Wytyczne outsourcingowe EBA po staremu i nowemu – co musisz wiedzieć w 2026 roku?

Outsourcing w sektorze finansowym może brzmieć jak temat na „najnudniejszy webinar roku” – sam to zrozumiałem. Jednak wiele problemów operacyjnych w bankach i instytucjach finansowych bierze się właśnie stąd. Nakładające się na siebie nawzajem przepisy regulujące outsourcing oraz wytyczne nadzoru to nie tylko opowieść zza kulis, lecz realny problem, który może wywołać efekt domina: od naruszeń przepisów, przez kary, aż po uszczerbek na reputacji. W praktyce – i o tym powinno być więcej na blogu o takiej nazwie – to często sfera shadow, kiedy dany dostawca nie wpadł w ramiona procedury outsourcingowe.

W 2025 roku Europejski Urząd Nadzoru Bankowego (EBA), czyli bankowy regulator na najwyższym szczeblu, zaproponował projekt nowych wytycznych dotyczących outsourcingu. Jak wyjaśniono na blogu linklaters propozycja to odpowiedź na naszą ulubioną regulację, czyli Rozporządzenie 2022/2554, zwane też DORA. Przez ostatnie lata (guidelinsy dotyczące outsourcingu IT pochodzą z 2019 r.) wychodziliśmy z założenia, że outsourcing to powierzona przez instytucję funkcję, która w normalnym trybie realizowana byłaby przez instytucję samodzielnie.

Kierunek jest następujący: wyłączenie spod wytycznych EBA outsourcingu regulowanego DORA i rozszerzenie go o pozostałe strony trzecie, które wcale nie muszą świadczyć usługi ICT. Więcej o tym pisałem w tym artykule na shadowtech.pl

Uwaga : nowe wytyczne nie dotyczą już tylko klasycznego outsourcingu, a szerzej pojętych Third-Party Arrangements (TPA), czyli wszystkich form współpracy z podmiotami zewnętrznymi. To może być mylące, ale spokojnie, przejdziemy to krok po kroku bez prawniczego żargonu.

W tym artykule omówię najważniejsze zmiany i wyjaśnię, co oznaczają dla firm IT, cyberbezpieczeństwa oraz sektora finansowego w 2026 roku.

1. EBA 2019 vs EBA 2025 – główne różnice w wytycznych

Zacznijmy od porównania w formie tabeli:

Kluczowa zmiana: EBA przechodzi od skupiania się na pojedynczych umowach outsourcingowych do nadzoru nad całą gamą relacji zewnętrznych, które mogą wpływać na funkcjonowanie Twojej firmy. To wymaga nowego podejścia do zarządzania i kontroli.

2. Co oznacza poszerzenie zakresu do Third-Party Arrangements (TPA)?

Niech nie przeraża Cię termin TPA. Oznacza on, że instytucje finansowe muszą nadzorować nie tylko outsourcing IT, ale również współpracę z firmami sprzątającymi, agencjami HR czy dostawcami marketingowymi. Wszystkie te relacje będą podlegały wytycznym outsourcingowym.Przykład z życia wzięty: jeśli instytucja finansowa korzysta z outsourcingu usług HR, to ten podmiot zewnętrzny może podlegać w przyszłosci większej ścisłej kontroli. Wcześniej takie działania pozostawały często „poza radarami” nadzorców.

I co ważne: nie będzie tak, że teraz każdy podmiot trzeci powinien podlegać nowym wytycznym. W praktyce jednak, jeśli współpraca z tym podmiotem może wpływać na ryzyko operacyjne instytucji lub jej cyberodporność – powinien on nowym standardem zostać objęty. Za każdym razem dokonujemy więc oceny. A Przy tej ocenie warto pamiętać o utrwalonych już wyłączeniach w obszarze: [1] doradztwa prawnego, czy [2] konserwacji pomieszczeń.

Może to przypominać sytuację, w której backup robi ktoś inny, ale jeśli zarządzasz wrażliwymi danymi, to wpadka agencji HR to również Twoja odpowiedzialność. Dlatego lepiej mieć te relacje pod kontrolą, niż wpadać na „zapomniałem o tym”.

3. Nowe podejście do oceny i zarządzania ryzykiem – czasy checklisty outsourcingowej minęły

Dawniej ocena ryzyka skupiała się na pojedynczych umowach i ich postanowieniach. Teraz EBA podkreśla, że trzeba spojrzeć szerzej: ocenić ryzyko na poziomie funkcji i całego łańcucha działań, uwzględniając różne typy zagrożeń – operacyjne, prawne, środowiskowe, czy wymagania DORA. A te są konkretne.

Co to oznacza? Nie analizujesz tylko umowy X, a proces, który korzysta z usług zewnętrznych. To strategiczne podejście pozwala zapobiegać większym problemom, działając jak dokładna mapa drogową przed podróżą – nie tylko sprawdzasz opony, ale uwzględniasz warunki na trasie.

