Co zmieni DORA? Konieczność aktualizacji podejścia.

Wejście w życie DORA wywoła wiele praktycznych konsekwencji dla podmiotów nadzorowanych. Będą one miały charakter zarówno zewnętrzny – rozporządzenie, jak się wydaje, istotnie wpłynie na relacje podmiotów finansowych z dostawcami ICT, jak i stricte wewnętrzny – z uwagi na to, że istotna część wymogów DORA odnosi się wyłącznie do „wewnątrzorganizacyjnych” obowiązków dla podmiotów sektora. Dokonując szczegółowego porównania wymogów wynikających z DORA a dotychczasowych regulacji obowiązujących w ramach sektora finansowego możemy zauważyć kilka nowości regulacyjnych, jak np. objęcie nadzorem finansowym tzw. kluczowych dostawców ICT czy też dużo większy nacisk na wymianę informacji o cyberzagrożeniach pomiędzy samymi podmiotami sektora finansowego. W przeważającej mierze jednak – co być może nie jest widoczne na pierwszy, regulacyjny rzut oka – DORA wprowadza modyfikacje do istniejących już wymogów (znanych przynajmniej istotnej części podmiotów z sektora), z którymi to z kolei wiążą się funkcjonujące już w ramach podmiotów sektora finansowego procedury i procesy. Częściowo więc uspokajamy – DORA nie będzie absolutną rewolucją dla sektora finansowego, choć trochę nowych (innych niż dotychczas) obowiązków się pojawia. 

Nie oznacza to oczywiście, że nie będzie ona miała istotnego wpływu na sektor finansowy lub też, że jej wymogi są na tyle „standardowe”, że w zasadzie można je zaimplementować zmianą pojedynczej regulacji wewnętrznej. Wręcz przeciwnie – wdrożenie DORA, pomimo tego, że proponowane w ramach regulacji rozwiązania nie mają charakteru skrajnie rewolucyjnego, dotyczyć będzie bardzo wielu obszarów i jednostek funkcjonujących w strukturach podmiotów finansowych. Prawidłowa identyfikacja zmian (vs. aktualnie obowiązujące regulacje) oraz ich późniejsze wdrożenie wiązać się więc będą z koniecznością bardzo rzetelnego porównania nowych wymogów z tymi już obowiązującymi, a w dalszym etapie – dość przekrojowego, wymagającego współpracy wielu obszarów organizacji podejścia, które przeformułuje istniejące już procesy podmiotu finansowego. Co to oznacza w praktyce i w jakim zakresie należy dokonać odpowiednich aktualizacji? Poniżej wskazujemy kilka przykładowych działań odnoszących się do umów z dostawcami ICT, których wdrożenie może okazać się niezbędne w kontekście zmian związanych z tą regulacją.

 

Przegląd i aktualizacja umów, na masową skalę

Po szczegółowej lekturze DORY trudno oprzeć się wrażeniu, że regulacja ta w bardzo dużym zakresie koncentruje się na relacjach umownych z dostawcami. Nawet patrząc na samą konstrukcję aktu – rozdział V zatytułowany „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT”, już na samym początku określa (w sposób bardzo obszerny) właśnie wymogi dla umów z dostawcami ICT. Wydaje się więc, że ustawodawca europejski dostrzega istotną rolę kontraktów w procesie zarządzania ryzkiem wykorzystania zewnętrznych usług ICT. Jakie obowiązki związane z umowami wprowadza DORA? Nowości nie jest wiele, natomiast wydają się mieć duże znaczenie. 

W ramach rozporządzenia znajdziemy nowe, choć nadal dość standardowe wymogi stawiane treści umów z dostawcami – znane z dotychczasowych regulacji sektorowych od Rozporządzeń delegowanych wydawanych na podstawie dyrektyw MIFID II, Solvency II, przez rekomendację D i Wytyczne IT KNF dla pozostałych sektorów, po wytyczne ESAs, kończąc na regulacji zdaje się najnowszej – tzw. komunikacie chmurowym UKNF. W związku z powstaniem nowych, jednolitych wymogów dla wszelkich umów na usługi ICT, konieczne więc będzie dokonanie przeglądu aktualnie zawartych kontraktów i – prawdopodobnie – szeroki proces ich aneksowania. Przydatne w tym zakresie może okazać się opracowanie przez podmiot finansowy własnych, wzorcowych klauzul mających na celu zapewnienie zgodności z DORA. Taki szablon może posłużyć zarówno do zmiany aktualnych, jak i w ramach zawierania (zgodnie z wymogami DORA) przyszłych kontraktów IT. Schemat postępowania znany przedstawicielom sektora choćby z wdrożeń RODO, czy też Wytycznych EBA ws. outsourcingu, a także Komunikatu UKNF dot. przetwarzania w chmurze. Co ważne – klauzule takie powinny nie tylko spełniać wymogi bezwzględnie stawiane dla umów przez DORA, ale również brać pod uwagę nowe obowiązki wynikające z DORA, m. in. w zakresie oceny dostawcy i szacowania ryzyka umów ICT. Uwzględnienie w ramach takich załączników odpowiednich postanowień, mających na celu jasne określenie zakresu informacji, raportowania i innych czynności wymaganych względem dostawcy, może stanowić duże ułatwienie w realizacji innych procesów, do których zobowiązany będzie podmiot finansowy w przyszłości, na gruncie tego rozporządzenia. 

