Jakie zmiany wprowadza rozporządzenie DORA?
Rozporządzenie DORA ustala jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym oraz dostawców kluczowych usług ICT, którzy świadczą usługi ICT (ang. Information and Communication Technologies) dla sektora finansowego.
Celem rozporządzenia DORA jest zapewnienie zharmonizowanych i wysokich standardów ICT w sektorze finansowym.
Jedną z najważniejszych zmian, jaką niesie za sobą DORA, jest objęcie nadzorem finansowym także dostawców kluczowych usług ICT. Dotychczasowe regulacje ICT sektora finansowego skierowane były wyłącznie do podmiotów finansowych. Praktyka nadzorcza i rynkowa pokazała jednak, że brak bezpośredniego nadzoru nad dostawcami ICT nie pozwala na efektywne zapewnienie cyberbezpieczeństwa w sektorze finansowym.
DORA przewiduje daleko idące obowiązki po stronie wyznaczonych dostawców kluczowych usług ICT. Ponadto rozporządzenie DORA określa rozbudowane kompetencje nadzorcze, które będą realizowane głównie przez Wiodący Organ Nadzorczy.
W artykule skupimy się na przedstawieniu następujących zagadnień:
- wyznaczenie dostawcy kluczowych usług ICT,
- termin rozpoczęcia wyznaczania dostawców kluczowych usług ICT,
- kryteria decydujące o wyznaczeniu dostawców kluczowych usług ICT,
- wyłączenia od wyznaczenia dostawców kluczowych usług ICT,
- ogólne wymagania umowne wobec dostawców usług ICT,
- uprawnienia Wiodącego Organu Nadzorczy
- kary finansowe – wysokości i przesłanki nałożenia,
- opłaty nadzorcze.
Rozporządzenie DORA: wyznaczenie dostawcy kluczowych usług ICT
Dostawca ICT będzie objęty bezpośrednim nadzorem finansowym w przypadku wyznaczenia go na dostawcę kluczowych usług ICT.
Dostawca kluczowych usług ICT będzie wyznaczany przez Europejskie Urzędy Nadzoru (EBA, ESMA oraz EIOPA), za pośrednictwem Wspólnego Komitetu i na podstawie zalecenia Forum Nadzoru. Ponadto w rozporządzeniu przewidziano, że dostawca ICT będzie mieć możliwość samodzielnego zawnioskowania o wyznaczenie go na krytycznego dostawcę ICT.
Okiem eksperta EY Law
Z inicjatywy organów UE – w tym nowo powstałego Wspólnego Komitetu – i na podstawie zalecenia Forum Nadzoru dostawca ICT zostanie wyznaczony na kluczowego i tym samym objęty bezpośrednim nadzorem finansowym. Warto zauważyć, że także dostawca ICT będzie uprawniony do samodzielnego zawnioskowania o wyznaczenie go na dostawcę kluczowych usług ICT.
Przyznanie samodzielnej inicjatywy dostawcy jest rozwiązaniem trafnym. Spowoduje to przyspieszenie procedury wyznaczenia oraz umożliwienie dostawcom pełniejszego przygotowania się do procedury wyznaczenia.
Ponadto można przyjąć, że wyznaczenie dostawcy ICT będzie stanowiło dla potencjalnych klientów potwierdzenie jakości świadczonych usług, co na pewno pozytywnie wpłynie na pozycję konkurencyjną firmy ICT.
Dlatego dostawcy ICT, jeżeli myślą o skalowalności swoich usług i utrzymaniu/poprawieniu swojej pozycji rynkowej, powinni jak najszybciej przygotować się do procedury wyznaczenia.
W naszej ocenie wyjątki od wyłączenia danego dostawcy ICT nie powinny dotyczyć sytuacji, w której sam dostawca występuje z wnioskiem o wyznaczenie, np. kiedy planuje świadczenie usług także w innym państwie UE.
Naszym zdaniem procedura wyznaczenia powinna odwoływać się do konkretnej usługi/ grupy usług ICT, a nie samego dostawcy. Taki wniosek można wysnuć np. na podstawie opisu kryteriów dotyczących wyznaczenia dostawcy.
