Zewnętrzny dostawca usług ICT również musi spełniać wymagania DORA

Dynamiczny rozwój nowych technologii oraz rosnąca liczba cyberzagrożeń sprawiły, że unijne instytucje finansowe stanęły przed ważnym wyzwaniem zapewnienia cyberbezpieczeństwa usług finansowych. Od 17 stycznia 2025 r. obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. (rozporządzenie DORA), które nakłada na sektor finansowy oraz jego zewnętrznych dostawców usług ICT (Information and Communications Technology) obowiązek spełnienia rygorystycznych wymagań dotyczących zarządzania ryzykiem związanym z ICT oraz zapewnienia operacyjnej odporności cyfrowej. Co to oznacza dla zewnętrznych dostawców usług ICT? W niniejszym artykule wskazujemy najważniejsze zagadnienia dotyczące współpracy zewnętrznych dostawców usług ICT z podmiotami finansowymi w świetle przepisów rozporządzenia DORA.

Kogo dotyczą obowiązki określone przepisami DORA

Bezpośrednimi adresatami wymogów określonych przepisami rozporządzenia DORA są instytucje finansowe, takie jak banki, instytucje płatnicze, towarzystwa funduszy inwestycyjnych czy firmy inwestycyjne, a także kluczowi zewnętrzni dostawcy usług ICT.

Kluczowi zewnętrzni dostawcy usług ICT wyznaczani są przez organ nadzorczy zgodnie z kryteriami określonymi w art. 31 DORA i są to przede wszystkim tacy zewnętrzni dostawcy usług ICT, którzy mogą mieć systemowy wpływ na stabilność, ciągłość lub jakość świadczenia usług finansowych i świadczą usługi dla wielu podmiotów na rynku finansowym.

Kluczowi zewnętrzni dostawcy usług ICT podlegają bezpośrednim wymogom dotyczącym zarządzania ryzykiem ICT, monitorowania i raportowania incydentów związanych z ICT oraz przeprowadzania testów operacyjnej odporności cyfrowej.

Jednak nie tylko kluczowi zewnętrzni dostawcy usług ICT muszą sprostać nowym wymaganiom w świetle rozporządzenia DORA. Zewnętrzni dostawcy usług ICT, którzy nie zostali wyznaczeni jako kluczowi, co do zasady nie są bezpośrednimi adresatami regulacji DORA, lecz faktycznie również powinni dostosować swoje procesy wewnętrzne w taki sposób, aby podmioty finansowe, na rzecz których świadczą usługi ICT, mogły działać zgodnie z obowiązującymi je wymogami regulacyjnymi.

Co jest usługą ICT

Rozporządzenie 2022/2554 (DORA) definiuje usługi ICT jako usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego. Zewnętrzny dostawca usług ICT definiowany jest przez DORA jako przedsiębiorstwo świadczące usługi ICT. To, czy przedsiębiorstwo świadczące usługi na rzecz podmiotu finansowego zostanie określone jako zewnętrzny dostawca usług ICT, zależy ostatecznie od oceny dokonanej przez ten podmiot finansowy. Podmioty finansowe dokonują oceny i kwalifikacji usług jako usługi ICT świadczone na ich rzecz, a tym samym klasyfikują podmioty świadczące te usługi jako zewnętrznych dostawców usług ICT.

W uproszczeniu (chociaż w praktyce kwestia ta nierzadko budzi wątpliwości) usługą ICT jest taka usługa, która świadczona jest w sposób ciągły i zawiera się w jednym z 19 typów usług określonych w załączniku nr 3 do rozporządzenia wykonawczego Komisji (UE) 2024/2956 z 29 listopada 2024 r. ustanawiającego wykonawcze standardy techniczne do celów stosowania rozporządzenia DORA w odniesieniu do standardowych wzorów na potrzeby rejestru informacji.

Na marginesie warto podkreślić, że świadczenie usług ICT na rzecz podmiotów finansowych może opierać się na potencjalnie długich i złożonych łańcuchach podwykonawstwa, dlatego kluczowe jest, żeby zewnętrzni dostawcy usług ICT w sposób dokładny przeprowadzili analizę swoich zasobów ICT oraz funkcji wspieranych przez te zasoby, a także określili, które funkcje i zasoby ICT wspierane są przez podwykonawców.

DORA nakłada na podmioty finansowe wiele obowiązków, które bezpośrednio wpływają na współpracę pomiędzy nimi a zewnętrznymi dostawcami usług ICT. Podmioty, które świadczą usługi ICT na rzecz podmiotów finansowych, muszą być gotowe w odpowiedni sposób wspierać swoich klientów z sektora finansowego w realizacji wymagań DORA.

