Koordynator outsourcingu DORA i postanowienia umowne — art. 5 ust. 3 i art. 30

W tym wpisie łączymy dwa przepisy DORA, które w praktyce naszych Klientów rozstrzygają o jakości całego czwartego filaru: funkcję koordynatora outsourcingu z art. 5 ust. 3 DORA oraz minimalne postanowienia umowne z art. 30 DORA. Obie normy są czysto operacyjne — nie da się ich „wdrożyć politycznie" bez rzeczywistych zmian w strukturze organizacyjnej i w treści umów z dostawcami ICT obsługującymi outsourcing.

Kim jest koordynator outsourcingu DORA?

Koordynator outsourcingu DORA to wewnętrzna funkcja monitorująca ustalenia umowne z dostawcami ICT — wymagana w podmiotach innych niż mikroprzedsiębiorstwa (art. 5 ust. 3 DORA).

Zgodnie z art. 5 ust. 3 DORA: „Podmioty finansowe inne niż mikroprzedsiębiorstwa ustanawiają funkcję w celu monitorowania ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT lub wyznaczają członka kadry kierowniczej wyższego szczebla jako odpowiedzialnego za nadzorowanie związanej z tym ekspozycji na ryzyko i odpowiedniej dokumentacji".

W praktyce naszych Klientów dla tej funkcji utrwaliło się określenie koordynator DORA ds. outsourcingu lub koordynator outsourcingu DORA. Z naszego doświadczenia funkcja ta:

• Jest powoływana formalnym aktem organu zarządzającego — uchwałą zarządu lub regulaminem organizacyjnym.
• Ma jasno opisany zakres obowiązków i kompetencji w ramach struktury organizacyjnej.
• Posiada raportowanie do organu zarządzającego — zgodnie z art. 5 ust. 2 lit. i DORA.
• Współpracuje z funkcją zarządzania ryzykiem ICT z art. 6 ust. 4 DORA.
• Współpracuje z compliance i z zespołem zakupowym (procurement).

Czy mikroprzedsiębiorstwo musi powołać koordynatora?

Nie — z literalnego brzmienia art. 5 ust. 3 DORA mikroprzedsiębiorstwa są zwolnione, ale w naszej ocenie warto rozważyć wyznaczenie takiej osoby przy istotnej liczbie umów outsourcingowych.

Brak jednej osoby koordynującej tę materię operacyjnie często prowadzi do rozproszenia odpowiedzialności i braku spójnego rejestru ustaleń umownych z art. 28 ust. 3 DORA.

Co dokładnie wymaga art. 30 DORA?

Art. 30 ust. 1 DORA wymaga formy pisemnej umowy z dostawcą ICT, zawartej w jednym dokumencie obejmującym także klauzule SLA.

Zgodnie z art. 30 ust. 1 DORA: „Prawa i obowiązki podmiotu finansowego i zewnętrznego dostawcy usług ICT są wyraźnie przypisane i określone na piśmie. Całość umowy obejmuje klauzule o gwarantowanym poziomie usług i jest zawarta w jednym dokumencie mającym formę pisemną, który jest dostępny dla stron w wersji papierowej, lub w dokumencie w innym formacie umożliwiającym pobieranie, zapewniającym trwałość i dostęp".

Z naszej praktyki wynikają trzy bezpośrednie konsekwencje:

• Forma pisemna lub równoważna jest obowiązkowa.
• Umowa musi być zawarta w jednym dokumencie — nie w rozproszonych OWU, mailach i załącznikach bez ich podpięcia.
• Wszystkie klauzule SLA muszą być częścią umowy, a nie odrębnym dokumentem o niejasnym statusie prawnym.

Co umowa z dostawcą ICT musi zawierać minimalnie?

Art. 30 ust. 2 DORA wymienia 9 obowiązkowych elementów każdej umowy ICT (lit. a–i) — od opisu usług po warunki uczestnictwa w szkoleniach.

a) Opis funkcji i usług

Jasny i kompletny opis wszystkich funkcji i usług ICT, w tym warunki podwykonawstwa.

b) Lokalizacja świadczenia i przetwarzania danych

Regiony lub kraje, w których świadczone są usługi i przetwarzane dane, z obowiązkiem powiadomienia o zmianach.

c) Postanowienia o ochronie danych

Dostępność, autentyczność, integralność i poufność, w tym danych osobowych.

d) Dostęp, odzyskiwanie i zwrot danych

W razie niewypłacalności, rozwiązania, zaprzestania działalności lub wypowiedzenia umowy.

e) SLA i ich aktualizacje

Opisy gwarantowanych poziomów usług, ich aktualizacje i zmiany.

f) Pomoc przy incydencie ICT

Bez dodatkowych opłat lub za opłatą określoną ex ante.

g) Współpraca z organami

Pełna współpraca z właściwymi organami i organami restrukturyzacyjnymi.

h) Prawo wypowiedzenia

I związane z tym minimalne okresy wypowiedzenia.

i) Szkolenia ICT

Warunki uczestnictwa dostawcy w programach świadomości i szkoleniach z odporności cyfrowej (art. 13 ust. 6 DORA).

