Umowy z kluczowymi dostawcami usług ICT są kluczowym elementem zarządzania ryzykiem w sektorze finansowym. Właściwe ustalenia umowne pomagają w zapewnieniu ciągłości działania, bezpieczeństwa danych oraz zgodności z regulacjami. W artykule omówione zostały zasady, które powinny być uwzględnione w umowach z kluczowymi dostawcami usług ICT, zgodnie z regulacjami i najlepszymi praktykami.
Kluczowe informacje warte zapamiętania dotyczące umowy z kluczowymi dostawcami usług ICT:
- Umowy z kluczowymi dostawcami usług ICT muszą zawierać precyzyjne postanowienia dotyczące poziomów usług, dostępności i jakości, aby minimalizować ryzyko zakłóceń w świadczeniu usług.
- Regulacje DORA wymagają, aby zarządzanie ryzykiem ICT było integralną częścią strategii operacyjnej podmiotów finansowych, obejmując identyfikację, klasyfikację i dokumentowanie funkcji wspieranych przez ICT oraz regularny przegląd ryzyk.
- Umowy z kluczowymi dostawcami usług ICT muszą zawierać szczegółowe postanowienia dotyczące gwarantowanych poziomów usług, aby zapewnić ciągłość działania i minimalizację ryzyk związanych z zakłóceniami.
- Dostawcy usług ICT są zobowiązani do umożliwienia audytów i regularnego raportowania o stanie usług, a właściwe organy nadzoru powinny mieć dostęp do informacji dotyczących umów i działań dostawców.
Specyfikacja funkcji i usług kluczowych dostawców usług ICT w sektorze finansowym
Specyfikacja funkcji i usług świadczonych przez kluczowych dostawców usług ICT jest kluczowym elementem umów oraz zarządzania ryzykiem. Odpowiednia specyfikacja pozwala na zrozumienie, jakie usługi są krytyczne dla działalności podmiotów finansowych oraz jakie ryzyka mogą się z nimi wiązać. Poniżej przedstawiam kluczowe aspekty dotyczące specyfikacji funkcji i usług.
Elementy specyfikacji funkcji i usług
Umowa musi zawierać szczegółowe informacje o zakresie usług ICT świadczonych przez dostawcę, w tym o funkcjach, procesach i systemach, które będą obsługiwane. Umowa powinna precyzować lokalizację, w której usługi są świadczone i dane przetwarzane. Ma to szczególne znaczenie w kontekście przepisów o ochronie danych osobowych i wymogów regulacyjnych. DORA wymaga precyzyjnego określenia gwarantowanych poziomów usług, w tym mierzalnych celów jakościowych i ilościowych. Ma to na celu zapewnienie odpowiedniej jakości i wydajności usług ICT.
- Opis funkcji i usług – Umowy z kluczowymi dostawcami usług ICT powinny zawierać jasny i kompletny opis wszystkich funkcji i usług, które mają być świadczone. Opis ten powinien obejmować:
- Rodzaj świadczonych usług: Jakie konkretne usługi ICT będą dostarczane.
- Miejsca świadczenia usług: Regiony lub kraje, w których będą świadczone usługi oraz przetwarzane dane.
- Gwarantowane poziomy usług (SLA) – Umowy powinny określać gwarantowane poziomy usług, które dostawca zobowiązuje się utrzymać. Powinny one obejmować:
- Dostępność usług: Procentowy czas, w którym usługi będą dostępne.
- Czas reakcji: Maksymalny czas, w jakim dostawca zareaguje na zgłoszenie incydentu.
- Cele jakościowe: Kryteria, które muszą być spełnione w zakresie jakości świadczonych usług.
Prawa dostępu, monitorowania i audytu
Instytucja finansowa musi mieć zagwarantowane nieograniczone prawa do monitorowania wyników dostawcy ICT. Obejmuje to prawo do przeprowadzania audytów, kontroli na miejscu i zdalnych, a także do uzyskiwania kopii dokumentacji.
Umowy powinny przewidywać prawa dostępu i audytu, które umożliwią podmiotom finansowym monitorowanie działalności dostawcy. Elementy te powinny obejmować:
- Prawo do audytu: Możliwość przeprowadzania audytów przez podmiot finansowy lub wyznaczone osoby trzecie.
- Zgłaszanie incydentów: Obowiązek dostawcy do informowania podmiotu finansowego o wszelkich incydentach związanych z usługami ICT.
Cykliczne raportowanie
Dostawcy powinni być zobowiązani do regularnego raportowania o stanie usług oraz wszelkich incydentach. Raporty te powinny być dostarczane w ustalonych terminach i powinny zawierać szczegółowe informacje na temat:
- Wydajności usług: Jakie poziomy usług zostały osiągnięte.
