DORA Update: Kluczowi dostawcy usług ICT, podwykonawcy, testy TLPT

Do 30 kwietnia 2025 r. krajowe organy nadzorcze zbierały informacje z wypełnionych przez podmioty finansowe rejestrów informacji o umowach ICT, w tym o zewnętrznych dostawcach usług ICT, które następnie zostały przekazane do europejskich organów nadzorczych. W oparciu o tak zgromadzone dane, za pośrednictwem Wspólnego Komitetu zostaną wyznaczeni kluczowi zewnętrzni dostawcy usług ICT, którzy mają dla podmiotów finansowych istotne znaczenie. Całość prac nadzoruje Europejski Urząd Nadzoru (EUN).

Wyznaczenie ww. podmiotów oparte jest na kryteriach określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego (rozporządzenie DORA) a także rozporządzeniu delegowanym Komisji 2024/1502. Kryteria obejmują:

• wpływ zewnętrznych dostawców usług ICT na stabilność, ciągłość lub jakość świadczenia usług finansowych;
• systemowy charakter i systemowe znaczenie usług ICT świadczonych na rzecz podmiotów finansowych;
• krytyczność lub istotność funkcji;
• stopień substytucyjności usługi.

Zgodnie z przyjętym harmonogramem, do końca lipca EUN powiadomi dostawców, którzy zostali zidentyfikowani jako kluczowi zewnętrzni dostawcy usług ICT. Następnie w terminie 6 tygodni od daty powiadomienia zewnętrzny dostawca usług ICT ma prawo przedstawić swoją argumentację poświadczającą, że nie spełnia kryteriów dla kluczowego dostawcy. Takie oświadczenie zostanie przeanalizowane i może zostać uwzględnione przez EUN. W dalszej kolejności zostanie sporządzona lista kluczowych zewnętrznych dostawców usług ICT, a wyznaczone podmioty będą zobowiązane do przestrzegania wymogów określonych w rozporządzeniu DORA. Po wyznaczeniu, zewnętrzny dostawca będzie miał obowiązek powiadomienia podmiotów finansowych, dla których świadczy usługi ICT, o jego wyznaczeniu.

Podmioty, które nie mogą podlegać wyznaczeniu jako kluczowi zewnętrzni dostawcy usług ICT to m.in. podmioty finansowe, które świadczą usługi ICT na rzecz innych podmiotów finansowych, dostawcy usług ICT wewnątrz grupy, czy też dostawcy operujący jedynie w jednym państwie członkowskim dla podmiotów finansowych działających tylko w jego obrębie.

Ci dostawcy, którzy znajdą się na liście kluczowych zewnętrznych dostawców usług ICT będą podlegać bezpośrednio nadzorowi wiodącego organu nadzorczego. Kluczowy zewnętrzny dostawca usług ICT będzie zobowiązany m.in. do:

przekazywania stosownych informacji i dokumentów na wniosek lub w odpowiedzi na wydaną decyzję;

• podlegania dochodzeniom i kontrolom prowadzonym przez wiodący organ nadzorczy
• stosowania się do wydawanych zaleceń
• odstąpienia od zawarcia umowy dalszego podwykonawstwa, w określonych przypadkach
• ponoszenia opłat nadzorczych.

Ponadto, należy wskazać, że w określonych przypadkach, jako środek ostateczny właściwe organy mogą podjąć decyzję nakazującą podmiotom finansowym tymczasowe zawieszenie korzystania z usługi świadczonej przez kluczowego zewnętrznego dostawcę usług ICT lub jej wypowiedzenie.

RTS oraz wytyczne EBA dotyczące podwykonawców

22 lipca 2025 r. wejdą w życie Regulacyjne Standardy Techniczne (RTS), dotyczące podwykonawców.

Wiele podmiotów finansowych wynegocjowało i zawarło już aneksy dotyczące DORA, w których postanowienia dot. podwykonawców zostały sformułowane na podstawie ostatecznej wersji roboczej RTS. Wobec tego warto przyjrzeć się różnicom tych dwóch wersji.

Co ulega zmianie?

