Armińska Radcowie Prawni
0

Mój koszyk

Kobieta w futurystycznych okularach usługi ICT DORA

Dostawcy ICT – jak rozporządzenie DORA reguluje zewnętrznych dostawców usług ICT?

Rozwój cyfryzacji jest tak dynamiczny, że trudno go zatrzymać. Instytucje finansowe są coraz bardziej zależne od nowoczesnych technologii. Stąd rola dostawcy ICT (Information and Communication Technology) staje się taka ważna. Europejskie rozporządzenie DORA kompleksowo wyjaśnia jaką pełnią on rolę. Dodatkowo DORA wprowadza szczegółowe wytyczne dotyczące przeciwdziałaniu zagrożeniom wynikającym z rozwoju cyfryzacji. Rozporządzenie z jednej strony dba o bezpieczeństwo oraz stabilność rynku. Z drugiej – nakłada obowiązki zarówno na instytucje finansowe jak i dostawców ICT.

Audyt i wdrożenie DORA
E-book DORA dla wzrokowców
Porada prawna – DORA

Regulacje DORA wprowadzają jasne zasady współpracy pomiędzy instytucjami finansowymi a dostawcami ICT. DORA precyzuje wymagania dotyczące zarządzania ryzykiem operacyjnym związanym z technologiami cyfrowymi, w tym m.in. cyberbezpieczeństwa, odporności na incydenty technologiczne oraz procedur reagowania na awarie. Oznacza to, że dostawcy ICT muszą spełniać określone standardy, a instytucje finansowe – wdrażać mechanizmy kontroli i monitoringu, które pozwolą na szybkie wykrywanie i neutralizowanie zagrożeń.

Regulacje te zmieniają także sposób zawierania umów pomiędzy stronami, nakładając obowiązek uwzględnienia w nich m.in. planów awaryjnych, testów odporności oraz procedur audytowych. W praktyce oznacza to, że dostawcy ICT nie są już jedynie partnerami technologicznymi, ale stają się integralnym elementem systemu bezpieczeństwa finansowego. A jako tacy podlegają nadzorowi i szczegółowym wymaganiom regulacyjnym.

Dostawcy ICT – Kim są dostawcy usług ICT?

Świadczenie usług finansowych bez korzystania z usług chmurowych, rozwiązań w zakresie oprogramowania i usług związanych z danymi nie jest już możliwe. Dlatego unijny ekosystem finansowy stał się wewnętrznie współzależny od usług ICT DORA świadczonych przez dostawców ICT. W rozporządzeniu znajdujemy podział na różne kategorie dostawców usług ICT. Jedną z nich jest podział na dostawcwó zewnętrznych i wewnętrznych.

  1. Zewnętrzny dostawca usług ICT (art. 3 pkt 19) – oznacza przedsiębiorstwo świadczące usługi ICT.
  2. Dostawca usług ICT wewnątrz grupy (art. 3 pkt 20) (wewnętrzny) – oznacza przedsiębiorstwo, które jest częścią grupy finansowej, i które świadczy głównie usługi ICT na rzecz podmiotów finansowych należących do tej samej grupy lub podmiotów finansowych należących do tego samego systemu ochrony instytucjonalnej.

Rolą dostawców jest zapewnienie instytucjom finansowym prowadzenia działalności w sposób efektywny, bezpieczny oraz niezawodny. Ich usługi są niezbędne do przechowywania, przetwarzania oraz zabezpieczenia wszelkich danych, z których korzysta instytucja finansowa.

Przykładami takich dostawców są w szczególności Microsoft Azure. To duży dostawca chmurowy zapewniającya przetwarzanie danych oraz usługi z zakresu automatyzacji procesów czy zarządzania tożsamością. Innym przykładem jest Google Cloud, który oferuje analizę zbiorów danych, sztucznej inteligencji oraz zapewnia bezpieczeństwo informatyczne.

Usługi ICT DORA – czym są?

Zgodnie z artykułem 3 pkt. 21 DORA, za usługi ICT uważa się usługi cyfrowe i usługi w zakresie danych świadczone w sposób:

  1. ciągły,
  2. za pośrednictwem systemów ICT
  3. na rzecz co najmniej jednego użytkownika wewnętrznego/zewnętrznego

łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.

