Europejskie Urzędy Nadzoru zakończyły we wrześniu 2023 r. konsultacje społeczne w sprawie pierwszej partii standardów technicznych na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Obejmują one projekty regulacyjnych standardów technicznych (RTS) i jeden zestaw projektów wykonawczych standardów technicznych (ITS).
Standardy te mają na celu zapewnienie spójnych i zharmonizowanych ram prawnych w obszarach zarządzania ryzykiem ICT (tj. ryzykiem związanym z technologiami i bezpieczeństwem), zgłaszania incydentów związanych z ICT oraz zarządzania ryzykiem ICT stron trzecich. Jednym z opracowywanych standardów jest ITS w celu ustanowienia wzorów na potrzeby rejestru informacji.
Zarządzanie relacjami z dostawcami
Wymagania w zakresie obowiązku prowadzenia przez zakłady ubezpieczeń i zakłady reasekuracji ewidencji umów outsourcingowych wprowadzone ustawą z 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej funkcjonują od lat. Z kolei Rozporządzenie Delegowane Komisji (UE) z 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady Wypłacalność II przykładowo uregulowało już minimalne wymogi dla umów zawieranych w drodze outsourcingu pomiędzy ubezpieczycielem a usługodawcą.
Komunikat chmurowy UKNF z 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze nałożył na te podmioty pewne wymogi dla umów z dostawcami. Sam komunikat UKNF regulował także kwestie związane z cloud computingiem.
W świetle powyższego DORA wydaje się odpowiedzią na rozproszenie wymagań prawnych i nadzorczych w stosunku do zarządzania relacjami z dostawcami usług ICT (w tym w ramach outsourcingu), zapewniając ujednolicenie wymagań m.in. w zakresie umów oraz rejestrów informacji dla tych umów.
Obowiązek utrzymania i aktualizacji rejestru
Artykuł 28 ust. 2 DORA nakłada na podmioty finansowe obowiązki, które choć wcześniej były wymagane zgodnie z obowiązującymi przepisami prawa w stosunku do wybranych umów, to jednak nie były tak szczegółowe i nie niosły tak specyficznych wymagań. Zgodnie z tymi wymogami podmioty finansowe są zobowiązane do utrzymania i aktualizacji rejestru informacji na różnych poziomach organizacyjnych, obejmującego wszystkie umowy dotyczące korzystania z usług ICT dostarczanych przez dostawców usług ICT.
Wymóg ten podkreśla znaczenie dokładnej dokumentacji i zróżnicowania umów, ze szczególnym uwzględnieniem tych, które obejmują usługi ICT wspierające funkcje krytyczne lub istotne. To z kolei skutkuje wymaganiem prowadzenia regularnej sprawozdawczości. Podmioty finansowe są zobligowane do corocznego zgłaszania do właściwych organów informacji na temat liczby nowych umów dotyczących korzystania z usług ICT, kategorii dostawców usług ICT, rodzaju umów i usług oraz funkcji, które są świadczone, a także udostępniania pełnego rejestru informacji na jego żądanie oraz zgłaszania planowanych umów dotyczących korzystania z usług ICT powiązanych z funkcjami krytycznymi lub istotnymi. Artykuł 28 ust. 2 DORA zwiększa tym samym transparentność.
Nowe obowiązki mają na celu zwiększenie bezpieczeństwa i odporności sektora finansowego na ryzyko cyfrowe, co jest głównym celem DORA. Mogą one jednakże stanowić wyzwanie dla podmiotów zobligowanych do ich stosowania z kilku powodów.
Zachowanie proporcjonalności
Szczegółowość niektórych przepisów ITS mogłaby narzucić niepotrzebne obciążenia instytucjom finansowym, co mogłoby skutkować nadmiernymi kosztami i zużyciem zasobów. Dlatego też kluczowe jest, aby rozwój wymagań regulacyjnych uwzględniał aspekt proporcjonalności.
Ilość informacji, które mają być umieszczone w rejestrze, powinna być proporcjonalna do stopnia, w jakim podmioty finansowe są zależne od usług dostarczanych przez zewnętrznych dostawców, zaś dodatkowe dane powinny być wymagane jedynie w sytuacji, gdy usługa informatyczna wspiera funkcje kluczowe lub istotne.
Porównywalność danych
Po drugie, w procesie projektowania szablonów rejestru wykorzystano doświadczenia zdobyte przez Europejskie Organizacje Nadzoru (ESAs) oraz organizacje nadzoru krajowego w zakresie gromadzenia danych dotyczących outsourcingu i współpracy z podmiotami trzecimi. Na rynku pojawiają się jednak wątpliwości dotyczące zarówno poszczególnych definicji na poziomie samego rozporządzenia DORA, jak i braku przejrzystości pojęć, takich jak: procesowanie danych (czy mamy do czynienia z nowymi pojęciami czy nawiązującymi do RODO).
Brak jednoznacznych definicji, a tym samym brak spójnego podejścia rynku może skutkować brakiem lub utratą porównywalności danych, a co za tym idzie – zaburzeniem transparentności, która jest mocno akcentowana w ramach rozporządzenia DORA.
Dostępność danych
Po trzecie, niezależnie od zakresu danych, które należy raportować i monitorować, wyzwaniem może okazać się ograniczona dostępność tych danych po stronie podmiotów obowiązanych. Szablony zawarte w projekcie ITS dotyczącego rejestru skupiają się na identyfikacji:
- minimalnych i niezbędnych informacji dotyczących umów oraz przeprowadzonych przez podmioty finansowe ocen ryzyka i procesów due diligence,
- związków między funkcjami podmiotów finansowych a usługami informatycznymi dostarczanymi przez zewnętrznych dostawców usług ICT,
- łańcucha dostaw usług informatycznych, z naciskiem na kluczowych podwykonawców,
- jednoznacznego i spójnego określenia zewnętrznych dostawców usług ICT (w tym podwykonawców) i podmiotów finansowych, poprzez użycie kodu identyfikatora podmiotu prawnego (ang. legal entity identifier (LEI)).
Odpowiedzialne funkcjonowanie instytucji finansowych
Pierwsza partia standardów technicznych, w tym ITS dotyczący rejestru informacji, ma zostać przedłożona Komisji Europejskiej do 17 stycznia 2024 r. W toczącej się debacie publicznej na temat rozporządzenia DORA rynek wyraża nadzieję, że ostateczna wersja standardów technicznych uwzględni pojawiające się wątpliwości.
Niezależnie od wyzwań strategia i polityka zarządzania ryzykiem w obszarze usług ICT są kluczowymi elementami odpowiedzialnego funkcjonowania instytucji finansowych, zaś rejestr informacji, będący narzędziem umożliwiającym efektywne monitorowanie, raportowanie i zarządzanie tym procesem, odgrywa bardzo ważną rolę.
W tym świetle rozporządzenie DORA jest bardzo aktualnym i potrzebnym dokumentem, który nie tylko ustanawia wspólne ramy zarządzania ryzykiem stron trzecich w obszarze usług ICT, ale może znacznie ułatwić zarządzanie organizacją i jej dostawcami (w tym ryzykiem związanym z dostawcami) i zwiększyć jego efektywność, przynosząc realną wartość dodaną.
Katarzyna Dąbrowska
Partner Associate, Risk and Regulatory, Financial Services
Alina Tarnowska
Manager, Third-Party Risk Advisory, Extended Enterprise
POBIERZ | SUBSKRYBUJ W APPLE PODCASTS | SUBSKRYBUJ W SPOTIFY
