Kluczowi zewnętrzni dostawcy ICT pod DORA — nadzór ESA (art. 31–44)

Najważniejsze / W skrócie

Sekcja II rozdziału V DORA (art. 31–44) wprowadza bezpośredni nadzór europejskich organów nadzoru (ESA) nad kluczowymi zewnętrznymi dostawcami usług ICT. Wyznaczenia kluczowego dostawcy dokonuje EUN za pośrednictwem Wspólnego Komitetu na podstawie czterech kryteriów z art. 31 ust. 2 DORA — systemowy wpływ, znaczenie obsługiwanych podmiotów, zależność i substytucyjność. Wiodący organ nadzorczy (EUNB, ESMA lub EIOPA) prowadzi nadzór z wykorzystaniem uprawnień z art. 35 DORA: wnioskowanie o informacje, dochodzenia, kontrole, bieżący nadzór, zalecenia. Niezastosowanie się do środków nadzorczych może skutkować okresową karą pieniężną do 1 % średniego dziennego światowego obrotu dostawcy (art. 35 ust. 8 DORA). Wyłączenia z reżimu — art. 31 ust. 8 DORA — obejmują m.in. dostawców ICT wewnątrz grupy i dostawców obsługujących wyłącznie jeden rynek krajowy.

Sekcja II rozdziału V DORA — czyli art. 31–44 rozporządzenia 2022/2554 — wprowadza w Unii Europejskiej zupełnie nową konstrukcję prawną: bezpośredni nadzór europejskich organów nadzoru (ESA) nad kluczowymi zewnętrznymi dostawcami usług ICT. Po raz pierwszy w historii prawa finansowego UE podmiot, który nie jest instytucją finansową ani nawet nie ma siedziby w sektorze finansowym, może zostać objęty bezpośrednim, unijnym reżimem nadzorczym. Konstrukcja ta wpisuje się w szerszy obraz reżimów cyber-nadzorczych — porównaj relację DORA i NIS2 (lex specialis).

Czym są kluczowi zewnętrzni dostawcy usług ICT?

Kluczowi zewnętrzni dostawcy usług ICT to dostawcy wyznaczeni przez EUN za pośrednictwem Wspólnego Komitetu na podstawie czterech kryteriów z art. 31 ust. 2 DORA.

Wyznaczenie opiera się na ocenie czterech kryteriów:

a) Systemowy wpływ na stabilność, ciągłość lub jakość świadczenia usług finansowych — w przypadku awarii operacyjnej dostawcy.
b) Systemowy charakter lub znaczenie podmiotów finansowych korzystających z usług dostawcy — m.in. liczba globalnych instytucji o znaczeniu systemowym (G-SII) i innych instytucji o znaczeniu systemowym (O-SII).
c) Zależność podmiotów finansowych od usług dostawcy w zakresie krytycznych lub istotnych funkcji — bezpośrednio i pośrednio (przez podwykonawców).
d) Stopień substytucyjności dostawcy — uwzględniający brak realnych alternatyw, udział w rynku, złożoność techniczną i trudności migracji.

Listę kluczowych dostawców EUN sporządza, publikuje i co roku aktualizuje (art. 31 ust. 9 DORA).

Kogo wyznaczenie nie dotyczy?

Art. 31 ust. 8 DORA wyłącza z reżimu nadzoru ESA cztery kategorie podmiotów.

(i) Podmioty finansowe świadczące usługi ICT na rzecz innych podmiotów finansowych: Tj. instytucje finansowe występujące w roli dostawcy.
(ii) Dostawcy podlegający ramom nadzoru z art. 127 ust. 2 TFUE: Czyli podmioty wspierające infrastrukturę bankowości centralnej.
(iii) Dostawcy usług ICT wewnątrz grupy: Wewnętrzni dostawcy w ramach tej samej grupy kapitałowej.
(iv) Dostawcy obsługujący wyłącznie jeden rynek krajowy: Świadczący usługi ICT wyłącznie w jednym państwie członkowskim na rzecz podmiotów finansowych działających tylko w tym państwie.