- Zgłoszonych incydentów: Jakie incydenty miały miejsce i jakie działania zostały podjęte w odpowiedzi.
Jasne opisy funkcji, gwarantowane poziomy usług, postanowienia dotyczące bezpieczeństwa oraz mechanizmy monitorowania i audytu są niezbędne dla zapewnienia operacyjnej odporności cyfrowej sektora finansowego. W obliczu rosnących zagrożeń związanych z cyberbezpieczeństwem, odpowiednia specyfikacja funkcji i usług staje się kluczowa dla stabilności i bezpieczeństwa systemu finansowego.
Postanowienia dotyczące bezpieczeństwa i ochrony danych
Konieczne są szczegółowe zapisy odnoszące się do bezpieczeństwa, dostępności, autentyczności, integralności i tajności danych. Umowa powinna określać standardy bezpieczeństwa oraz procedury reagowania na incydenty.
Umowa powinna gwarantować instytucji finansowej prawo do przeprowadzania audytów i kontroli u dostawcy ICT w celu weryfikacji jego procedur i mechanizmów bezpieczeństwa. W przypadku wystąpienia incydentu, instytucja powinna mieć nieograniczony dostęp do informacji i dokumentacji dotyczącej incydentu, w tym do logów systemowych, raportów z analizy i podjętych działań naprawczych.
Odpowiednie zabezpieczenia danych są niezbędne do ochrony informacji wrażliwych oraz zapewnienia ciągłości działania instytucji finansowych. Poniżej zamieszczone zostały kluczowe aspekty zabezpieczeń dotyczących danych, które powinny być uwzględnione w umowach z dostawcami usług ICT.
Ochrona danych osobowych
Dostawcy usług ICT muszą przestrzegać regulacji dotyczących ochrony danych osobowych, takich jak RODO. Umowy powinny zawierać postanowienia dotyczące:
- Zgody na przetwarzanie danych: Obowiązek uzyskania zgody od osób, których dane są przetwarzane.
- Przechowywania danych: Określenie, jak długo dane będą przechowywane oraz zasady ich usuwania.
Umowy powinny wymagać od dostawców wdrożenia polityk ochrony danych, które obejmują:
- Zasady bezpieczeństwa: Określenie środków technicznych i organizacyjnych mających na celu ochronę danych przed nieuprawnionym dostępem, utratą lub usunięciem.
- Szkolenia dla pracowników: Obowiązek przeprowadzania szkoleń dla pracowników dostawcy w zakresie ochrony danych.
Bezpieczeństwo danych w ICT
Umowy powinny określać mechanizmy zabezpieczeń, które dostawca musi wdrożyć, aby chronić dane, w tym:
- Szyfrowanie danych: Wymóg stosowania szyfrowania danych w trakcie przesyłania i przechowywania.
- Kontrola dostępu: Ustalenie zasad dotyczących dostępu do danych, w tym mechanizmów uwierzytelniania i autoryzacji.
Dostawcy powinni być zobowiązani do:
- Regularnego monitorowania: Utrzymywania systemów monitorujących, które będą wykrywać nieautoryzowany dostęp lub inne incydenty związane z bezpieczeństwem danych.
- Audytów bezpieczeństwa: Przeprowadzania regularnych audytów bezpieczeństwa, aby ocenić skuteczność wdrożonych zabezpieczeń.
Zarządzanie incydentami
Chociaż DORA nie precyzuje konkretnych klauzul umownych dotyczących zarządzania incydentami, jasno wynika z niej, że instytucja finansowa ponosi pełną odpowiedzialność za wykrywanie, zgłaszanie i rozwiązywanie incydentów, nawet jeśli usługi ICT są świadczone przez zewnętrznego dostawcę. Oznacza to, że umowa z dostawcą ICT powinna w jasny sposób określać jego rolę i obowiązki w procesie zarządzania incydentami, nie zwalniając jednak instytucji z ostatecznej odpowiedzialności.
Procedury zgłaszania incydentów
Umowy powinny zawierać szczegółowe procedury dotyczące zgłaszania incydentów związanych z bezpieczeństwem danych, w tym:
- Czas reakcji: Określenie maksymalnego czasu, w jakim dostawca musi zgłosić incydent podmiotowi finansowemu.
- Obowiązki informacyjne: Wymóg informowania o incydentach, które mogą mieć wpływ na bezpieczeństwo danych, w tym o naruszeniach danych osobowych.
