Nowe obowiązki dla sektora finansowego: RTS dotyczące podwykonawstwa usług ICT weszły w życie

2 lipca 2025 r. opublikowano w Dzienniku Urzędowym UE długo oczekiwane Rozporządzenie Delegowane Komisji (UE) 2025/532, które doprecyzowuje obowiązki instytucji finansowych w zakresie korzystania z podwykonawców usług ICT ( usług cyfrowych i usług w zakresie danych) wspierających krytyczne lub istotne funkcje.

Jest to kolejny element wdrażania rozporządzenia DORA (UE 2022/2554), mającego na celu zwiększenie odporności cyfrowej sektora finansowego.

Kogo dotyczą nowe przepisy?

Rozporządzenie jest kluczowe dla:

• instytucji płatniczych,
• krajowych instytucji pieniądza elektronicznego,
• banków,
• instytucji kredytowych,
• firm inwestycyjnych,
• zakładów ubezpieczeń i reasekuracji,
• a także dostawców usług związanych z kryptoaktywami (CASP) – jeśli podlegają one DORA.

Wszystkie te podmioty są zobowiązane do wdrożenia procedur i mechanizmów określonych w RTS – w szczególności przy zawieraniu lub aktualizacji umów z zewnętrznymi dostawcami ICT, którzy korzystają z własnych podwykonawców.

Co określają regulacyjne standardy techniczne (RTS)?

Rozporządzenie precyzuje, jakie elementy muszą zostać zidentyfikowane, ocenione i nadzorowane, gdy instytucja finansowa korzysta z usług ICT świadczonych przez podwykonawców. Założenia obejmują:

Obowiązek identyfikacji i oceny całego łańcucha dostaw ICT

Instytucja finansowa, zlecająca zewnętrznie usługi ICT wspierające krytyczne lub istotne funkcje, musi posiadać pełną wiedzę o strukturze łańcucha podwykonawców – niezależnie od tego, czy są oni bezpośrednimi czy pośrednimi dostawcami.

Szczególnej ocenie podlegają:

• lokalizacja podwykonawców,
• długość i złożoność łańcucha podwykonawców,
• rodzaj danych przetwarzanych przez podwykonawcę,
• wpływ awarii podwykonawcy na ciągłość działania instytucji finansowej,
• status regulacyjny i nadzorczy dostawców ICT i ich podwykonawców.

Jeżeli usługi są realizowane w ramach grupy kapitałowej – wymogi dotyczące outsourcingu muszą być stosowane w sposób jednolity i spójny we wszystkich jednostkach grupy.

Nowe wymogi umowne

Każda umowa zewnętrzna dotycząca świadczenia usług ICT, które wspierają istotne lub krytyczne funkcje, musi zawierać szereg szczegółowych postanowień dotyczących podwykonawców. Należy w niej jasno określić:

• które usługi mogą być zlecane dalej i na jakich warunkach,
• obowiązek dostawcy ICT do pełnego monitorowania działań swoich podwykonawców,
• zobowiązania dotyczące informowania o zmianach w strukturze outsourcingu,
• zasady zapewnienia ciągłości usług w razie niewywiązania się przez podwykonawcę,
• obowiązki raportowania, standardy bezpieczeństwa, plany awaryjne oraz SLA.

Dodatkowo, zewnętrzny dostawca ICT musi zagwarantować, że jego podwykonawcy:

• przekażą podmiotowi finansowemu oraz właściwym organom i organom ds. restrukturyzacji i uporządkowanej likwidacji takie same prawa dostępu, kontroli i audytu, jakie przysługują wobec głównego dostawcy,
• zapewnią zgodność z wymogami wynikającymi z unijnych i krajowych regulacji.

Weryfikacja i ciągła ocena ryzyka

Zanim zostanie zawarta umowa przewidująca podwykonawstwo, instytucja finansowa musi dokonać kompleksowej oceny ryzyka. W szczególności ocenie podlega:

• zdolność operacyjna i finansowa podwykonawcy,
• zasoby techniczne i organizacyjne, poziom wiedzy fachowej,
• struktura bezpieczeństwa informacji i zarządzania incydentami,
• zgodność z DORA oraz innymi regulacjami nadzorczymi,
• wpływ potencjalnych zakłóceń na odporność cyfrową i finansową organizacji,
• ryzyko koncentracji i geolokalizacji,
• ewentualne przeszkody w wykonywaniu praw audytowych i kontrolnych.

Ocena ta musi być aktualizowana okresowo, w zależności od zmian funkcjonalnych, geopolitycznych lub organizacyjnych. Co istotne – poleganie na analizach dostarczonych przez zewnętrznego dostawcę ICT nie zwalnia instytucji z własnej odpowiedzialności regulacyjnej.

Kontrola zmian i prawo wypowiedzenia umowy

W każdej umowie musi być przewidziana procedura dla tzw. istotnych zmian w strukturze podwykonawstwa – dostawca ICT ma obowiązek:

• informować z wyprzedzeniem o planowanych zmianach,
• umożliwić instytucji ocenę ich wpływu na ryzyko,
• uzyskać zgodę instytucji lub umożliwić jej zgłoszenie sprzeciwu.

Instytucja finansowa uzyskuje również prawo do wypowiedzenia umowy, jeżeli:

• zmiany zostaną wprowadzone mimo sprzeciwu,
• usługodawca działa niezgodnie z ustaleniami dotyczącymi dalszego podwykonawstwa,
• zidentyfikowane ryzyko przekracza poziom akceptowalny.

Od kiedy obowiązują nowe regulacje?

Rozporządzenie wchodzi w życie 20 dni po publikacji, czyli 22 lipca 2025 r. Od tego dnia wszystkie nowe umowy ICT oraz istotne zmiany w istniejących umowach będą musiały być zgodne z nowymi wytycznymi.

Co dalej?

Wprowadzenie RTS to istotny krok w kierunku uszczelnienia łańcuchów ICT i zwiększenia odpowiedzialności dostawców oraz instytucji zlecających. Warto już teraz przeanalizować:

• zawarte umowy ICT,
• wewnętrzne procedury oceny i zatwierdzania podwykonawstwa,
• mechanizmy nadzoru i raportowania.

W obliczu rosnącego zagrożenia cyberatakami, nowe przepisy mogą stanowić kluczowe narzędzie ochrony przed ryzykiem systemowym w sektorze finansowym.

Pełna treść rozporządzenia dostępna jest tutaj.

Chcesz być na bieżąco z najnowszymi regulacjami DORA i obowiązkami dla sektora finansowego?

Zapisz się do naszego newslettera, aby otrzymywać regularne analizy prawne, alerty o nowych przepisach oraz praktyczne wskazówki dotyczące zgodności i zarządzania ryzykiem w sektorze finansowym.