Jestem dostawcą IT. Czego mam się spodziewać po DORA?
Jedną z najdalej idących nowości, jakie przyniesie Rozporządzenie DORA, jest fakt objęcia nadzorem kluczowych zewnętrznych dostawców usług ICT. Jednak nie tylko dla kluczowych dostawców DORA będzie miała znaczenie. Skutki wprowadzenia tej regulacji odczuje w mniejszym lub większym stopniu niemal każdy vendor usług technologicznych, który współpracuje z podmiotami finansowymi. Czego się spodziewać i „czy będzie bolało”?
Wpływ DORA, który odczują dostawcy, można podzielić na trzy główne strumienie, przy czym ostatni z nich dotyczy tylko kluczowych zewnętrznych dostawców usług ICT (niżej określonych również w skrócie jako „kluczowi dostawcy”). Rozporządzenie będzie oddziaływało poprzez:
(1) konieczność uwzględnienia wymogów do umowy,
(2) obowiązek spełnienia przez podmioty finansowe wymagań, których realizacja będzie wymagała współpracy ze strony dostawców oraz
(3) nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT.
WYMOGI DO UMOWY
Pierwszy, najbardziej bezpośredni strumień oddziaływania DORA na ogół dostawców ICT to wymogi przewidziane dla umowy pomiędzy podmiotem finansowym a dostawcą. Określa je art. 27 Rozporządzenia. Uregulowane muszą zostać obszary takie jak opis świadczonych usług, miejsce ich świadczenia, bezpieczeństwo i ochrona danych, podwykonawstwo, SLA, zasady rozwiązania umowy, uprawnienia audytowe podmiotu finansowego oraz organów nadzoru czy exit plan.
Choć zakres kwestii do uregulowania w umowie został określony bardzo szeroko, to w większości jest to powielenie już istniejących regulacji w tym zakresie (np. Rozporządzeń Delegowanych Komisji Europejskiej, Wytycznych EIOPA, etc.). Nowością natomiast jest ujednolicenie podejścia całego sektora finansowego w tym zakresie. Dostawcy w negocjacjach z różnymi podmiotami finansowymi będą napotykać tożsame lub bardzo podobne wymagania do umów. To, czy będzie to wada czy zaleta, zależy w dużej mierze od podejścia samego dostawcy. Z jednej strony przygotowanie np. dedykowanych klauzul uwzględniających wymogi do umów wynikające z DORA powinno być efektywne czasowo – jeden wzorzec klauzul dla całego sektora. Z drugiej strony dostawcy zostaną w ten sposób właściwie pozbawieni ewentualnych argumentów z gatunku „ten wymóg dotyczy podmiotów X (np. banków), natomiast mój kontrahent jest podmiotem Y (np. zakładem ubezpieczeń)”.
Podsumowując ten strumień, szeroki katalog wymogów do umowy z zewnętrznymi dostawcami usług ICT wymusi aktualizację podejścia dostawców do kontraktowania z podmiotami finansowymi. W harmonogramie przygotowań do wejścia w życie DORA na pewno trzeba będzie więc uwzględnić przegląd i dostosowanie dedykowanych załączników i klauzul. Warto również zadbać o kompetencje wewnątrz organizacji – wcześniejsze poznanie i zrozumienie wymogów regulatora znacząco może skrócić proces negocjacji umowy oraz zyskać w tym obszarze przewagę nad konkurującymi dostawcami.
INNE OBOWIĄZKI PODMIOTÓW FINANSOWYCH
Rozporządzenie DORA w wielu miejscach odnosi się do ryzyka ze strony zewnętrznych dostawców usług ICT. Skuteczne zarządzanie tym ryzykiem jest jednym z głównych założeń tej regulacji. W związku z tym podmioty finansowe będą musiały spełnić szereg obowiązków, co będzie wymagało również współpracy ze strony samych dostawców.