4. Rejestr i dokumentacja – cyfrowa baza danych jako Twój sprzymierzeniec

Koniec z rozproszonymi listami i papierowym compliance. Teraz warto rozważyć wprowadzenie jednego cyfrowego rejestru TPA, aktualizowany na bieżąco i zgodny z wytycznymi outsourcingowymi, dostępny na kliknięcie.

Nad czym warto się zastanowić?

• Czy wszystkie relacje zewnętrzne masz zarejestrowane?
• Czy rejestr jest aktualizowany i spełnia najnowsze standardy?

5. Podoutsourcing – uproszczenia formalne, ale zwiększona czujność

Podoutsourcing to zlecanie kolejnych usług podwykonawcom. Do 2019 r. wymagało to wielu formalności i zgód. Teraz formalności jest mniej, ale podlega to surowemu monitoringowi i audytom.

Chyba że będziemy działać w obszarze DORA – tam dla dostawców, którzy wspierają krytyczne funkcje biznesowe instytucji w grę wchodzi RTS 2025/532 i w ten oto sposób psuje całą zabawę.

Jeśli masz taką warstwę podwykonawców, trzymaj to dokładnie pod kontrolą.

6. Wyzwania i najlepsze praktyki na 2026 rok

Wyzwania

• Aktualizacja (a przynajmniej przymiarka) procesów identyfikacji i klasyfikacji TPA zgodnie z wytycznymi EBA i DORA.
• Zarządzanie rozbudowanym rejestrem i dokumentacją.
• Kontrola łańcucha dostaw i podoutsourcingu na różnych poziomach.
• Szkolenia i budowanie świadomości w zespołach compliance oraz IT.

Najlepsze praktyki

• Stwórz pełną mapę relacji z podmiotami zewnętrznymi, uwzględniając także te pozornie drobne.
• Wprowadź jasne kryteria istotności funkcji i procesów według wytycznych EBA i DORA.
• Aktualizuj umowy, uwzględniając nowe wymogi dotyczące audytów oraz podoutsourcingu.
• Centralizuj rejestr TPA, by mieć go pod ręką podczas kontroli, ale też by nim realnie zarządzać. Sprawozdania DORA potwierdzają jak ważne i pomocne jest jedno i uporządkowane źródło prawdy.
• Buduj transparentne relacje z podwykonawcami, bądź gotowy na audyty.
• Organizuj regularne szkolenia zespołów.

Pamiętaj, że dobrze prowadzona współpraca z dostawcami to nie tylko wymóg regulacyjny, ale inwestycja w odporność Twojej organizacji.

7. Polska i Europa – EBA, KNF i narastająca presja regulacyjna

EBA dopiero planuje wdrożyć nowe wytyczne, integrując je z DORA. Od przyjęcia finalnej wersji będą jeszcze 2-3 lata na dostosowanie się. W Polsce? DORA przyniosła nam pewną ulgę – mam tutaj na myśli komunikat chmurowy.

Podsumowanie – czego lepiej nie pomijać?

• EBA planuje zmienić zasady z outsourcingu klasycznego na szerokie Third-Party Arrangements, rozszerzając zakres kontroli.
• Zarządzanie ryzykiem wymaga holistycznego podejścia na poziomie funkcji i procesów i realnego zrozumienia, które umowy mogą wpływać na cyberodporność oraz ogólne ryzyko organizacji.
• Rejestr TPA powinien być jednolity, aktualny i przejrzysty.
• Podoutsourcing to ciągły obowiązek monitoringu, nie formalność.
• Firmy IT i cyber muszą być gotowe na coraz wymagające audyty.

Co robić dalej?

• Przymierz się do analizy wszystkich podmiotów zewnętrznych na liście umów i zaklasyfikuj je według nowych kryteriów.
• Opracuj plan aktualizacji procesów i umów – nie zostawiaj tego na ostatnią chwilę.
• Zacznij budować dialog z klientami i dostawcami – transparentność i zaufanie są teraz kluczowe.
• Zainwestuj w szkolenia i rozwiązania IT do zarządzania rejestrem TPA.

Jeśli Compliance i outsourcing to dla Ciebie nowość, nie panikuj – to nie rocket science, tylko przemyślana współpraca.

Zapraszam do subskrypcji newslettera The Essence oraz mojego kanału YouTube Łukasz Masztalerz, gdzie na luzie rozmawiam o IT, cyberbezpieczeństwie i compliance.

A jeśli potrzebujesz wsparcia w audycie lub wdrożeniu nowych wymogów, napisz do mnie – kontakt znajdziesz na tej stronie.

materiały do dalszej lektury

1. EBA – Wytyczne w sprawie outsourcingu (2019 i projekt 2025)
2. PwC: Nowe wytyczne EBA dotyczące ryzyka dostawców
3. EY: Outsourcing bankowy – nowe podejście
4. Deloitte – Zarządzanie współpracą z dostawcami
5. i oczywiście ten blog, np. Dostawca usług IT nie chce zawrzeć aneksu DORA.