Rozwój cyfryzacji jest tak dynamiczny, że trudno go zatrzymać. Instytucje finansowe w coraz większym stopniu są zależne od nowoczesnych technologii. Stąd rola dostawców usług ICT (Information and Communication Technology) staje się coraz bardziej istotna. Europejskie rozporządzenie DORA kompleksowo wyjaśnia jaką rolę pełni dostawca usług ICT. Dodatkowo DORA wprowadza szczegółowe wytyczne dotyczące przeciwdziałaniu zagrożeniom wynikającym z rozwoju cyfryzacji. Rozporządzenie z jednej strony dba o bezpieczeństwo oraz stabilność rynku. Z drugiej – nakłada obowiązki zarówno na instytucje finansowe jak i dostawców ICT.
Kim są dostawcy usług ICT?
Świadczenie usług finansowych bez korzystania z usług chmurowych, rozwiązań w zakresie oprogramowania i usług związanych z danymi nie jest już możliwe. Dlatego unijny ekosystem finansowy stał się wewnętrznie współzależny od pewny usług ICT świadczonych przez dostawców usług ICT. W rozporządzeniu znajdujemy podział na różne kategorie dostawców usług ICT. Jedną z nich jest podział na zewnętrznych i wewnętrznych dostawców usług ICT.
- Zewnętrzny dostawca usług ICT (art. 3 pkt 19) – oznacza przedsiębiorstwo świadczące usługi ICT.
- Dostawca usług ICT wewnątrz grupy (art. 3 pkt 20) – oznacza przedsiębiorstwo, które jest częścią grupy finansowej, i które świadczy głównie usługi ICT na rzecz podmiotów finansowych należących do tej samej grupy lub podmiotów finansowych należących do tego samego systemu ochrony instytucjonalnej.
Rolą dostawców jest zapewnienie instytucjom finansowym prowadzenia działalności w sposób efektywny, bezpieczny oraz niezawodny. Ich usługi są niezbędne do przechowywania, przetwarzania oraz zabezpieczenia wszelkich danych, z których korzysta instytucja finansowa.
Przykładami takich dostawców są w szczególności Microsoft Azure. To duży dostawcą chmurowym zapewniającym przetwarzanie danych oraz usługi z zakresu automatyzacji procesów czy zarządzania tożsamością. Innym przykładem jest Google Cloud, który oferuje analizę zbiorów danych, sztucznej inteligencji oraz zapewnia bezpieczeństwo informatyczne.
Czym są usługi ICT?
Zgodnie z artykułem 3 pkt. 21 DORA, za usługi ICT uważa się usługi cyfrowe i usługi w zakresie danych świadczone w sposób:
- ciągły,
- za pośrednictwem systemów ICT
- na rzecz co najmniej jednego użytkownika wewnętrznego/zewnętrznego
łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.
Świadczenie usług za pośrednictwem systemów ICT oznacza, że usługi takie umożliwiają użytkownikowi dostęp do wyszukiwania, przechowywania, jak i przetwarzania wszelkich informacji w formie cyfrowej.
W kontekście rozporządzenia DORA za usługi ICT uważa się wszelkie usługi związane z systemami oraz infrastrukturą informacyjną, które wspierają instytucje w zarządzaniu danymi jak i zapewnieniu ciągłości działania, również w sytuacjach kryzysowych. Są one kluczowe dla działalności instytucji, ponieważ mają bezpośredni wpływ na stabilność oraz bezpieczeństwo wszelkich operacji finansowych.
Zewnętrzni dostawcy usług ICT wspierający funkcje krytyczne i istotne
Kolejny podział, jaki stosuje DORA dla zewnętrznych dostawców usług ICT to ten, że wspierają oni funkcje krytyczne i istotne lub nie. Żeby zrozumieć, gdzie przebiega ten podział, trzeba zajrzeć do definicji krytycznej lub istotnej funkcji, którą daje nam art. 3 pkt. 22) DORA. Zgodnie z nim krytyczna lub istotna funkcja to taka, której zakłócenie w sposób istotny niekorzystnie wpłynęłoby na:
- wyniki finansoweg podmiotu finansowego
- bezpieczeństwo lub ciągłość usług i działalności tego podmiotu.
To także funkcja, której zaprzestanie lub wadliwe działanie lub działanie zakończone niepowodzeniem w sposób istotny niekorzystnie wpłynęłoby na dalsze wypełnianie przez podmiot finansowy:
- warunków i obowiązków wynikających z udzielonego mu zezwolenia
- jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych.
Kluczowy zewnętrzny dostawca usług ICT
Bardzo ważnym kryterium stosowanym do zewnętrznych dostawców usług ICT jest uznanie takiego dostawcy za kluczowego. Szczegółowe zasady zawiera art. 31 DORA.
Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu, wyznaczają zewnętrznych dostawców usług ICT, którzy mają dla podmiotów finansowych kluczowe znaczenie. Wyznaczenie następuje po przeprowadzeniu oceny, która uwzględnia określone przez DORA kryteria. Oto niektóre z nich:
- systemowy wpływ na stabilność, ciągłość lub jakość świadczenia udług finansowych
- systemowy charakter lub znaczenie podmiotów finansowych, które korzystają z usług danego zewnętrznego dostawcy usług ICT
- zależność podmiotów finansowych od usług świadczonych przez danego zewnętrznego dostawcę usług ICT
Procedura wyznaczania kluczowego zewnętrznego dostawcy usułg ICT
- Wiodący organ nadzorczy powiadamia zewnętrznego dostawcę usług ICT o wyniku oceny do celów wyznaczenia go jako kluczowego zewnętrznego dostawcy usług ICT.
- W terminie 6 tygodni od daty powiadomienia zewnętrzny dostawa usług ICT może przedłożyć wiodącemu organowi nadzorczemu uzasadnione oświadczenie zawierające wszelkie istotne informacje na potrzeby tej oceny.
- Wiodący organ nadzorczy analizuje uzasadnione oświadczenie i może zażądać przedłożenia dodatkowych informacji w terminie 30 dni kalendarzowych od otrzymania takiego oświadczenia.
- Po wyznaczeniu zewnętrznego dostawcy usług ICT jako kluczowego, EUN, za pośrednictwem Wspólnego Komitetu, powiadamia tego zewnętrznego dostawcę usług ICT o takim wyznaczeniu oraz o dacie, od której będzie on faktycznie podlegać działaniom nadzorczym. Data ta nie może być późniejsza niż miesiąc po powiadomieniu.
- Wyznaczony zewnętrzny dostawca usług ICT powiadamia o takim wyznaczeniu podmioty finansoweg, na rzecz których świadczy usługi.
Obowiązki nałożone przez rozporządzenie na dostawców usług ICT
- Zapewnienie ciągłości świadczenia usługi. Dostawcy usług ICT są zobowiązani do tego, aby ich usługi funkcjonowały również w sytuacjach kryzysowych czy losowych. Tak, aby instytucje finansowe mogły prowadzić swoją działalność w sposób nieprzerwany. Działania zapewniające ciągłość świadczeń to m.in. tworzenie planów ciągłości operacyjnej bądź planów uzyskiwania danych. To także regularne testowanie bezpieczeństwa oraz funkcjonalności systemów ICT.
- Zarządzanie ryzykiem związanym z dostawcami. Instytucje finansowe muszą regularnie przeprowadzać oceny ryzyka związane z korzystaniem z usług dostawców ICT. W szczególności chodzi o ryzyka związane z cyberzagrożeniami, brakiem ciągłości działania i bezpieczeństwem danych. Dostawcy muszą zaś umożliwić instytucjom realizację tego ich obowiązku.
- Zarządzanie incydentami oraz ocena ryzyka. Dostawcy usług powinni identyfikować potencjalne zagrożenia i opracować dla nich odpowiednie środki zapobiegawcze oraz procedury awaryjne. Takie, które pozwolą w szybkim czasie wrócić do sprawności i funkcjonowania instytucji sprzed awarii lub incydentu.
- Współpraca z instytucjami finansowymi i nadzorem. Dostawcy są zobowiązani do niezwłocznego informowania o wszelkich incydentach, które mogą mieć wpływ na ciągłość świadczenia usług przez danego dostawcę. Przykładami incydentów, o których należy informować instytucje finansowe to m.in. cyberataki, awarie bądź zakłócenia wpływające na działalność danej instytucji. Dodatkowo między dostawcą usług ICT a instytucją finansową powinna występować ścisła współpraca w zakresie zarządzania ryzykiem oraz incydentami. Ma to doprowadzić do spójności i ciągłości działań.
- Wymogi dotyczące audytów i kontroli. Podmioty finansowe określają z góry częstotliwość audytów i kontroli wraz z obszarami, które będą podlegały kontroli. Instytucje finansowe muszą przestrzegać przy tym wszelkich powszechnie przyjętych standardów. Dodatkowo mają one możliwość weryfikacji czy audytorzy (lub grupa audytorów) posiada odpowiednie umiejętności i wiedzę umożliwiają skuteczne przeprowadzanie kontroli i audytów. Dostawcy usług ICT muszą zaś umożliwić instytucjom finansowym przeprowadzenie u siebie takich audytów i kontroli i poddać się im na ustalonych zasadach.
Dostawcy usług ze względu na rozporządzenie DORA muszą w szczególności zwiększyć wymagania dotyczące bezpieczeństwa. Muszą też zapewnić dodatkowe środki ochrony danych i przeprowadzać regularne audyty bezpieczeństwa. Muszą także dostosować swoje usługi do funkcjonowania również w sytuacjach kryzysowych. Dodatkowo działania podejmowane przez dostawców muszą być zgodne z przepisami prawa oraz być na tyle przejrzyste, aby instytucje finansowe mogły bez żadnych problemów monitorować oraz oceniać pojawienie się ryzyka.
Podsumowanie:
Dostawy usług ICT są kluczowym punktem zapewniającym odpowiednią odporność operacyjną instytucji finansowych. Rozporządzenie nakłada na nie szereg obowiązków. Najważniejsze z nich dotyczą zarządzania ryzykiem oraz zapewnienia, że spełniają oni wymogi bezpieczeństwa. A także, że są w stanie funkcjonować również w sytuacjach kryzysowych. Rozporządzenie podkreśla istotną rolę współpracy między dostawcą usług a instytucją finansową.
Zobacz nasz nowy e-book DORA dla wzrokowców – rozporządzenie w grafikach
Musisz poznać treść Rozporządzenia DORA, ale nie rozumiesz skomplikowanego języka prawniczego i zawiłych regulacji? E-book „DORA dla wzrokowców” jest dla Ciebie! Przekształciłyśmy trudne europejskie rozporządzenie o operacyjnej odporności cyfrowej (DORA) na przejrzyste grafiki, wykresy i tabele. Dzięki temu szybko i bez wysiłku zrozumiesz najważniejsze obowiązki i wymagania, które Cię dotyczą.
Ten e-book to wizualne przedstawienie treści samego rozporządzenia tak, aby osoby, które muszą pracować z tym dokumentem, przeżyły to z godnością i zrozumiały, czego dotyczy to rozporządzenie. DORA zacznie obowiązywać od 2025 roku. Kup ten e-book teraz.
Chcesz zadać pytanie z zakresu DORA?
Świadczysz usługi ICT dla sektora finansowego? Jesteś zewnętrznym dostawcą usług ICT? Oferujemy Ci specjalistyczną poradę prawną dotyczącą Rozporządzenia DORA (Digital Operational Resilience Act). Pomożemy Ci ustalić, czy Twoja działalność podlega pod DORA i jakie obowiązki z tego wynikają. Nasza ekspertka, radczyni prawna Marta Makulec, doradzi, jak dostosować Twoje usługi do nowych regulacji, minimalizując ryzyko błędów i sankcji. Skorzystaj z naszej wiedzy, aby zapewnić swojej firmie pełną zgodność z unijnymi wymogami.
Dowiedz się więcej o DORA
Na blogu naszej kancelarii znajdziesz coraz więcej artykułów z zakresu tematyki DORA. Akt o operacyjnej odporności cyfrowej sektora finansowego to ważny temat. Będzie o nim coraz głośniej, bo data dostosowania się do niego w Polsce zbliża się nieubłaganie. Do stycznia 2025 roku na pewno będą pojawiać się nowe pytania i zagadnienia. Kancelaria armińska radcowie prawni specjalizuje się w tematyce DORA. Doradzamy, jak się przygotować oraz oferujemy szkolenia z tego zakresu.
DORA dotyczy Twojej organizacji? Polecamy też zacząć od zapoznania się z artykułami na blogu:
- Rozporządzenie DORA: klucz do cyfrowej odporności
- Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
- Jak będą stosowane kary administracyjne i środki naprawcze z rozporządzenia DORA?
- Ankieta DORA KNF – Komisja Nadzoru Finansowego sprawdza zgodność z rozporządzeniem DORA
Pomożemy Ci przygotować się do wdrożenia DORA w Twojej organizacji
W Polsce, jeśli jesteś instytucją finansową lub zewnętrznym dostawcą usług, musisz zacząć stosować DORA od stycznia 2025 r.
Nie odkładaj tego! Zacznij przygotowania już teraz, by wprowadzić DORA w swojej organizacji. Nasza kancelaria armińska radcowie prawni oferuje pełne wsparcie, które ułatwi Twojej firmie dostosowanie do nowych przepisów.
- szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA i najlepszych metod zarządzania ryzykiem cyfrowym,
- dokładne audyty, które pozwolą na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
- pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.
Skontaktuj się z nami, aby umożliwić swojej firmie efektywne przygotowanie na wdrożenie DORA.