DORA: najważniejsze wymagania nałożone na dostawców usług ICT

Rozporządzenie DORA w znacznym stopniu reguluje współpracę zewnętrznych dostawców usług ICT z podmiotami finansowymi. Zewnętrzni dostawcy usług ICT, którzy pragną świadczyć usługi na rzecz podmiotów finansowych, powinni dostosować się do wielu wymagań, m.in. takich jak:

- poddanie się badaniu due diligence przed zawarciem ustalenia umownego

Wiele podmiotów finansowych przeprowadza badania na podstawie ankiet samooceny zewnętrznych dostawców usług ICT. Zewnętrzni dostawcy usług ICT powinni posiadać wewnętrzne strategie, polityki i procedury pokazujące, w jakim stopniu dostosowani są do standardów bezpieczeństwa informacji, oraz umożliwiające przeprowadzenie oceny przez specjalistów po stronie podmiotu finansowego.

- gotowość do poddania się kontrolom i audytom

Podmioty finansowe zobowiązane są do przeprowadzania okresowych kontroli i audytów, w zależności od ich podejścia opartego na analizie ryzyka. Zewnętrzni dostawcy usług ICT powinni przygotować się na przyjęcie audytorów, którzy na zlecenie podmiotu finansowego będą mieli za zadanie zbadanie zewnętrznego dostawcy usług ICT i przedstawienie ewentualnych zaleceń. Zewnętrzni dostawcy usług ICT mogą, przez pewien czas, wykazywać stosowanie najwyższych i najbardziej aktualnych standardów bezpieczeństwa informacji, poprzez przedstawienie certyfikatów wystawionych przez strony trzecie, jednak to od podmiotu finansowego będzie zależeć, czy certyfikat zostanie uznany i uwzględniony podczas oceny zewnętrznego dostawcy usług ICT.

- umożliwienie wypowiedzenia umowy w pewnych, regulowanych przez DORA sytuacjach oraz umożliwienie zapewnienia ciągłości działania podmiotu finansowego (strategie wyjścia);

- jasne określenie gwarantowanych poziomów usług, w szczególności dla zapewnienia rozliczalności i ciągłości działania;

- odpowiednie zarządzenie łańcuchem podwykonawców i gotowość do dostarczenia informacji podmiotowi finansowemu na temat swoich podwykonawców;

- gotowość, w szczególnych przypadkach, do uczestnictwa w testach bezpieczeństwa podmiotu finansowego.

Obowiązki dostawców usług ICT: analiza ryzyka i implementacja standardów

DORA wprowadza nowe, rygorystyczne wymagania dla zewnętrznych dostawców usług ICT. Spełnienie wszystkich obowiązków wynikających z DORA wymaga zaawansowanego podejścia do zarządzania cyberbezpieczeństwem, monitorowania ryzyka oraz zapewniania transparentności w zakresie zarządzania incydentami związanymi z ICT.

Podmioty świadczące usługi ICT na rzecz podmiotów finansowych powinny przeprowadzić ocenę zgodności swoich wewnętrznych strategii, polityk i procedur, a także przeprowadzić niezbędne testy i analizy swoich systemów w celu weryfikacji, czy są w stanie zapewnić odpowiedni poziom bezpieczeństwa, aby dalej móc świadczyć usługi dla podmiotów z sektora finansowego.

Zewnętrzni dostawcy usług ICT powinni proaktywnie uczestniczyć w procesie zarządzania ryzykiem związanym z ICT, współpracując ze swoimi kontrahentami będącymi podmiotami finansowymi, dostarczając im niezbędnej wiedzy i informacji na temat potencjalnych cyberzagrożeń, podatności i ryzyk związanych ze świadczonymi na rzecz tych podmiotów usługami ICT. Ponadto zewnętrzni dostawcy usług ICT powinni wdrożyć odpowiednie mechanizmy szybkiego wykrywania i reagowania na incydenty związane z ICT, aby skutecznie wspierać swoich kontrahentów w zarządzaniu takimi incydentami.

Spełnienie wymagań DORA przez zewnętrznych dostawców usług ICT może wydawać się ogromnym wyzwaniem, jednak z pomocą przychodzą uznane standardy oraz najlepsze praktyki w zakresie bezpieczeństwa informacji oraz cyberbezpieczeństwa, takie jak standard NIST czy ISO 27001. DORA oraz akty wykonawcze często powołują się na stosowanie odpowiednich lub nawet najwyższych standardów bezpieczeństwa informacji. Rozporządzenie delegowane Komisji (UE) 2024/1773 z 13 marca 2024 r. uzupełniające rozporządzenie DORA wskazuje nawet, że w stosownych przypadkach podmiot finansowy może zaakceptować, pod pewnymi warunkami, certyfikaty wydane przez osoby trzecie (w domyśle rozumiane chociażby jako certyfikat ISO 27001) jako dowód na spełnienie przez zewnętrznego dostawcę usług ICT wymagań w zakresie bezpieczeństwa informacji, a tym samym podmiot finansowy może w takim przypadku odstąpić od przeprowadzania inspekcji i audytów oraz testów w odniesieniu do ICT.