DORA znacząco zmienia relację między podmiotem finansowym, a jego dostawcami ICT. Ta zmiana jest wielowątkowa, również w kontekście umów. Dostawcy ICT muszą dostosować kontrakty do DORA i zgodzić się na pewne ograniczenia, a podmioty finansowe muszą stworzyć rejestr umów ze swoimi dostawcami.
Dlaczego DORA wymaga prowadzenia rejestru umów z dostawcami ICT?
DORA nakłada obowiązek prowadzenia rejestru umów z dostawcami ICT w celu zwiększenia świadomości organów sprawujących nadzór nad zależnością podmiotów finansowych od zewnętrznych dostawców usług ICT. Prowadzenie rejestru informacji obejmującego ustalenia umowne ma na celu dostarczenie kompleksowego obrazu relacji między instytucjami finansowymi a dostawcami usług ICT. Rejestr umów umożliwia organom sprawującym nadzór dostęp do kluczowych informacji dotyczących umów zawartych przez podmioty finansowe z dostawcami usług ICT. Pozwala to na lepsze zrozumienie, jakie usługi ICT są świadczone przez zewnętrznych dostawców, jakie są najważniejsze postanowienia umowne oraz jakie ryzyko jest z tym związane.
Rejestr umów ułatwia organom nadzorczym monitorowanie, analizowanie i ocenianie wpływu korzystania z usług ICT od zewnętrznych dostawców na bezpieczeństwo i operacyjną odporność instytucji finansowych. Dostęp do pełnego rejestru pozwala organom nadzorczym skuteczniej oceniać ryzyko związane z zależnościami od dostawców ICT i podejmować odpowiednie działania kontrolne, wspierając tym samym ogólną odporność sektora finansowego na incydenty związane z technologią.
Podstawowym celem DORA jest zapewnienie operacyjnej odporności cyfrowej. Jednym z najważniejszych narzędzi w tym zakresie jest strategia operacyjnej odporności cyfrowej.
Regulacyjne standardy techniczne
Regulacyjne standardy techniczne to opublikowany 17 stycznia 2024 roku element w ramach DORA. RTS mają na celu ustanowienie powszechnych ram prawnych w obszarach zarządzania ryzykiem ICT, zgłaszania poważnych incydentów związanych z ICT oraz zarządzania ryzykiem stron trzecich. W odróżnieniu od samego rozporządzenia DORA, RTS wchodzi na wyższy poziom szczegółu precyzując konkretne czynności i dokumenty, które powinny być przygotowane w celu zapewnienia zgodności podmiotu finansowego z regulacją.
Wykonawczy standard techniczny – rejestr informacji JC 2023 85
Jednym z RTS jest wykonawczy standard techniczny (ITS) dotyczący rejestru informacji (JC 2023 85). Ten standard określa szablony, jakie powinny być utrzymywane i aktualizowane przez podmioty finansowe w kontekście ich umów z zewnętrznymi dostawcami usług ICT. Rejestr informacji pełni ważną rolę w zarządzaniu ryzykiem związanym z dostawcami usług ICT, umożliwiając monitorowanie przestrzegania wymogów DORA i identyfikację kluczowych dostawców usług podlegających nadzorowi.
W praktyce ITS w sprawie rejestru informacji umożliwia efektywne śledzenie zgodności podmiotów finansowych z regulacyjnymi wymogami DORA oraz wspiera organy nadzorcze i europejskie urzędy nadzoru w skutecznym monitorowaniu i egzekwowaniu przestrzegania tych wymogów. Dzięki temu ITS jest konkretnym narzędziem w implementacji DORA, wspomagając podmioty finansowe w osiągnięciu wysokiego stopnia odporności operacyjnej w erze cyfrowej.
Jakie punkty należy zawrzeć w rejestrze umów z dostawcami ICT?