Mowa tutaj przede wszystkim o analizie ryzyka, współpracy jedynie z dostawcami przestrzegającymi „wysokich, odpowiednich i najnowszych standardów w zakresie bezpieczeństwa informacji” czy też opracowaniu strategii wyjścia. Pomimo że bezpośrednim adresatem tych obowiązków są podmioty finansowe, należy spodziewać się z ich strony działań angażujących również dostawców i ich personel w celu uzyskania dokumentacji, wyjaśnień, potwierdzeń.
Podobnie jak w przypadku wymogów co do samej umowy, wiele wymogów w tym zakresie przypomina już obowiązujące przepisy i wytyczne. Zmiana w tym obszarze polega na ujednoliceniu wymagań wobec bardzo szerokiego grona podmiotów (od dostawców usług finansowania społecznościowego i usług w zakresie kryptoaktywów poprzez agentów ubezpieczeniowych aż po banki i TFI).
NADZÓR NAD KLUCZOWYMI ZEWNĘTRZNYMI DOSTAWCAMI USŁUG ICT
Last but (zdecydowanie!) not least – w DORA przewidziane są szerokie uprawnienia nadzorcze wobec kluczowych zewnętrznych dostawców usług ICT świadczących usługi na rzecz podmiotów finansowych. W pierwszej kolejności trzeba zatem odpowiedzieć na pytanie: czy jestem kluczowym dostawcą? Niestety przed wejściem w życie DORA i podjęciem konkretnych działań przez właściwe organy udzielenie odpowiedzi nie jest możliwe. Decyzję o kwalifikacji dostawców jako kluczowych podejmą Europejskie Urzędy Nadzoru, czyli EBA, ESMA oraz EIOPA, za pośrednictwem ich Wspólnego Komitetu. Najważniejsze przesłanki, które należy uwzględnić przy podejmowaniu takiej decyzji, to:
➔ systemowy wpływ na stabilność, ciągłość lub jakość świadczenia usług finansowych;
➔ charakter i znaczenie podmiotów finansowych, które korzystają z usług danego dostawcy;
➔ wykorzystywanie usług dostawcy w odniesieniu do kluczowych lub ważnych funkcji podmiotów finansowych (co ważne – również poprzez podwykonawców);
➔ stopień substytucyjności dostawcy (chodzi przede wszystkim o vendor lock in – technologiczny, finansowy czy organizacyjny);
➔ liczba państw UE, w których dostawca świadczy usługi oraz
➔ liczba państw UE, w których działają podmioty finansowe korzystające z usług tego dostawcy.
Na tym jednak – prawdopodobnie – nie koniec. Komisja Europejska będzie uprawniona do uzupełnienia ww. kryteriów.
Jeśli chodzi o to kto będzie sprawował nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT, warto zapamiętać trzy organy: (1) Wspólny Komitet, (2) forum nadzoru oraz (3) wiodący organ nadzorczy, przy czym w praktyce największą rolę będzie odgrywał ten ostatni.
Rolą wiodącego organu nadzorczego będzie ocena wprowadzenia przez kluczowych dostawców środków służących do zarządzania z ryzykiem związanym z ICT, które dostawcy mogliby stanowić dla podmiotów finansowych. DORA mówi w tym kontekście o „kompleksowych, rozsądnych i skutecznych zasadach, procedurach, mechanizmach i ustaleniach”. Zakres potencjalnie wymaganych działań jest więc szeroki, co potwierdzają również kryteria dokonywanej oceny. Najważniejsze z nich to:
➔ wymogi i standardy z zakresu ICT dot. zapewnienia bezpieczeństwa, ciągłości działania, dostępności, skalowalności, jakości świadczonych usług;
➔ bezpieczeństwo fizyczne, które ma wpływ na bezpieczeństwo ICT;
➔ strategia zarządzania ryzykiem związanymi z ICT;
➔ zasady zarządzania w organizacji, w tym przejrzyste i spójne obszary odpowiedzialności oraz zasady rozliczalności;
➔ kwestie dot. zarządzania incydentów związanych z ICT – identyfikacja, monitorowanie, zgłaszanie i rozwiązywanie;
➔ przenoszenie danych i aplikacji – mechanizmy oraz interoperacyjność;
➔ testy systemów, infrastruktury i kontroli ICT;
➔ audyty oraz stosowanie norm.