Kluczową zmianą jest usunięcie art. 5, który dotychczas zobowiązywał podmiot finansowy do:

• identyfikowania pełnego łańcucha podwykonawców i bieżącego aktualizowania informacji w tym zakresie,
• przeprowadzania oceny jak długi i złożony jest łańcuch podwykonawców oraz czy ma to wpływ na zdolność do monitorowania przez podmiot finansowy,
• zawarcia w umowie uprawnienia dla podmiotu finansowego do uzyskiwania umowy pomiędzy dostawcą usług ICT a jego podwykonawcą.

Jakie obowiązki pozostają?

Pomimo usunięcia art. 5, podmioty finansowe nadal muszą:

• zawierać umowy wyłącznie z zewnętrznymi dostawcami usług ICT, którzy są w stanie wskazać wszystkich podwykonawców, którzy świadczą usługi ICT wspierające krytyczne lub istotne funkcje,
• uzyskiwać informacje dotyczące danych podwykonawców w celu rzetelnego uzupełniania rejestru informacji, które są raportowane do właściwych organów nadzoru,
• zapewnić zawarcie w umowie z dostawcą obowiązku uwzględnienia w umowie pomiędzy dostawcą usług ICT a jego podwykonawcami obowiązków w zakresie monitorowania i sprawozdawczości, w niektórych przypadkach, także wobec samego podmiotu finansowego.

Przyjęcie RTS dotyczących TLPT

8 lipca 2025 r. weszło w życie także rozporządzenie delegowane 2025/1190 dotyczące przeprowadzania testów odporności cyfrowej typu TLPT. Rozporządzenie określa kryteria podmiotów finansowych, które mogą zostać zobowiązane przez krajowy organ ds. TLPT do przeprowadzenia TLPT, m.in. wskazując kryteria ilościowe instytucji kredytowych czy zakładów ubezpieczeń. 

Na podstawie rozporządzenia organy odpowiedzialne za kwestie związane z TLPT mogą także zwolnić niektóre podmioty finansowe z obowiązku przeprowadzania testów TLPT (pomimo tego, że spełnia on kryteria ilościowe) z uwagi na ocenę profilu ryzyka związanego z ICT i zaawansowania pod względem ICT, wpływu na sektor finansowy i związanych z tym kwestii dotyczących stabilności finansowej określonego podmiotu finansowego.

Omawiane rozporządzenie uzupełnia rozporządzenie DORA m.in. w zakresie kryteriów wyboru obszarów testowych, wymogów dotyczących zespołów testujących oraz raportowania wyników. Metodyka przeprowadzania testów, określona w ww. rozporządzeniu została opracowana zgodnie z ramami TIBER-EU i odzwierciedla opisaną tam podejście, proces oraz strukturę testów. Warto zwrócić tutaj uwagę, że sam framework TIBER-EU także w lutym 2025 r. został dostosowany w celu zapewnienia pełnej harmonizacji z rozporządzeniem DORA.

W testach głównymi uczestnikami powinni być podmiot finansowy wraz z zespołem typu control team, zespołem typu blue team, organem ds. TLPT, w postaci zespołu typu TLPT cyber team, a także dostawca analizy zagrożeń i testerów. W przypadku objęcia zakresem testów TLPT usług świadczonych przez zewnętrznego dostawcę usług ICT, także on będzie zobligowany do uczestnictwa w ramach TLPT danego podmiotu finansowego lub grupy podmiotów (testowanie zbiorcze). Co istotne, organ ds. TLPT będzie zobowiązany śledzić testowanie na każdym z jego etapów, w szczególności w zakresie zatwierdzenia podstawowych dokumentów dotyczących testów czy wyboru dostawców analizy zagrożeń i testerów oraz środków zarządzania ryzykiem.

Rozporządzenie szczegółowo opisuje takie etapy jak wybór dostawcy TLPT, etap przygotowawczy, etap testowania (analiza zagrożeń, testy z udziałem zespołu red team), etap zamykania, a także plan naprawczy.

Ponadto, w rozporządzeniu podkreślana jest istotność poufności TLPT. Ze względu na konieczność zapewnienia realistycznych warunków testowania, testy powinny być niejawne, a podmioty finansowe zobowiązane do przeprowadzenia testów powinny wprowadzać środki ostrożności, które zapewnią poufność (co pozostaje szczególnie istotnym aspektem dla dostawców biorących udział w takich zaawansowanych testach).