Plany awaryjne
Dostawcy usług ICT powinni być zobowiązani do posiadania planów awaryjnych, które będą wdrażane w przypadku zakłóceń w świadczeniu usług. Plany te powinny obejmować:
- Procedury przywracania sprawności: Jak dostawca zamierza przywrócić usługi po incydencie.
- Testowanie planów awaryjnych: Regularne testowanie planów awaryjnych w celu zapewnienia ich skuteczności.
Umowa z dostawcą powinna zobowiązywać go do:
- Posiadania własnych planów ciągłości działania i przywracania sprawności, które są zgodne z planami instytucji finansowej.
- Uczestnictwa w testach planów ciągłości działania i przywracania sprawności przeprowadzanych przez instytucję.
- Zapewnienia odpowiedniego poziomu redundancji i kopii zapasowych dla krytycznych systemów i danych.
Ochrona przed ryzykiem zewnętrznym
Zabezpieczenia w przypadku podwykonawstwa
Umowy powinny zawierać postanowienia dotyczące zabezpieczeń w przypadku korzystania z podwykonawców, w tym:
- Wymogi dotyczące podwykonawców: Obowiązek zapewnienia, że podwykonawcy stosują odpowiednie zabezpieczenia danych.
- Monitorowanie podwykonawców: Ustalenie zasad monitorowania działań podwykonawców w zakresie ochrony danych.
Zabezpieczenia w przypadku migracji danych
W przypadku migracji danych do innych systemów lub dostawców, umowy powinny określać:
- Procedury migracji: Jakie środki zabezpieczające będą stosowane podczas migracji danych.
- Zarządzanie ryzykiem: Jakie ryzyka związane z migracją danych będą monitorowane i jak będą zarządzane.
Zabezpieczenia dotyczące danych są kluczowym elementem umów z kluczowymi dostawcami usług ICT. Odpowiednie postanowienia dotyczące ochrony danych osobowych, mechanizmów zabezpieczeń, zarządzania incydentami oraz ochrony przed ryzykiem zewnętrznym są niezbędne dla zapewnienia bezpieczeństwa informacji oraz ciągłości działania instytucji finansowych.
Obowiązki dostawcy usług ICT w kontekście regulacji DORA
W kontekście regulacji DORA, kluczowe jest, aby dostawcy usług ICT przestrzegali określonych klauzul umownych, które zapewniają bezpieczeństwo, ciągłość działania oraz zgodność z regulacjami. Poniżej znajdują się kluczowe klauzule umowne dotyczące obowiązków dostawcy usług ICT.
Gwarantowane poziomy usług (SLA)
Gwarantowane poziomy usług (SLA, ang. Service Level Agreements) są kluczowym elementem umów między podmiotami finansowymi a dostawcami usług ICT, szczególnie w kontekście regulacji DORA (Digital Operational Resilience Act). SLA definiują oczekiwania dotyczące jakości usług, które dostawca zobowiązuje się utrzymać, oraz mechanizmy monitorowania i egzekwowania tych zobowiązań. W umowie należy określić gwarantowane poziomy usług, w tym mierzalne cele jakościowe i ilościowe, aby zapewnić odpowiednią jakość i wydajność usług ICT.
Dostawcy usług ICT muszą określić i utrzymywać gwarantowane poziomy usług, które obejmują:
- Zakres usług: Jakie konkretne usługi będą świadczone przez dostawcę.
- Poziomy wydajności: Oczekiwane standardy dotyczące dostępności, wydajności i jakości usług.
- Dostępność usług: Procentowy czas, w którym usługi będą dostępne (np. 99,9% dostępności).
- Okresy przestoju: Określenie, jakie sytuacje mogą prowadzić do przestojów i jak będą one klasyfikowane (np. planowane przerwy serwisowe vs. awarie).
- Czas reakcji na incydenty: Jak szybko dostawca musi odpowiedzieć na zgłoszenie problemu (np. w ciągu 1 godziny).
- Czas rozwiązania problemu: Jak długo dostawca ma na rozwiązanie problemu, w zależności od jego krytyczności.
Postanowienia dotyczące incydentów
Umowy powinny przewidywać obowiązek regularnego raportowania, które obejmuje:
- Raporty o stanie usług: Dostawcy powinni regularnie dostarczać raporty dotyczące wydajności usług, w tym osiąganych poziomów usług oraz wszelkich incydentów.
- Zgłaszanie incydentów: Obowiązek dostawcy do informowania podmiotu finansowego o wszelkich incydentach związanych z bezpieczeństwem danych.
- Prawo do audytu: Umożliwienie podmiotowi finansowemu przeprowadzania audytów u dostawcy, aby ocenić zgodność z umową oraz regulacjami.
- Częstotliwość audytów: Określenie, jak często audyty będą przeprowadzane, w zależności od krytyczności usług.
Zarządzanie ryzykiem ICT
- Ocena ryzyka – Dostawcy usług ICT muszą regularnie przeprowadzać ocenę ryzyka związanych z ich usługami, w tym:
- Identyfikacja ryzyk: Zidentyfikowanie potencjalnych zagrożeń związanych z bezpieczeństwem danych i systemów ICT.
- Zarządzanie ryzykiem: Wdrożenie strategii zarządzania ryzykiem, które obejmują środki zapobiegawcze i plany awaryjne.
- Testowanie odporności – Dostawcy są zobowiązani do przeprowadzania regularnych testów odporności, które obejmują:
- Testy penetracyjne: Symulowanie ataków w celu oceny bezpieczeństwa systemów ICT.
- Testowanie planów awaryjnych: Regularne testowanie planów awaryjnych w celu zapewnienia ich skuteczności.
Rejestr umów dostawców usług ICT
Dostawcy usług ICT muszą prowadzić szczegółowy rejestr wszystkich umów zawartych z podmiotami usług finansowych, który powinien zawierać:
- Opis usług: Szczegółowe opisy świadczonych usług oraz ich krytyczność dla działalności finansowej.
- Warunki umowy: Ustalenia dotyczące poziomów usług, bezpieczeństwa danych oraz procedur zgłaszania incydentów.
Dokumentacja polityk i procedur
Ochrona danych, gwarantowanie poziomów usług, zarządzanie ryzykiem oraz utrzymywanie dokumentacji to podstawowe elementy, które dostawcy muszą spełniać, aby zapewnić operacyjną odporność cyfrową. Dostawcy są zobowiązani do dokumentowania wszystkich polityk i procedur związanych z bezpieczeństwem danych oraz zarządzaniem ryzykiem, co obejmuje:
- Polityki bezpieczeństwa: Opracowanie i aktualizacja polityk bezpieczeństwa danych.
- Procedury audytowe: Ustalenie procedur audytowych, które będą stosowane w celu oceny zgodności z regulacjami.
Klauzule dotyczące podwykonawstwa
Podwykonawstwo w kontekście usług ICT odnosi się do sytuacji, w której kluczowy dostawca usług ICT zleca część swoich obowiązków innym podmiotom. W sektorze finansowym, gdzie bezpieczeństwo i ciągłość działania są kluczowe, klauzule dotyczące podwykonawstwa w umowach z dostawcami usług ICT muszą być starannie sformułowane, aby zminimalizować ryzyko związane z outsourcingiem. Poniżej znajdują się kluczowe aspekty klauzul dotyczących podwykonawstwa.
- Wymóg uzyskania zgody – Umowy powinny zawierać klauzulę, która wymaga od dostawcy uzyskania zgody podmiotu finansowego przed zleceniem jakiejkolwiek części usług innemu podmiotowi. Taka klauzula powinna określać:
- Procedurę zgody: Jak dostawca powinien informować podmiot finansowy o zamiarze podwykonawstwa.
- Kryteria oceny: Jakie kryteria będą brane pod uwagę przy ocenie zgody na podwykonawstwo.
- Ograniczenia dotyczące podwykonawstwa – Umowy powinny również zawierać ograniczenia dotyczące podwykonawstwa, takie jak:
- Zakaz podwykonawstwa: W przypadku krytycznych lub istotnych funkcji, które nie mogą być zlecane innym podmiotom bez zgody.
- Wymogi dotyczące podwykonawców: Określenie, że podwykonawcy muszą spełniać te same standardy bezpieczeństwa i jakości, co główny dostawca.
- Odpowiedzialność solidarna za podwykonawców – Umowy powinny jasno określać, że kluczowy dostawca usług ICT ponosi pełną odpowiedzialność za działania swoich podwykonawców. Klauzula ta powinna obejmować:
- Odpowiedzialność za naruszenia: Jakiekolwiek naruszenia umowy przez podwykonawcę będą traktowane jako naruszenia umowy przez głównego dostawcę.
- Zobowiązania do naprawy: Obowiązek dostawcy do naprawienia wszelkich szkód wynikających z działań podwykonawców.
- Monitorowanie podwykonawców – Umowy powinny zawierać postanowienia dotyczące monitorowania działań podwykonawców, w tym:
- Prawo do audytu: Umożliwienie podmiotowi finansowemu przeprowadzania audytów u podwykonawców.
- Raportowanie: Obowiązek dostawcy do regularnego raportowania o działaniach podwykonawców oraz wszelkich incydentach związanych z ich działalnością.