Z punktu widzenia polskich dostawców IT — czwarte wyłączenie jest najistotniejsze. Dostawca obsługujący wyłącznie klientów krajowych w jednym państwie członkowskim nie wpadnie pod reżim ESA.

Kim jest „wiodący organ nadzorczy"?

Wiodący organ nadzorczy to jeden z trzech ESA (EUNB, ESMA lub EIOPA) wyznaczony dla każdego kluczowego dostawcy na podstawie udziału aktywów obsługiwanych podmiotów finansowych (art. 31 ust. 1 lit. b DORA).

W praktyce wiodącym organem nadzorczym dla danego dostawcy może być:

EUNB (Europejski Urząd Nadzoru Bankowego) — gdy największa część aktywów obsługiwanych przez dostawcę przypada na sektor bankowy.
ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) — gdy dominują podmioty z sektora rynków kapitałowych.
EIOPA (Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych) — gdy dominują ubezpieczenia.

Jakie uprawnienia ma wiodący organ nadzorczy?

Art. 35 DORA wyposaża wiodący organ nadzorczy w szeroki katalog uprawnień: wnioskowanie o informacje, dochodzenia, kontrole, bieżący nadzór i wydawanie zaleceń.

W ramach całego rozdziału obejmuje on:

Wniosek o udzielenie informacji (art. 37 DORA).
Dochodzenia ogólne (art. 38 DORA).
Kontrole (art. 39 DORA).
Bieżący nadzór (art. 40 DORA).
Wykonywanie uprawnień poza UE (art. 36 DORA).

Z perspektywy praktyki oznacza to, że kluczowy dostawca ICT jest poddany takiemu samemu reżimowi nadzorczemu, jak sama instytucja finansowa — z tą różnicą, że nadzór sprawuje organ unijny, a nie krajowy. Korelacja z obowiązkiem udziału w TLPT i z postanowieniami umownymi z art. 30 DORA czyni z kluczowego dostawcy uczestnika znacznie szerszego ekosystemu compliance.

Czy kluczowy dostawca płaci opłaty nadzorcze?

Tak — art. 43 DORA przewiduje, że kluczowi dostawcy uiszczają opłaty nadzorcze pokrywające koszty wykonywania zadań nadzorczych przez wiodący organ.

Wysokość, zakres i tryb pobierania opłat są określone w aktach delegowanych Komisji. W naszej ocenie ten przepis ma znaczenie ekonomiczne — dla dużych dostawców IT, którzy wcześniej w ogóle nie funkcjonowali w środowisku regulacyjnym sektora finansowego, opłaty nadzorcze są nowym kosztem operacyjnym.

Co jeśli dostawca odmówi współpracy?

Niezastosowanie się do środków nadzorczych może skutkować okresową karą pieniężną do 1 % średniego dziennego światowego obrotu dostawcy (art. 35 ust. 8 DORA), nakładaną maksymalnie przez sześć miesięcy.

Dodatkowo art. 42 DORA pozwala właściwym organom krajowym podjąć działania wobec podmiotów finansowych korzystających z usług dostawcy — w szczególności żądając ograniczenia lub zaprzestania korzystania z jego usług. Z naszego doświadczenia ta konstrukcja istotnie zmienia logikę zarządzania ryzykiem outsourcingu ICT — nawet jeśli kontrakt jest świetnie napisany, regulator może wymóc na podmiocie finansowym jego rozwiązanie.

Czy DORA reguluje współpracę międzynarodową?

Tak — art. 44 DORA przewiduje współpracę międzynarodową EUN w zakresie wymiany informacji o kluczowych dostawcach mających siedzibę poza UE.

Z naszego doświadczenia ten przepis ma znaczenie dla globalnych dostawców chmury, którzy najczęściej mają siedzibę poza UE — DORA nie pozwala im uciec spod nadzoru przez wybór jurysdykcji.

Co teraz zrobić?

Z naszego doświadczenia rekomendujemy podmiotom finansowym:

Zinwentaryzować dostawców ICT, którzy mogą być kandydatami do statusu kluczowego (np. globalni dostawcy chmury, dostawcy systemów core).
Śledzić publikację listy kluczowych dostawców przez EUN (art. 31 ust. 9 DORA).
Przygotować się na sytuację, w której właściwy organ krajowy zażąda ograniczenia korzystania z usług dostawcy (art. 42 DORA).
Wbudować w klauzule umowne mechanizmy współpracy z wiodącym organem nadzorczym (art. 30 DORA — zob. postanowienia umowne i koordynator outsourcingu).

Dostawcom IT, którzy mogą podpadać pod reżim, rekomendujemy:

Sprawdzić, czy podmiot mieści się w wyłączeniach z art. 31 ust. 8 DORA.
Zaplanować budżet na opłaty nadzorcze (art. 43 DORA).
Wyznaczyć punkt koordynacyjny dla grupy (art. 31 ust. 4 DORA).
Zbudować zdolność do współpracy z EUN — wraz z infrastrukturą prawną i raportową.

W kolejnym, ostatnim wpisie cyklu omawiamy kary administracyjne i sankcje karne za naruszenie DORA.

Co dalej w cyklu?

DORA

Potrzebujesz wsparcia z DORA?

DORA to nie tylko ICT — to test odporności operacyjnej. Pomożemy Ci go przejść.

Mapowanie wymogów DORA
Rejestr umów ICT
Testy odporności (TLPT)
Kontrakty z dostawcami ICT

Zobacz pełną ofertę usług

Tomasz Klecor Partner Zarządzający · Nawigator FinTechu. Prawnik.

Imię i nazwisko / Nazwa firmy

Adres email

Numer telefonu

Wiadomość

Twoje dane będą przetwarzane zgodnie z naszą polityką prywatności.

o nas

FinTech

AML

E-commerce

RODO

AI / NIS2

kreator

Legal Geek Tracker

doradztwo

Blog

Podcasty

Do pobrania

Kluczowi zewnętrzni dostawcy ICT pod DORA — nadzór ESA (art. 31–44)

Czym są kluczowi zewnętrzni dostawcy usług ICT?

Kogo wyznaczenie nie dotyczy?

Kim jest „wiodący organ nadzorczy"?

Jakie uprawnienia ma wiodący organ nadzorczy?

Czy kluczowy dostawca płaci opłaty nadzorcze?

Co jeśli dostawca odmówi współpracy?

Czy DORA reguluje współpracę międzynarodową?

Co teraz zrobić?

Co dalej w cyklu?

Potrzebujesz wsparcia z DORA?

Dziękujemy za wiadomość

Nie uciekaj jeszcze

FinTech

AML

E-commerce

RODO

AI / NIS2

o nas

zaufali nam

legaltech

baza wiedzy

Czym są kluczowi zewnętrzni dostawcy usług ICT?

Kogo wyznaczenie nie dotyczy?

Kim jest „wiodący organ nadzorczy"?

Jakie uprawnienia ma wiodący organ nadzorczy?

Czy kluczowy dostawca płaci opłaty nadzorcze?

Co jeśli dostawca odmówi współpracy?

Czy DORA reguluje współpracę międzynarodową?

Co teraz zrobić?

Co dalej w cyklu?

Potrzebujesz wsparcia z DORA?

Dziękujemy za wiadomość

Powiązane artykuły

Kary i sankcje za naruszenie DORA — art. 50, 51, 52 i okresowe kary z art. 35

Koordynator outsourcingu DORA i postanowienia umowne — art. 5 ust. 3 i art. 30

Outsourcing ICT pod DORA — czwarty filar i zasady ogólne (art. 28–30)

Czytaj także

Kara osobista członka zarządu — KSC do 300% wynagrodzenia + sankcje DORA z prawa polskiego

Zwrot dla ofiary „oszustwa na bank”. Nowa odpowiedzialność dostawcy usług płatniczych w PSD3/PSR

Weryfikacja odbiorcy w każdym poleceniu przelewu — co PSD3/PSR zmieniają względem PSD2 i ustawy o usługach płatniczych