KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Zewnętrzny dostawca usług ICT również musi spełniać wymagania DORA

W jaki sposób zewnętrzni dostawcy usług ICT powinni współpracować z podmiotami finansowymi w celu realizacji obowiązków określonych przepisami rozporządzenia DORA?

8 kwietnia 2025

Dynamiczny rozwój nowych technologii oraz rosnąca liczba cyberzagrożeń sprawiły, że unijne instytucje finansowe stanęły przed ważnym wyzwaniem zapewnienia cyberbezpieczeństwa usług finansowych. Od 17 stycznia 2025 r. obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. (rozporządzenie DORA), które nakłada na sektor finansowy oraz jego zewnętrznych dostawców usług ICT (Information and Communications Technology) obowiązek spełnienia rygorystycznych wymagań dotyczących zarządzania ryzykiem związanym z ICT oraz zapewnienia operacyjnej odporności cyfrowej. Co to oznacza dla zewnętrznych dostawców usług ICT?

W dzisiejszym wydaniu poradnika merytorycznego Bezpieczna Firma gazety Rzeczpospolita wskazujemy najważniejsze zagadnienia dotyczące współpracy zewnętrznych dostawców usług ICT z podmiotami finansowymi w świetle przepisów rozporządzenia DORA.

Kogo dotyczą obowiązki

Rozporządzenie DORA wprowadza obowiązki dotyczące zarządzania ryzykiem ICT i odporności cyfrowej zarówno dla instytucji finansowych, jak i ich zewnętrznych dostawców usług ICT. Szczególne wymagania nakładane są na kluczowych dostawców ICT, wyznaczanych przez organy nadzoru na podstawie ich wpływu na rynek finansowy. Muszą oni spełniać bezpośrednie obowiązki w zakresie monitorowania, raportowania incydentów oraz testowania odporności operacyjnej. Choć dostawcy niewyznaczeni jako kluczowi nie są bezpośrednio objęci regulacjami DORA, w praktyce również muszą dostosować swoje działania, by umożliwić instytucjom finansowym realizację nowych wymogów.

Co jest usługą ICT

Rozporządzenie DORA definiuje usługi ICT jako cyfrowe usługi i usługi danych świadczone w sposób ciągły przy użyciu systemów ICT. To podmiot finansowy decyduje, czy dana usługa jest usługą ICT, i klasyfikuje jej dostawcę jako zewnętrznego dostawcę usług ICT. Usługi te obejmują 19 typów określonych w aktach wykonawczych do DORA. W praktyce świadczenie usług ICT często wiąże się ze złożonym łańcuchem podwykonawców, dlatego istotne jest, by dostawcy dokładnie analizowali swoje zasoby i funkcje ICT. DORA wprowadza liczne obowiązki dla instytucji finansowych, które przekładają się na wymagania wobec ich dostawców usług ICT — ci muszą być gotowi wspierać klientów w spełnianiu nowych regulacji.

Najważniejsze wymagania

Rozporządzenie DORA wprowadza szereg wymagań dla zewnętrznych dostawców usług ICT współpracujących z instytucjami finansowymi. Wśród kluczowych obowiązków znajduje się konieczność przejścia badania due diligence, gotowość do kontroli i audytów, a także zapewnienie zgodności ze standardami bezpieczeństwa informacji. Dostawcy muszą umożliwić wypowiedzenie umowy w określonych sytuacjach, zapewnić ciągłość działania instytucji finansowej oraz jasno określić poziomy świadczonych usług. Dodatkowo, wymagane jest zarządzanie łańcuchem podwykonawców i udział w testach bezpieczeństwa, gdy będzie to konieczne.

Analiza ryzyka i implementacja standardów

Rozporządzenie DORA stawia przed zewnętrznymi dostawcami usług ICT wysokie wymagania w zakresie zarządzania ryzykiem i cyberbezpieczeństwem. Dostawcy muszą ocenić zgodność swoich procedur z regulacjami, wdrożyć mechanizmy wykrywania i reagowania na incydenty ICT oraz aktywnie współpracować z instytucjami finansowymi w zakresie zarządzania zagrożeniami. W spełnieniu tych obowiązków pomocne są uznane standardy, takie jak NIST czy ISO 27001, które mogą stanowić dowód zgodności z wymogami DORA i w niektórych przypadkach zastąpić audyty. Celem regulacji jest zwiększenie operacyjnej odporności cyfrowej sektora finansowego w UE i poprawa jakości świadczonych usług.

Zapraszamy do lektury artykułu r.pr. Tomasza Kamińskiego, Wspólnika w Krzysztof Rożko i Wspólnicy Kancelarii Prawnej oraz eksperta ds. cyberbezpieczeństwa Daniela Niwińskiego, opublikowanego dziś w poradniku merytorycznym Bezpieczna Firma gazety Rzeczpospolita, w którym autorzy opisują najważniejsze obowiązki wynikające z rozporządzenia DORA z perspektywy zewnętrznych dostawców usług ICT.

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie Rozporządzenia DORA, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

Załączniki do pobrania

KNF wzywa do przekazania pełnego rejestru informacji DORA

9 kwietnia 2025

Komisja Nadzoru Finansowego przekazała dziś do uczestników rynku finansowego wezwanie do przekazania pełnego rejestru informacji dot. ustaleń umownych na gruncie DORA.

Ochrona wierzyciela przed rozporządzeniami upadłego dłużnika

8 kwietnia 2025

Dłużnik rozporządzający swoim majątkiem w obliczu niewypłacalności powinien mieć na uwadze przyszłe konsekwencje swoich działań.

Coraz mniej czasu, aby skorzystać z okresu przejściowego na gruncie ustawy o NPL

31 marca 2025

Z dniem 19 lutego 2025 r. weszła w życie większość przepisów ustawy z dnia 20 grudnia 2024 r. o podmiotach obsługujących kredyty i nabywcach kredytów (tzw. ustawa NPL, ang. Non-Performing Loans), wprowadzającej nowy wymóg posiadania zezwolenia na prowadzenie działalności polegającej na obsłudze kredytów.

Sankcja kredytu darmowego – automatyzm niewskazany

28 marca 2025

Do sądów wpływa coraz więcej spraw, których istotą jest uzyskanie tzw. sankcji kredytu darmowego (SKD) – czy roszczenia kredytobiorców są uzasadnione?

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.