Jak świadczyć usługi ICT DORA?

Świadczenie usług za pośrednictwem systemów ICT oznacza, że usługi takie umożliwiają użytkownikowi dostęp do wyszukiwania, przechowywania i przetwarzania wszelkich informacji w formie cyfrowej.

Za usługi ICT DORA uważa się wszelkie usługi związane z systemami oraz infrastrukturą informacyjną, które wspierają instytucje w zarządzaniu danymi oraz zapewnieniu ciągłości działania, również w sytuacjach kryzysowych. Są one kluczowe dla działalności instytucji, ponieważ mają bezpośredni wpływ na stabilność oraz bezpieczeństwo wszelkich operacji finansowych.

Cyber kłódki i cyber obrazki rola dostawców ICT w DORA

Dostawcy ICT – jak rozporządzenie DORA dzieli zewnętrznych dostawców usług ICT?

Dostawcy ICT wspierający funkcje krytyczne i istotne

Kolejny podział to ten, że dostawcy ICT wspierają funkcje krytyczne i istotne lub nie. Żeby zrozumieć, gdzie przebiega ten podział, trzeba zajrzeć do definicji krytycznej lub istotnej funkcji, którą daje nam art. 3 pkt. 22) DORA. Zgodnie z nim krytyczna lub istotna funkcja to taka, której zakłócenie w sposób istotny niekorzystnie wpłynęłoby na:

  • wyniki finansowe podmiotu finansowego
  • bezpieczeństwo lub ciągłość usług i działalności tego podmiotu.

To także funkcja, której zaprzestanie lub wadliwe działanie lub działanie zakończone niepowodzeniem w sposób istotny niekorzystnie wpłynęłoby na dalsze wypełnianie przez podmiot finansowy:

  • warunków i obowiązków wynikających z udzielonego mu zezwolenia
  • jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych.

Kluczowy zewnętrzny dostawca usług ICT – podmiot specjalnej regulacji

Bardzo ważnym kryterium jest uznanie dostawcy za kluczowego. Szczegółowe zasady zawiera art. 31 DORA.

Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu, wyznaczają zewnętrznych dostawców usług ICT, którzy mają dla podmiotów finansowych kluczowe znaczenie. Wyznaczenie następuje po przeprowadzeniu oceny, która uwzględnia określone przez DORA kryteria. Oto niektóre z nich:

  • systemowy wpływ na stabilność, ciągłość lub jakość świadczenia usług finansowych
  • systemowy charakter lub znaczenie podmiotów finansowych, które korzystają z usług danego dostawcy ICT
  • zależność podmiotów finansowych od usług świadczonych przez danego dostawcę

Procedura wyznaczania kluczowego zewnętrznego dostawcy usług ICT

  1. Wiodący organ nadzorczy powiadamia zewnętrznego dostawcę usług ICT o wyniku oceny do celów wyznaczenia go jako kluczowego zewnętrznego dostawcy usług ICT.
  2. W terminie 6 tygodni od daty powiadomienia zewnętrzny dostawa usług ICT może przedłożyć wiodącemu organowi nadzorczemu uzasadnione oświadczenie zawierające wszelkie istotne informacje na potrzeby tej oceny.
  3. Wiodący organ nadzorczy analizuje uzasadnione oświadczenie i może zażądać przedłożenia dodatkowych informacji w terminie 30 dni kalendarzowych od otrzymania takiego oświadczenia.
  4. Po wyznaczeniu zewnętrznego dostawcy usług ICT jako kluczowego, EUN, za pośrednictwem Wspólnego Komitetu, powiadamia tego zewnętrznego dostawcę usług ICT o takim wyznaczeniu oraz o dacie, od której będzie on faktycznie podlegać działaniom nadzorczym. Data ta nie może być późniejsza niż miesiąc po powiadomieniu.
  5. Wyznaczony zewnętrzny dostawca usług ICT powiadamia o takim wyznaczeniu podmioty finansoweg, na rzecz których świadczy usługi.

