Istotnym elementem regulacyjnym obszaru cyberbezpieczeństwa na rynku finansowym jest Rozporządzenie DORA, które ma na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym.

Rozporządzenie DORA zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej 14 grudnia 2022 roku i stosowane będzie od 17 stycznia 2025 roku.

W miarę jak znaczenie technologii informacyjno-komunikacyjnych (ICT) rośnie w globalnej gospodarce, firmy stają się coraz bardziej zależne od zewnętrznych dostawców usług ICT. Ta zależność sprawia, że organizacje są podatne na zakłócenia w łańcuchu dostaw, co może prowadzić do poważnych problemów operacyjnych i bezpieczeństwa danych. Istotnym aspektem zarządzania ryzykiem w zakresie technologii ICT jest zawieranie odpowiednich klauzul w umowach z dostawcami. Właściwe zapisy umowne są konieczne do zwiększenia operacyjnej odporności cyfrowej. Co jest zatem konieczne do zwiększenia operacyjnej odporności cyfrowej w kontekście zewnętrznych dostawców usług ICT i spełnienia wymogów rozporządzenia? 

Identyfikacja procesów, zasobów i umów

W celu zapewnienia stosowania Rozporządzenia DORA w kontekście zewnętrznych dostawców usług ICT konieczna jest wcześniejsza identyfikacja¹: 

• procesów, które zależą od zewnętrznych dostawców usług ICT, w tym wspierają krytyczne lub istotne funkcje,
• wszystkich umów dotyczących korzystania z usług ICT w celu prowadzenia działalności gospodarczej i świadczenia usług finansowych,

• podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje w całym łańcuchu dostaw. 

W celu osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej, Rozporządzenie DORA ustanawia wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych, w tym w odniesieniu do ustaleń umownych zawieranych pomiędzy zewnętrznymi dostawcami usług ICT a podmiotami finansowymi.

W okresie od wejścia w życie do dnia stosowania Rozporządzenia DORA podmioty rynku finansowego mają czas na analizę luk oraz dostosowanie się do jego wymogów. W tym czasie należy między innymi: zidentyfikować, sklasyfikować i odpowiednio udokumentować wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne oraz zasoby ICT wspierające te funkcje.

Jednocześnie podmioty rynku finansowego powinny wskazać i udokumentować wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT oraz wskazać wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje.

Wpływ na niektóre wymogi będą miały akty wykonawcze do Rozporządzenia DORA, które są opracowywane w dwóch pakietach, z terminem finalizacji do 17 stycznia 2024 roku² oraz do 17 lipca 2024 roku. Warto śledzić prace, jakie toczą się w tym zakresie. Uwzględniając okres, jaki pozostanie od finalizacji ostatnich aktów wykonawczych do rozpoczęcia stosowania Rozporządzenia DORA, działania wdrożeniowe powinny być podejmowane niezwłocznie, z uwzględnieniem postępów prac nad aktami wykonawczymi do Rozporządzenia DORA.

Należy zatem jak najszybciej rozpocząć proces identyfikacji oraz dostosowywania umów dotyczących korzystania z usług ICT z zewnętrznymi dostawcami tych usług, aby z dniem stosowania Rozporządzenia DORA (17 stycznia 2025 roku), spełniać jego wymogi w omawianym zakresie. W innym przypadku podmioty finansowe nie zapewnią zgodności z Rozporządzeniem DORA. 

Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT, w tym ryzykiem koncentracji w obszarze ICT

W związku z obowiązkiem zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT, podmioty finansowe³ powinny w ramach zarządzania ryzykiem związanym z ICT, w szczególności:

• opracować i przyjąć strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT, w tym strategię obejmującą wielu dostawców,
  
• opracować i przyjąć politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT,

• przeprowadzić szacowanie ryzyka w odniesieniu do umów dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje.

