Dostawca ICT a jego poddostawcy

23.05.2024

Spis treści

Każdy podmiot finansowy do prowadzenia swojej działalności potrzebuje wielu zewnętrznych dostawców usług i sprzętu. Bez tej współpracy żaden przedstawiciel branży finansowej nie mógłby zaoferować swoim klientom wysokiej jakości usług. Niemniej jednak każdy z tych dostawców także nawiązuje własne relacje z innymi dostawcami. Podmiot finansowy z tego powodu może mieć ekspozycję na ryzyko związane z podmiotamia, z którymi nie jest w żadnej relacji oraz nie może samemu przeprowadzić analizy ryzyka uwzględniającej te podmioty. Rozporządzenie DORA odnosi się również do tego zagadnienia i przekazuje konkretne wytyczne w zakresie tego rodzaju łańcucha współpracy.

Kim według DORA jest poddostawca ICT?

Przed zdefiniowaniem poddostawcy ICT warto wspomnieć kim jest dostawca ICT. DORA definiuje go, jako przedsiębiorstwo świadczące usługi ICT. Zewnętrzny dostawca to firma oferująca usługi cyfrowe i danych za pośrednictwem systemów ICT dla co najmniej jednego użytkownika zewnętrznego lub wewnętrznego. Jeżeli chcesz dowiedzieć się więcej kim są dostawcy ICT w świetle rozporządzenia DORA, możesz skorzystać z artykułów na naszym blogu skierowanych do dostawców i podmiotów finansowych.

Poddostawca ICT, a konkretnie, według DORA, “podwykonawca usług ICT” został wspomniany w DORA w dwóch definicjach:

„ryzyko ze strony zewnętrznych dostawców usług ICT” oznacza ryzyko związane z ICT, które może wystąpić w przypadku podmiotu finansowego w związku z korzystaniem przez niego z usług ICT świadczonych przez zewnętrznych dostawców usług ICT lub przez ich podwykonawców, w tym w drodze uzgodnień dotyczących outsourcingu;
„podwykonawca usług ICT z siedzibą w państwie trzecim” oznacza podwykonawcę usług ICT, który jest osobą prawną mającą siedzibę w państwie trzecim i który zawarł ustalenie umowne z zewnętrznym dostawcą usług ICT albo z zewnętrznym dostawcą usług ICT mającym siedzibę w państwie trzecim;

Z powyższego można wywnioskować, że poddostawca ICT to podmiot świadczący usługi ICT (określane według definicji DORA) dla dostawcy ICT świadczącego usługi ICT dla podmiotu finansowego. Podwykonawcy mogą być zaangażowani na różnych etapach procesu dostarczania usług ICT, które obejmują planowanie, rozwój, wdrożenie, monitorowanie i wsparcie techniczne. Mogą być odpowiedzialni za różnorodne aspekty, takie jak zarządzanie infrastrukturą IT, dostarczanie aplikacji lub oprogramowania, monitorowanie systemów, zapewnienie bezpieczeństwa informacji, czy też wsparcie użytkowników.

Kim jest poddostawca zapewniający funkcje krytyczne lub istotne?

DORA szczególnie zwraca uwagę na poddostawców ICT wspierających krytyczne lub istotne funkcje. Podmiot finansowy nie ma bezpośrednio podpisanej umowy z tą firmą, a z dostawcą ICT. Relacja umowna następuje pomiędzy dostawcą ICT, a jego poddostawcą. Mimo tego, taki podwykonawca może mieć duży wpływ na funkcjonowanie krytycznych lub istotnych funkcji podmiotu finansowego, a przez to na poziom operacyjnej odporności cyfrowej.

Jakie ryzyko łączy się z długim łańcuchem dostaw ICT?

Jak zostało już wspomniane w tym artykule, każda firma współpracuje ze swoimi dostawcami. Podmiot finansowy pozyskuje z rynku hardware, software oraz usługi ICT od różnych dostawców. Ci dostawcy w celu efektywnego działania korzystają z usług i sprzętu dostarczanego przez inne firmy. Z tego powodu podmiot finansowy może nie być świadomy, że system ICT, który pozyskał od swojego dostawcy jest obsługiwany przez firmę z Afryki na serwerze wynajętym od dostawcy ICT w Azji, a rozwijany przez zespół z Ameryki Południowej.

Z tego powodu DORA oraz wiele poprzednich regulacji, jak Komunikat chmurowy KNF, zwraca uwagę na ryzyko związane z długimi i niekontrolowanymi łańcuchami dostaw. Warto zaznaczyć, że wskazany brak wiedzy dotyczącej łańcucha dostaw ICT może wpływać na możliwość zarządzania ryzykiem ICT. Z drugiej strony, nie ogranicza to odpowiedzialności podmiotów finansowych za zarządzanie ryzykiem i przestrzeganie wymogów prawnych i regulacyjnych.

Jakie obowiązki DORA nakłada na dostawcę ICT w temacie poddostawców?

Z racji na odpowiedzialność podmiotu finansowego za zarządzanie ryzykiem organizacji i zapewnienie operacyjnej odporności cyfrowej ma on wiele zadań w zakresie współpracy z dostawcami ICT. Z tego powodu dostawca ICT musi przygotować się na spełnienie różnych wymagań, które umożliwią mu rozpoczęcie współpracy z podmiotem finansowym.

Musisz powiadomić podmiot finansowy o fakcie podwykonawstwa. W takim przypadku podmiot finansowy musi wziąć pod uwagę tę kwestię oraz rozważyć korzyści i zagrożenia ze współpracy z Twoją organizacją. Podmiot finansowy zwraca szczególną uwage na:

potencjalne ryzyka związane z podwykonawstwem, zwłaszcza jeśli podwykonawca ma siedzibę w państwie trzecim;
przestrzeganie przepisów dotyczących ochrony danych w państwie trzecim, jeśli Twój poddostawca ma tam siedzibę;
możliwe ograniczenia i procedury postępowania w przypadku upadłości Twojej organizacji i Twojego poddostawcy, w tym również możliwość odzyskania danych przetwarzanych poza podmiotem finansowym;
wpływ długości i złożoności łańcucha podwykonawstwa na zdolność do monitorowania usług oraz nadzoru nad nimi.

Krótko mówiąc, jeżeli pracujesz w firmie, która współpracuje lub chce rozpocząć współpracę z sektorem finansowym, musisz szczególnie kontrolować swoich poddostawców. Co możesz zrobić?

Przeanalizuj, czy wspierasz lub zamierzasz wspierać podmiot finansowy w funkcjach krytycznych lub istotnych.
Zmapuj swoich dostawców i obszary współpracy. Zweryfikuj, czy biorą udział we wsparciu podmiotu finansowego w funkcjach krytycznych lub istotnych.
Zweryfikuj lokalizację Twoich dostawców w tym ich siedzibę oraz miejsce przetwarzania danych.
Upewnij się, że zapewniają oni minimalnie równy Twojej organizacji poziom dostępności, integralności oraz poufności danych klientów.
Stwórz jasny i kompletny opis wszystkich funkcji i usług ICT, które mają być przez Twoją organizację świadczone podmiotowi finansowemu.
Opisz, które funkcje, zwłaszcza te krytyczne i istotne, mają być wspierane przez poddostawców oraz na jakich zasadach ma być to realizowane.
Musisz wprowadzić stały proces nadzoru lokalizacją poddostawców. Celem jest powiadomienie podmiotu finansowego z odpowiednim wyprzedzeniem o zmianie lokalizacji przetwarzania danych podmiotu finansowego przez Twoich poddostawców.

Jakie obowiązki DORA nakłada na poddostawcę ICT?

