Jakie kroki należy wykonać, aby dostosować podmiot finansowy do nowych wymogów?
31 października 2024
Od szeregu lat obserwujemy wzrost wykorzystania przez podmioty finansowe różnego rodzaju usług cyfrowych, które są świadczone przez tzw. zewnętrznych dostawców usług informacyjno-komunikacyjnym (ICT). Jest to w znacznym stopniu związane z chęcią instytucji finansowych dostosowania się do oczekiwań klientów, którzy przywykli do korzystania z dobrodziejstw technologii cyfrowych, czy to korzystając z bankowości internetowej, płatności mobilnych, czy różnego rodzaju platform inwestycyjnych. Jednocześnie, technologie cyfrowe pozwalają podmiotom finansowym na uproszczenia procesów realizowanych w danej organizacji oraz redukcję kosztów jej działalności. Z tego względu podmioty finansowe powszechnie korzystają z usług cyfrowych, które m.in. wspierają obszary rozliczeń, back-office, płatności, scoringu, obsługi wierzytelności itp.
Oprócz niezaprzeczalnych korzyści związanych z wykorzystaniem technologii cyfrowych, postępujące uzależnienie od usług świadczonych przez zewnętrzne podmioty z branży technologicznej stanowi coraz bardziej istotne źródło ryzyka dla jakości oraz ciągłości usług świadczonych przez podmioty finansowe, a także dla bezpieczeństwa danych, które są przez nie przetwarzane.
Odpowiedź między innymi na powyższe ryzyko stanowić ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego („Rozporządzenie DORA”), które wprowadza nowe wymogi na rynku finansowym w zakresie zarządzania ryzykiem ICT. Większość instytucji finansowych, które działają w sektorze bankowym, ubezpieczeniowym, czy inwestycyjnym, jest zobowiązana realizować nowe wymogi począwszy od dnia 17 stycznia 2025 r., co obejmuje również dostosowanie w tym terminie warunków obecnie obowiązujących umów zawartych przez podmioty finansowe z zewnętrznymi dostawcami usług ICT.
Rozporządzenie DORA w sposób kompleksowy odnosi się do ryzyka związanego z wykorzystaniem zewnętrznych dostawców usług ICT, regulując cały cykl życia umowy dot. świadczenia usług ICT, począwszy od fazy planowania zakupu, kończąc na rozwiązaniu umowy. Z wyjątkiem najmniejszych instytucji finansowych, podmioty finansowe powinny opracować strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT, która powinna obejmować politykę korzystania z usług wpierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT. Polityka co najmniej raz w roku powinna podlegać przeglądom i w razie potrzeby aktualizacji.
Zapraszamy do lektury artykułu adw. Tomasza Kamińskiego oraz Daniela Niwińskiego, eksperta ds. cyberbezpieczeństwa w KRWLEGAL, opublikowanego dzisiaj w poradniku merytorycznym gazety Rzeczpospolita, w którym autorzy zwracają uwagę na najważniejsze kwestie związane z zarządzaniem ryzykiem ze strony zewnętrznych dostawców usług ICT zgodnie z wymogami rozporządzenia DORA.
Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowego, dyrektywy NIS 2, rozporządzenia DORA, doradztwa w zakresie cyberbezpieczeństwa.
Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
Po co jest sądowa kontrola decyzji KNF?
5 listopada 2024
Webinar - Wdrożenie DORA: najczęstsze błędy i sprawdzone rozwiązania z audytów – już za nami!
4 listopada 2024
Krzysztof Rożko i Wspólnicy Kancelaria Prawna wyróżniona w rankingu IFLR 1000 2024!
28 października 2024
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP