Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT zgodnie z wymogami rozporządzenia DORA

Od szeregu lat obserwujemy wzrost wykorzystania przez podmioty finansowe różnego rodzaju usług cyfrowych, które są świadczone przez tzw. zewnętrznych dostawców usług informacyjno-komunikacyjnym (ICT). Jest to w znacznym stopniu związane z chęcią instytucji finansowych dostosowania się do oczekiwań klientów, którzy przywykli do korzystania z dobrodziejstw technologii cyfrowych, czy to korzystając z bankowości internetowej, płatności mobilnych, czy różnego rodzaju platform inwestycyjnych. Jednocześnie, technologie cyfrowe pozwalają podmiotom finansowym na uproszczenia procesów realizowanych w danej organizacji oraz redukcję kosztów jej działalności. Z tego względu podmioty finansowe powszechnie korzystają z usług cyfrowych, które m.in. wspierają obszary rozliczeń, back-office, płatności, scoringu, obsługi wierzytelności itp.

Oprócz niezaprzeczalnych korzyści związanych z wykorzystaniem technologii cyfrowych, postępujące uzależnienie od usług świadczonych przez zewnętrzne podmioty z branży technologicznej stanowi coraz bardziej istotne źródło ryzyka dla jakości oraz ciągłości usług świadczonych przez podmioty finansowe, a także dla bezpieczeństwa danych, które są przez nie przetwarzane.

Odpowiedź między innymi na powyższe ryzyko stanowić ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego („Rozporządzenie DORA”), które wprowadza nowe wymogi na rynku finansowym w zakresie zarządzania ryzykiem ICT. Większość instytucji finansowych, które działają w sektorze bankowym, ubezpieczeniowym, czy inwestycyjnym, jest zobowiązana realizować nowe wymogi począwszy od dnia 17 stycznia 2025 r., co obejmuje również dostosowanie w tym terminie warunków obecnie obowiązujących umów zawartych przez podmioty finansowe z zewnętrznymi dostawcami usług ICT.

Rozporządzenie DORA w sposób kompleksowy odnosi się do ryzyka związanego z wykorzystaniem zewnętrznych dostawców usług ICT, regulując cały cykl życia umowy dot. świadczenia usług ICT, począwszy od fazy planowania zakupu, kończąc na rozwiązaniu umowy. Z wyjątkiem najmniejszych instytucji finansowych, podmioty finansowe powinny opracować strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT, która powinna obejmować politykę korzystania z usług wpierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT. Polityka co najmniej raz w roku powinna podlegać przeglądom i w razie potrzeby aktualizacji.

Zapraszamy do lektury artykułu adw. Tomasza Kamińskiego oraz Daniela Niwińskiego, eksperta ds. cyberbezpieczeństwa w KRWLEGAL, opublikowanego dzisiaj w poradniku merytorycznym gazety Rzeczpospolita, w którym autorzy zwracają uwagę na najważniejsze kwestie związane z zarządzaniem ryzykiem ze strony zewnętrznych dostawców usług ICT zgodnie z wymogami rozporządzenia DORA.

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowego, dyrektywy NIS 2, rozporządzenia DORA, doradztwa w zakresie cyberbezpieczeństwa.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.