Pracując w firmie w branży technologicznej lub świadczącą usługi przy użyciu technologii ICT podlegasz pod różne przepisy. Zazwyczaj są one jednak dosyć ogólne i pozwalają na pewną swobodę w działalności. Zupełnie inaczej jest z rozporządzeniem DORA, które restrykcyjnie podchodzi do podmiotów, które mu podlegają. W tym artykule pomożemy odpowiedzieć Tobie na pytanie, czy organizacja, w której pracujesz, zalicza się do tego grona.
Rozporządzenie DORA
Podmioty finansowe muszą dostosować się do globalnej gospodarki cyfrowej cechującej się wysoką konkurencyjnością. Stoją przed wyzwaniem zwiększenia efektywności działalności oraz spełnienia oczekiwań konsumentów. Z powyższych powodów, podmioty finansowe coraz częściej korzystają z usług ICT, które w przeważającej większości są świadczone przez firmy spoza organizacji – dostawców ICT. Umożliwia to obniżenie kosztów operacyjnych oraz rozszerzanie działalności i skalowalność, jednocześnie zapewniając szeroki zakres narzędzi ICT do zarządzania wewnętrznymi procesami.
Jednym z celów DORA jest skuteczne monitorowanie ryzyka związanego z zewnętrznymi dostawcami usług ICT w sektorze finansowym. Z tego powodu ustanowione zostały odpowiednie wymagania regulujące nadzór nad ryzykiem związanym z funkcjami powierzonymi zewnętrznym dostawcom usług ICT. Szczególnie istotne jest to w przypadku usług ICT wspierających krytyczne lub istotne funkcje oraz ogólnie w kontekście wszelkich zależności od zewnętrznych dostawców usług ICT.
Podmioty finansowe od lat mierzą się z wieloma regulacjami i DORA jest kolejną z nich. Firmy technologiczne i świadczące usługi poprzez technologie nie mają tego doświadczenia. Aby pomóc Ci oraz dostawcom, którzy świadczą usługi ICT w zrozumieniu zagadnienia praktycznej realizacji cyber zabezpieczeń w rozumieniu DORA przygotowaliśmy instrukcję do wytycznych RTS, która wspiera w dokumentacji cyberzabezpieczeń zgodnie z rozporządzeniem.
Podmioty finansowe – kim są?
Chcąc odpowiedzieć na pytanie, czy firma jest dostawcą ICT dla podmiotu finansowego, trzeba najpierw określić, czym jest podmiot finansowy. DORA jednoznacznie określa grupę organizacji, które można nazwać “podmiotami finansowymi”. Według tego rozporządzenia w UE jest ich około 22 tysięcy (Motyw 3 DORA). Artykuł 2 wyznacza grupę 21 podmiotów, względem której DORA ma zastosowanie.
Oczywiście zewnętrzni dostawcy usług ICT nie są podmiotami finansowymi, ale wskazani są w tej grupie, jako podmioty świadczące usługi dla podmiotów finansowych.
Państwa członkowskie mogą indywidualnie wyłączyć konkretne podmioty, określone w dyrektywie 2013/36/UE i mające siedzibę na ich terytorium, spod działania rozporządzenia. W Polsce są to Spółdzielcze Kasy Oszczędnościowo-Kredytowe oraz Bank Gospodarstwa Krajowego. Komisja publikuje informacje o każdym z takich wyłączeń na swojej stronie internetowej lub za pomocą innych łatwo dostępnych środków.
Warto również wspomnieć o tym, że część podmiotów finansowych, które są objęte przepisami DORA, może stosować uproszczone ramy zarządzania ryzykiem związanym z ICT. Odnosi się to do małych i niepowiązanych wzajemnie firm inwestycyjnych, instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366, instytucji wspomnianych w poprzednim akapicie; instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE oraz małych instytucji pracowniczych programów emerytalnych. Dodatkowo część obowiązków związanych z DORA nie jest stosowana do mikroprzedsiębiorstw, które rozporządzenie definiuje jako podmiot finansowy inny niż system obrotu, kontrahent centralny, repozytorium transakcji lub centralny depozyt papierów wartościowych, który zatrudnia mniej niż 10 osób i którego roczny obrót lub bilans roczny nie przekracza 2 mln EUR.