Zgodnie z artykułem 28 ust. 3 DORA oraz zapisami ITS art. 5 ust. 1, podmioty finansowe są zobowiązane utrzymywać i aktualizować rejestr informacji dotyczący umów z dostawcami usług ICT. Rejestr ten obejmuje informacje takie jak ogólne dane o podmiocie finansowym, identyfikację jednostek w zakresie konsolidacji, informacje o oddziałach poza krajem macierzystym, informacje o umowach kontraktowych, szczegółowe informacje dotyczące umów, powiązania między umowami wewnątrzgrupowymi, a dostawcami usług ICT z zewnątrz grupy, informacje o podmiotach podpisujących umowy, identyfikację dostawców usług ICT oraz ocenę usług ICT wspierających funkcje krytyczne lub istotne. Szczegółowy zakres i formularze rejestracyjne są określone w odpowiednich szablonach RT.
Podmiot prowadzący rejestr informacji (RT.01.01)
Podmioty finansowe muszą utrzymywać i aktualizować rejestry informacji na różnych poziomach (podmiotowym, subskonsolidowanym, skonsolidowanym) zgodnie z określonym szablonem i instrukcjami. Ponadto, istnieje wymaganie identyfikacji podmiotu odpowiedzialnego za zarządzanie tym rejestrem. Jest to ważne z punktu widzenia przejrzystości i monitorowania, ponieważ umożliwia identyfikację odpowiedzialnej instytucji.
Lista podmiotów objętych konsolidacją (RT.01.02)
Podmioty finansowe muszą dostarczać ogólne informacje na temat konsolidacji zgodnie z określonym szablonem i instrukcjami. Istnieją również wytyczne dotyczące sytuacji, w których podmiot finansowy nie należy do grupy lub zleca swoje działania operacyjne dostawcy usług.
Lista oddziałów (RT.01.03)
Wytyczne wymagają od podmiotów finansowych identyfikacji swoich oddziałów znajdujących się poza krajem macierzystym. Do tego celu używany jest odpowiedni szablon (RT.01.03), a proces identyfikacji musi być zgodny z instrukcjami zawartymi w Załączniku I do rozporządzenia. Jest to ważne dla monitorowania i zarządzania ryzykiem związanym z oddziałami w różnych jurysdykcjach oraz dla zapewnienia pełnej przejrzystości w zakresie działalności międzynarodowej podmiotu finansowego.
Ustalenia umowne – informacje ogólne (RT.02.01)
Dotyczy to informacji na temat umów kontraktowych w sektorze finansowym. W punkcie wskazane jest, że podmioty finansowe muszą dostarczyć ogólne informacje dotyczące umów kontraktowych, a także wprowadzają numer odniesienia umowy kontraktowej dla identyfikacji umów w rejestrze informacji. „Numer odniesienia umowy kontraktowej” dotyczy różnych typów umów kontraktowych, takich jak samodzielne umowy, umowy ramowe, umowy implementacyjne, umowy subservice, zmiany oraz formularze zamówień. W przypadku dostawców usług ICT, korzystających z podwykonawców, nie należy uwzględniać „numeru odniesienia umowy kontraktowej” dla umów między dostawcami usług ICT a ich podwykonawcami.
Ustalenia umowne – informacje szczegółowe (RT.02.02)
ITS w tym punkcie nakłada obowiązek jak najbardziej szczegółowego podawania informacji na temat umów kontraktowych. W praktyce oznacza to, że w przypadku umów, które obejmują wiele usług ICT wspierających różne funkcje finansowego podmiotu, każdy z tych elementów powinien być odzwierciedlony w formie oddzielnego wiersza w szablonie RT.02.02. To podejście ma na celu utrzymanie maksymalnej przejrzystości i precyzji w zakresie informacji dotyczących umów kontraktowych w rejestrze informacji finansowej.
