Wymagania Rozporządzenia DORA
Istotnym elementem regulacyjnym obszaru cyberbezpieczeństwa na rynku finansowym jest Rozporządzenie DORA, które ma na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym.
Rozporządzenie DORA zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej 14 grudnia 2022 roku i stosowane będzie od 17 stycznia 2025 roku.
W miarę jak znaczenie technologii informacyjno-komunikacyjnych (ICT) rośnie w globalnej gospodarce, firmy stają się coraz bardziej zależne od zewnętrznych dostawców usług ICT. Ta zależność sprawia, że organizacje są podatne na zakłócenia w łańcuchu dostaw, co może prowadzić do poważnych problemów operacyjnych i bezpieczeństwa danych. Istotnym aspektem zarządzania ryzykiem w zakresie technologii ICT jest zawieranie odpowiednich klauzul w umowach z dostawcami. Właściwe zapisy umowne są konieczne do zwiększenia operacyjnej odporności cyfrowej. Co jest zatem konieczne do zwiększenia operacyjnej odporności cyfrowej w kontekście zewnętrznych dostawców usług ICT i spełnienia wymogów rozporządzenia?
Identyfikacja procesów, zasobów i umów
W celu zapewnienia stosowania Rozporządzenia DORA w kontekście zewnętrznych dostawców usług ICT konieczna jest wcześniejsza identyfikacja1:
podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje w całym łańcuchu dostaw.
W celu osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej, Rozporządzenie DORA ustanawia wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych, w tym w odniesieniu do ustaleń umownych zawieranych pomiędzy zewnętrznymi dostawcami usług ICT a podmiotami finansowymi.
W okresie od wejścia w życie do dnia stosowania Rozporządzenia DORA podmioty rynku finansowego mają czas na analizę luk oraz dostosowanie się do jego wymogów. W tym czasie należy między innymi: zidentyfikować, sklasyfikować i odpowiednio udokumentować wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne oraz zasoby ICT wspierające te funkcje.
Jednocześnie podmioty rynku finansowego powinny wskazać i udokumentować wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT oraz wskazać wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje.
Wpływ na niektóre wymogi będą miały akty wykonawcze do Rozporządzenia DORA, które są opracowywane w dwóch pakietach, z terminem finalizacji do 17 stycznia 2024 roku2 oraz do 17 lipca 2024 roku. Warto śledzić prace, jakie toczą się w tym zakresie. Uwzględniając okres, jaki pozostanie od finalizacji ostatnich aktów wykonawczych do rozpoczęcia stosowania Rozporządzenia DORA, działania wdrożeniowe powinny być podejmowane niezwłocznie, z uwzględnieniem postępów prac nad aktami wykonawczymi do Rozporządzenia DORA.
Należy zatem jak najszybciej rozpocząć proces identyfikacji oraz dostosowywania umów dotyczących korzystania z usług ICT z zewnętrznymi dostawcami tych usług, aby z dniem stosowania Rozporządzenia DORA (17 stycznia 2025 roku), spełniać jego wymogi w omawianym zakresie. W innym przypadku podmioty finansowe nie zapewnią zgodności z Rozporządzeniem DORA.
Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT, w tym ryzykiem koncentracji w obszarze ICT
W związku z obowiązkiem zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT, podmioty finansowe3 powinny w ramach zarządzania ryzykiem związanym z ICT, w szczególności:
przeprowadzić szacowanie ryzyka w odniesieniu do umów dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje.
Ponadto podmioty finansowe powinny przeprowadzić także wstępną ocenę ryzyka koncentracji w obszarze ICT w przypadku, gdy umowa dotycząca korzystania z usług ICT wspiera krytyczne lub istotne funkcje i prowadzi do któregoś z poniższych skutków:
posiadanie wielu umów z tym samym zewnętrznym dostawcą usług ICT lub z blisko powiązanymi zewnętrznymi dostawcami usług ICT.
W przypadku gdy umowa dotyczy korzystania z usług ICT wspierających krytyczne lub istotne funkcje lub dalszego zlecania podwykonawstwa ICT, podmioty finansowe powinny:
oceniać czy i w jaki sposób potencjalnie długie lub złożone łańcuchy podwykonawstwa mogą wpływać na zdolność do pełnego monitorowania funkcji będących przedmiotem umowy oraz na zdolność Komisji Nadzoru Finansowego do skutecznego nadzoru nad podmiotem finansowym.
Dostosowanie umów i najważniejsze postanowienia umowne
Umowy powinny być udokumentowane z rozróżnieniem na umowy, które obejmują usługi ICT wspierające krytyczne lub istotne funkcje oraz umowy, które takich funkcji nie wspierają.
Ważne! Umowy zawarte przed dniem stosowania Rozporządzenia DORA powinny być dostosowane w zakresie wymagań wynikających z art. 28-30 Rozporządzenia DORA do 17 stycznia 2025 roku.
Przed zawarciem umowy dotyczącej korzystania z usług ICT podmioty finansowe powinny:
identyfikować i oceniać konflikty interesów, które mogą wynikać z postanowień umownych.
Umowy z zewnętrznymi dostawcami usług ICT powinny być dostosowane w taki sposób, aby prawa i obowiązki podmiotu finansowego oraz dostawcy usług ICT zostały wyraźnie przypisane i określone na piśmie.
Umowy dotyczące korzystania z usług ICT powinny obejmować m.in. następujące elementy4:
warunki uczestnictwa w opracowanych przez podmioty finansowe programach zwiększania świadomości w zakresie bezpieczeństwa ICT.
Umowy dotyczące korzystania z usług ICT wspierających krytyczne lub istotne funkcje powinny dodatkowo obejmować m.in. następujące elementy5:
prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT6, w tym:
strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego.
Podsumowanie
Przegląd najważniejszych obowiązków Rozporządzenia DORA w zakresie umów dotyczących korzystania z zewnętrznych dostawców usług ICT ukazuje, jak istotne znaczenie będzie miała omawiana regulacja dla korzystania z zewnętrznych dostawców usług ICT na rynku finansowym. Jednocześnie, nieodległy termin jej stosowania uzasadnia podjęcie przez podmioty finansowe działań służących wdrożeniu omawianych wymogów. Dla zapewnienia zgodności z przepisami Rozporządzenia DORA, istotne pozostaje także monitorowanie procesu legislacyjnego dotyczącego aktów wykonawczych7 do omawianego rozporządzenia, w celu uwzględnienia ich treści w działaniach dostosowawczych.