Armińska Radcowie Prawni

Mój koszyk

Zarządzanie ryzykiem zewnętrznych dostawców usług ICT okładka do wpisu niebieskie oko

Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT według DORA

Sektor finansowy stoi przed nowym wyzwaniem. Rozporządzenie o operacyjnej odporności cyfrowej, znane jako DORA, wprowadza szereg nowych wymogów, które zmieniają sposób, w jaki instytucje finansowe muszą zarządzać ryzykiem związanym z zewnętrznymi dostawcami usług ICT. Technologia ICT stała się fundamentem operacji finansowych, co sprawia, że sektor finansowy jest podatny na awarie systemów, cyberataki i inne zagrożenia.

DORA motyw 79 obrazek do wpisu o zarządzaniu ryzykiem armińska radcowie prawni

Wymogi zarządzania ryzykiem według DORA

DORA wymaga od instytucji finansowych opracowania solidnych strategii zarządzania ryzykiem. To oznacza konieczność przeprowadzenia dokładnej oceny potencjalnych zagrożeń związanych z każdym dostawcą zewnętrznym świadczącym usługi ICT oraz opracowanie planów awaryjnych. Na przykład, jeśli instytucja finansowa korzysta z chmury obliczeniowej od dostawcy A dla krytycznych operacji, musi rozważyć ryzyko związane z potencjalną awarią tej usługi, i mieć plan działania na wypadek incydentu.

Usługi ICT definicja grafika do wpisu armińska radcowie prawni
Ryzyko związane z ICT definicja DORA grafika do wpisu

Zewnętrzni dostawcy usług ICT – kluczowi, wspierający krytyczne lub istotne funkcje, pozostali

Rozporządzenie DORA wprowadza podział zewnętrznych dostawców usług ICT na różne kategorie, biorąc pod uwagę ich rolę i znaczenie dla instytucji finansowych. Kluczowi dostawcy to ci, którzy mają fundamentalne znaczenie dla sektora finansowego. O tym, którzy zewnętrzni dostawcy usług ICT będą kluczowi, decydować będą Europejskie Urzędy Nadzoru, wyznaczając takie podmioty po przeprowadzeniu oceny uwzględniającej kryteria określone w art. 31 ust. 2 Rozporządzenia DORA.

Podział zewnętrznych dostawców usług ICT DORA grafika do wpisu

Odrębną kategorię stanowić też będą zewnętrzni dostawcy usług ICT wspierający funkcje krytyczne i istotne realizowane przez podmioty finansowe. Na takich kontrahentach spoczywać będą dodatkowe wymogi, dotyczące na przykład zakresu umów. Wszyscy inni zewnętrzni dostawcy usług ICT będą musieli spełnić obowiązki nałożone na nich przez Rozporządzenie DORA.

Szczegółowe wymogi umowne

DORA zwraca szczególną uwagę na umowy zawierane z dostawcami usług ICT, wprost wskazując, jaki musi być ich zakres. Każda umowa musi zawierać klauzule dotyczące opisu gwarantowanych poziomów usług, jasny i kompletny opis wszystkich funkcji i usług ICT, strategie wyjścia z umowy czy obowiązek pełnej współpracy z właściwymi organami. Instytucje finansowe muszą upewnić się, że umowy zapewniają pełną możliwość monitorowania i audytowania usług podwykonawców. Przykładowo umowa z dostawcą chmurowym powinna określać gwarantowany czas działania (SLA) i procedury reagowania na naruszenie bezpieczeństwa danych.

Treść umowy z zewnętrznym dostawcą usług ICT wymogi grafika do wpisu

Ryzyko koncentracji i zarządzanie nim

W obszernym katalogu zarządzania ryzykiem związanym z korzystaniem z usług ICT zewnętrznych dostawców, DORA podkreśla problem ryzyka koncentracji. Zachodzi ono, kiedy instytucja finansowa jest zbyt zależna od jednego dostawcy ICT albo od wielu takich dostawców powiązanych ze sobą. Aby temu zaradzić, instytucje muszą dywersyfikować swoich dostawców i regularnie oceniać potencjalne ryzyka. Przykładem może być sytuacja, gdy bank korzysta tylko z jednej firmy dostarczającej oprogramowanie do przetwarzania transakcji. Jeśli ta firma napotka problem, cały proces transakcyjny banku może zostać zakłócony.

