Prova gratuitamente
Sei già un nostro cliente? Accedi
Sei già un nostro cliente? Accedi
Il presente addendum ("Addendum") al Digital Operational Resilience Act ("DORA") è stato creato per documentare la conformità al REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 sulla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011.
Il presente addendum entrerà in vigore dalla data della firma di entrambe le parti.
In caso di incongruenza o conflitto tra le disposizioni del presente Addendum e le disposizioni di qualsiasi altro documento a cui si fa riferimento nel Contratto, i termini del presente Addendum prevarranno nella misura di tale incongruenza o conflitto.
Accordo - indica la Conferma d'Ordine, i Termini e Condizioni, il Contratto di Elaborazione Dati, l'Addendum DORA e gli Accordi sul Livello del Servizio concordati tra Formalize e il Cliente.
Servizi ICT - ha il significato prescritto dall'articolo 3 del DORA.
Dati Personali - si intende qualsiasi informazione come definita dall'articolo 4.1 del Regolamento generale sulla protezione dei dati (UE) 2016/679.
Processore - ha il significato prescritto dall'articolo 4.8 del Regolamento generale sulla protezione dei dati (UE) 2016/679.
Servizi - indica i servizi forniti al Cliente da Formalize ai sensi del Contratto.
Subappalto - indica l'uso da parte di Formalize di subappaltatori per adempiere ai propri obblighi e fornire i propri Servizi ai sensi del Contratto e del presente Addendum.
Il Cliente è un'entità che rientra nell'ambito di applicazione di DORA come definito nell'articolo 2 di DORA e/o nella sua legge nazionale di attuazione.
Formalize si impegna a fornire al Cliente Servizi che costituiscono Servizi ICT come definiti in DORA. Lo scopo del presente Addendum è di garantire che tali requisiti e standard siano inclusi nell'Accordo.
Ai fini del presente Addendum, le Parti presumono che Formalize ApS supporti le funzioni aziendali importanti o critiche del Cliente.
Una descrizione chiara e completa di tutte le funzioni e dei servizi ICT che Formalize fornirà può essere trovata nei Termini e Condizioni che fanno parte del presente Contratto. Questi Servizi ICT saranno considerati come servizi Cloud: SaaS.
Il Cliente ha il dovere di identificare quali di tali servizi supportano le funzioni aziendali importanti o critiche del Cliente.
Il Cliente ha il diritto di monitorare costantemente le prestazioni di Formalize in relazione al Contratto e ai livelli di servizio concordati. A tale riguardo, al Cliente è concesso:
Per facilitare l'esercizio di questi diritti, Formalize fornirà al Cliente certificazioni di terze parti, report di audit interni ed esterni. Questi saranno disponibili in qualsiasi momento nel centro di fiducia di Formalize come ulteriormente spiegato di seguito in 4.3. Reporting.
Inoltre, il Cliente avrà il diritto di richiedere, con una frequenza ragionevole e legittima dal punto di vista della gestione del rischio, modifiche dell'ambito delle certificazioni o dei rapporti di audit ad altri sistemi e controlli pertinenti e il diritto contrattuale di eseguire audit individuali e aggregati a sua discrezione in relazione agli accordi contrattuali e di esercitare tali diritti in linea con la frequenza concordata.
Formalize si impegna a notificare al Cliente, senza indebito ritardo e per iscritto, qualsiasi sviluppo che possa avere un impatto materiale sulla capacità di Formalize di fornire efficacemente i Servizi in conformità con:
Formalize è sottoposta a verifiche annuali e, come parte delle certificazioni e dei report ottenuti e rinnovati, il piano di emergenza aziendale viene rivisto e testato. Formalize esegue inoltre, al fine di mantenere le suddette certificazioni e report, un test semestrale del piano di Disaster Recovery. Inoltre, Formalize esegue un test di penetrazione annuale eseguito da una terza parte indipendente. I risultati di questi esercizi sono pubblicati sulla pagina web di Formalize presso il Trust Center.
Il Cliente ha il diritto di richiedere a Formalize di fornirgli dei report (inclusi report di audit interni o esterni), a seconda dei casi, qualora tali report indichino l'incapacità di Formalize di fornire in modo efficace i Servizi in conformità ai requisiti stabiliti nella presente Clausola.
Il Cliente ha l’onere di predisporre per Formalizzare e tenere aggiornata una specifica mail dove verranno fornite le comunicazioni relative a DORA.