Termin rozpoczęcia wyznaczania dostawców kluczowych usług ICT
Procedura wyznaczenia dostawcy kluczowych usług ICT rozpocznie się wraz z wydaniem aktu delegowanego Komisji, czyli planowo w ciągu 18 miesięcy od dnia wejścia w życie rozporządzenia DORA, tj. od 16 stycznia 2023 r. Dodatkowo akt delegowany Komisji może precyzować kryteria wyznaczenia dostawcy kluczowych usług ICT.
Warto zaznaczyć, że DORA przewiduje wydanie RTS (ang. Regulatory Technical Standards) w terminie 18 miesięcy od 16 stycznia 2023 r. RTS wpłyną na obowiązki wyznaczonych dostawców ICT, m.in. RTS w sprawie informacji, które wyznaczony dostawca ma obowiązek przekazywać Wiodącemu Organowi Nadzoru. Podkreślić należy, że planowane wydanie RTS nie wpływa na termin rozpoczęcia procedury wyznaczania.
Kryteria decydujące o wyznaczeniu dostawców kluczowych usług ICT
Nie każdy dostawca będzie adresatem bezpośrednich obowiązków nadzoru finansowego. DORA przewiduje rozbudowany katalog kryteriów, które będą decydowały o wyznaczeniu dostawcy kluczowych usług ICT. Zgodnie z rozporządzeniem DORA są to:
- systemowy wpływ na stabilność, ciągłość lub jakość świadczenia usług finansowych w przypadku awarii operacyjnej na dużą skalę;
- systemowe znaczenie lub charakter podmiotów finansowych, które korzystają z usług danego dostawcy ICT; rozporządzenie DORA wskazuje na następujące czynniki, które mają pozwolić na ocenę systemowego wpływu dostawcy ICT:
- liczba globalnych instytucji o znaczeniu systemowym (G-SII) lub innych instytucji o znaczeniu systemowym (O-SII), które korzystają z usług danego dostawcy usług ICT;
- współzależności między globalnymi instytucjami o znaczeniu systemowym lub innymi instytucjami o znaczeniu systemowym;
- uzależnienie świadczenia krytycznych lub ważnych funkcji podmiotów finansowych od usług danego dostawcy ICT; co ważne – kryterium to jest brane pod uwagę niezależnie od tego, czy te usługi są świadczone bezpośrednio lub pośrednio, w ramach podwykonawstwa; - stopień zastępowalności dostawcy usług ICT, z uwzględnieniem następujących parametrów:
- brak rzeczywistych alternatyw, nawet częściowych; brak alternatyw może wynikać z: ograniczonej liczby dostawców ICT działających na określonym rynku, technicznej złożoności lub zaawansowania zastrzeżonej technologii, oraz dodatkowo szczególnych cech organizacji lub działalności dostawcy usług ICT;
- trudności z migracją danych do innego dostawcy usług ICT ze względu na znaczne koszty finansowe, czas lub inne zasoby, co może wiązać się ze zwiększonym ryzykiem ICT lub innym ryzykiem operacyjnym podmiotu finansowego.
Okiem eksperta EY Law
Rozporządzenie DORA, pomimo obszernego opisu kryteriów wyznaczenia dostawcy kluczowych usług ICT, posługuje się sfomułowaniami, które potencjalnie można szeroko interpretować. Z tego względu już teraz warto zadbać o prawidłowe i precyzyjne udokumentowanie zagadnień, które będą podlegać ocenie.
Dotyczy to zarówno sytuacji, w której dostawca ICT będzie starał się wykazać brak spełnienia tych wymogów, jak i sytuacji, w której dostawca będzie zainteresowany objęciem go bezpośrednim nadzorem finansowym.
W przypadku gdy dostawca usług ICT należy do grupy kapitałowej, wskazane powyżej kryteria uwzględnia się w odniesieniu do usług ICT świadczonych przez grupę jako całość.
W zakresie zapewnienia migracji danych warto wspomnieć o projektowanym rozporządzeniu Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (tzw. akt w sprawie danych). Celem tej regulacji jest m.in. stworzenie warunków technicznych i kontraktowych dotyczących zmiany dostawców usług w zakresie przetwarzania danych.
Make IT clear
Przeprowadzimy Cię przez Europejską Dekadę Cyfrową, wskażemy ryzyka towarzyszące Twojej działalności, trendy, za którymi powinieneś podążać oraz rozwiązania, które powinieneś wdrożyć, by być w zgodzie i na bieżąco z prawem technologii.
Wyłączenia od wyznaczenia dostawcy kluczowych usług ICT
DORA przewiduje, że pewna grupa dostawców ICT zostanie automatycznie wyłączona z procedury wyznaczenia na dostawcę kluczowych usług ICT. Wyznaczenie ma charakter podmiotowy, zatem oferowanie i świadczenie usług spełniające kryteria wyznaczenia dostawcy kluczowych usług ICT nie powinny rzutować na wyłączenie.
Zgodnie z rozporządzeniem DORA wyznaczeniu na dostawcę kluczowych usług ICT nie podlegają:
- podmioty finansowe świadczące usługi ICT na rzecz innych podmiotów finansowych;
- zewnętrzni dostawcy usług ICT, którzy podlegają ustanowionym ramom nadzoru do celów wspierania zadań, o których mowa w art. 127 ust. 2 Traktatu w sprawie Funkcjonowania Unii Europejskiej;
- wewnątrzgrupowi dostawcy usług ICT;
- zewnętrzni dostawy usług ICT świadczący usługi wyłącznie w jednym państwie członkowskim dla podmiotów finansowych, które działają tylko w tym państwie.
Okiem eksperta EY Law
W naszej ocenie zasadne jest, aby podmioty finansowe oraz dostawcy wewnątrzgrupowi ICT mogli opierać swoje usługi także na usługach innych dostawców ICT. Takie rozwiązanie odzwierciedlałoby praktykę, w której dedykowany podmiot w grupie kapitałowej dostarczałby usługi IT (także te dostarczane przez zewnętrznych dostawców IT) i odpowiadał za ich zarządzanie.
Warto zaznaczyć, że świadczenie usług ICT, które:
- wspierają krytyczne lub ważne funkcje oraz
- są świadczone za pośrednictwem np. wewnątrzgrupowych dostawców usług ICT,
powoduje, iż dostawca ICT niebędący dostawcą wewnątrzgrupowym nie będzie mógł skorzystać z wyłączenia od wyznaczenia.
Rozporządzenie DORA: ogólne wymagania umowne wobec dostawców usług ICT
DORA przewiduje nadzór finansowy nad wyznaczonymi dostawcami ICT. W rezultacie dostawcy ICT będą musieli wziąć pod uwagę obowiązki w zakresie wymagań umownych opisane w tym rozporządzeniu.
Minimalne wymagania umowne wskazane w rozporządzeniu DORA zasadniczo nie odbiegają od dotychczasowych standardowych wymagań umów IT poza:
- obowiązkiem dostawcy ICT udzielenia pomocy w przypadku incydentu związanego z ICT bez dodatkowych kosztów lub ich ustalenia z góry;
- określeniem warunku udziału zewnętrznych dostawców ICT w programach szkoleniowych w zakresie bezpieczeństwa ICT.
W zakresie umów dotyczących krytycznych i ważnych funkcji DORA nakłada dodatkowe obowiązki, w szczególności:
- zobowiązanie zewnętrznego dostawcy ICT do uczestnictwa i pełnej współpracy w teście penetracyjnym podmiotu finansowego;
- ustanowienie obowiązkowego odpowiedniego okresu przejściowego na czas przeniesienia usługi do innego wykonawcy lub do własnej infrastruktury podmiotu finansowego;
- zapewnienie nieograniczonego prawa dostępu, kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią, lub przez właściwy organ.
Okiem eksperta EY Law
Wskazane w rozporządzeniu DORA obowiązki umowne są skierowane bezpośrednio do podmiotów finansowych. Można się jednak spodziewać, że wymogi te staną się powszechne wśród dostawców ICT (nie tylko tych wyznaczonych na krytycznych) z uwagi na:
- możliwości objęcia bezpośrednią kontrolą dostawców ICT przez organy nadzoru finansowego (poprzez wyznaczenie danego dostawcy na dostawcę kluczowych usług ICT);
- ograniczony krąg dostawców ICT, zwłaszcza w zakresie usług chmurowych, którzy zostaną wyznaczeni na krytycznych.
Może to spowodować, że dostawcy niewyznaczeni na krytycznych prawdopodobnie będą dostosowywali się do standardów rynkowych wynikających z rozporządzenia DORA.
DORA przewiduje, że podmioty finansowe mogą zawierać ustalenia umowne wyłącznie z zewnętrznymi dostawcami usług ICT, którzy przestrzegają wysokich, odpowiednich i najnowszych standardów w zakresie bezpieczeństwa informacji.
W naszej ocenie zapewnienie prawa audytu instytucji finansowej może być do pewnego stopnia zastąpione odpowiednio przygotowaną, udokumentowaną oraz aktualizowaną certyfikacją.
Warto zaznaczyć, że DORA przewiduje w trakcie 18 miesięcy od 16 stycznia 2023 r. wydanie RTS w zakresie kluczowych postanowień umownych dotyczących funkcji podwykonawstwa, które wspierają kluczowe i istotne funkcje w instytucji finansowej. Komisja Europejska przewiduje przyjęcie standardowych klauzul umownych w zakresie umów chmurowych.
Uprawnienia Wiodącego Organu Nadzorczego
Europejskie Urzędy Nadzoru wyznaczą Wiodący Organ Nadzoru na nadzorcę wiodącego dla każdego kluczowego zewnętrznego dostawcy
- nadzór nad wyznaczonymi dostawcami kluczowych usług ICT (Wiodący Organ Nadzoru będzie głównym punktem kontaktowym dla podlegających mu kluczowych zewnętrznych dostawców usług ICT);
- ocena, czy zewnętrzny dostawca usług teleinformatycznych o kluczowym znaczeniu posiada kompleksowe, solidne i skuteczne zasady, procedury, mechanizmy i ustalenia dotyczące zarządzania ryzykiem ICT; ocena będzie koncentrować się głównie na usługach ICT świadczonych przez dostawcę ICT oraz, jeżeli to konieczne, innych istotnych zagrożeniach.
Ocena dostawcy ICT będzie obejmowała m.in.:
- bezpieczeństwo, dostępność, ciągłość, skalowalność i jakość usług;
- bezpieczeństwo fizyczne;
- procesy zarządzania ryzykiem;
- ustalenia dotyczące zarządzania;
- identyfikację, monitoring i szybkość zgłaszania poważnych incydentów ICT;
- mechanizmy przenoszenia danych, aplikacji i interoperacyjności;
- testowanie ICT;
- audyty ICT;
- stosowanie odpowiednich norm krajowych i międzynarodowych mających zastosowanie do usług ICT świadczonych na rzecz podmiotów finansowych.
Uprawnienia Wiodącego Organu Nadzorczego:
- żądanie wszelkich istotnych informacji i dokumentacji;
- prowadzenie ogólnych dochodzeń i inspekcji;
- żądanie raportów po zakończeniu działań nadzorczych;
- wydawanie zaleceń odnoszących się w szczególności do
- stosowania szczególnych wymogów lub procesów z zakresu bezpieczeństwa i jakości ICT;
- korzystania z odpowiednich zasad, które wiodący organ uważa za istotne dla zapobieżenia awarii;
- podwykonawstwa, w tym umów podoutsourcingu zawieranych przez kluczowych dostawców ICT;
- warunków odstąpienia od zawarcia umowy dalszego podwykonawstwa.
Wiodący organ będzie uprawniony do nakładania kar pieniężnych w celu nakłonienia dostawcy kluczowych usług ICT do zachowania zgodnie z przepisami.
Kary finansowe – wysokości i przesłanki nałożenia
Wiodący Organ Nadzorczy wydaje decyzję nakładającą okresową karę pieniężną w przypadku całkowitego lub częściowego niezastosowania się przez kluczowego zewnętrznego dostawcę usług ICT do środków, które należy podjąć:
- w związku z wykonywaniem uprawnień organu nadzorczego (tj. żądania wszelkich istotnych informacji i dokumentacji, prowadzenia ogólnych dochodzeń i inspekcji, żądania raportów po zakończeniu działań nadzorczych) oraz
- po upływie co najmniej 30 dni kalendarzowych od dnia, w którym kluczowy zewnętrzny dostawca usług ICT otrzymał powiadomienie o odpowiednich środkach.
Karę pieniężną nakłada się codziennie do czasu osiągnięcia zgodności i nie dłużej niż przez 6 miesięcy od dnia zawiadomienia o decyzji o nałożeniu okresowej kary pieniężnej.
Wysokość okresowej kary pieniężnej, liczona od dnia określonego w decyzji o nałożeniu okresowej kary pieniężnej, wynosi do 1% średniego dziennego światowego obrotu zewnętrznego dostawcy kluczowych usług ICT w poprzednim roku obrotowym.
Przy ustalaniu wysokości kary pieniężnej Wiodący Organ Nadzorczy bierze pod uwagę następujące kryteria:
- wagę i czas trwania niezgodności;
- czy niezgodność została popełniona umyślnie, czy w wyniku zaniedbania;
- poziom współpracy zewnętrznego dostawcy usług ICT z Wiodącym Organem Nadzorczym.
Dodatkowo informacja o nałożeniu każdej okresowej kary pieniężnej może być upubliczniana, chyba że takie ujawnienie poważnie zagroziłoby rynkom finansowym lub spowodowałoby nieproporcjonalną szkodę dla zaangażowanych stron.
Dostawca ICT ma prawo do złożenia wyjaśnień w sprawie. Kara może być nałożona wyłącznie na podstawie ustaleń, do których dostawca usług ICT ma możliwość się odnieść.
Prawo do złożenia wyjaśnień w sprawie obejmuje prawo dostępu do akt, z zastrzeżeniem poszanowania uzasadnionego interesu innych osób oraz ochrony tajemnicy przedsiębiorstwa. Prawo dostępu do akt nie obejmuje informacji poufnych ani wewnętrznych dokumentów przygotowawczych Wiodącego Organu Nadzorczego.
Okiem eksperta EY Law
Rozporządzenie DORA nakłada na krytycznych dostawców ICT obowiązek współpracy w dobrej wierze i pomocy w wykonywaniu zadań nadzorczych. Wypełnienie tego obowiązku w należyty sposób jest brane pod uwagę w przypadku wymierzania kary finansowej dostawcy ICT.
Z tego względu już teraz warto odpowiednio przygotować się do kontroli przeprowadzanych przez organy finansowe, tak aby efektywnie i prawidłowo przekazywać żądane informacje.
Biorąc pod uwagę brzmienie rozporządzenia DORA, odpowiednie zarządzanie informacjami u dostawcy ICT bezpośrednio przekłada się na wymiar kar finansowych. Kara dzienna nakładana jest przez 6 miesięcy od momentu wydania decyzji o jej nałożeniu. Wysokość kar może wynosić aż do 1% średniego dziennego globalnego obrotu dostawcy ICT.. Brak odpowiednich procedur, przestrzegania ich oraz nieprawidłowa współpraca ze spółką z grupy kapitałowej mogą zatem w istotny sposób odbić się na sytuacji finansowej całej grupy kapitałowej.
Dodatkowo upublicznienie informacji o nałożonej karze powoduje negatywne skutki związane z utratą reputacji.
DORA zakłada, że aby zapewnić realną możliwość nałożenia kary finansowej oraz sprawowania nadzoru nad dostawcami ICT spoza EOG, tacy dostawcy powinni być zobowiązani do utrzymywania odpowiedniej obecności biznesowej w Unii.
Dlatego dostawca usług ICT mający siedzibę w państwie trzecim powinien zobowiązać się w ciągu 12 miesięcy od takiego wyznaczenia do ustanowienia jednostki zależnej na terenie UE.
Rozporządzenie DORA: opłaty nadzorcze
Wiodący Organ Nadzorczy jest uprawniony do pobierania opłat od kluczowych dostawców usług ICT. Opłaty w pełni pokrywają koszty niezbędne w związku z wykonywaniem zadań nadzorczych na podstawie rozporządzenia DORA. Opłata stanowi zwrot wszelkich kosztów, które mogą zostać poniesione w wyniku prac prowadzonych przez właściwe organy przystępujące do działań nadzorczych.
Wysokość opłaty pobieranej od kluczowego zewnętrznego dostawcy usług ICT pozwala na pokrycie wszystkich kosztów administracyjnych. Ponadto jest proporcjonalna do obrotów dostawcy.
Komisja jest uprawniona do przyjęcia aktu delegowanego w celu określenia wysokości opłat i sposobu ich uiszczania w ciągu 18 miesięcy od 16 stycznia 2023 r.
Okiem eksperta EY Law
W naszej ocenie opłata nadzorcza jest skorelowana z konkretnymi wykonanymi działaniami wobec danego kluczowego dostawcy. Sprowadza się do zwrotu realnie poniesionych kosztów nadzoru, w tym zlecenia zewnętrznych ekspertyz technicznych lub prawnych.
Takie podejście wydaje się racjonalne. Promuje rzetelną analizę prawną i techniczną po stronie dostawcy ICT. W interesie dostawy ICT leży zatem prawidłowe udokumentowanie swojej działalności, co powinno znacząco obniżyć opłaty nadzorcze.
Dodatkowo DORA sygnalizuje, że opłaty mogą być uzależnione od obrotu dostawcy ICT. W naszej ocenie wysokość opłaty powinna odwoływać się do świadczenia konkretnych usług lub segmentu rynku, a nie referować do globalnego obrotu dostawców ICT.
Jak EY może pomóc
Prawo nowych technologii
Kancelaria EY Law świadczy kompleksowe doradztwo w zakresie prawa nowych technologii. AI - cloud computing – cyberbezpieczeństwo – 5G. Dowiedz się więcej.
Czytaj więcejLider
EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat
EY Polska, Kancelaria EY Law, Senior Manager, Counsel
EY Polska, Kancelaria EY Law, Manager, Adwokat
Prawo własności intelektualnej
Kancelaria EY Law oferuje kompleksowe doradztwo w zakresie własności intelektualnej. Prawo autorskie - Znaki towarowe – Patenty. Dowiedz się więcej.
Czytaj więcejOchrona danych osobowych
Kancelaria EY Law świadczy kompleksowe usługi prawne z zakresu ochrony danych osobowych.
Czytaj więcejCybersecurity Consulting
Doradztwo w zakresie cyberbezpieczeństwa może być realizowane w wielu obszarach m.in.: prawnym, organizacyjnym lub technologicznym. Utrzymanie specjalistycznych kompetencji w każdej z tych dziedzin jednocześnie jest wyzwaniem. Dlatego różnorodność, otwartość oraz umiejętność integrowania poszczególnych kompetencji Zespołów Cyberbezpieczeństwa EY w ramach wspólnych inicjatyw i zarządzania oczekiwaniami, wyróżnia nas na tle konkurencji. Rozumiemy aktualne potrzeby Klientów i potrafimy je zaadresować. Dzięki bogatemu doświadczeniu na rynku globalnym i polskim poznaliśmy szeroki kontekst biznesowy i cele poszczególnych Interesariuszy. Umożliwia to nam wszechstronne spojrzenie na potrzeby Klientów i dostarczanie rozwiązań przynoszących wymierne korzyści.
Czytaj więcejPodsumowanie
Rozporządzenie DORA (ang. Digital Operational Resilience Act) zostało wprowadzone do porządku prawnego w styczniu 2023 r. przez Radę Unii Europejskiej. Akt dotyczy cyfrowej odporności operacyjnej i w założeniu ma zapewnić bezpieczeństwo operacji finansowych w sieci. Rozporządzenie wprowadza m.in. objęcie nadzorem finansowym dostawców kluczowych usług ICT, a data na przygotowanie się do nowych regulacji została wyznaczona na 17 stycznia 2025 r.