Ponadto podmioty finansowe powinny przeprowadzić także wstępną ocenę ryzyka koncentracji w obszarze ICT w przypadku, gdy umowa dotycząca korzystania z usług ICT wspiera krytyczne lub istotne funkcje i prowadzi do któregoś z poniższych skutków:

• umowa z zewnętrznym dostawcą usług ICT, którego nie można łatwo zastąpić lub

• posiadanie wielu umów z tym samym zewnętrznym dostawcą usług ICT lub z blisko powiązanymi zewnętrznymi dostawcami usług ICT.

W przypadku gdy umowa dotyczy korzystania z usług ICT wspierających krytyczne lub istotne funkcje lub dalszego zlecania podwykonawstwa ICT, podmioty finansowe powinny:

• rozważyć korzyści i ryzyka związane z takim podwykonawstwem, w szczególności w przypadku podwykonawcy ICT mającego siedzibę w państwie trzecim,
• uwzględniać przepisy prawa upadłościowego, a także wszelkie ograniczenia, które mogą powstać w związku z pilnym odzyskiwaniem danych,
• w przypadku dostawców usług ICT lub podwykonawców ICT mających siedzibę w państwie trzecim – zweryfikować przestrzeganie unijnych przepisów o ochronie danych i skuteczne ich egzekwowanie w państwie trzecim,

• oceniać czy i w jaki sposób potencjalnie długie lub złożone łańcuchy podwykonawstwa mogą wpływać na zdolność do pełnego monitorowania funkcji będących przedmiotem umowy oraz na zdolność Komisji Nadzoru Finansowego do skutecznego nadzoru nad podmiotem finansowym.

Dostosowanie umów i najważniejsze postanowienia umowne

Umowy powinny być udokumentowane z rozróżnieniem na umowy, które obejmują usługi ICT wspierające krytyczne lub istotne funkcje oraz umowy, które takich funkcji nie wspierają.

Ważne! Umowy zawarte przed dniem stosowania Rozporządzenia DORA powinny być dostosowane w zakresie wymagań wynikających z art. 28-30 Rozporządzenia DORA do 17 stycznia 2025 roku.

Przed zawarciem umowy dotyczącej korzystania z usług ICT podmioty finansowe powinny:

• ocenić czy umowa dotyczy korzystania z usług ICT wspierających krytyczną lub istotną funkcję,
• ocenić czy spełniono warunki nadzorcze dotyczące zawierania umów,
• określić i ocenić wszystkie rodzaje istotnego ryzyka związane z umową, w tym możliwe ryzyko koncentracji w obszarze ICT,
• dołożyć należytej staranności w stosunku do potencjalnych zewnętrznych dostawców usług ICT oraz zapewnić poprzez proces wyboru i oceny, aby zewnętrzny dostawca usług ICT był odpowiedni,

• identyfikować i oceniać konflikty interesów, które mogą wynikać z postanowień umownych. 

Umowy z zewnętrznymi dostawcami usług ICT powinny być dostosowane w taki sposób, aby prawa i obowiązki podmiotu finansowego oraz dostawcy usług ICT zostały wyraźnie przypisane i określone na piśmie.

Umowy dotyczące korzystania z usług ICT powinny obejmować m.in. następujące elementy⁴:

• jasny i kompletny opis wszystkich funkcji i usług ICT, ze wskazaniem czy dozwolone jest podwykonawstwo usługi ICT wspierającej krytyczną lub istotną funkcję,
• miejsca (regiony, kraje), w których mają być świadczone funkcje i usługi ICT oraz przetwarzane dane objęte umową lub podwykonawstwem,
• postanowienia dotyczące dostępności, autentyczności, integralności i poufności danych,
• postanowienia dotyczące zapewnienia dostępu, odzyskiwania i zwrotu danych w łatwo dostępnym formacie,
• opisy gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany,
• zapewnienie przez zewnętrznego dostawcę usług ICT pomocy podmiotowi finansowemu w przypadku wystąpienia incydentu ICT,
• obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy z właściwymi organami,
• prawa do wypowiedzenia umowy i związane z tym minimalne okresy wypowiedzenia umowy,

• warunki uczestnictwa w opracowanych przez podmioty finansowe programach zwiększania świadomości w zakresie bezpieczeństwa ICT.