Warto również wskazać, że wszystkie opisane powyżej czynności mogą zostać nieco ułatwione przez organy unijne, w odniesieniu do wystandaryzowanych usług ICT. DORA (na ten moment nieco tajemniczo) przewiduje z możliwość skorzystania przez podmioty finansowe i dostawców ICT ze standardowych klauzul umownych. To wszystko oczywiście pod warunkiem, że odpowiednie standardowe klauzule umowne zostaną opracowane i opublikowane już w 24-miesięcznym okresie dostosowywania się rynku do wejścia w życie przepisów rozporządzenia.

 

Zarządzanie dostawcami i procesy zakupowe

Przepisy rozporządzania DORA kładą istotnie większy nacisk na proces wyboru i rzetelną ocenę dostawcy. Co prawda brak jest jasno sformułowanych, uporządkowanych w ramach dedykowanego temu zagadnieniu fragmencie rozporządzenia, natomiast po szczegółowej lekturze poszczególnych wymogów można dojść do wniosku, że pewnego przeformułowania wymagać będą również procedury zakupowe w ramach instytucji finansowych.  Istotną rolę w tym zakresie naturalnie będą odgrywać jednostki dotychczas odpowiedzialne za proces szacowania ryzyka usług ICT (działy IT, ryzyka, prawne i compliance). Nie ulega natomiast wątpliwości, że z uwagi na wymogi DORA istotnie zwiększy się również rola działów procurement’u w szacowaniu ryzyka usług ICT. Już na samym wstępie DORA określa obowiązek raportowania do zarządu w zakresie umów zawartych z dostawcami ICT, jak również o istotnych planowanych zmianach w tym zakresie. Pojawia się również obowiązek wyznaczenia członka kadry kierowniczej, odpowiedzialnego za nadzorowanie ekspozycji na ryzyko związanej z wykorzystaniem zewnętrznych dostawców usług ICT oraz dokumentacji w tym zakresie. DORA wprowadza również obowiązki w zakresie określenia oraz dokumentowania wszelkich procesów zależnych od dostawców zewnętrznych, jak również wymóg określania wzajemnych powiązań z zewnętrznymi dostawcami ICT. Wszystkie te elementy powodują konieczność – większego niż dotychczas – wdrożenia odpowiednich procesów i procedur w ramach procedur wewnętrznych z obszaru procurementu w podmiotach finansowych. 

Nowe wymogi pojawiają się także w obszarze strategii zarządzania dostawcami – DORA wymaga, aby obejmowała ona kluczowe zależności od dostawców ICT i uzasadnienie dla łączenia zamówień u różnych zewnętrznych dostawców. Wszystkie te elementy są oczywiście związane z zarządzaniem ryzykiem koncentracji, na które to ryzyko DORA kładzie szczególny nacisk. Niezbędne będzie więc wdrożenie odpowiednich zmian i mechanizmów mających na celu prawidłową strategię względem dostawców i ich ocenę, w myśl rozporządzenia. Rozporządzenie wprowadza również nowe wymogi dotyczące obowiązków wykonania pewnych analiz dotyczących dostawców ICT już na etapie zawierania umowy, a więc wykonywania szacowania ryzyka danej usługi ICT. Dotyczą one przede wszystkim szczegółowej oceny ryzyka koncentracji, jak również dochowania należytej staranności w całym procesie wyboru i oceny danego dostawcy. A skoro o szacowaniu ryzyka usług ICT mowa – warto zwrócić również uwagę na inne, wprowadzane przez rozporządzenie nowe obowiązki w tym obszarze.