Gli incidenti saranno gestiti e comunicati al Cliente come descritto nel Contratto di Servizio.
Formalize fornirà al Cliente tutta l'assistenza necessaria in caso di Incidente derivante dai Servizi o in connessione con essi.
Qualsiasi assistenza in relazione a un incidente correlato alle ICT sarà fornita da Formalize gratuitamente, salvo diverso accordo tra le Parti.
Formalize può avvalersi di subappaltatori per l'esecuzione di parte dei Servizi ("Subappalto" a un "Partner subappaltatore").
Per quanto riguarda i Servizi subappaltati, l'ubicazione, la lunghezza della catena di fornitura, la natura dei dati, il subappaltatore e l'ubicazione dei servizi (elaborazione e archiviazione dei dati), tali informazioni sono reperibili nel modulo Formalize - DORA - Dati del fornitore e nel Contratto di elaborazione dati, forniti unitamente al presente Addendum.
Nel caso in cui Formalize utilizzi Partner Subappaltatori per eseguire parte dei servizi, Formalize riconosce e accetta:
Formalize fornisce nel Contratto di elaborazione dei dati una panoramica aggiornata delle sedi (Paesi) in cui vengono forniti i Servizi subappaltati e in cui vengono elaborati i dati, incluso il luogo di archiviazione.
Formalize informerà il Cliente di eventuali modifiche relative ai luoghi in cui vengono fornite le funzioni e i Servizi subappaltati.
Formalize ha implementato misure tecniche e organizzative adeguate, tenendo conto dell'attuale stato di sviluppo tecnologico e delle misure disponibili, tra cui, se del caso:
Fatto salvo quanto diversamente disposto, per tutta la durata del Contratto, il Cliente avrà il diritto di accedere ai dati di sua proprietà, in ogni momento, secondo modalità coerenti con la funzionalità dei Servizi.
In caso di insolvenza o cessazione dell'attività commerciale di Formalize, il Cliente avrà accesso illimitato ai dati di sua proprietà.
La fornitura dei Servizi da parte di Formalize include il trattamento dei Dati Personali del Cliente nell'ambito del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali, nonché alla libera circolazione di tali dati ("Regolamento generale sulla protezione dei dati"); a tale scopo, le Parti hanno concluso un separato Accordo sul Trattamento dei Dati che stabilisce responsabilità e obblighi relativamente a tale trattamento dei Dati Personali.
Laddove opportuno, e almeno una volta all'anno, il personale di Formalize partecipa a programmi di sensibilizzazione sulla sicurezza.
È possibile richiedere ai dipendenti interessati di Formalize di partecipare ai programmi di sensibilizzazione sulla sicurezza ICT e alla formazione sulla resilienza operativa digitale del Cliente se il Cliente ritiene che il contenuto dei programmi di sensibilizzazione di Formalize non sia sufficiente ai fini di DORA.
Quando i programmi e la formazione hanno un impatto sulle normali attività aziendali di Formalize, Formalize ha il diritto di addebitare una tariffa determinata ex ante per la disponibilità dei dipendenti.
La durata del presente Addendum decorre dalla data della sua firma e resta pienamente valida ed efficace fino a (i) la data in cui il Contratto attivo scade o viene risolto in conformità ai termini del Contratto; (ii) la data in cui il Contratto attivo viene risolto in conformità alle disposizioni del presente Addendum; o (iii) la data in cui il Cliente non è più soggetto a DORA.
Oltre ai diritti di recesso del Cliente come stabilito nei Termini e Condizioni, il Cliente può recedere dal Contratto nei seguenti casi:
Per quanto riguarda i diritti di risoluzione descritti nelle clausole a, b e c, il Cliente dovrà fornire a Formalize un preavviso scritto di almeno 15 giorni, che fungerà da periodo di risoluzione per Formalize per porre rimedio alla violazione, al rischio o alla debolezza identificati in modo ragionevolmente soddisfacente per il Cliente. Se Formalize non riesce ad affrontare adeguatamente il problema entro il periodo di risoluzione, il Cliente può risolvere il Contratto con effetto immediato.
In caso di risoluzione ai sensi della clausola d, il Contratto si considererà risolto immediatamente a seguito di comunicazione scritta da parte del Cliente, senza necessità di un periodo di risoluzione.
La risoluzione ai sensi della presente clausola non pregiudica alcun altro diritto o rimedio a disposizione del Cliente ai sensi del Contratto o della legge applicabile.
L'intento di questa sezione (di seguito denominata "Piano di uscita") è di fornire chiarezza su un periodo di transizione adeguato per i casi in cui l'Accordo è stato o è stato terminato (o sta per essere terminato). Il Piano di uscita prevede misure per garantire una transizione fluida e tempestiva, in base alle quali Formalize è tenuta a cooperare pienamente con l'uscita.
Il piano di uscita entra in vigore 30 giorni prima della scadenza del contratto.
Soft Exit - 30 giorni prima delle risoluzioni
Da questo giorno e per i successivi 30 giorni il Cliente ha ancora accesso ai Servizi, a tutte le applicazioni e a tutti i dati archiviati, il Cliente coglierà l'opportunità di estrarre i dati rilevanti dall'infrastruttura di Formalize. Durante questo periodo, il Cliente dovrà comunicare a Formalize qualsiasi altra informazione che non sia stata possibile estrarre per consentire al Cliente di migrare verso un altro fornitore di servizi ICT di terze parti o di passare a soluzioni interne coerenti con la complessità del servizio fornito.
Durante la fase di Soft Exit, il Cliente ha la responsabilità di avviare tutte le attività di esportazione dei dati. Formalize supporterà il Cliente nell'esportazione degli elementi elencati in Dati sopra.
Hard Exit - Cancellazione dei dati - Giorni da 1 a 30 dopo la risoluzione
Dopo la fase di Soft Exit, Formalize esaminerà e garantirà la rimozione di tutti i dati del Cliente dalla sua infrastruttura. Questa rimozione avrà luogo entro 30 giorni dalla conclusione della fase di Soft Exit, dopodiché le informazioni saranno conservate nell'archivio di backup per 90 giorni.
Dopo la fase di Soft Exit, Formalize esaminerà e garantirà la rimozione di tutti i dati del Cliente dalla sua infrastruttura. Questa rimozione avrà luogo entro 30 giorni dalla conclusione della fase di Soft Exit, dopodiché le informazioni saranno conservate nell'archivio di backup per 90 giorni.
Durante la fase di Hard Exit, Formalize è responsabile dell'eliminazione definitiva di tutti i dati del Cliente dalla propria infrastruttura e di informare il Cliente per iscritto del completamento del Piano di Uscita.
Cooperazione con l'uscita:
Formalize è tenuta a collaborare pienamente all’attuazione dell’uscita e a svolgere tutti i lavori necessari, nei limiti di seguito stabiliti.
I servizi di Formalize possono continuare dopo la data di cessazione e continuare fino al completamento della transizione a un nuovo fornitore di servizi o sistema. Il Cliente dovrà informare Formalize della sua intenzione di continuare ad accedere al Sistema. Tale notifica dovrà essere effettuata prima della data di cessazione e le parti concorderanno un accordo provvisorio per un periodo compreso tra 6 mesi e 1 anno; i costi per l'accordo provvisorio potrebbero riflettere un aumento di prezzo non superiore al 10% rispetto al precedente Contratto.
Aggiornamento del piano di uscita:
Il piano di uscita può essere aggiornato e rivisto annualmente su richiesta scritta del Cliente, previa consultazione con Formalize, specificando costi e tempi.
Ogni richiesta effettuata dal Cliente ai sensi del presente Addendum dovrà:
In caso di conflitto o incongruenza tra il presente Addendum e i termini del Contratto, prevarrà il presente Addendum.
Eventuali modifiche al Contratto o all'Addendum potranno essere concordate tra le Parti solo per iscritto.
Il presente Addendum è disciplinato dal diritto nazionale danese e dai regolamenti europei applicabili qui di seguito indicati, DORA e relativi regolamenti delegati.
Se il tribunale dichiara invalidi alcuni articoli del presente Addendum, gli altri articoli rimarranno pienamente in vigore.
Le disposizioni del presente Addendum si basano sul Digital Operational Resilience Act (DORA), sui relativi Delegated Acts, sugli Implementing Technical Standards (ITS) e sugli Regulatory Technical Standards (RTS). Nel caso in cui uno qualsiasi di questi strumenti legali venga modificato o abrogato e una qualsiasi disposizione del presente Addendum non sia più riflessa o richiesta ai sensi del quadro normativo applicabile, tale disposizione cesserà di applicarsi. Tuttavia, le restanti disposizioni del presente Addendum continueranno ad avere piena validità ed efficacia, salvo diverso accordo tra le parti.