Wykaz ustaleń umownych wewnątrz grupy (RT.02.03)
Wykaz dotyczy identyfikacji umów wewnątrzgrupowych oraz relacji między tymi umowami, a umowami z dostawcami usług ICT spoza grupy. Szablon RT.02.03 służy do tego celu, a “numer odniesienia umowy kontraktowej” jest elementem w identyfikacji powiązań wewnątrz łańcucha dostaw usług ICT. Kluczowe jest to w przypadku części łańcucha dostaw usług ICT wewnątrz grupy, czyli kiedy co najmniej jeden z dostawców usług ICT w łańcuchu dostaw jest podmiotem należącym do tej samej grupy, co podmiot korzystający z usług ICT.
Podmioty podpisujące umowę (RT.03.01)
Należy identyfikować w rejestrze podmioty, które podpisują umowy kontraktowe we własnym imieniu lub w imieniu innych podmiotów korzystających z tych usług. Duże znaczenie ma dokładna identyfikacja podmiotów włączonych w proces podpisywania umów kontraktowych w kontekście usług ICT. Podmiot podpisujący umowę kontraktową niekoniecznie musi być podmiotem finansowym ani podmiotem korzystającym z usług ICT dostarczanych przez zewnętrznego dostawcę ICT. Przykładowo, podmiotem podpisującym umowę może być wewnątrzgrupowy dostawca usług ICT, podmiot finansowy nie związany z daną usługą ICT czy też inny podmiot niefinansowy należący do tej samej grupy co podmioty finansowe korzystające z usług ICT dostarczanych przez zewnętrznego dostawcę usług ICT.
Zewnętrzni dostawcy usług ICT (RT.03.02)
W rejestrze powinny znaleźć się informacje dotyczące identyfikacji dostawców usług ICT, którzy podpisują umowy kontraktowe w celu świadczenia usług ICT. Szablon RT.03.02 służy do dostarczania szczegółowych informacji na ten temat, a kluczowym celem jest umożliwienie identyfikacji wszystkich dostawców zaangażowanych w dostarczanie konkretnych usług ICT zgodnie z umowami kontraktowymi opisanymi w innych szablonach, takich jak RT.02.01.
Podmioty podpisujące umowę (RT.03.03)
Kolejnym obszarem do zawarcia w rejestrze jest identyfikacja podmiotów podpisujących umowy kontraktowe w celu świadczenia usług ICT. Szablon RT.03.03 służy do dostarczania informacji na ten temat, a celem jest umożliwienie identyfikacji podmiotów zaangażowanych w dostarczanie usług ICT dla innych podmiotów w ramach procesu konsolidacji. Można porównać to do sytuacji, w której podmiot z grupy kapitałowej, który skupia w sobie kompetencje IT podpisuje umowę z dostawcą ICT, a później w swoim imieniu podpisuje osobną umowę z podmiotami z grupy na świadczenie usług ICT. Punkt różni się od „Podmioty podpisujące umowę (RT.03.01)” tym, że poprzedni dotyczył podpisywania umowy w imieniu podmiotów finansowych z grupy na korzystanie z usług poprzez te podmioty. W tym przypadku odnosi się do podmiotów, które samodzielnie świadczą konkretne usługi ICT kolejnym podmiotom.
Podmioty korzystające z usług ICT (RT.04.01)
ITS nakłada obowiązek dostarczania informacji na temat podmiotów korzystających z usług ICT dostarczanych przez zewnętrznych dostawców ICT. Celem jest umożliwienie identyfikacji wszystkich podmiotów zaangażowanych w korzystanie z usług ICT dostarczanych przez zewnętrznych dostawców. Obejmuje to zarówno podmioty finansowe, jak i ich oddziały, które korzystają z usług ICT dostarczanych przez dostawców spoza swojej struktury organizacyjnej.
Zewnętrzni dostawcy usług ICT (RT.05.01)
W rejestrze powinni zostać wymienieni wszyscy zewnętrzni dostawcy usług ICT i ich podwykonawcy. Celem tego jest umożliwienie identyfikacji wszystkich istotnych dostawców usług ICT oraz ich struktury wewnątrzgrupowej i podwykonawców w ramach dostarczania usług ICT.
Łańcuch dostaw usług ICT (RT.05.02)
Jest to bardzo ważny punkt, który wprowadza obowiązek dostarczania informacji na temat łańcucha dostaw usług ICT. Celem jest umożliwienie identyfikacji i powiązania zewnętrznych dostawców usług ICT, którzy są częścią tego samego łańcucha dostaw usług ICT.
Łańcuch dostaw usług ICT może obejmować:
- wszystkich zewnętrznych dostawców usług ICT,
- wszystkich wewnętrznych dostawców usług ICT,
- w przypadku usług ICT wspierających funkcję krytyczną lub istotną lub ich istotną część, rejestr informacji obejmuje wszystkich podwykonawców, którzy biorą udział we wsparciu świadczenia tych usług.
- w przypadku, gdy wewnętrzny dostawca usług ICT korzysta z podwykonawców do świadczenia usług ICT dla podmiotu finansowego, łańcuch powstaje w przypadku występowania przynajmniej jednego podwykonawcy spoza grupy, nawet jeśli usługa ICT nie wspierają funkcji krytycznej, istotnej lub jej części.
Wszyscy zewnętrzni dostawcy usług ICT należący do tego samego łańcucha dostaw usług ICT dzielą ten sam “numer odniesienia umowy kontraktowej” oraz ten sam “rodzaj usług ICT”. Każdy zewnętrzny dostawca usług ICT wchodzący w skład tego samego łańcucha dostaw usług ICT otrzymuje “stopień”, aby zidentyfikować swoją pozycję w tym łańcuchu dostaw. Bezpośredni dostawcy usług ICT mają zawsze stopień 1. W przypadku, gdy stopień jest większy niż 1, dostawcy usług ICT są podwykonawcami.
Identyfikacja funkcji (RT.06.01)
Bezpośrednio w rozporządzeniu DORA wskazany jest obowiązek identyfikacji funkcji biznesowych i funkcji ICT podmiotu finansowego. ITS rozwija to zagadnienie wprowadzając wymagania dotyczące identyfikacji i dostarczania informacji na temat funkcji podmiotu finansowej, zwłaszcza tych funkcji, które są wspierane przez usługi ICT dostarczane przez zewnętrznych dostawców. Szablon RT.06.01 umożliwia przypisanie unikalnych identyfikatorów funkcji dla różnych kombinacji elementów, co pozwala na dokładne zidentyfikowanie i raportowanie funkcji związanych z usługami ICT.
Stworzenie rejestru opisującego holistycznie zagadnienie współpracy z dostawcami ICT, który równocześnie będzie responsywny, pozwalający na częste aktualizacje, nie jest łatwe. Warto rozważyć dedykowane temu narzędzia. W tym celu rozwijamy RIG DORA, który pomoże Ci w zapewnieniu zgodności z DORA także w tym zakresie.
Ocena usług ICT świadczonych przez zewnętrznych dostawców (RT.07.01)
ITS wprowadza zadanie oceny usług ICT świadczonych przez zewnętrznych dostawców usług ICT, zwłaszcza w kontekście funkcji krytycznych lub istotnych. Ocenę rozpoczyna się od ustalenia identyfikacyjnego kod dostawcy. Następnie określa się informacje dotyczące rodzaju świadczonych usług ICT. Zrozumienie zakresu świadczonych usług pozwala na bardziej precyzyjną ocenę, zwłaszcza w kontekście funkcji krytycznych lub istotnych.
