RTS w sprawie podwykonawców DORA
Niedawno – chwilę po opublikowaniu regulacyjnego standardu technicznego (RTS) w sprawie podwykonawców przygotowałem jego podsumowanie.
Temat mogłoby się wydawać w miarę jasny. W dodatku skomentowany, opisany w newsletterach i na linkedinie. Kontrola podwykonawców wynika również z brzmienia jednego z ustępów art. 30 DORA, który wymaga od instytucji, aby w umowie jasno wskazywała, czy i na jakich zasadach dostawca może korzystać z podwykonawców, którzy wspierają krytyczną funkcję ICT.
O usługach ICT – pisałem więcej tutaj.
Dlaczego temat może być niejasny?
Ponieważ RTS ten budził wątpliwości na etapie konsultacji i ostatecznie był zmieniany. W efekcie może być on dla instytucji wciąż niejasny. Przedsiębiorcy są niepewni co dokładnie wynika ze stosowanego od 22 lipca 2025 RTSa i czy zmienia on coś w ich umowach oraz procedurach wewnętrznych.
Obowiązki nałożone w RTS były zbyt szerokie
Wątpliwości polegały na szerokim podejściu do badania całego łańcucha dostaw (w tym weryfikacji ustaleń umownych pomiędzy dostawcą a poddostawcą) i przekroczeniu w ten sposób przez ESA zakresu kompetencji do wydania tego RTS.
To też zostało wyrażone w liście Komisji Europejskiej, która postulowała usunięcie art. 5 oraz motywu 5 RTS. Zdaniem Komisji w sprawie monitoringu łańcucha dostaw – RTS szedł za daleko i przekroczył zakres upoważnienia do wydania RTS z 30.5. DORA. Przepis ten zobowiązuje europejskie organy nadzoru do opracowania projektu RTS, który doprecyzowywać ma elementy określane i oceniane przez podmiot finansowy w przypadku podwykonawstwa.
O czym mówi RTS w sprawie podwykonawców?
Sam RTS w sprawie podwykonawców precyzuje między innymi, że:
- instytucja finansowa stoi na straży łańcucha dostaw,
- instytucja może wymagać pewnego wsparcia od dostawcy w zakresie monitoringu – i to dostawca powinien posiadać zasoby do weryfikowania oraz monitorowania podwykonawcy,
- dostawca powinien notyfikować z wyprzedzeniem o zamiarze zmian w łańcuchu, o ile podwykonawca będzie wspierał funkcję krytyczną; podmiot finansowy zmiany akceptuje albo zgłasza sprzeciw.
Prawo do wypowiedzenia umowy z dostawcą
🧐To ostatnie aktualizuje prawo do wypowiedzenia, o ile:
- dostawca nie zgodził się na modyfikację zgłoszone przez instytucję,
- dostawca nie wyczekał okresu powiadomienia o zmianach [nie czekał na ewentualny sprzeciw],
- albo dostawca zlecił podwykonawstwo usługi wspierających krytyczną funkcję – pomimo, że takiego uprawnienia nie miał w umowie głównej z podmiotem finansowym.
Ponadto RTS szczegółowo reguluje:
- zakres oceny ryzyka korzystania z podwykonawców (art. 3),
- warunki umowne (art. 4),
- powiadomienie w razie zmian w umowach podwykonawstwa (art. 5)
- oraz prawo do wypowiedzenia umowy z dostawcą z uwagi na uchybienia w zakresie podwykonawstwa (art. 6).
No dobrze, no ale zapytacie, czy monitoring łańcucha dostaw nie wynika z samej DORY?
Jeśli spojrzymy na art. 29.2. DORA, to okazuje się, że tak – wynika. To też przypominały organy europejskie w odpowiedzi na list Komisji.
Obowiązek ten jednak jest ograniczony do rozważania korzyści i ryzyk, które mogą wystąpić w związku z takim podwykonawstwem, w szczególności w przypadku, kiedy podwykonawca ma siedzibę poza EOG.
Różnica jest więc taka, że bazując na samym rozporządzeniu DORA – owszem należałoby weryfikować podwykonawców. Zapewne istniałaby większa swoboda i i zróżnicowanie co do treści postanowień umownych w tym względzie. Za to w sytuacji, kiedy mamy tak szczegółowy standard techniczny – postanowienia te będą się powtarzać i jak się domyślam przenosić na dostawcę wymagania co do monitoringu podwykonawcy.
Co zatem zrobić z nowym RTS 2025/532?
Wydaje się, że stosować w sytuacjach, kiedy podwykonawca wspiera krytyczną funkcję biznesową instytucji finansowej.
Jeśli przedsiębiorca nie zdecydował się wcześniej na jakieś zaawansowane wymogi proceduralne oraz standardy umów, które wymagałaby, np. bezpośredniej weryfikacji umów z podwykonawcą, to w mojej ocenie nic drastycznie się nie zmieniło.
Niezależnie od tego warto zweryfikować ocenę DD dostawcy w kontekście gwarancji, jakie dostawca może dać względem podwykonawców.
Ponadto warto zweryfikować standard umowy DORA, szczególnie w zakresie prawa do wypowiedzenia umowy z zewnętrznym dostawcą. Warto w tym miejscu pamiętać o przyczynach wypowiedzenia, które dotyczą powiadomienia o zmianach w łańcuchu dostaw.
O czym jeszcze warto pamiętać?
Za podwykonawców usług ICT uznaje się podwykonawców wewnątrz grupy, którzy świadczą usługi ICT wspierające krytyczne funkcje lub ich istotne części.
Ocena podwykonawcy powinna być przeprowadzona jeszcze przed zawarciem umowy podwykonawstwa przez podmiot finansowy. Ocenę podwykonawcy (jego zasobów finansowych, ludzkich i technicznych) może wykonać dostawca albo podmiot finansowy samodzielnie.
W procesie badania DD dostawcy – już od razu należy zbadać, czy dostawca gwarantuje, że w jest on w stanie wybrać odpowiednich podwykonawców usług ICT.
Należyta staranność, której wymaga się od podmiotu finansowego opisana jest szczegółowo w art. 3 RTS. Wynika z niej między innymi, że podmioty finansowy ocenia wpływ ewentualnej awarii podwykonawcy na operacyjną odporność cyfrową podmiotu i jego sytuację finansową. Ponadto podmiot finansowy powinien oceniać ryzyko geograficzne związane z podwykonawcą.
Szczegółowe warunki zlecenia usług podwykonawcom określone są w art. 4 RTS. Pamiętajcie, że dostawca odpowiada za świadczenie usług przez podwykonawców. I to dostawca ma obowiązki w zakresie monitoringu i sprawozdawczości do instytucji finansowej – w zakresie zleconych usług ICT.
I dodatkowo uwaga – coś czego dostawcy nie lubią – dostawca powinien zapewnić ciągłość usług ICT wspierających krytyczne funkcje, nawet gdy podwykonawca nie wywiązuje się ze swoich zobowiązań umownych.
![Pandemia COVID-19 a cyberprzestępcy [INTERPOL, EUROPOL]](https://www.shadowtech.pl/wp-content/uploads/2020/04/markus-spiske-gcgves5H_Ac-unsplash-scaled.jpg)
