Iluzja zgodności
Przed 17 stycznia 2025 roku rynek żył w przekonaniu o wysokim stopniu przygotowania. Dostawcy ICT deklarowali gotowość infrastrukturalną i regulacyjna, a instytucje finansowe – uspokojone latami stosowania Rekomendacji D, wytycznych EBA w zakresie outsourcingu, a także sektorowych wytycznych IT – zakładały, że DORA to jedynie ewolucja znanych już standardów.
W artykule „DORA: dziwny przypadek całkowitej zgodności” (wow, to było dwa lata temu!) wskazywałem na ryzyko płynące z takiego optymizmu. Często opierano się na certyfikacjach (ISO, SOC2,) które choć pomocne w procesie due diligence, nie zastępują wymogów Rozdziału V rozporządzenia DORA. Podobnie nie można całkowicie zignorować prawa instytucji do audytu powołując się na obowiązek dostawcy dostarczania raportów z zewnętrznych audytów
Negocjacje kontraktów DORA, które nasiliły się w ostatnim kwartale 2024, a niektóre trwają do dzisiaj, szybko zweryfikowała rozbieżności. Oczekiwania instytucji nie spotkały się już z takim entuzjazmem po stronie dostawców. Nie wspominając nawet o tym, że niektórzy dostawcy IT wedle własnej opinii przestawali być dostawcami IT. Jasnym, że tym bardziej nie można powiedzieć o tym, aby standardy kontraktowe dostawców odpowiadały na oczekiwania organu nadzoru.
Dostawca idealny nie istnieje
Głównym wyzwaniem nie jest brak świadomości przepisów, lecz nierówność pozycji negocjacyjnej. Instytucje finansowe, zobowiązane do implementacji pełnego standardu z art. 28 oraz 30 DORA, trafiają na opór bigtechów, które to firmy działają w skalowalnym modelu i na bazie licencji do wyklikania (clickwrap). Zdarza się, że gwarancje DORA nie przyjmują nawet postanowień umownych, a są zbiorem oświadzeń zawieszonym na stronie internetowej.
A co na to 30 DORA? ; >
Prawa i obowiązki podmiotu finansowego i zewnętrznego dostawcy usług ICT są wyraźnie przypisane i określone na piśmie. Całość umowy obejmuje klauzule o gwarantowanym poziomie usług i jest zawarta w jednym dokumencie mającym formę pisemną, który jest dostępny dla stron w wersji papierowej, lub w dokumencie w innym formacie umożliwiającym pobieranie, zapewniającym trwałość i dostęp.
Dostawcy telekomunikacyjni często wprost odmawiają przyznania prawa do audytu fizycznego, argumentując to brakiem wydzielonej infrastruktury pod konkretnego klienta lub względami bezpieczeństwa, podlegają przecież pod UKSC, prawda?
Z kolei globalni dostawcy rozwiązań służących do monitoringu sieci, analizy incydentów, czy VPN, oferują standaryzowane „DORA Addendum”, które są dokumentami typu take it or leave it. Często brakuje w nich precyzyjnych zapisów o udziale w testach TLPT czy wymaganych przez DORA standardów wypowiada umów, czy wsparcia w wykonaniu exit planu. Podmiot finansowy staje przed dylematem: zrezygnować z kluczowego narzędzia (często niemożliwe operacyjnie) czy zaakceptować lukę w zgodności (compliance gap).
Perspektywa nadzoru
Co więcej wcale nie pomaga perspektywa nadzoru. Kiedy klienci chcą zrozumieć oczekiwania organu nadzoru i kolejno rzetelnie się do nich dostosować – zdarza się, że dostają zerojedynkowy komunikat. Jeśli w czasie badania DD, negocjacji umowy, czy cyklicznego przeglądu nie mamy zachowania pełnych standardów umownych, to należałoby umowy w ogóle nie zawierać lub w przypadku już zawartej – rozważyć zmianę dostawcy.
Perspektywa przedsiębiorcy i prymat operacyjności biznesu
I teraz uwaga – każdy kto bliżej przyglądał się kwalifikacji usług ICT w rozumieniu DORY i kolejno przełożył to na warunki rynkowe – wie, że pełen standard nie zawsze jest możliwy. I to nie chodzi o sytuację, że dostawca jest uparty i nie obchodzi go perspektywa jego klienta. Tego standardu po prostu w pełni nie ma i ma z kim tego negocjować. Nie ma też alternatywnego dostawcy, a jeśli jest, to z tym samym problemem.
Wydaje się więc, że należy szukać przestrzeni, w której wybieramy jak najlepszy standard jako instytucja. Zabezpieczamy samodzielnie elementy, których dostawca w umowie nie dał albo dał je pośrednio. Wreszcie dokonujemy analizy skutków braku konkretnej gwarancji umownej i dopiero wtedy podejmujemy racjonalną decyzję, czy umowę zawieramy, czy nie. Czy może być ona kontynuowana, czy nie.
Jeśli zrobilibyśmy inaczej, mogłoby się okazać, że nie potrzebujemy już nadzorcy, bo nasza działalność bez odpowiedniej kontroli urządzeń sieciowych albo serwera – nie może być kontynuowana.
Side effect czy tam under-reporting 🙂
W tym wszystkim widzę także najprawdopodobniej niezauważony (jednocześnie niepożądany efekt uboczny). Jeśli przedsiębiorca z należnym szacunkiem i rzetelnie podejdzie do perspektywy nadzoru, to może okazać się, że będzie miał obawy, by kwalifikować i na koniec ujawnić w sprawozdaniu wszystkich dostawców usług ICT.
Będzie tak ponieważ zrozumiał, że przecież brak pełnego standardu, to potencjalne naruszenie art. 28 lub 30 DORA.
Biznes zaczyna więc kalkulować ryzyko i powstają dostawcy “widmo” lub dziwnie wymyki interpretacyjne, wedle których dostawca IT nie świadczy usług IT.
Dlaczego nazywam to side effectem? Ponieważ możliwą konsekwencją tego jest to, że dostawca nie trafi do rejestru. KNF nie otrzyma więc pełnych i rzetelnych informacji, które oczekuje. Nie otrzyma ich też EBA. A to oznacza, że dane do określania koncentracji rynku i krytycznych dostawców usług IT (CTPP) będą niepełne. Zdaje się, że nie będzie to również korzystne dla całego rynku. Skoro o opornym dostawcy nadzór nie dostanie informacji, to trudno będzie na niego wpłynąć i paradoksalnie umocni go to na zajętej już pozycji.
Problem łańcucha dostaw
Sytuację komplikuje kwestia podwykonawstwa. Opublikowany RTS dotyczący polityki w zakresie ustaleń umownych (RTS 2024/1773), gdzie zawiera generalne standardy wdrożenia takiej polityki oraz przypomina o standardach umownych z art. 30. Wymaga też oceny korzystania przez dostawcę z podwykonawców. Ale uwaga! podwykonawców do świadczenia usług wspierających krytyczne lub istotne funkcje lub ich istotne części.
Podkreślam to, bo wiem, że niektórzy przedsiębiorcy poczuli się zagubieni przed ostatnim sprawozdaniem SPR PF 18.
I zgodnie z zasadą proporcjonalności i podejściem opartym na ryzyku, głęboka analiza łańcucha powinna koncentrować się na tych podwykonawcach, którzy faktycznie „uczestniczą w świadczeniu usług ICT wspierających funkcje krytyczne”. Jeśli podwykonawca świadczy usługi nieistotne z punktu widzenia ciągłości działania (np. proste wsparcie administracyjne lub project management), instytucja finansowa może, a nawet powinna, ograniczyć zakres badania.
Podobnie jest w RTS dotyczącym typowo podwykonawców, którzy wspierają istotne lub krytyczne funkcje, tj. RTS 2025/532.
Mamy więc proporcję i potwierdzenie, że badamy podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje.
Dla pełnego obrazu przypomnijmy jednak, że jeśli podwykonawca wspieraj funkcję krytyczną, to rzeczywiście badamy cały łańcuch dostaw.
art. 3 ust. 1 lit b RTS 2025/532
Wewnętrzna ocena ryzyka jako narzędzie?
W sytuacjach, gdzie uzyskanie pełnego standardu z art. 30 DORA jest obiektywnie niemożliwe (np. przy usługach od monopolistów, kiedy sami jesteśmy maluchem), jedynym racjonalnym rozwiązaniem jest sporządzenie szczegółowej wewnętrznej oceny ryzyka. Chodzi mi o ocenę negatywnych skutków związanych z brakiem konkretnej klauzuli.
Dokumentacja taka powinna (proponuję to raczej na szybko i w sposób generalny):
- mapować konkretne braki w umowie (np. brak pełnego prawa do audytu),
- oceniać wpływ braków w umowie na ciągłość operacyjną podmiotu finansowego oraz na bezpieczeństwo danych klientów, czy innych informacji objętych tajemnicą zawodową,
- mapować przyczyny braków w umowie (argument kosztowy może nie wystarczyć),
- wskazywać środki mitygujące (np. dodatkowy monitoring, plany wyjścia, niezależne certyfikaty),
- zestawić istotność danego rozwiązania IT dla ciągłości biznesu (konsekwencje jego braku) z obiektywną niemożliwością przyjęcia określonych klauzul.
- zawierać wniosek o akceptację ryzyka.
Podsumowanie: Postulat racjonalności
W globalnym ekosystemie IT stuprocentowa zgodność kontraktowa „na papierze” bywa nieosiągalna. Zmuszanie instytucji do wypowiadania umów z kluczowymi dostawcami tylko dlatego, że ich standardowe OWU nie odpowiada 1:1 oczekiwaniom nadzoru, uderza w samo bezpieczeństwo, które DORA ma chronić.
Moim zdaniem lepiej mieć dostawcę w rejestrze z opisaną luką, niż poza rejestrem z iluzją, że usługa ICT nie jest usługą ICT i nie trzeba nią zarządzać w ramach ryzyka IT.
