24-07-2025

Nowe wytyczne EBA w sprawie outsourcingu

Nowe wytyczne EBA w sprawie outsourcingu

Z datą 8 lipca pojawił się papier konsultacyjny EBA w sprawie wytycznych dotyczących outsourcingu, a dokładniej w sprawie należytego (sound 🎶 😏) zarządzania ryzykiem strony trzeciej.

Wytyczne zastąpią wytyczne outsourcingowe z 2019 r.

Wytyczne mają pozostawać w zgodzie ze standardem dla usług ICT ustanowionym w DORA. Dodałbym do tego RTS 2024/1773 w sprawie polityk dotyczących ustaleń umownych z krytycznymi dostawcami ICT. 

Przede wszystkim jednak znajdą one zastosowanie do outsourcingu usług innych niż usługi ICT.  A to znaczy, że dojdzie do zrównania lub znacznego zbliżenia zarządzania ryzykiem strony trzeciej – niezależnie od typu usługi dostarczanej przez dostawcę.

A jednak jeśli bardziej interesowałby Cię wątek kwalifikacji usług ICT – to informacje na ten temat znajdziesz w tym artykule.

Komentarze do draftu można składać anonimowo albo jawnie do 8 października za pośrednictwem strony EBA.

podwykonawca

Przy tej okazji pamiętajcie również, że w outsourcingu znaczenie ma rola podwykonawcy. Jest to wymóg regulatora, ale również obszar zarządzania ryzykiem, który ma wiele wspólnego z realnymi zagrożeniami. Znajduje to potwierdzenie w statystykach naruszeń, które mają swoje źródło u strony trzeciej, a nie rzadko u jej podwykonawcy.

Z omówionego przez HIPAA Journal raportu firmy SecurityScorecard (Global Third Party Breach Report)  wynika, że 35,5% naruszeń powiązanych jest z tym, że to dostawca (third-party) miał dostęp do zasobów organizacji.

Z tego samego raportu wynika, że zewnętrzni dostawcy odpowiadają za 41,8% naruszeń w fintechu. Zbadano 250 firm z całego świata.

Ryan Sherstobitoff z działu odpowiedzialnego za raport – STRIKE Threat Research – miał powiedzieć, że:

Fintechy są podstawą globalnych finansów, ale jeden skompromitowany dostawca może zniszczyć krytyczną infrastrukturę.

DORA – RTS dotyczący subcontractingu (podwykonawców)

subcontracting

Tylko przypominam, że od lipca 2025 obowiązuje RTS 2025/523, który zawiera szczegółowe wymogi umowne co do podwykonawców oraz ich badania due diligence.

Instytucje finansowe wiele mogą wymagać na tym polu od dostawcy, jednak to one ostatecznie odpowiadają za cały łańcuch dostaw, jeśli podwykonawcy wspierają krytyczne funkcje biznesowe danej organizacji.

Wymogi outsourcingowe dla sektora finansowego to nic nowego

Fakt, że regulator zajmuje się outsourcingiem – to klasyk dla sektora finansowego. EBA przypomina, że podmioty finansowe albo mają wprost w przepisach obowiązki dotyczące outsourcingu albo przepisy te zawierają delegację dla regulatora do ustanawiania szczegółowych standardów w tej sprawie.

I tak EBA wymienia następujący katalog regulacji:

  1. Dyrektywa 2013/36/UE (CRD) – art. 97 (przegląd i ocena nadzorcza) oraz 74 (zarządzanie wewnętrzne oraz plany naprawcze i planyj likwidacji).

EBA przypomina, że 74 ust. 3 daje mu podstawy do wydania wytycznych co do zasad, procedur i mechanizmów dotyczących identyfikacji ryzyka, zarządzania nim oraz monitorowania.

  1. Dyrektywa 2019/2034/UE (IFD).

Podobnie i w tej dyrektywie uregulowano wymogi wewnętrznego zarządzania. Tym razem chodzi o firmy inwestycyjne. Dyrektywa dodatkowo ustawanawia kompetencję dla EBY do wydania szczegółowych wytycznych – w porozumieniu z ESMA. 

Zarządzanie ryzykiem ze strony dostawców (ustalenia umowne ze stronami trzecimi) są jednym z aspektów zarządzania firmami, o czym mowa w tej dyrektywie.

W tym względzie EBA odsyła do raportu o wytycznych w sprawie ładu wewnętrznego według dyrektywy IFD. Wynika z nich, że zasady ładu wewnętrznego powinny obejmować solidne systemy informatyczne, ustalenia dotyczące outsourcingu, czy zarządzanie ciągłością działania (BCM).

  1. Rozporządzenie 2023/1114 (MiCAR)

I tutaj EBA przypomina, że rozporządzenie MiCA przyznaje mandat EBA (w porozumieniu z ESMA i EBC) do opracowania wytycznych dotyczących wewnętrznych ustaleń w zakresie zarządzania wewnętrznego dla emitentów tokenów ART.

Ogólne wymogi co do outsourcingu funkcji operacyjnych przez CASP znajdują się w art. 73 MiCA.

  1. Dyrektywa 2014/65/UE (MiFID II)

I tutaj również bez zaskoczenia. MiFID zawiera regulacje dotyczące outsourcingu funkcji operacyjnych w zakresie działalności firmy inwestycyjnej.

W tym przypadku podstawę znajdziemy w art. 16 (wymogi organizacyjne) ust. 5 dyrektywy.

  1. Dyrektywa 2015/2366/UE (PSD2)

W tej dyrektywie znajdziemy wymogi dla outsourcingu funkcji operacyjnych przez dostawców usług płatniczych. 

Szczegółowo wymogi outsourcingowe uregulowane zostały w art. 19 ust. 6, który zezwala na outsourcing funkcji operacyjnych, również z uwzględnieniem systemów informatycznych.

  1. Rozporządzenie (UE) 2022/2554, czyli DORA, które wraz z RTS 177 oraz RTS 2025/532 zawiera  cały zestaw regulacji co zarządzania ryzykiem ze strony dostawców ICT.

Tak szerokie przełożenie na różne akty przeznaczone dla różnych instytucji bierze się stąd, że wytyczne określając należyte zarządzanie ryzykiem outsourcingu – wychodzą od zagadnień wewnętrznego zarządzania. Zasady ładu wewnętrznego niekiedy tylko wspominają o o odpowiednim zarządzaniu powierzaniem funkcji operacyjnych podmiotom trzecim, niekiedy doprecyzowane jest to w dodatkowych wytycznych. Jakkolwiek by było jest to temat rozisany po wielu miejscach i stąd miejsce na ujednolicenie oraz doprecyzowanie zasad outsorcingu.

Jasna linia odcięcia

Wytyczne mówią jasno, IT regulowane jest przez DORA, a wytyczne dotyczą usług innych niż IT.

In this regard, these Guidelines only cover the use of TPSPs providing or supporting

functions that are not qualified as ICT services under DORA. Consistency has been ensured, to the extent possible with DORA and its relevant mandates; while DORA provides for the framework on the management of third-party risks with regard to ICT services, those

Guidelines apply for non-ICT related services provided by TPSPs.

Biorąc to pod uwagę – wiemy już, że wytyczne będą miały zastosowanie do dostawców (TPSP), którzy nie świadczą usług ICT. Celem jest dostosowanie outsorcingu sektorowego do outsourcingu IT.

Projekt nie dotyczy w ogóle kwestii #AML. W tej materii znajdziemy odesłanie do art. 18 rozporządzenia 2024/1624, który reguluje ten typ outsourcingu.

Zakres zastosowania

Jak już wspomniałem wyżej – wytyczne obejmują usługi, które nie są usługami ICT w rozumieniu DORA.

A to znaczy, że usługi ICT nie będą objęty tymi wytycznymi, ponieważ mają one już swój reżim w DORZE.

Podmiotowy zakres, czyli adresaci

Wytyczne adresowane są naturalnie do organów nadzoru, ale i szerokiego kręgu instytucji.