Co dodaje art. 30 ust. 3 DORA dla funkcji krytycznych?

Dla umów obejmujących usługi ICT wspierające krytyczne lub istotne funkcje art. 30 ust. 3 DORA dodaje 6 dodatkowych elementów (lit. a–f).

• a) Pełne opisy SLA z dokładnymi celami ilościowymi i jakościowymi.
• b) Okresy wypowiedzenia i obowiązki sprawozdawcze dostawcy, w tym powiadamianie o istotnych zmianach.
• c) Wymogi w zakresie planów awaryjnych i bezpieczeństwa ICT po stronie dostawcy.
• d) Obowiązek uczestnictwa w TLPT danego podmiotu finansowego (art. 26–27 DORA — zob. artykuł o TLPT).
• e) Prawo monitorowania na bieżąco wyników dostawcy, obejmujące:
  • nieograniczone prawa dostępu, kontroli i audytu (przez podmiot finansowy lub osobę trzecią i przez właściwy organ);
  • prawo do uzgodnienia alternatywnych poziomów zabezpieczenia;
  • obowiązek pełnej współpracy podczas kontroli i audytów na miejscu;
  • obowiązek przekazywania szczegółowych informacji o zakresie, procedurach i częstotliwości kontroli.
• f) Strategie wyjścia — w szczególności obowiązkowy okres przejściowy umożliwiający migrację do innego dostawcy lub przejście na rozwiązania wewnętrznych.

W naszej ocenie najtrudniejszy do wynegocjowania jest pkt e — szczególnie z dostawcami chmurowymi działającymi globalnie. DORA jednoznacznie wymaga jednak nieograniczonych praw dostępu, kontroli i audytu — szczególnie wobec kluczowych dostawców ICT.

Czy DORA dopuszcza standardowe klauzule umowne?

Tak — art. 30 ust. 4 DORA zachęca do stosowania standardowych klauzul opracowywanych przez organy publiczne dla określonych usług.

Co prawda na maj 2026 r. nie istnieje jeszcze pełen, oficjalny zestaw modelowych klauzul DORA wydanych przez Komisję — w naszej ocenie warto śledzić publikacje EUN i Komisji w tym zakresie. Do czasu pojawienia się oficjalnych szablonów rynek pracuje na własnych klauzulach, najczęściej budowanych w oparciu o art. 30 ust. 2 i 3 DORA.

Czy mikroprzedsiębiorstwo ma łatwiej?

W zakresie audytu — tak. Art. 30 ust. 3 akapit drugi DORA pozwala mikroprzedsiębiorstwom uzgodnić, że prawa dostępu, kontroli i audytu wykonuje niezależna osoba trzecia wyznaczona przez dostawcę.

Mikroprzedsiębiorstwo ma prawo żądać od tej osoby trzeciej informacji o wynikach dostawcy i ich poświadczenia. Z naszego doświadczenia to istotne ułatwienie operacyjne — pozwala mikroprzedsiębiorstwom korzystać z dużych dostawców ICT bez konieczności bezpośredniego prowadzenia audytów na miejscu.

Co teraz zrobić?

Z naszego doświadczenia rekomendujemy:

• Powołać formalnie funkcję koordynatora outsourcingu DORA (art. 5 ust. 3 DORA).
• Sporządzić wewnętrzną listę kontrolną zgodności umowy z art. 30 ust. 2 i ust. 3 DORA.
• Przygotować standardowy szablon DORA-aneksu — do zaproponowania dostawcom ICT ze starszymi umowami.
• W procesie negocjowania nowych umów wbudować obowiązkową klauzulę zgodności z art. 30 DORA jako warunek podpisania.
• Zaplanować coroczny przegląd umów ICT pod kątem ich aktualności względem zmieniających się RTS i ITS.

W kolejnym wpisie omawiamy reżim nadzoru ESA nad kluczowymi zewnętrznymi dostawcami usług ICT.

Co dalej w cyklu?

• Outsourcing ICT pod DORA — czwarty filar (art. 28–30)
• Kluczowi zewnętrzni dostawcy ICT — nadzór ESA (art. 31–44)
• TLPT — testy penetracyjne ukierunkowane przez analizę zagrożeń
• Kary i sankcje za naruszenie DORA (art. 50–52)