DORA w swoim tekście nie nakłada bezpośrednio żadnych obowiązków na poddostawców ICT. Obarcza nimi podmioty finansowe i dostawców ICT. Dopiero te organizacje mogą w drodze umownej nałożyć obowiązki na poddostawców ICT. Z tego powodu podstawowym obowiązkiem poddostawców ICT jest zapewnienie wysokiego poziomu bezpieczeństwa danych należących do podmiotu finansowego i jego klientów. Ma to być minimalnie taki sam lub wyższy poziom zabezpieczeń, jaki oferuje dostawca ICT współpracujący z podmiotem finansowym.

RTS dotyczące podwykonawstwa usług ICT wspierających funkcje krytyczne lub ważne

Europejski nadzorca przygotowuje projekt sześciu regulacyjnych standardów technicznych, a jeden z nich ma odpowiadać na wiele pytań związanych z podwykonawstwem usług ICT wspierających funkcje krytyczne lub istotne. Konsultacje nad dokumentami były prowadzone do 4 marca 2024 r., a ich publikacja planowana jest na 17 lipca. Projekt RTS wymaga od podmiotów finansowych dokonania oceny ryzyka związanego z podwykonawstwem na etapie przedkontraktowym; obejmuje to proces należytej staranności. Projekt RTS określa także wymagania dotyczące wdrażania, monitorowania i zarządzania ustaleniami umownymi dotyczącymi warunków podwykonawstwa usług ICT obsługujących krytyczne lub ważne funkcje lub ich istotne części, zapewniające podmiotom finansowym możliwość monitorowania całego łańcucha podwykonawstwa ICT.

Sprawdź w przygotowanej instrukcji jak udokumentować współpracę z podwykonawcami, jakiego rodzaju rejestry powinien prowadzić dostawca ICT?

Odpowiedzialność za błędy poddostawców

Choć poleganie na podwykonawcach może być nieuniknione lub wrecz korzystne z biznesowego punktu widzenia, to jednak może to wiązać się z dodatkowymi ryzykami. Pamiętaj, że podmioty finansowe muszą skrupulatnie oceniać te ryzyka i podejmować odpowiednie kroki, aby zarządzać nimi skutecznie, zapewniając ciągłość działania i bezpieczeństwo swoich usług ICT. Ostateczną odpowiedzialność za zapewnienie operacyjnej odporności cyfrowej podmiotu finansowego ponosi zarząd oraz kierownictwo.

Są to również osoby, które decydują o podjęciu współpracy z Twoją organizacją. Twoim zadaniem jest przekazanie im informacji o tym, którzy z Twoich dostawców wspierają Ciebie w świadczeniu usług dla podmiotu finansowego oraz danych jak lokalizacja Twojego dostawcy, czy też poziom zabezpieczeń danych. Jeżeli nie posiadasz tych informacji, podmiot finansowy może zrezygnować ze współpracy z Twoją organizacją.

Dużą pomocą w tym zakresie mogą być narzędzia z kategorii Governance, Risk, and Compliance (GRC). Takim narzędziem jest RIG DORA, która pomoże Ci w stworzeniu repozytorium informacji dotyczących Twoich dostawców i przygotowanie odpowiedniej dokumentacji dla Twojego klienta, podmiotu finansowego.

Podobne wpisy z kategorii

29.05.2024
- Dostawcy ICT
- Kontrola ryzyka
Ankieta dostawcy ICT

Ankieta dostawcy ICT weryfikuje czy umowa dotyczy usług krytycznych czy istotnych. Służy ocenie dostawcy ICT względem rozporządzeniem DORA.

Przeczytaj
07.05.2024
- Dokumentacja
- Kontrola ryzyka
Co zawiera rejestr procesów zgodny z DORA?

Rejestr procesów, jest wymieniony w artykule 8 DORA, gdzie podmioty finansowe są zobowiązane je identyfikować, klasyfikować i dokumentować.

Przeczytaj
25.04.2024
- Dokumentacja
- Dostawcy ICT
Co to jest rejestr umów zgodny z DORA?

Rejestr umów zgodny z DORA ma na celu dostarczenie kompleksowego obrazu relacji między instytucjami finansowymi a dostawcami usług ICT.

Przeczytaj