Tutaj draft zawiera dość złożoną wyliczankę z podstawami prawnymi. Zwróćmy na początek uwagę, że dotyczą one tak jak dotychczas, instytucji finansowych z rozporządzenia CRR (czyli instytucji kredytowych), firm inwestycyjnych z MiFID 2, oddziałów instytucji z państw trzecich, instytucji płatniczych, instytucji pieniądza elektronicznego, emitenta ART tokenów z MiCA, czy nie-bankowego kredytodawcy z MCD (Mortgage Credit Directive).

Wydaje się, że nowi w układance, to na przykład: emitenci tokenów ART z MiCA oraz niebankowi kredytodawcy z dyrektywy MCD.

Uwaga na AISP

Dostawca usługi informacji o rachunku (AISP), który świadczy tylko tę jedną usługę ma być zwolniony ze stosowania wytycznych, co wynika z art. 33 PSD 2.

Cele wytycznych

Porządkując cel wytycznych raczej wybrzmiał dodstatecznie z tego tekstu. A poza tym projekt wytycznych EBA w sprawie outsourcingu ma na celu, między innymi, zapewnienie, że:

  • zarząd instytucji nadzoruje ustalenia z podmiotami trzecimi,
  • instytucja posiada politykę dotyczącą zarządzania ryzykiem ze strony podmiotów trzecich (dokładnie to, co należało zrobić wdrażając DORĘ w kontekście IT),
  • firma posiada skuteczne ramy kontroli wewnętrznej i zarządzania ryzykiem,
  • firma wdrożyła zasady monitoringu ryzyk związanych z zapewnieniem usług wspierających krytyczne funkcje,
  • firma posiada plany wyjścia z ustaleń umownych dotyczących krytycznych funkcji (to samo co należało zrobić pod DORĘ i co wynika z dotychczasowych zasad outsourcingu sektorowego).

Rejestr ustaleń umownych

Na koniec – obowiązek formalny – również znany już i przećwiczony w DORA. Instytucje powinny prowadzić rejestr wszystkich ustaleń umownych z podmiotami trzecimi. 

EBA podpowiada, że firmy mogą połączyć ten rejestr z rejestrem usług ICT, które i tak już prowadzą w związku ze stosowaniem DORY.

Projekt zakłada, że podmioty powinny dostosować do wytycznych swoją dokumentację wewnętrzną dotyczącą  dotychczasowej relacji z podmiotami trzecimi przy okazji odnowienia danego ustalenia umownego, ale nie później niż 2 lata od dnia stosowania wytycznych.

Podsumowanie

Należy spodziewać się nowych wytycznych outsourcingowych, które za zadanie mają bardzo szerokie uchwycenie outsourcingu na rynku finansowym.

Warto pamiętać, że wytyczne nie będą regulować AML – odsyłają w tym temacie do szczegółowych ram z rozporządzenia AML.

Wytyczne nie będą także regulować usług IT. W tym temacie odsyłają do szczegółowych ram z DORA.

Jeśli dostawca z różnych racji wypadł z outsourcingu usług ICT, to zakładać można, że obejmą go bardzo zbliżone wymogi z wytycznych EBA. Pomijając oczywiście outsourcing sektorowy, który w większości przypadków i  różną intensywnością już teraz ma zastosowanie.

Zobacz również:

Rozporządzenie DORA a dostawca ICT

18-06-2024

Rozporządzenie DORA a dostawca ICT
Aplikacja mObywatel a KYC online? [2]

15-12-2023

Aplikacja mObywatel a KYC online? [2]
Jak przygotować rejestr informacji DORA?

05-08-2025

Jak przygotować rejestr informacji DORA?
Nowe wytyczne EBA w sprawie outsourcingu

Bądź na bieżąco z shadowtech!

The Essence to nieregularny newsletter o prawie i technologii.

Nie masz czasu (a kto go ma), dlatego przed Tobą:

  • checkbox

    Swobodnie wybierane strzały

  • checkbox

    Czasem z komentarzem, czasem bez

  • checkbox

    Informacje, których nie widziałeś wcześniej

Masz konto na Linkedin?

Zapisz się teraz i bądź na bieżąco!