.2 Sicurezza dei Dati

Formalize ha implemetato misure tecniche e organizzative adeguate considerando lo stato attuale dello sviluppo tecnologico e le misure disponibili, includendo tra le altre, ove appropriato:

• la pseudonimizzazione e la crittografia dei dati;
• la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza continuativa di sistemi e servizi;
• la capacità di ripristinare in modo tempestivo la disponibilità e l'accesso ai dati in caso di incidente fisico o tecnico; e
• un processo per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza dei dati (personali).
• Nella valutazione del livello adeguato di sicurezza, si tiene conto in particolare dei rischi derivanti dal trattamento, in particolare dalla distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata di dati o dall'accesso agli stessi trasmessi, archiviati o altrimenti trattati.

6.3 Accesso ai Dati

Indipendentemente da qualsiasi disposizione contraria, durante la durata degli Accordi, il Cliente avrà il diritto di accedere ai dati di sua proprietà, in ogni momento, in modo coerente con le funzionalità dei Servizi.

In caso di insolvenza o di cessazione dell'operatività aziendale di Formalize, il Cliente avrà libero accesso ai dati che gli appartengono.

6.4 Trattamento dei Dati Personali

L'erogazione dei Servizi da parte di Formalize include il trattamento dei dati personali del Cliente nell'ambito del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (“General Data Protection Regulation”), a tal fine, le Parti hanno stipulato un accordo separato sul trattamento dei dati che stabilisce le responsabilità e gli obblighi relativi a tale trattamento dei dati personali.

7. Sensibilizzazione e Formazione

Ove opportuno, e almeno a cadenza annuale, il personale di Formalize partecipa a programmi di sensibilizzazione alla sicurezza.

Ai dipendenti pertinenti di Formalize può essere richiesto di partecipare ai programmi di sensibilizzazione sulla sicurezza TIC e alla formazione sulla resilienza operativa digitale del Cliente, se quest'ultimo ritiene che il contenuto dei programmi di sensibilizzazione di Formalize non sia sufficiente ai fini della DORA.

Quando i programmi e la formazione hanno un impatto sulle normali attività aziendali di Formalize, quest'ultima ha il diritto di addebitare un compenso determinato ex ante per la disponibilità dei dipendenti.

8. Durata e risoluzione

8.1 Durata

La durata del presente Addendum decorre dalla data della sua sottoscrizione e rimane in pieno vigore fino a: (i) la data in cui scade o viene terminato l’Accordo attivo in conformità ai termini dell’Accordo; oppure (ii) la data in cui viene terminato l’Accordo attivo in conformità alle disposizioni del presente Addendum; o (iii) la data in cui il Cliente non è un'azienda soggetta al DORA.

8.2 Diritti di risoluzione del Cliente

In aggiunta ai diritti di risoluzione del Cliente indicati nei Termini e Condizioni, il Cliente potrà recedere da un Accordo su:

1. a. Violazione significativa da parte di Formalize di norme, regolamenti o termini contrattuali applicabili;
2. b. La comunicazione da parte del Cliente a Formalize in merito all'identificazione dei rischi ritenuti in grado di alterare l'esecuzione delle funzioni fornite attraverso l'accordo contrattuale, compresi i cambiamenti materiali che influenzano l'accordo o la situazione di Formalize;
3. c. Formalize ha evidenziato debolezze nella gestione complessiva dei rischi TIC e in particolare nel modo in cui assicura la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati, siano essi personali o comunque sensibili, o non personali;
4. d. Qualora l'autorità competente non sia più in grado di supervisionare efficacemente il Cliente a causa delle condizioni o delle circostanze relative al rispettivo accordo contrattuale.

Per quanto riguarda i diritti di risoluzione descritti nelle clausole a, b e c, il Cliente dovrà fornire a Formalize un preavviso scritto di almeno 15 giorni, che servirà come periodo di cura per Formalize per rimediare alla violazione, al rischio o alla debolezza identificata in modo ragionevolmente soddisfacente per il Cliente. Nel caso in cui Formalize non riesca a risolvere adeguatamente il problema entro il periodo di cura, il Cliente potrà risolvere l’Accordo con effetto immediato.

Per la risoluzione ai sensi della clausola d, l’Accordo sarà considerato risolto immediatamente su comunicazione scritta del Cliente, senza la necessità di un periodo di cura.

La risoluzione ai sensi della presente clausola non pregiudica alcun altro diritto o rimedio a disposizione del Cliente ai sensi dell'Accordo o della legge applicabile.

9. Piano di uscita

9.1 Intento

L'intento di questa sezione (di seguito denominata “Piano di uscita”) è quello di fornire chiarezza su un adeguato periodo di transizione per i casi in cui l'Accordo è o è stato risolto (o sta per essere risolto). Il Piano di uscita prevede misure per garantire una transizione agevole e tempestiva, in base alle quali Formalize è tenuta a collaborare pienamente all'uscita.

9.2 Fasi di uscita

Il piano di uscita ha inizio 30 giorni prima della risoluzione dell’Accordo.

Soft Exit - 30 giorni prima delle risoluzioni
Da questo giorno e per i successivi 30 giorni il Cliente continuerà ad avere accesso ai Servizi, a tutte le applicazioni e a tutti i dati memorizzati, il Cliente dovrà cogliere l'opportunità di estrarre i dati pertinenti dall’infrastruttura di Formalize. Durante questo periodo, il Cliente dovrà comunicare a Formalize qualsiasi altra informazione che non sia stato possibile estrarre per consentire al Cliente di migrare verso un altro fornitore terzo di servizi TIC o di passare a soluzioni interne coerenti con la complessità del servizio fornito.

Durante la fase di Soft Exit, il Cliente è responsabile dell'avvio di tutte le attività di esportazione dei dati. Formalize assisterà il Cliente nell'esportazione degli elementi elencati sopra alla voce Dati.

Hard Exit - Cancellazione dei Dati - Dal primo (1) al trentesimo (30) giorno successivi alla risoluzione
In seguito alla Fase di Soft Exit, Formalize esaminerà e garantirà la rimozione di tutti i dati del Cliente dalla sua infrastruttura. Tale rimozione avverrà entro 30 giorni dalla conclusione della Fase di Soft Exit, dopodiché le informazioni saranno conservate in un archivio di backup per 90 giorni.

In seguito alla Fase di Soft Exit, Formalize esaminerà e garantirà la rimozione di tutti i dati del Cliente dalla sua infrastruttura. Tale rimozione avverrà entro 30 giorni dalla conclusione della Fase di Soft Exit, dopodiché le informazioni saranno conservate in un archivio di backup per 90 giorni.

Durante la fase di Hard Exit, Formalize sarà responsabile della cancellazione definitiva di tutti i dati del Cliente dalla propria infrastruttura e di informare il Cliente per iscritto del completamento del Piano di Uscita.

9.3 Obblighi di Formalize

Cooperazione con l'uscita:
Formalize è tenuta a collaborare pienamente all'attuazione dell'uscita e a svolgere tutte le attività necessarie, soggette ai limiti stabiliti di seguito.

I servizi di Formalize potranno continuare dopo la data della risoluzione e proseguire fino a quando la transizione verso un nuovo fornitore di servizi o un nuovo sistema non sarà totalmente completata. Il Cliente dovrà informare Formalize della sua intenzione di continuare ad accedere al Sistema. Tale notifica dovrà essere effettuata prima della data di risoluzione e le parti concorderanno un accordo provvisorio per un periodo compreso tra 6 mesi e 1 anno; i costi per l'accordo provvisorio potrebbero riflettere un aumento di prezzo non superiore al 10% rispetto al precedente accordo.

Aggiornamento del Piano di uscita:
Il Piano di uscita potrà essere aggiornato e rivisto annualmente su richiesta scritta del Cliente in consultazione con Formalize, includendo un costo e una programmazione.

10. Varie

10.1 Richieste

Qualsiasi richiesta effettuata dal Cliente ai sensi del presente Addendum deve:

• fare riferimento all'Accordo e al presente Addendum; e
• essere redatta in inglese, per iscritto, e indirizzata a legal@formalize.com.

In caso di conflitto o incongruenza tra il presente Addendum e i termini dell’Accordo, prevarrà il presente Addendum.

10.2 Modifiche

Eventuali modifiche all'Accordo o al presente Addendum potranno essere concordate tra le Parti solo per iscritto.

10.3 Legge Applicabile

Il presente Addendum è disciplinato dalla Legislazione Nazionale Danese e dai Regolamenti Europei applicabili qui richiamati, dal DORA e dai relativi regolamenti delegati.

Nel caso in cui il tribunale dichiari invalidi gli articoli del presente Addendum, gli altri articoli rimarranno pienamente in vigore.

Le disposizioni del presente Addendum si basano sul Digital Operational Resilience Act (DORA), sui suoi relativi atti delegati, sugli Implementing Technical Standards (ITS) e sui Regulatory Technical Standards (RTS). Nel caso in cui uno di questi strumenti giuridici venga modificato o abrogato e una qualsiasi disposizione del presente Addendum non sia più riflessa o richiesta dal quadro normativo applicabile, tale disposizione cesserà di essere applicata. Tuttavia, le restanti disposizioni del presente Addendum continueranno a essere pienamente valide ed efficaci, a meno che non sia stato diversamente concordato dalle parti.