 

Już nie tylko kompleksowe szacowanie ryzyka chmury, a wszelkich pozostałych usług ICT 

Dotychczas – poniekąd rygorystyczne – wymogi dotyczące przeprowadzenia kompleksowego szacowania ryzyka usług ICT dotyczyły ich wąskiego wycinka, tj. przede wszystkim usług chmury obliczeniowej. Wymogi te zostały wprowadzone w ramach krajowego podejścia – drugiego Komunikatu UKNF dot. przetwarzania w chmurze, z którym rynek finansowy mierzył się już ponad dwa lata temu. DORA wprowadza wiele bardzo podobnych mechanizmów, natomiast w odniesieniu do wszelkich usług ICT, z jakich korzysta organizacja, ze szczególnym uwzględnieniem tych zakwalifikowanych jako powierzenie kluczowych lub ważnych funkcji. DORA stawia umowy na pierwszym miejscu, wprowadzając przy tym bardzo konkretne obowiązki, które muszą zostać wykonane przed zawarciem jakiejkolwiek umowy ICT. W tym zakresie rozporządzenie wskazuje takie elementy jak ocena, czy umowa dotyczy wspomnianej kluczowej lub ważnej funkcji, ocena spełnienia warunków nadzorczych, czy identyfikacja konfliktów interesów. Przede wszystkim jednak – co wynika wprost z art. 25 DORA – podmioty finansowe zobowiązane będą określić i ocenić wszystkie rodzaje istotnego ryzyka związane z daną umową ICT, ze szczególnym uwzględnieniem ryzyka koncentracji. Oznacza to nic innego, jak proces kompleksowego szacowania ryzyka danej usługi, znany dotychczas z rzeczywistości chmurowej. Podmioty finansowe będą więc musiały wypracować pewne wzorce postępowania (w tym niezbędne procedury, matryce szacowania ryzyka) dedykowane wszelkim umowom ICT. 

Wszystkie te działania stanowić mają element tzw. ram zarządzania ryzykiem ICT, których wdrożenie jest jednym z naczelnych wymogów rozporządzenia DORA. Należy też postawić sobie pytanie, czy takie wymogi (wprowadzone w końcu na poziomie rozporządzenia) będą miały wpływ na nasze lokalne wymagania w zakresie chmury. Wątek niewątpliwie wymaga szerszego omówienia, wiele też oczywiście zależy od podejścia polskiego nadzoru finansowego. Zmiana w tym zakresie wydaje się być jednak nieuchronna – te i pozostałe istotne zmiany wprowadzane przez DORA przedstawimy już jednak w następnych częściach tej publikacji, bo zdecydowanie jest o czym pisać.

Autorzy: Piotr Filipowski, Michał Kulesza, Maruta Wachta sp. k.

Gabriela Kocurek

Specjalizacje

Specjalizuje się w prawie nowych technologii i regulacji rynków finansowych, prawie własności intelektualnej, prawie ochrony danych osobowych oraz prawie zamówień publicznych. 

Jest ekspertem w obszarze regulacji dotyczących usług chmurowych oraz outsourcingu usług IT, z uwzględnieniem specyfiki sektora finansowego. Wspiera klientów w obszarze zamówień publicznych, z uwzględnieniem specyfiki zamówień w sektorze IT.


Doświadczenie

Doradza w szczególności klientom z branży FinTech, IT, cyberbezpieczeństwa, e-commerce i branży nowych technologii:

  • Posiada bogate doświadczenie w przygotowywaniu i negocjowaniu umów IT, umów wdrożeniowych oraz umów na świadczenie usług IT w modelu SaaS a także umów licencyjnych, dotyczących przeniesienia know-how, transferu praw własności intelektualnej jak również umów dotyczących komercjalizacji wyników prac badawczo – rozwojowych.
  • Wspiera klientów z sektora FinTech w dostosowaniu umów i wdrażaniu wymogów regulacyjnych właściwych dla sektora finansowego. Doradza i wspiera klientów w negocjowaniu umów IT w reżimie outsourcingu bankowego, inwestycyjnego, chmury obliczeniowej i outsourcingu w rozumieniu wytycznych EBA.
  • Doradza w zakresie umów IT oraz ochrony danych osobowych podmiotom z branży IT Security.
  • Współuczestniczyła w audycie procedur ochrony danych osobowych w grupie spółek o zasięgu globalnym.
  • Doradza klientom w zakresie prowadzenia kampanii marketingowych o zasięgu międzynarodowym.
  • Wspiera klientów kancelarii w postępowaniach o udzielenie zamówień publicznych. Doradzała klientowi kancelarii w postępowaniu o udzielenie zamówienia publicznego na wdrożenie Platformy Kanałów Elektronicznych przez Bank Gospodarstwa Krajowego oraz z sukcesem reprezentowała klienta w postępowaniu dotyczącym tego zamówienia przed Krajową Izbą Odwoławczą.


Kwalifikacje i uprawnienia zawodowe

Radca prawny przy Okręgowej Izbie Radców Prawnych w Krakowie.

Absolwentka studiów podyplomowych na kierunku Prawo Zamówień Publicznych na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.

Absolwentka studiów magisterskich na kierunku Prawo na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego.

Absolwentka studiów licencjackich i magisterskich na kierunku Administracja na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego.