Wróć do bloga
10 czerwca 2024Maja Góral-Pawelczyk, Radca Prawny

Dostosowanie umów z dostawcami ICT do wymogów DORA

Pomimo, że DORA została przyjęta 14 grudnia 2022 roku i przewidywała ponad 2 lata na rozpoczęcie jej stosowania, instytucje finansowe oraz dostawcy krytyczni usług ICT dopiero niedawno rozpoczęli przygotowania do wdrożeń. Część instytucji zapewne czekała na projekty RTS’ów, część na wytyczne KNF, polską ustawę ustanawiającą przepisy do uregulowania na poziomie krajowym, a jeszcze inni na gotowe ankiety zgodności KNF, które pomogą im w weryfikacji dostosowania. Tymczasem zegar tyka, a na wdrożenie pozostaje już zaledwie kilka miesięcy.

Co prawda wymogi nakładane są głównie na podmioty finansowe, jednak muszą one przenieść część zobowiązań dalej na dostawców ICT, a to z kolei wymaga nie tylko zmian, niejednokrotnie setek umów, ale też dostosowania dostawców ICT do spełnienia wymagań instytucji finansowej. Opieszałość po stronie instytucji finansowej może więc przełożyć się na brak możliwości dostosowania zewnętrznego dostawcy w wymaganym terminie, a to z kolei na brak możliwości przedłużenia umowy czy też konieczność jej wypowiedzenia i… brak dostępności usługi. Powyższe oznacza więc, że dostawcy ICT mogą dużo zyskać niezależnie wdrażając standardy wymagane przez DORA zwiększając swoją konkurencyjność na rynku i oferując usługi podmiotom, które w trybie pilnym poszukują innego dostawcy czy też podtrzymując dotychczasowe współprace.

Od 17 stycznia 2025 roku wszystkie umowy z dostawcami ICT muszą spełniać poniższe kryteria, czy Twoja organizacja już teraz jest w stanie się do nich dostosować?

1. Prawa i obowiązki podmiotu finansowego i zewnętrznego dostawcy usług teleinformatycznych muszą być jasno określone i przedstawione na piśmie. Pełna umowa, która obejmuje postanowienia o gwarantowanym poziomie usług, musi być udokumentowana w jednym pisemnym dokumencie dostępnym dla stron na papierze lub w dostępnym do pobrania formacie.

2. Spisane i kompletne umowy muszą zwierać m.in.:

1) jasny i kompletny opis wszystkich funkcji i usług, które mają być świadczone przez zewnętrznego dostawcę usług ICT, ze wskazaniem, czy dozwolone jest podwykonawstwo kluczowej lub ważnej funkcji lub jej istotnych części, a jeżeli tak, to jakie warunki mają zastosowanie do takiego podwykonawstwa;

2) miejsca, w których mają być świadczone objęte umową lub podwykonawstwem funkcje i usługi oraz w których mają być przetwarzane dane, w tym miejsce przechowywania, oraz wymóg, aby zewnętrzny dostawca usług ICT powiadomił podmiot finansowy, jeżeli przewiduje zmianę tych miejsc;

3) postanowienia dotyczące dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych oraz zapewnienia dostępu, odzyskiwania i zwrotu w łatwo dostępny w formacie danych osobowych i nieosobowych przetwarzanych przez podmiot finansowy w przypadku niewypłacalności lub rozwiązania zewnętrznego dostawcy usług ICT lub zaprzestania przez niego działalności gospodarczej;

4) pełne opisy poziomu usług, w tym ich aktualizacje i zmiany, oraz dokładne ilościowe i jakościowe cele w zakresie wyników w ramach uzgodnionych poziomów usług, aby umożliwić podmiotowi finansowemu skuteczne monitorowanie oraz umożliwić bezzwłoczne podjęcie odpowiednich działań naprawczych w przypadku nieosiągnięcia uzgodnionych poziomów usług;

5) okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT w stosunku do podmiotu finansowego, w tym powiadamianie o każdej zmianie, która może mieć istotny wpływ na zdolność skutecznego wykonywania przez tego dostawcę kluczowych lub ważnych funkcji zgodnie z uzgodnionymi poziomami usług;

6) obowiązek zapewnienia przez zewnętrznego dostawcę usług ICT pomocy w przypadku incydentu związanego z ICT, bez dodatkowych opłat lub za opłatą określoną ex ante;

7) prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT, które obejmuje:
(i)   prawo dostępu, kontroli i audytu przez podmiot finansowy lub przez wyznaczoną osobę trzecią oraz prawo do sporządzania kopii odnośnej dokumentacji, przy czym skuteczne wykonywanie  tych praw nie jest utrudnione lub ograniczone przez inne ustalenia umowne lub politykę w zakresie wdrażania;
(ii)   prawo do uzgodnienia alternatywnych poziomów zabezpieczenia w przypadku naruszenia praw innych klientów;
(iii)   zobowiązanie do pełnej współpracy podczas kontroli na miejscu przeprowadzanych przez podmiot finansowy oraz szczegółowe informacje na temat zakresu, warunków i częstotliwości zdalnego przeprowadzania audytów;

8) obowiązek pełnej współpracy zewnętrznego dostawcy usług ICT z właściwymi organami i organami ds. restrukturyzacji i uporządkowanej likwidacji podmiotu finansowego, w tym z osobami przez nie wyznaczonymi;

9) prawa do odstąpienia od umowy i związany z nimi minimalny okres wypowiedzenia umowy, zgodnie z oczekiwaniami właściwych organów;

10) strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego:
(i)   podczas którego zewnętrzny dostawca usług ICT będzie nadal świadczył odpowiednie funkcje lub usługi w celu zmniejszenia ryzyka wystąpienia zakłóceń w funkcjonowaniu podmiotu finansowego;
(ii)   który umożliwia podmiotowi finansowemu zmianę zewnętrznego dostawcy usług ICT na innego dostawcę lub przejście na rozwiązania dostępne na miejscu zgodnie ze złożonością świadczonej usługi.

11) wymogi wobec zewnętrznego dostawcy usług ICT w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością oraz posiadania środków, narzędzi i polityk w zakresie bezpieczeństwa ICT, które odpowiednio gwarantują bezpieczne świadczenie usług przez podmiot finansowy zgodnie z jego ramami regulacyjnymi;

Dla dostawców ICT w zakresie outsourcingu kluczowych i ważnych funkcji przewidziano dodatkowe wymagania, które w pewnej mierze zależą od przyjętego przez instytucję finansową ryzyka i ich wewnętrznych polityk i obejmują szereg dodatkowych zabezpieczeń w ramach wewnętrznej infrastruktury dostawcy ICT czy też dodatkowe obostrzenia związane z wykonywanymi przed ten podmiot czynnościami (np. obsługa incydentów, podatności czy też zarządzanie zmianą).