Obowiązki nałożone przez rozporządzenie na instytucje finansowe i dostawców ICT

Zapewnienie ciągłości świadczenia usługi

Dostawcy usług ICT są zobowiązani do tego, aby ich usługi funkcjonowały również w sytuacjach kryzysowych czy losowych. Tak, aby instytucje finansowe mogły prowadzić swoją działalność w sposób nieprzerwany. Działania zapewniające ciągłość świadczeń to m.in. tworzenie planów ciągłości operacyjnej bądź planów uzyskiwania danych. To także regularne testowanie bezpieczeństwa oraz funkcjonalności systemów ICT.

Zarządzanie ryzykiem związanym z dostawcami

Instytucje finansowe muszą regularnie przeprowadzać oceny ryzyka związane z korzystaniem z usług dostawców ICT. W szczególności chodzi o ryzyka związane z cyberzagrożeniami, brakiem ciągłości działania i bezpieczeństwem danych. Dostawcy muszą zaś umożliwić instytucjom realizację tego ich obowiązku.

Zarządzanie incydentami oraz ocena ryzyka

Dostawcy usług powinni identyfikować potencjalne zagrożenia i opracować dla nich odpowiednie środki zapobiegawcze oraz procedury awaryjne. Takie, które pozwolą w szybkim czasie wrócić do sprawności i funkcjonowania instytucji sprzed awarii lub incydentu. 

Współpraca z instytucjami finansowymi i nadzorem

Dostawcy są zobowiązani do niezwłocznego informowania o wszelkich incydentach, które mogą mieć wpływ na ciągłość świadczenia usług przez danego dostawcę. Przykładami incydentów, o których należy informować instytucje finansowe to m.in. cyberataki, awarie bądź zakłócenia wpływające na działalność danej instytucji. Dodatkowo między dostawcą usług ICT a instytucją finansową powinna występować ścisła współpraca w zakresie zarządzania ryzykiem oraz incydentami. Ma to doprowadzić do spójności i ciągłości działań.

Wymogi dotyczące audytów i kontroli

Podmioty finansowe określają z góry częstotliwość audytów i kontroli wraz z obszarami, które będą podlegały kontroli. Instytucje finansowe muszą przestrzegać przy tym wszelkich powszechnie przyjętych standardów. Dodatkowo mają one możliwość weryfikacji czy audytorzy (lub grupa audytorów) posiada odpowiednie umiejętności i wiedzę umożliwiają skuteczne przeprowadzanie kontroli i audytów. Dostawcy usług ICT muszą zaś umożliwić instytucjom finansowym przeprowadzenie u siebie takich audytów i kontroli i poddać się im na ustalonych zasadach.

Dostawcy usług ze względu na rozporządzenie DORA (dowiedz się, co to jest DORA) muszą w szczególności zwiększyć wymagania dotyczące bezpieczeństwa. Muszą też zapewnić dodatkowe środki ochrony danych i przeprowadzać regularne audyty bezpieczeństwa. Muszą także dostosować swoje usługi do funkcjonowania również w sytuacjach kryzysowych. Dodatkowo działania podejmowane przez dostawców muszą być zgodne z przepisami prawa oraz być na tyle przejrzyste, aby instytucje finansowe mogły bez żadnych problemów monitorować oraz oceniać pojawienie się ryzyka.

Podsumowanie:

Dostawy usług ICT są kluczowym punktem zapewniającym odpowiednią odporność operacyjną instytucji finansowych. Rozporządzenie nakłada na nie szereg obowiązków. Najważniejsze z nich dotyczą zarządzania ryzykiem oraz zapewnienia, że spełniają oni wymogi bezpieczeństwa. A także, że są w stanie funkcjonować również w sytuacjach kryzysowych. Rozporządzenie podkreśla istotną rolę współpracy między dostawcą usług a instytucją finansową.

