Czwartym i — pod względem objętości — największym obszarem regulowanym przez DORA jest zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT. Materia rozłożona jest w rozdziale V rozporządzenia 2022/2554 (art. 28–44) i dzieli się na dwie sekcje: zasady ogólne (sekcja I, art. 28–30) oraz ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT (sekcja II, art. 31–44). W tym wpisie omawiamy sekcję I — czyli to, co dotyczy każdego podmiotu finansowego korzystającego z usług ICT zewnętrznego dostawcy. Czwarty filar opiera się na ramach zarządzania ryzykiem ICT i wymaga jasno zakorzenionej odpowiedzialności zarządu.

Co reguluje art. 28 DORA?

Art. 28 DORA wprowadza zasady ogólne zarządzania ryzykiem dostawców ICT — strategię, rejestr umów, ocenę pre-kontraktową, prawa wypowiedzenia i strategię wyjścia.

Strategia ryzyka dostawców ICT (art. 28 ust. 2 DORA)
Obowiązek dla podmiotów innych niż mikroprzedsiębiorstwa i podmioty z art. 16 DORA — zatwierdzana przez organ zarządzający, podlegająca regularnym przeglądom.
Rejestr ustaleń umownych (art. 28 ust. 3 DORA)
Utrzymywany na poziomie podmiotu, subskonsolidowanym i skonsolidowanym, z rozróżnieniem na umowy obejmujące krytyczne lub istotne funkcje. Co najmniej raz w roku raport do organu nadzoru.
Ocena pre-kontraktowa (art. 28 ust. 4 DORA)
Przed zawarciem umowy: ocena, czy dotyczy funkcji krytycznej, ocena ryzyka, due diligence dostawcy, identyfikacja konfliktów interesów.
Prawa wypowiedzenia (art. 28 ust. 7 DORA)
Cztery sytuacje obligatoryjne: poważne naruszenie przepisów, zmiana okoliczności wykonywania umowy, słabości dostawcy w zarządzaniu ryzykiem ICT, brak możliwości skutecznego nadzoru.
Strategia wyjścia (art. 28 ust. 8 DORA)
Obowiązkowa dla umów obejmujących krytyczne lub istotne funkcje — udokumentowana, testowana, podlegająca okresowym przeglądom.

Analogiczne mechanizmy outsourcingowe występują w innych reżimach — m.in. w outsourcingu i agentach pod ustawą AML — co jest istotne, gdy ten sam dostawca świadczy usługi w wielu obszarach regulowanych.

Co z prawem do wypowiedzenia umowy?

Art. 28 ust. 7 DORA wymaga, aby umowa z dostawcą ICT mogła być wypowiedziana co najmniej w czterech sytuacjach.

  • Poważne naruszenie przez dostawcę przepisów ustawowych, wykonawczych lub warunków umowy (lit. a).
  • Zidentyfikowanie okoliczności, które mogą zmienić wykonywanie funkcji przewidzianych w umowie (lit. b).
  • Słabości dostawcy w zakresie zarządzania ryzykiem ICT, w szczególności co do zapewnienia dostępności, autentyczności, integralności i poufności danych (lit. c).
  • Sytuacja, w której właściwy organ nie może już skutecznie nadzorować podmiotu finansowego (lit. d).

Wniosek: każda umowa ICT w sektorze finansowym musi zawierać klauzulę wypowiedzenia obejmującą co najmniej powyższe cztery podstawy.

Czy DORA wymaga strategii wyjścia z umowy?

Tak — dla każdej umowy obejmującej usługi ICT wspierające krytyczne lub istotne funkcje (art. 28 ust. 8 DORA).

Zgodnie z art. 28 ust. 8 DORA strategia wyjścia ma zapewnić, że wycofanie się z umowy nie spowoduje zakłóceń w działalności, ograniczenia zgodności z wymogami regulacyjnymi ani szkody dla ciągłości i jakości usług. Plan wyjścia musi być udokumentowany, wystarczająco przetestowany i podlega okresowym przeglądom.

W naszej ocenie strategia wyjścia jest jednym z elementów najtrudniejszych operacyjnie — szczególnie dla organizacji silnie zależnych od jednego dostawcy chmurowego lub jednego dostawcy systemu core.

Co z ryzykiem koncentracji?

Art. 29 DORA wymaga wstępnej oceny ryzyka koncentracji w obszarze ICT — przed zawarciem umowy obejmującej krytyczne lub istotne funkcje.

Zgodnie z art. 29 ust. 1 DORA: „Dokonując identyfikacji i oceny ryzyka, o czym mowa w art. 28 ust. 4 lit. c), podmioty finansowe biorą również pod uwagę, czy zawarcie planowanego ustalenia umownego w związku z usługami ICT wspierającymi krytyczne lub istotne funkcje prowadziłoby do któregokolwiek z poniższych skutków:

  • a) zawarcia umowy z zewnętrznym dostawcą usług ICT, którego nie można łatwo zastąpić; lub
  • b) posiadania wielu ustaleń umownych dotyczących świadczenia usług ICT wspierających krytyczne lub istotne funkcje z tym samym zewnętrznym dostawcą usług ICT lub z blisko powiązanymi zewnętrznymi dostawcami usług ICT".

W praktyce oznacza to, że przed podpisaniem każdej krytycznej umowy ICT podmiot finansowy musi udokumentować ocenę ryzyka koncentracji.

Co z podwykonawcami?

Art. 29 ust. 2 DORA wymaga oceny korzyści i ryzyk wynikających z możliwości zlecania podwykonawstwa — szczególnie w państwach trzecich.

Wymóg ten obejmuje ocenę przepisów prawa upadłościowego, ograniczeń w odzyskiwaniu danych oraz — w przypadku podwykonawców spoza UE — czy w danym państwie przestrzegane są unijne przepisy o ochronie danych. W naszej ocenie ten przepis ma poważne konsekwencje praktyczne: każdy łańcuch podwykonawców musi być znany podmiotowi finansowemu.

Co teraz zrobić?

Z naszego doświadczenia projekt zgodności z art. 28–29 DORA porządkujemy w sześć kroków:

  • Sporządzić strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT (art. 28 ust. 2 DORA).
  • Uruchomić i utrzymywać rejestr informacji o ustaleniach umownych — w formacie zgodnym z ITS wydanymi na podstawie art. 28 ust. 9 DORA (art. 28 ust. 3 DORA).
  • Wbudować w proces zakupu usług ICT pięć obowiązków pre-kontraktowych (art. 28 ust. 4 DORA).
  • Sporządzić strategie wyjścia dla każdego dostawcy obsługującego funkcje krytyczne lub istotne (art. 28 ust. 8 DORA).
  • Przeprowadzić ocenę ryzyka koncentracji dla wszystkich kluczowych umów ICT (art. 29 DORA).
  • Zinwentaryzować podwykonawców dostawców ICT — szczególnie w państwach trzecich.

W kolejnych dwóch wpisach pokazujemy, czego konkretnie wymaga art. 30 DORA w zakresie postanowień umownych i kim jest koordynator outsourcingu oraz na czym polega reżim nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT.

Co dalej w cyklu?