Ryzyko koncentracji w obszarze ICT definicja grafika do wpisu

Gotowość na incydenty i ciągłe monitorowanie

Kolejnym kluczowym elementem jest gotowość na incydenty, testowanie i ciągłe monitorowanie usług ICT. Instytucje finansowe muszą być w stanie szybko reagować na wszelkie problemy, a także regularnie przeprowadzać testy i audyty. Z kolei dostawcy zewnętrznych usług ICT mają, pod pewnymi warunkami, obowiązek uczestniczenia w testowaniu i pomocy przy reagowaniu na incydenty. Przykładem może być bank, który regularnie przeprowadza symulacje ataków cybernetycznych, aby sprawdzić gotowość swoich systemów i procedur reagowania. Jego podwykonawca powinien brać udział w takich testach, aby wspólnie ustalić proces reagowania w takich sytuacjach.

Podsumowanie: Inwestycja w bezpieczeństwo i stabilność

DORA wprowadza nowe standardy zarządzania ryzykiem związanym z dostawcami usług ICT. Choć może to wymagać znaczących zmian w sposobie działania instytucji finansowych, jest to krok w kierunku zwiększenia ich odporności cyfrowej. Instytucje muszą postrzegać DORA nie tylko jako wymóg prawny, ale jako inwestycję w stabilność i bezpieczeństwo finansowe w cyfrowym świecie.

Dowiedz się więcej o DORA

Na blogu naszej kancelarii rozwijamy tematykę DORA, dlatego warto tu wracać po nowe informacje. Akt o operacyjnej odporności cyfrowej sektora finansowego to temat, który zdominuje dyskusję podmiotów zaangażowanych w dostarczanie firmom finansowym usług cyfrowych. Będzie o nim coraz głośniej, bo firmy mają czas do stycznia 2025 roku, aby uzyskać zgodność z DORA. Na pewno będą pojawiać się nowe pytania i zagadnienia. W kancelarii armińska radcowie prawni doradzamy, jak się przygotować oraz oferujemy szkolenia z tego zakresu.

DORA dotyczy Twojej organizacji? Polecamy też zacząć od zapoznania się z artykułami na blogu:

Pomożemy Ci przygotować się do wdrożenia DORA w Twojej organizacji

Obowiązek dostosowania się do DORA zaczyna się w Polsce w styczniu 2025 roku. Jednak nie czekaj do ostatniej chwili i już dzisiaj podejmij przygotowania do wprowadzenia DORA w swojej instytucji. Nasza kancelaria armińska radcowie prawni oferuje kompleksowe wsparcie, które pomoże Twojej firmie dostosować się do nowych wymogów.

Radca prawny Katarzyna Armińska-Waszczyk, właścicielka kancelarii armińska radcowie prawni, miała przyjemność poprowadzić w marcu 2024 r. , na zaproszenie Rzeczpospolita Konferencje, szkolenie pt. „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT – omówienie wybranych wymagań Rozporządzenia DORA.” Zachęcamy do śledzenia zbliżających się szkoleń, na których regularnie dzielimy się wiedzą z zakresu DORA, Legal Design, czy nowych technologii.

DORA szkolenie zarządzanie ryzykiem grafika do wpisu

Nasze usługi obejmują m.in.:

  • szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA i najlepszych metod zarządzania ryzykiem cyfrowym,
  • dokładne audyty, które pozwolą na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
  • pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.

Skontaktuj się z nami, aby umożliwić swojej firmie efektywne przygotowanie na wdrożenie DORA.

Szkolenie DORA obrazek do wpisu
Zorganizujemy szkolenie DORA w Twojej organizacji. Napisz do nas i zapytaj o szczegóły: kontakt@arminska.pl
baner zamów szkolenie armińska radcowie prawni

Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.

Podoba Ci się ten artykuł? Udostępnij:

Facebook
Twitter
LinkedIn
WhatsApp