Nowe zasady współpracy z dostawcami ICT – co zmienia decyzja Komisji Europejskiej?

DORA a podwykonawstwo ICT – co muszą wiedzieć instytucje finansowe?

Rozpocządzenie DORA nakłada na instytucje finansowe szereg wymogów w zakresie zarządzania ryzykiem ICT oraz współpracy z dostawcami takich usług. Zgodnie z art. 30 ust. 2 lit. a DORA, każda umowa z zewnętrznym dostawcą ICT musi jasno określać, czy i na jakich warunkach dany dostawca może korzystać z podwykonawców przy świadczeniu krytycznych usług dla instytucji finansowej.

Innymi słowy, instytucja finansowa musi wiedzieć, czy jej kluczowy usługodawca IT (np. dostawca chmury) ma prawo powierzyć część zadań innym firmom i jakie obowiązki z tego tytułu wynikają.

Projekt RTS i propozycja EUN:

Aby doprecyzować wymogi DORA, europejskie urzędy nadzoru – EBA, ESMA i EIOPA (zwane łącznie EUN) – zostały zobowiązane do opracowania regulacyjnych standardów technicznych (RTS) w zakresie podwykonawstwa usług ICT. Taki projekt standardu został przedłożony Komisji Europejskiej 17 lipca 2024 r.

Jego celem było wskazanie, jakie konkretne elementy instytucja finansowa ma uwzględniać i oceniać, przy korzystaniu z usług podwykonawców IT przy obsłudze krytycznych lub ważnych funkcji.

Wśród odrzuconych propozycji znalazł się m.in. obowiązek, by instytucje finansowe:

• oceniały ryzyka związane z podzlecaniem usług już na etapie przed zawarciem umowy (due diligence wobec dostawcy)
• oraz monitorowały na bieżąco sytuację podwykonawców w trakcie trwania umowy.

Celem regulacji było zapewnienie że bank lub inny podmiot finansowy zachowa kontrolę nad bezpieczeństwem całego łańcucha dostaw usług ICT, nawet jeśli jego główny kontrahent IT korzysta z dalszych podwykonawców.

Reakcja Komisji Europejskiej

21 stycznia 2025 r., zaledwie kilka dni po tym, gdy przepisy DORA zaczęły obowiązywać instytucje finansowe, Komisja Europejska poinformowała o zamiarze odrzucenia projektu wspomnianego standardu. Główny powód? Jedna z kluczowych propozycji EUN wykracza poza mandat określony w samej regulacji DORA.

W szczególności Komisja uznała, że wymagania przewidziane w art. 5 projektu RTS wychodzą poza zakres upoważnienia ustawodawcy do wydania standardów w tym obszarze. Mówiąc konkretnie, zapisany w projekcie obowiązek monitorowania całego łańcucha podwykonawców usług ICT nie wynikał bezpośrednio z artykułu 30(5) DORA.

W ocenie Komisji dodanie takiego obowiązku wykraczało poza delegację ustawową. W konsekwencji Komisja zażądała usunięcia art. 5 oraz powiązanego motywu z projektu RTS, aby dostosować jego treść do ram wyznaczonych przez DORA.

Stanowisko Europejskich Urzędów Nadzoru (EUN)

Europejskie Urzędy Nadzoru otrzymały sześć tygodni na ustosunkowanie się do uwag Komisji i wprowadzenie wymaganych zmian. W wyznaczonym terminie, 7 marca 2025 r., EUN opublikowały wspólną opinię w której:

• potwierdziły ocenę Komisji,
• oraz zaakceptowały zaproponowane zmiany.

W opinii tej stwierdzono, że poprawki Komisji zapewniają pełną zgodność projektu standardu z mandatem określonym w DORA. W związku z tym organy nadzoru jasno zaznaczyły, iż nie wnoszą żadnych własnych zmian ani zastrzeżeń do propozycji Komisji. Innymi słowy, EUN zgodziły się wykreślić z projektu regulacji sporne zapisy dotyczące monitorowania podwykonawców, uznając wyjaśnienia Komisji za zasadne.

Jednocześnie w opinii zwrócono uwagę, że już same przepisy DORA (np. art. 29 ust. 2) oraz powiązane akty techniczne nakładają na instytucje finansowe obowiązki w zakresie nadzoru nad podwykonawcami. Przykładem jest obowiązek prowadzenia rejestru wszystkich istotnych umów z dostawcami ICT i ich podwykonawcami.

EUN zachęciły również Komisję do szybkiego sfinalizowania prac nad standardem po wprowadzonych korektach, aby sektor finansowy mógł jak najszybciej uzyskać pewność prawa co do nowych wymogów.

Co to oznacza dla sektora finansowego?

Usunięcie artykułu 5 z finalnej wersji regulacyjnego standardu technicznego oznacza, że instytucje finansowe nie będą mieć expressis verbis narzuconego obowiązku bieżącego monitorowania całej struktury podwykonawców swoich dostawców IT w ramach DORA.

Dla wielu instytucji finansowych to prawdopodobnie dobra wiadomość. Już podczas konsultacji rynkowych zwracano uwagę, że tak rygorystyczny wymóg mógłby być bardzo uciążliwy w praktyce.

Oczywiście nie oznacza to, że kwestia podwykonawców znika z pola uwagi regulatorów. Przeciwnie, podstawowe obowiązki DORA w zakresie zarządzania ryzykiem ICT i należytej staranności przy wyborze dostawców wciąż zobowiązują instytucje do kontrolowania ryzyk związanych z łańcuchem dostaw.

Zniknięcie art. 5 RTS sprawia jednak, że ostateczne przepisy ograniczą się do tego, co wprost wynika z DORA – bez dodatkowych, potencjalnie kłopotliwych rozszerzeń.

Co dalej? Wdrożenie zgodnie z nową wersją RTS

W praktyce oczekuje się, że Komisja Europejska niezwłocznie przyjmie zmodyfikowany standard jako akt delegowany, już bez spornego przepisu. Dzięki temu instytucje finansowe, które dotychczas wstrzymywały się z wdrożeniem zmian, będą mogły teraz działać w oparciu o zatwierdzoną wersję.

Nowe zasady oznaczają:

• skupienie się na wymogach dotyczących oceny ryzyka związanego z podwykonawstwem przed zawarciem umowy
• odpowiednie zapisy umowne
• brak obowiązku formalnego monitorowania każdego ogniwa łańcucha w trakcie trwania umowy.

Przygotuj się na nowe zasady DORA

Podsumowując, interwencja Komisji Europejskiej ograniczyła zakres nowych obowiązków do granic wyznaczonych przez samo rozporządzenie DORA. W rezultacie instytucje finansowe zyskają jaśniejsze i mniej obciążające wytyczne dotyczące korzystania z podwykonawców ICT. Jednocześnie utrzymany zostaje zasadniczy cel DORA, jakim jest zapewnienie wysokiej odporności operacyjnej oraz bezpiecznego zarządzania ryzykiem technologicznym w sektorze finansowym.

Masz pytania dotyczące DORA, podwykonawstwa ICT lub wdrożenia standardów RTS? Skontaktuj się z naszym zespołem. Doradzimy, jak prawidłowo dostosować umowy i procedury do aktualnych wymagań regulacyjnych.