W trakcie oceny ważne jest określenie, czy dostawca usług ICT jest zastępowalny, sprawdzenie, jak trudna jest ewentualna zmiana dostawcy. Jeśli takie trudności istnieją, konieczne jest podanie przyczyn oraz uzasadnienie, dlaczego dostawca nie jest uważany za zastępowalny. Zastępowalność określa się m.in poprzez stworzenie planu wyjścia. Plan ten określa, w jaki sposób można zakończyć współpracę z dostawcą usług ICT, a także jakie są procedury awaryjnego zakończenia współpracy. Należy również w rejestrze zawrzeć informację, czy istnieją alternatywni dostawcy usług ICT. Identyfikacja alternatyw pozwala na zminimalizowanie ryzyka związane z dostawcą, który może być trudny do zastąpienia. Trzeba również rozważyć możliwość reintegracji, czyli zrezygnowania z zewnętrznych dostawców ICT w zakresie danej funkcji.
Oprócz planu wyjścia, ważne jest określenie wpływu przerwania świadczonych usług ICT na operacje podmiotu finansowego. Pozwala to zrozumieć konsekwencje dla funkcji krytycznych lub istotnych, co stanowi kluczową kwestię w procesie oceny dostawcy. Kolejnym krokiem jest określenie daty ostatniego audytu dostawcy usług ICT. Aktualność audytu wpływa na rzetelność oceny i pozwala na świeże spojrzenie na jakość świadczonych usług.
Definicje pochodzące od podmiotów korzystających z usług ICT (RT.99.01)
Ostatni element rejestrów wynikający z ITS dotyczy wewnętrznych definicji oraz terminologii używanej przez instytucje finansowe podczas wypełniania szablonów zgodnie z wymaganiami regulacji. Wszystkie powinny być zawarte w szablonie RT.99.01, który umożliwia przekazywanie tych informacji, co jest istotne dla zrozumienia kontekstu i jednoznacznego rozumienia używanej terminologii w procesie raportowania. Obejmuje to terminy zawarte w zamkniętych listach i taksonomiach, które są używane w kontekście raportowania danych związanych z usługami ICT oraz innymi aspektami związanymi z regulacjami
Jak często musisz aktualizować rejestr umów?
Podmiot finansowy musi prowadzić i aktualizować rejestr informacji dotyczący umów z dostawcami usług ICT na bieżąco. Oznacza to, że należy wprowadzić poprawki w przypadku jakichkolwiek zmian w powyższych 15 obszarach. Dodatkowo, co najmniej raz w roku, podmioty finansowe przedstawiają odpowiednim organom informacje dotyczące nowych ustaleń, takie jak liczba umów, kategorie dostawców usług ICT, rodzaj ustaleń umownych oraz szczegóły świadczonych usług ICT i obsługiwanych funkcji. Ponadto na żądanie właściwego organu podmioty finansowe udostępniają pełny rejestr informacji lub wybrane sekcje zgodnie z treścią żądania, wraz ze wszystkimi istotnymi informacjami, aby umożliwić skuteczny nadzór nad danym podmiotem finansowym.
Przed zawarciem umów dotyczących korzystania z usług ICT, podmioty finansowe przeprowadzają oceny, w tym ustalają, czy umowa dotyczy funkcji krytycznych lub istotnych, czy spełniono warunki nadzorcze, identyfikują istotne ryzyka związane z umową, dokładają staranności w wyborze dostawców oraz identyfikują potencjalne konflikty interesów. Ponadto, podmioty finansowe mogą zawierać umowy tylko z dostawcami przestrzegającymi odpowiednich standardów bezpieczeństwa informacji, zwłaszcza gdy umowy dotyczą funkcji krytycznych lub istotnych, wymagających sprawdzenia, czy dostawcy stosują najnowsze i najwyższe standardy bezpieczeństwa informacji przed zawarciem takich umów.DORA nakłada wiele zadań na podmioty finansowe. Jednym z nich jest omawiany w artykule rejestr informacji o dostawcach usług ICT. Innym zadaniem jest stworzenie strategii operacyjnej odporności cyfrowej.
