Do 23 kwietnia 2025 roku instytucje finansowe są zobowiązane do przekazania Komisji Nadzoru Finansowego rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez ich zewnętrznych dostawców. Tymczasem, jak twierdzi Mikołaj Otmianowski, wice CEO RED INTO GREEN, wspomniane powyżej instytucje nie są pewne, czy będą w stanie zaraportować w KNF rejestry przygotowane zgodnie z rozporządzeniem DORA i wymogami Europejskiego Urzędu Nadzoru Bankowego (EBA).
Rejestr dostawców usług ICT (ang. Information and Communication Technologies), tj. zewnętrznych firm dostarczających rozwiązania informatyczne umożliwiające przetwarzanie, gromadzenie i przesyłanie informacji w formie elektronicznej, powinien zawierać informacje o wszystkich umowach dotyczących korzystania z usług ICT. Gromadzone informacje muszą umożliwiać rzetelną analizę ryzyka związaną z konkretnym dostawcą.
– Mamy aktualnie paradoksalną sytuację na rynku instytucji finansowych w Polsce. Instytucje finansowe najpierw dostosowywały się do wymogów EBA, a teraz muszą dostosować się do wymagań KNF – twierdzi Mikołaj Otmianowski. Ekspert przypomina, że w lutym tego roku Europejski Urząd Nadzoru Bankowego przedstawił ostateczne wymagania dotyczące raportowania rejestru informacji o dostawcach ICT.
– Natomiast KNF opublikowała swoje odmienne wytyczne dwa tygodnie temu i jeszcze dziś zamieściła ich kolejne aktualizacje (wypowiedź z 14 kwietnia – am) – wskazuje Mikołaj Otmianowski. – Instytucje finansowe stoją w obliczu bardzo dynamicznej sytuacji: czy będą w stanie zaraportować w polskim nadzorze rejestry przygotowane zgodnie z rozporządzeniem DORA i wymogami EBA? Organizacje już przygotowane według tych ostatnich wymogów muszą teraz robić zmiany. Podmioty finansowe w Polsce potrzebują rozwiązań automatycznych, żeby zdążyć wysłać dostosowane raporty zgodnie z terminem wskazanym przez KNF – podkreśla.
(AM, źródło: RED INTO GREEN)
