Bankowość i usługi płatnicze /

Nowe wytyczne EBA: co każda instytucja finansowa powinna wiedzieć o współpracy z podmiotami zewnętrznymi

DORA to nie wszystko – nadchodzą kolejne zmiany

W 2025 roku sektor finansowy w Europie czekają kolejne zmiany regulacyjne. Europejski Urząd Nadzoru Bankowego (EBA) opublikował projekt nowych wytycznych, które mają zmienić sposób, w jaki instytucje finansowe zarządzają ryzykiem związanym ze współpracą z podmiotami zewnętrznymi.

To ważna aktualizacja. Dlaczego? Bo rozszerza dotychczasowe zasady outsourcingu i dostosowuje je do realiów wprowadzonych przez rozporządzenie DORA.

Kto znajdzie się w kręgu podmiotów objętych wytycznymi?

Projekt nowych wytycznych ma zastosowanie do szerszego katalogu instytucji, w tym:

  • firm inwestycyjnych, które nie spełniają warunków uznania za małe i niepowiązane (zgodnie z rozporządzeniem 2019/2033),
  • emitentów tokenów zabezpieczonych aktywami – zgodnie z regulacjami rynków kryptoaktywów (MiCA),
  • instytucje płatnicze i pieniądza elektronicznego
  • instytucji udzielających kredytów hipotecznych, w rozumieniu dyrektywy 2014/17/UE.

Kto znajdzie się w kręgu podmiotów objętych wytycznymi?

W praktyce oznacza to, że choć wytyczne formalnie obejmują tylko wybrane kategorie podmiotów, ich znaczenie może być szersze.

Co się zmienia? Trzy główne obszary

1. Szeroka definicja współpracy z podmiotami zewnętrznymi

Nowe wytyczne obejmują nie tylko klasyczny outsourcing, ale wszelką współpracę, w której zewnętrzny podmiot świadczy usługi wspierające działalność instytucji finansowej. Dotyczy to również relacji wewnątrzgrupowych.

Z wytycznych wyłączone będą usługi informatyczne objęte DORA, natomiast kluczowym kryterium podlegania nowym zasadom będzie istotność wpływu danej usługi na działalność operacyjną lub profil ryzyka instytucji. Nie będzie już wystarczające wskazanie, że dana usługa nie jest „rdzenną działalnością” instytucji.

2.Nowy sposób oceny ryzyka

Zgodnie z wcześniejszym podejściem instytucje oceniały ryzyko outsourcingu głównie przez pryzmat konkretnej umowy. Nowe wytyczne przesuwają akcent na poziom funkcji, której dotyczy dana współpraca – niezależnie od formy prawnej jej realizacji.

Oznacza to, że nadzór oczekuje od instytucji identyfikacji funkcji krytycznych lub istotnych oraz objęcia ich adekwatnym reżimem nadzorczym – bez względu na to, czy są one przekazane w ramach klasycznego outsourcingu, czy też są realizowane przez inne podmioty zewnętrzne.

3. Jeden rejestr dla wszystkich umów

Wytyczne przewidują dostosowanie formatu rejestru outsourcingowego do struktury przewidzianej przez DORA dla usług IT. Celem jest ujednolicenie dokumentacji oraz umożliwienie instytucjom prowadzenia jednego, spójnego rejestru współpracy z podmiotami zewnętrznymi – obejmującego zarówno usługi ICT, jak i inne.

To podejście sprzyja przejrzystości, usprawnia nadzór wewnętrzny i spełnia oczekiwania organów nadzorczych w zakresie kompleksowego zarządzania ryzykiem operacyjnym.

Harmonizacja nadzoru w Unii Europejskiej

EBA wyraźnie wskazuje, że brak jednolitych zasad w zakresie korzystania z usług podmiotów zewnętrznych w obszarach nieinformatycznych prowadzi do niespójności nadzoru między państwami członkowskimi. Nowe wytyczne mają na celu ujednolicenie praktyk nadzorczych i zwiększenie efektywności zarządzania ryzykiem na poziomie całej Unii Europejskiej.

Co powinny zrobić instytucje finansowe?

Konsultacje trwają do 8 października 2025 r. Po ich zakończeniu przewidywany jest okres przejściowy wynoszący 24 miesiące, w trakcie którego instytucje będą zobowiązane do:

  • przeglądu i aktualizacji zawartych umów z dostawcami usług,
  • dostosowania formatu prowadzonego rejestru współpracy z podmiotami zewnętrznymi,
  • rewizji wewnętrznych polityk i procedur w zakresie klasyfikacji funkcji i usług istotnych.

Co grozi za brak dostosowania się?

Niedopełnienie nowych wymogów może skutkować:

  • sankcjami nadzorczymi,
  • cofnięciem licencji,
  • odpowiedzialnością członków zarządu.

Co grozi za brak dostosowania się?

Rekomendujemy rozpoczęcie przeglądu dotychczasowych praktyk już teraz, szczególnie w zakresie klasyfikacji funkcji istotnych oraz dokumentowania współpracy z podmiotami zewnętrznymi.

W razie potrzeby wsparcia przy analizie ryzyka outsourcingowego lub dostosowaniu polityk i procedur do nadchodzących regulacji – zapraszamy do kontaktu z naszym zespołem. 

Autor team leader D&P Legal Mateusz Bałuta
Skontaktuj się z naszym ekspertem
Napisz wiadomość: info@dudkowiak.com
check full info of team member: Mateusz Bałuta

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48kancelaria@dudkowiak.com
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48krakow@dudkowiak.com
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74warszawa@dudkowiak.com
Flaga Polski.POZNAŃPOLSKA
pl. W. Andersa 3
61-894 Poznań
+48 61 853 56 48poznan@dudkowiak.com
Flaga Polski.WARSAWPOLAND
Rondo ONZ 1
00-124 Warsaw
+48 22 300 16 74warszawa@dudkowiak.com