Europejskie Organy Nadzoru opublikowały wspólny raport końcowy dotyczący projektu norm technicznych dotyczących podwykonawstwa w ramach ustawy DORA
26 lipca 2024 roku trzy Europejskie Urzędy Nadzoru (EUN), tj.:
- Europejski Urząd Nadzoru Bankowego (ang. European Banking Authority, EBA),
- Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (ang. European Insurance and Occupational Pensions Authority, EIOPA) oraz
- Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ang. European Securities and Markets Authority, ESMA)
opublikowały wspólny raport końcowy dotyczący projektu regulacyjnych norm technicznych (RTS).
Normy te określają zasady podzlecania usług technologii informacyjno-komunikacyjnych (ICT), które wspierają krytyczne lub ważne funkcje zgodnie z rozporządzeniem o odporności operacyjnej cyfrowej (DORA).
Cel i Znaczenie Nowych Norm
Celem tych regulacyjnych norm technicznych (RTS) jest wzmocnienie operacyjnej odporności sektora finansowego UE poprzez skuteczniejsze zarządzanie ryzykiem związanym z podzlecaniem usług ICT przez podmioty finansowe.
EUN mają obowiązek wspólnego opracowywania tych norm, aby precyzyjnie określić, jakie elementy muszą być uwzględniane przez podmioty finansowe podczas oceny i realizacji podzlecania usług ICT wspierających krytyczne lub ważne funkcje.
Zadanie to wynika z art. 30 ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554, znanego jako DORA. Przy opracowywaniu tych RTS, EUN musiały uwzględnić wielkość, profil ryzyka, oraz charakter, skalę i stopień złożoności działalności podmiotów finansowych.
Zgodnie z DORA, projekt RTS określa wymagania dotyczące sytuacji, w których podmioty finansowe mogą korzystać z usług ICT podzleconych zewnętrznym dostawcom, jeśli te usługi wspierają krytyczne lub ważne funkcje. Normy te precyzują również warunki, które muszą być spełnione przy podzlecaniu takich usług.
Co zawierają RTS?
Zgodnie z raportem, Artykuł 30(2)(a) DORA wymaga, aby podmioty finansowe zawierały w umowach dotyczących usług ICT jasny i szczegółowy opis wszystkich funkcji i usług ICT świadczonych przez zewnętrznego dostawcę usług ICT. Umowy te muszą precyzować, czy podzlecanie usług ICT obsługujących krytyczne lub ważne funkcje (lub ich istotne części) jest dozwolone, oraz jakie warunki mają wówczas zastosowanie.
RTS szczególnie kładzie nacisk na obowiązek oceny ryzyka związanego z podwykonawstwem w fazie przedumownej, obejmując proces należytej staranności. Wymogi dotyczą również wdrożenia, monitorowania oraz zarządzania umowami w zakresie podwykonawstwa usług ICT wspierających kluczowe funkcje. RTS gwarantuje, że podmioty finansowe będą w stanie skutecznie monitorować cały łańcuch podzlecania tych usług.
Jeśli chcesz być na bieżąco z najnowszymi informacjami i regulacjami, zapisz się do naszego newslettera. Masz pytania? Napisz do nas na info@dudkowiak.com, chętnie pomożemy!
Skontaktuj się z nami
65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com