Przepisy DORA a kontrakty ICT w sektorze finansowym
Został jeszcze niecały rok do rozpoczęcia stosowania przepisów DORA,[1] które znajdą zastosowanie od dnia 17 stycznia 2025 r., a które wprowadzają istotne zmiany w zakresie zarządzania ryzykiem operacyjnym w zakresie cyber dla podmiotów sektora finansowego. Jedną z takich zmian jest dość szczegółowe uregulowanie kwestii, jakie powinny pojawić się w kontraktach pomiędzy podmiotami finansowymi a outsourcerami.
Jakie wymogi stawiają przepisy DORA kontraktom ICT zawieranym przez podmioty sektora finansowego? W tym artykule opowiemy o tym kilka słów.
Przepisy DORA różnicują podejście do kontraktów na usługi ICT w zależności od tego, jakiego rodzaju funkcje po stronie podmiotu finansowego są przez takie usługi wspierane. Bardziej rygorystyczne podejście wymagane jest bowiem w przypadku usług, które wspierają funkcje krytyczne lub istotne. Ale po kolei.
W każdej umowie dotyczącej usług ICT na rzecz podmiotów sektora finansowego powinny znaleźć się następujące postanowienia:
- jasny opis wszystkich funkcji i usług ICT, które mają być świadczone, ze wskazaniem, czy dozwolone jest podwykonawstwo, a jeśli tak, to jakie warunki mają do niego zastosowanie,
- regiony lub kraje, gdzie mają być świadczone funkcje i usługi ICT oraz gdzie mają być przetwarzane dane, a także wymóg, aby dostawca powiadomił z wyprzedzeniem o ewentualnej zmianie takich miejsc,
- postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych, w tym danych osobowych,
- postanowienia dotyczące zapewnienia dostępu, odzyskiwania i zwrotu w łatwo dostępnym formacie danych osobowych i nieosobowych w przypadku niewypłacalności lub rozwiązania dostawcy usług, zaprzestania przez niego działalności bądź wypowiedzenia umowy,
- opisy gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany,
- obowiązek zapewnienia przez dostawcę usług pomocy podmiotowi finansowemu w przypadku wystąpienia incydentu związanego z ICT dotyczącego usług tego dostawcy, przy czym pomoc taka powinna być nieodpłatna albo podlegać opłatom ustalonym ex ante,
- obowiązek dostawcy usług do pełnej współpracy z regulatorami właściwymi dla podmiotu finansowego,
- prawa do wypowiedzenia umowy i związane z tym minimalne okresy wypowiedzenia, zgodnie z oczekiwaniami właściwych regulatorów,
- warunki uczestnictwa dostawców w opracowanych przez podmioty finansowe programach zwiększania świadomości w zakresie bezpieczeństwa ICT i szkoleniach.
Jeśli usługi ICT świadczone przez zewnętrznego dostawcę takich usług mają wspierać krytyczne lub istotne funkcje podmiotu finansowego, umowy powinny zawierać dodatkowo – oprócz elementów wskazanych powyżej – także:
- pełne opisy gwarantowanych poziomów usług wraz z dokładnymi ilościowymi i jakościowymi celami, aby umożliwić skuteczne monitorowanie usług ICT i bezzwłoczne podjęcie odpowiednich działań naprawczych w przypadku naruszenia warunków SLA,
- obowiązki sprawozdawcze dostawcy wobec podmiotu finansowego, w tym powiadamianie o zmianach, które mogą mieć istotny wpływ na zdolność tego dostawcy do efektywnego świadczenia usług wspierających funkcje krytyczne i istotne,
- wymogi dotyczące wdrożenia i testowania przez dostawcę planów awaryjnych oraz posiadania środków, narzędzi i polityk zapewniających odpowiedni poziom bezpieczeństwa usług świadczonych przez podmiot finansowy,
- obowiązek uczestniczenia przez dostawcę w testach penetracyjnych prowadzonych dla danego podmiotu finansowego i pełnej współpracy w tym zakresie,
- prawo do bieżącego monitorowania działań dostawcy, w tym prawo do przeprowadzania audytów takiego dostawcy i wykonywania kopii dokumentów, z zarówno bezpośrednio przez sam podmiot finansowy lub wyznaczonych przez niego audytorów jak i organy nadzorcze,
- strategie wyjścia (exit plany), włącznie ze wskazaniem obowiązkowych okresów przejściowych, które umożliwią migrację do innego zewnętrznego dostawcy usług ICT lub przeniesienie danego procesu in-house, przy utrzymaniu przez dotychczasowego dostawcę funkcji lub usług ICT celem zmniejszenia ryzyka wystąpienia zakłóceń w funkcjonowaniu podmiotu finansowego.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/20114, (UE) nr 909/2014 oraz (UE) nr 2016/1011
Materiał prasowy: radca prawny Piotr Grzelczak.
fot. Piotr Grzelczak, Kancelaria Prawna GFP_Legal Wrocław
#PrawnikITWrocław #RadcaPrawnyWrocław #KancelariaPrawnaWrocław #RODOPrawnikWrocław #DORA #Cybersecurity #ITLawyerPoland #LawfirmPoland #PolecanyPrawnikWrocław #Polishlawfirm #Polishlawoffice #PolishLawyer #IT #ICT #GFPLegal #KancelariaPrawnaGFPLegal