KRWLEGAL rekomendowana w rankingach IFLR1000 2024 · Rzeczpospolita 2024 · The Legal 500

Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT zgodnie z wymogami rozporządzenia DORA

Jakie kroki należy wykonać, aby dostosować podmiot finansowy do nowych wymogów?

31 października 2024

Od szeregu lat obserwujemy wzrost wykorzystania przez podmioty finansowe różnego rodzaju usług cyfrowych, które są świadczone przez tzw. zewnętrznych dostawców usług informacyjno-komunikacyjnym (ICT). Jest to w znacznym stopniu związane z chęcią instytucji finansowych dostosowania się do oczekiwań klientów, którzy przywykli do korzystania z dobrodziejstw technologii cyfrowych, czy to korzystając z bankowości internetowej, płatności mobilnych, czy różnego rodzaju platform inwestycyjnych. Jednocześnie, technologie cyfrowe pozwalają podmiotom finansowym na uproszczenia procesów realizowanych w danej organizacji oraz redukcję kosztów jej działalności. Z tego względu podmioty finansowe powszechnie korzystają z usług cyfrowych, które m.in. wspierają obszary rozliczeń, back-office, płatności, scoringu, obsługi wierzytelności itp.

Oprócz niezaprzeczalnych korzyści związanych z wykorzystaniem technologii cyfrowych, postępujące uzależnienie od usług świadczonych przez zewnętrzne podmioty z branży technologicznej stanowi coraz bardziej istotne źródło ryzyka dla jakości oraz ciągłości usług świadczonych przez podmioty finansowe, a także dla bezpieczeństwa danych, które są przez nie przetwarzane.

Odpowiedź między innymi na powyższe ryzyko stanowić ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego („Rozporządzenie DORA”), które wprowadza nowe wymogi na rynku finansowym w zakresie zarządzania ryzykiem ICT. Większość instytucji finansowych, które działają w sektorze bankowym, ubezpieczeniowym, czy inwestycyjnym, jest zobowiązana realizować nowe wymogi począwszy od dnia 17 stycznia 2025 r., co obejmuje również dostosowanie w tym terminie warunków obecnie obowiązujących umów zawartych przez podmioty finansowe z zewnętrznymi dostawcami usług ICT.

Rozporządzenie DORA w sposób kompleksowy odnosi się do ryzyka związanego z wykorzystaniem zewnętrznych dostawców usług ICT, regulując cały cykl życia umowy dot. świadczenia usług ICT, począwszy od fazy planowania zakupu, kończąc na rozwiązaniu umowy. Z wyjątkiem najmniejszych instytucji finansowych, podmioty finansowe powinny opracować strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT, która powinna obejmować politykę korzystania z usług wpierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT. Polityka co najmniej raz w roku powinna podlegać przeglądom i w razie potrzeby aktualizacji.

Zapraszamy do lektury artykułu adw. Tomasza Kamińskiego oraz Daniela Niwińskiego, eksperta ds. cyberbezpieczeństwa w KRWLEGAL, opublikowanego dzisiaj w poradniku merytorycznym gazety Rzeczpospolita, w którym autorzy zwracają uwagę na najważniejsze kwestie związane z zarządzaniem ryzykiem ze strony zewnętrznych dostawców usług ICT zgodnie z wymogami rozporządzenia DORA.

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowegodyrektywy NIS 2rozporządzenia DORAdoradztwa w zakresie cyberbezpieczeństwa.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

  • Kontakt

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn