Rozporządzenie DORA a sytuacja dostawcy IT
Czy dostawca ICT powinien w ogóle przejmować się rozporządzeniem DORA?
Niektórzy powiedzą, że dostawcy ICT, nawet ci dostawcy, którzy pracują dla sektora finansowego nie poświęcają zbyt wiele uwagi regulacjom.
Rzadko zdarza się, że przedstawiciele dostawców pojawiają się na konferencjach dla sektora finansowego poświęconych regulatorce. Nie zawsze dostawcy są blisko wyzwań, w których, jak można się domyślać, chcą wspierać swoich klientów. Inni powiedzą, że zajmują się systemami IT, a nie zgodnością. I też będą mieli rację. Oczywiście poza największymi, którzy uważają, że zajmują się wszystkim i pokrywają potrzeby klienta w każdym względzie.
Wtedy uwaga na dziwny przypadek całkowitej zgodności, o którym pisałem na shadowtech.
Niektórzy dostawcy woleliby uznać, że problem ich nie dotyczy. I jeśli idzie wprost o zaawansowane obowiązki regulacyjne, to można powiedzieć, że taka postawa się broni. Niech sektor regulowany się głowi, a IT takim sektorem przecież nie jest.
To jednak nie takie proste, kiedy spojrzymy na sprawę z perspektywy podmiotu finansowego, który jest klientem dostawcy IT. Klient taki w wykonaniu swoich obowiązków będzie wymagał od dostawcy spełnienia określonych standardów.
Na domiar złego, przyjdzie jeszcze pan maruda, zwany również prawnikiem, i powie:
hej dostawco, przeczytaj przepisy i zobacz, że Ciebie również dotyczą.
Art. 2 ust. 1 DORA, który reguluje zakres zastosowania rozporządzenia.
Potem mecenasi: Maciej Gawroński i Michał Ćwiakowski dla Chambersa napiszą, że przecież to jest tricky i wprowadza w błąd, że przecież DORY nie stosujemy do wszystkich zewnętrznych dostawców ICT.
Co w takim razie nam pozostaje?
Przyjrzyjmy się motywom Rozporządzenia:
Z motywów więc wynika, że jednak nie dostawcy usług ICT, a jedynie kluczowi zewnętrzni dostawcy ICT.
Jaka jest różnica w pojęciach opisanych w DORA?
Czyli jeśli idzie o kluczowych dostawców, to idzie o takich, którzy staną się nimi – niezależnie od ich woli. Tacy, na których wskaże unijny organ nadzoru. W głównej mierze trzeba oszacować zależność sektora finansowego o konkretnego dostawcy usług ICT.
Kryteria do wyznaczenia zostały określone bardziej szczegółowo w art. 31 ust. 2 DORA i wyglądają następująco:
Jeśli któryś z dostawców żałowałby, że organy unijne nie wyznaczą go jako dostawcy kluczowego, to z odpowiedzią przychodzi dalsza część motywu 77, z której wynika, że dostawca może dobrowolnie przystąpić do ram nadzoru. Wydaje się, że to niezwykle zachęcające.
Jeśli zaś idzie o dostawców wewnątrz grupy, to motyw 63 rozporządzenia ma pomysł również na tego typu dostawców.
motyw 63 DORA
A zatem podmioty finansowe powinny być wymagające również względem dostawcy usytuowanego w grupie.
Motyw dostrzega również rozwój rynku fintech oraz wpływ technologii na usługi płatnicze. I dlatego wskazano w nim, że podmioty zajmujące się przetwarzaniem płatności lub obsługujący infrastrukturę powinny być uznawane za zewnętrznych dostawców usług ICT. Jeśli weźmiemy pod uwagę, że wedle optyki organu nadzoru chociażby dostawcy usług księgowych mogą również zostać zakwalifikowani jako dostawcy ICT, to rola dostawców zaangażowanych w usługi płatnicze nie wydaje się zaskakiwać.
A jak do tego wszystkiego ma się polski projekt ustawy dostosowującej regulacje sektorowe do DORY?
Ocena skutków regulacji wprost mówi, że ustawa będzie miał wpływ na dostawców ICT (liczbę tych dostawców określa się na co najmniej 35 – nie mam pojęcia na podstawie jakich kryteriów). A zatem wpływ ten jednak będzie, z tym że Tylko pośredni. KNF będzie wymagał od podmiotów finansowych, a podmioty finansowe będą wymagały od dostawców. Wpływ na dostawców ICT określony jest także w świetle uprawnienia KNF, która będzie mogła wydać decyzję nakazująca podmiotowi finansowemu zawieszenie korzystania z usług albo wypowiedzenie postanowień umownych wyrażonych w umowie z kluczowym zewnętrznym dostawcą usług ICT.
Co więc ten dostawca ICT może zrobić?
- Przychodzić jednak na konferencje dla podmiotów finansowych,
- Komunikować się ze swoimi klientami i pokazać, że rozumie sytuację, w jakiej się znaleźli,
- Przyjmować proaktywną postawę w procesie dostosowania się do nowych regulacji przez niego samego lub klientów. Ta postawa może objawiać się także w przygotowaniu produktów, które pomogą klientom w spełnieniu wymogów regulacyjnych,
- Oswoić się ze stanem rzeczy, w którym, klienci będą przychodzić do niego z konkretnymi wymaganiami. Np. w zakresie uprawnień audytowanych realizowanych przez klienta samodzielnie lub stronę trzecią, czy w zakresie exit planów, które znamy dobrze ze standardów chmurowych.