Jak klasyfikować relacje z zewnętrznymi dostawcami w świetle DORA?

Artykuł

Jak klasyfikować relacje z zewnętrznymi dostawcami w świetle DORA?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (tzw. „DORA”) ma na celu harmonizację zasad służących zapewnieniu odporności podmiotów sektora finansowego na ryzyka i zagrożenia związane z technologiami ICT. Rozporządzenie wywiera szeroki wpływ na bieżącą działalność podmiotów rynku finansowego, w tym w odniesieniu do zasad współpracy z podmiotami trzecimi w obszarze technologii. Niniejszy artykuł skupia się na ogólnych wymogach dotyczących klasyfikacji relacji kontraktowych z dostawcami usług ICT w świetle DORA.

Istotną nowością dla podmiotów finansowych jest szeroki zakres zastosowania DORA, który w odniesieniu do współpracy z dostawcami technologicznymi obejmuje świadczone podmiotom sektora finansowego „usługi ICT”. Zgodnie z definicją zawartą w rozporządzeniu pojęcie to obejmuje usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej (art. 3 pkt 21 DORA).

Tak szeroka definicja oznacza, że zakres zastosowania DORA wykracza poza powszechnie przyjmowane w regulacjach i wytycznych organów nadzoru definicje „outsourcingu”. Tym samym do wymogów DORA będą musiały zostać dostosowane praktycznie wszelkie relacje z dostawcami zewnętrznymi dostarczającymi rozwiązania technologiczne dla podmiotów rynku finansowego. Dotyczy to również tych relacji, które zgodnie z regulacjami sektorowymi (czyli np. prawem bankowym i wytycznymi EBA) nie stanowiłyby outsourcingu, ponieważ funkcja zlecana do wykonania przez dostawcę zewnętrznego nie wchodziłaby w zakres funkcji, które byłyby lub mogłyby rzeczywiście być wykonywane przez podmiot sektora finansowego.

Wśród takich nowych przypadków można wymienić np. narzędzia związane z rekrutacja pracowników czy prowadzeniem profilu instytucji finansowej na mediach społecznościowych. Dotychczas takie umowy rzadko były kwalifikowane jako outsourcing regulowany, tymczasem zakres zastosowania rozporządzenia DORA wyraźnie obejmuje takie przypadki. Nie oznacza to jednak, że umowy te będą traktowane na gruncie przepisów DORA w taki sam sposób, jak np. outsourcing procesów związanych z monitorowaniem transakcji płatniczych czy korzystanie z usług świadczonych przez pośredników kredytowych online. Celem prawodawcy było wdrożenie regulacji uwzględniającej szeroko rozumianą zasadę proporcjonalności, co pozwala na dostosowanie środków stosowanych w danej relacji do rzeczywistego ryzyka, z którym wiąże się korzystania z danej usługi ICT.

Różne umowy – różne obowiązki

W ślad za istniejącymi już ramami regulacyjnymi dotyczącymi outsourcingu DORA również wprowadza podział dostawców usług ICT w zależności od tego, czy powierzana im funkcja ma charakter krytyczny lub istotny.

Rozporządzenie DORA
(Digital Operational Resilience Act)

Kwalifikacja funkcji jako krytycznej lub istotnej jest pierwszym krokiem analizy przedkontraktowej i ma kluczowe znaczenie z punktu widzenia zakresu obowiązków, które należy spełnić w związku z daną relacją z dostawcą usługi ICT. Do usług ICT wspierających funkcje tej kategorii zastosowanie mają dalej idące wymogi dotyczące m.in. treści umowy z takim dostawcą, oceny ryzyka koncentracji w obszarze ICT oraz wprowadzenia strategii wyjścia.

Każdy podmiot rynku finansowego objęty zakresem DORA powinien również dokładnie przeanalizować stosunki umowne z zewnętrznymi dostawcami, których do tej pory podmiot ten nie klasyfikował jako outsourcing pod kątem obowiązku stosowania wymogów DORA do takiej relacji. Podmioty finansowe mają czas na przeprowadzenie odpowiednich analiz i dostosowanie do nowego rozporządzenia do 17 stycznia 2025 roku – rozporządzenie nie przewiduje w tym zakresie żadnego okresu przejściowego. Jeżeli instytucja stwierdzi, że w ramach relacji z podmiotem zewnętrznym korzysta z usług ICT w rozumieniu rozporządzenia, to konieczne będzie podpisane nowej umowy lub aneksowania dotychczasowej.

W zakresie wymogów dotyczących treści umów zawieranych z dostawcami usług ICT DORA bazuje w dużej mierze na Wytycznych EBA w sprawie outsourcingu. Oznacza to, że podmioty takie jak banki lub instytucje płatnicze, które już stosują wymogi tam przewidziane do relacji outsourcingowych w dużej mierze spełniają w tym zakresie obowiązki przewidziane w DORA. Dla pozostałych instytucji sektora finansowego dostosowanie się do wymogów DORA będzie wymagało poniesienia wysiłku organizacyjnego oraz przeorientowania mechanizmów zarządzania relacjami umownymi zgodnie z logiką DORA.

Zastosowanie takich wymogów umownych będzie jednak nowością w zakresie współpracy z zewnętrznymi dostawcami usług ICT, których dotychczas podmioty finansowe nie kwalifikowały jako outsourcingu. Najważniejszym krokiem będzie identyfikacja takich dostawców wśród obecnych kontrahentów, a także prawidłowa komunikacja oczekiwań podmiotu finansowego w stosunku do podwykonawcy. Choć znaczna część podmiotów rynku finansowego planuje przyjęcie standardowego modelu klauzul umownych wykorzystywanych w relacji z zewnętrznymi dostawcami usług ICT, to rozwiązanie takie nie sprawdzi się, jeżeli zespoły odpowiedzialne za negocjowanie umów nie uwzględnią tej gradacji ryzyka przy poszczególnych kontrahentach. W tym zakresie warto rozważyć skorzystanie z doświadczenia zewnętrznego doradcy prawnego, który pomoże płynnie przejść przez proces dostosowania i aneksowania umów w sposób.

Podsumowanie

Odpowiednie zarządzanie relacjami kontraktowymi z dostawcami usług ICT jest jednym z podstawowych elementów zapewnienia zgodności z DORA. Szczególne znaczenie ma w tym zakresie przyjęcie odpowiedniego podejścia do klasyfikacji relacji umownych, która determinuje zakres i intensywność obowiązków, które spełnić będzie musiał podmiot rynku finansowego. Dlatego też tak istotne jest, by wykorzystać czas pozostały do dostosowania do nowej regulacji na odpowiednie przygotowanie procesów współpracy z zewnętrznymi dostawcami zapewniając terminowe i płynne wdrożenie DORA w organizacji.
Czy ta strona była pomocna?