DORA w Kancelarii Armińska Radcowie Prawni

Zobacz nasz nowy e-book DORA pdf dla wzrokowców – rozporządzenie w grafikach

Musisz poznać treść Rozporządzenia DORA, ale nie rozumiesz skomplikowanego języka prawniczego i zawiłych regulacji? E-book „DORA dla wzrokowców” jest dla Ciebie! Przekształciłyśmy trudne europejskie rozporządzenie o operacyjnej odporności cyfrowej (DORA) na przejrzyste grafiki, wykresy i tabele. Dzięki temu szybko i bez wysiłku zrozumiesz najważniejsze obowiązki i wymagania, które Cię dotyczą.

E-book DORA pdf to wizualne przedstawienie treści samego rozporządzenia tak, aby osoby, które muszą pracować z tym dokumentem, przeżyły to z godnością i zrozumiały, czego dotyczy to rozporządzenie. DORA obowiązuje w Polsce od 2025 roku. Kup ten e-book teraz.

E-book DORA pdf dla wzrokowców leży na stole

Chcesz zapytać o DORA?

Świadczysz usługi ICT dla sektora finansowego? Jesteś zewnętrznym dostawcą usług ICT? Oferujemy Ci specjalistyczną poradę prawną dotyczącą Rozporządzenia DORA (Digital Operational Resilience Act). Pomożemy Ci ustalić, czy Twoja działalność podlega pod DORA i jakie obowiązki z tego wynikają. Nasza ekspertka, radczyni prawna Marta Makulec, doradzi, jak dostosować Twoje usługi do nowych regulacji, minimalizując ryzyko błędów i sankcji. Skorzystaj z naszej wiedzy, aby zapewnić swojej firmie pełną zgodność z unijnymi wymogami.

Porada prawna DORA armińska radcowie prawni okładka

Na blogu: dowiedz się więcej o dostawcach ICT DORA i usługach ICT DORA

Na blogu naszej kancelarii znajdziesz coraz więcej artykułów z zakresu tematyki DORA. Akt o operacyjnej odporności cyfrowej sektora finansowego to ważny temat. Będzie o nim coraz głośniej, bo polskie przedsiębiorstwa obsługujące sektor finansowy w zakresie usług ICT DORA już muszą się do niego dostosować. Choć akt ten obowiązuje od stycznia 2025 roku, na cały czas będą pojawiać się nowe pytania i zagadnienia. Kancelaria armińska radcowie prawni specjalizuje się w tematyce DORA.

DORA dotyczy Twojej organizacji? Polecamy też zacząć od zapoznania się z artykułami na blogu:

Wdrożenie DORA – pomożemy Twojej organizacji przygotować się

W Polsce, jeśli jesteś instytucją finansową lub zewnętrznym dostawcą usług, musisz stosować DORA od stycznia 2025 r.
Zamów audyt DORA – to pierwszy krok do wprowadzenia DORA w Twojej organizacji. Nasza kancelaria armińska radcowie prawni oferuje pełne wsparcie, które ułatwi Twojej firmie dostosowanie do nowych przepisów.

Usługi naszej kancelarii prawnej z Gdańska obejmują m.in.:

  • audyt DORA, który pozwoli na ocenę poziomu zgodności Twojej instytucji z rozporządzeniem
  • wdrożenie DORA zgodnie z wytycznymi
  • szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA
  • pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.

Skontaktuj się z nami, aby umożliwić swojej firmie efektywne przygotowanie na wdrożenie DORA.

Radczynie prawne i prawniczki z kancelarii armińska radcowie prawni
Zapraszamy do współpracy

Podoba Ci się ten artykuł? Udostępnij:

Facebook
Twitter
LinkedIn
WhatsApp

Ostatnie wpisy

Praca dla młodszego prawnika lub młodszej prawniczki. Rekrutujemy!

Praca dla młodszego prawnika lub młodszej prawniczki. Rekrutujemy!

Praca dla asystenta lub asystentki prawnej. Rekrutujemy!

Praca dla asystenta lub asystentki prawnej. Rekrutujemy!

Praca dla aplikanta lub aplikantki. Rekrutujemy!

Praca dla aplikanta lub aplikantki. Rekrutujemy!

© Copyright 2025 | armińska radcowie prawni

Obsługujemy szybkie płatności
Zamknij