JAKIMI UPRAWNIENIAMI BĘDZIE DYSPONOWAŁ ORGAN NADZORU?
Ogólny katalog uprawnień wiodącego organu nadzoru wobec kluczowego dostawcy wynika z art. 31 DORA. Organ będzie mógł:
➔ wystąpić z wnioskiem o przekazanie wszystkich stosownych informacji i dokumentów;
➔ prowadzić dochodzenia i kontrole (również w miejscu prowadzenia działalności przez dostawcę);
➔ kierować zalecenia dotyczące poszczególnych obszarów-kryteriów oceny kluczowych dostawców;
➔ wnioskować o sprawozdanie po zakończeniu działań i wdrożeniu środków zaradczych zgodnie z ww. zaleceniami; a także
➔ nakładać okresowe kary pieniężne, które mają motywować do zachowania zgodności z ww. środkami nadzorczymi.
Wspomniane okresowe kary pieniężne to zresztą nie jedyny „motywator” przewidziany w DORA. Zgodnie z art. 37 ust. 3 rozporządzenia „właściwe organy mogą zobowiązać podmioty finansowe do tymczasowego zawieszenia, w części albo w całości, korzystania z lub wdrażania usługi świadczonej przez kluczowego zewnętrznego dostawcę usług ICT do czasu wyeliminowania ryzyka zidentyfikowanego w zaleceniach skierowanych do kluczowych zewnętrznych dostawców usług ICT”.
Dalsza część tego przepisu przewiduje jeszcze dalej idące środki tj. możliwość nakazania podmiotom finansowym wypowiedzenia w całości lub w części umowy zawartej z kluczowym dostawcą. Fakt, że DORA zawiera przepisy przewidujące tak radykalne środki, nie mówi jeszcze co prawda nic o spodziewanej częstotliwości ich stosowania. Jednak oceniając całość tej regulacji, jej kompleksowość i zakres, wyraźnie widać, że kwestia bezpieczeństwa ICT została potraktowana wyjątkowo poważnie. Należy więc wziąć pod uwagę możliwość, że z równym zaangażowaniem będą egzekwowane przez wiodące organy nadzorcze uprawnienia, które zostaną im przyznane w Rozporządzeniu.
Vendorzy powinni wziąć pod uwagę konieczność zaangażowania dodatkowych zasobów, jeśli zostaną uznani za kluczowych zewnętrznych dostawców usług ICT. Zazwyczaj będzie to niezbędne, aby przygotować organizację na ocenę dokonywaną przez wiodące organy nadzorcze oraz wdrażanie ich zaleceń pokontrolnych.
Dodatkowe środki będą zresztą konieczne niezależnie od poziomu zgodności. Zgodnie z DORA kluczowi dostawcy będą partycypować w kosztach, które EBA, ESMA i EIOPA poniosą w związku z wykonywaniem nadzoru nad nimi. W tym przypadku zastosowanie ma znaleźć zasada „duży zapłaci więcej” – wysokość pobieranych opłat będzie proporcjonalna do obrotów kluczowego dostawcy.
PODSUMOWANIE
Choć o DORA mówi się jeszcze głównie w odniesieniu do podmiotów finansowych, to również dostawcy będą odczuwali skutki jej wprowadzenia. Nie będą to absolutnie „skutki uboczne” – motywy i przepisy DORA wprost obejmują swoim zakresem zewnętrznych dostawców usług ICT. W przypadku kluczowych dostawców sytuacja zmieni się najbardziej, ponieważ zostaną objęci nadzorem, a nadzorca zostanie wyposażony w szeroki wachlarz środków.
Jednocześnie podmioty sektora finansowego będą poszukiwały rozwiązań bezpiecznych regulacyjnie. Dlatego warto myśleć o DORA już dziś – nie tyle w charakterze obciążeń, co szansy na zyskanie konkurencyjnych przewag.
Autor: Tomasz Racki