Umowy dotyczące korzystania z usług ICT wspierających krytyczne lub istotne funkcje powinny dodatkowo obejmować m.in. następujące elementy⁵:

• pełne opisy gwarantowanych poziomów usług wraz z dokładnymi ilościowymi i jakościowymi celami w zakresie wyników,
• okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT, w tym powiadamianie o każdej zmianie, która może mieć istotny wpływ na krytyczne lub istotne funkcje,
• wymogi wobec zewnętrznego dostawcy usług ICT w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością oraz środków bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy,
• obowiązek uczestnictwa zewnętrznych dostawców usług ICT w TLPT danego podmiotu finansowego (tam gdzie ma zastosowanie),

• prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT⁶, w tym:

1. nieograniczone prawa dostępu, kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią oraz przez organ właściwy,
2. prawo do uzgodnienia alternatywnych poziomów zabezpieczenia w przypadku naruszenia praw innych klientów,
3. obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy podczas kontroli i audytów,
4. obowiązek przekazywania szczegółowych informacji na temat zakresu, mających zastosowanie procedur i częstotliwości takich kontroli i audytów,

• strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego.

Podsumowanie

Przegląd najważniejszych obowiązków Rozporządzenia DORA w zakresie umów dotyczących korzystania z zewnętrznych dostawców usług ICT ukazuje, jak istotne znaczenie będzie miała omawiana regulacja dla korzystania z zewnętrznych dostawców usług ICT na rynku finansowym. Jednocześnie, nieodległy termin jej stosowania uzasadnia podjęcie przez podmioty finansowe działań służących wdrożeniu omawianych wymogów. Dla zapewnienia zgodności z przepisami Rozporządzenia DORA, istotne pozostaje także monitorowanie procesu legislacyjnego dotyczącego aktów wykonawczych⁷ do omawianego rozporządzenia, w celu uwzględnienia ich treści w działaniach dostosowawczych.

______________________
¹Podmioty finansowe zobowiązane do stosowania uproszczonych ram zarządzania ryzykiem związanym z ICT (zgodnie z art. 16 Rozporządzenia DORA) określają najważniejsze zależności od zewnętrznych dostawców usług ICT
²Projekty aktów wykonawczych opublikowano w związku z procesem konsultacji publicznych. Na stronie Europejskiego Urzędu Nadzoru Bankowego można zapoznać się zpierwszym i drugim pakietem aktów wykonawczych 
³Wymaganie nie ma zastosowania do podmiotów finansowych zobowiązanych do stosowania uproszczonych ram zarządzania ryzykiem związanym z ICT (zgodnie z art. 16 Rozporządzenia DORA) oraz mikroprzedsiębiorstw  
⁴Zgodnie z art. 30 ust. 2 Rozporządzenia DORA  
⁵Zgodnie z art. 30 ust. 3 Rozporządzenia DORA  
⁶W przypadku podmiotu finansowego będącego mikroprzedsiębiorstwem, podmiot finansowy może uzgodnić z zewnętrznym dostawcą usług ICT, że przysługujące podmiotowi finansowemu prawa dostępu, kontroli i audytu mogą zostać przekazane niezależnej osobie trzeciej, wyznaczonej przez zewnętrznego dostawcę usług ICT, oraz że podmiot finansowy może w dowolnym momencie zażądać od tej osoby trzeciej informacji o wynikach zewnętrznego dostawcy usług ICT i poświadczenia tych wyników  
⁷Regulacyjne i wykonawcze standardy techniczne (tzw. RTSy, ITSy) oraz wytyczne