Funkcje krytczne oraz istotne
Zastanawiając się, czy organizacja, w której pracujesz podlega przepisom DORA, warto przeprowadzić analizę, czy świadczone usługi wspierają funkcje krytyczne lub istotne. Definiowane są one jako te, których zakłócenie wpłynęłoby istotnie na wyniki finansowe, bezpieczeństwo, ciągłość usług lub działalność podmiotu finansowego, lub której brak działania wpłynąłby istotnie na spełnienie warunków i obowiązków wynikających z zezwolenia lub przepisów dotyczących usług finansowych. Więcej o tych funkcjach w artykule Dostawco ICT przygotuj się do spełnienia wymagań DORA.
Dostawcy ICT
DORA podając definicję dostawcy usług ICT nie odpowiada, czy firma świadcząca dany rodzaj usług lub oferująca dane produkty jest tym podmiotem. Według rozporządzenia zewnętrzny dostawca usług ICT oznacza przedsiębiorstwo świadczące usługi ICT, natomiast dostawca usług ICT wewnątrz grupy oznacza m.in przedsiębiorstwo, które jest częścią grupy finansowej i które świadczy głównie usługi ICT na rzecz podmiotów finansowych należących do tej samej grupy. Aby odpowiedzieć na pytanie, czy dany podmiot jest dostawcą usług ICT, trzeba zapoznać się z definicją usług ICT. Oznaczają one usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.
Można zauważyć, że jest to bardzo szeroka definicja. Według niej wystarczy, żeby dostawca świadczył usługi cyfrowe za pośrednictwem systemów ICT. Również w tej definicji zawarty jest dostawca hardware dla podmiotu finansowego. Z tego powodu można założyć, że jeżeli zastanawiasz się, czy firma, w której pracujesz jest dostawcą ICT to najprawdopodobniej jest.
Jeżeli rzeczywiście firma, w której pracujesz pasuje do tej definicji, pomocny dla Ciebie może być nasz webinar Dostawco ICT wykaż swoją zgodność z DORA – jak to zrobić?
Kluczowi dostawcy ICT
DORA określa jeszcze jedną podgrupę w ramach dostawców ICT. Są nimi kluczowi dostawcy ICT. Definicja nie jest jasna, ponieważ według rozporządzenia kluczowy zewnętrzny dostawca usług ICT oznacza zewnętrznego dostawcę usług ICT wyznaczonego zgodnie z art. 31. Warto omówić szerzej tę definicję. Kluczowy dostawca usług ICT to zewnętrzny dostawca usług ICT, który ma istotne znaczenie dla podmiotów finansowych we wspólnocie ze względu na wpływ na stabilność, ciągłość lub jakość świadczonych usług finansowych, a także ze względu na zależność podmiotów finansowych od usług świadczonych przez tego dostawcę.
Kluczowy dostawca usług ICT jest wyznaczany przez wiodący organ nadzorczy na podstawie przeprowadzonej oceny, uwzględniającej kryteria takie jak systemowy wpływ na usługi finansowe, charakter korzystających podmiotów finansowych oraz stopień substytucyjności dostawcy usług ICT. Wiodący organ nadzoru informuje zewnętrznego dostawcę usług ICT o wynikach oceny, dając mu możliwość przedstawienia uzasadnienia w ciągu 6 tygodni od otrzymania powiadomienia. Po wyznaczeniu kluczowego dostawcy, wiodący organ nadzoru informuje go o podleganiu nadzorowi oraz nakazuje powiadomienie podmiotów finansowych, dla których usługi są świadczone, o tym wyznaczeniu.
Status kluczowego dostawcy ICT wiąże się ze zwiększonym rygorem wymagań, którym podlegają wszyscy dostawcy ICT. Są to wymagania w zakresie m.in: bezpieczeństwa ICT, bezpieczeństwa fizycznego, zarządzania ryzykiem, zarządzania organizacją, zarządzania incydentami, przenoszenia danych, testowania systemów, audytów ICT, stosowania standardów rynkowych.
Czy podlegam pod DORA?
DORA nie wskazuje wprost wszystkich rodzajów usług ICT, które mogą być świadczone przez dostawców ICT podlegających pod to rozporządzenie. Jest tam jedynie określona ogólna definicja, w której mieści się wiele rodzajów działalności. Jest to zrobione najprawdopodobniej z rozmysłem, w celu zawarcia pod tą definicją jak najszerszego grona podmiotów, które łączy zastosowanie ICT.
Z tego powodu, jeżeli świadczysz usługi dla przedstawiciela sektora finansowego, którego działalność zawarta jest we wspomnianej grupie 21 podmiotów, a Twoje usługi związane są z technologiami ICT lub do ich świadczenia wykorzystywane są technologie informacyjno-telekomunikacyjne, najprawdopodobniej jesteś dostawcą ICT w myśl rozporządzenia i podlegasz pod DORA.