- Ochrona danych osobowych – Umowy powinny zawierać klauzule dotyczące ochrony danych osobowych w kontekście podwykonawstwa, takie jak:
- Zobowiązania dotyczące ochrony danych: Wymóg, aby podwykonawcy przestrzegali regulacji dotyczących ochrony danych, takich jak RODO.
- Procedury w przypadku incydentów: Jak podwykonawcy będą informować głównego dostawcę o incydentach związanych z bezpieczeństwem danych.
- Plany awaryjne – Umowy powinny wymagać, aby podwykonawcy posiadali plany awaryjne, które będą wdrażane w przypadku zakłóceń w świadczeniu usług. Klauzula ta powinna obejmować:
- Procedury przywracania: Jak podwykonawcy zamierzają przywrócić usługi po incydencie.
- Testowanie planów awaryjnych: Regularne testowanie planów awaryjnych przez podwykonawców.
- Klauzule dotyczące wypowiedzenia umowy:
- Warunki wypowiedzenia – Umowy powinny zawierać klauzule dotyczące wypowiedzenia umowy w przypadku podwykonawstwa, takie jak:
- Okoliczności wypowiedzenia: Warunki, które mogą prowadzić do wypowiedzenia umowy z powodu niewłaściwego działania podwykonawcy.
- Minimalne okresy wypowiedzenia: Ustalenie minimalnych okresów wypowiedzenia umowy w przypadku podwykonawstwa.
- Zmiany w podwykonawstwie – Umowy powinny określać, że wszelkie zmiany w podwykonawstwie muszą być zgłaszane podmiotowi finansowemu, w tym:
- Informowanie o zmianach: Obowiązek dostawcy do informowania o wszelkich zmianach w podwykonawstwie, które mogą wpłynąć na świadczenie usług.
- Warunki wypowiedzenia – Umowy powinny zawierać klauzule dotyczące wypowiedzenia umowy w przypadku podwykonawstwa, takie jak:
Odpowiednie postanowienia dotyczące zgody na podwykonawstwo, odpowiedzialności za podwykonawców, zabezpieczeń dotyczących danych oraz warunków wypowiedzenia umowy są niezbędne dla zapewnienia bezpieczeństwa, ciągłości działania oraz zgodności z regulacjami w sektorze finansowym.
Klauzule dotyczące wypowiedzenia umowy dotyczące korzystania z usług ICT
Klauzule dotyczące wypowiedzenia umowy są kluczowym elementem umów z kluczowymi dostawcami usług ICT, szczególnie w sektorze finansowym, gdzie bezpieczeństwo i ciągłość działania są priorytetowe. Odpowiednie postanowienia dotyczące wypowiedzenia umowy pozwalają podmiotom finansowym na elastyczne zarządzanie relacjami z dostawcami oraz minimalizowanie ryzyk związanych z outsourcingiem.
Warunki wypowiedzenia umowy z dostawcą usług ICT
Umowy powinny zawierać szczegółowe warunki, które mogą prowadzić do wypowiedzenia umowy. Klauzula ta powinna obejmować:
- Poważne naruszenia: Określenie, jakie naruszenia umowy przez dostawcę mogą skutkować jej wypowiedzeniem, takie jak naruszenie przepisów prawa, warunków umowy lub standardów bezpieczeństwa.
- Zidentyfikowanie ryzyk: Okoliczności, które mogą wskazywać na zwiększone ryzyko związane z działalnością dostawcy, takie jak problemy z zarządzaniem ryzykiem ICT.
Umowy powinny określać minimalne okresy wypowiedzenia, które muszą być przestrzegane przez obie strony. Klauzula ta powinna zawierać:
- Czas na dostosowanie: Ustalenie, ile czasu dostawca ma na dostosowanie się do wypowiedzenia umowy, co pozwala na płynne przejście do innego dostawcy lub wewnętrznego rozwiązania.
- Okres przejściowy: Wymóg, aby dostawca kontynuował świadczenie usług przez określony czas po wypowiedzeniu umowy, aby zminimalizować zakłócenia w działalności podmiotu finansowego.
Klauzule dotyczące strategii wyjścia
Umowy powinny zawierać klauzule dotyczące strategii wyjścia, które powinny obejmować:
- Plany migracji: Jak podmiot finansowy zamierza przenieść usługi do innego dostawcy lub do wewnętrznych systemów.
- Zarządzanie danymi: Jakie środki zostaną podjęte w celu odzyskania danych i zapewnienia ich bezpieczeństwa w przypadku zakończenia współpracy z dostawcą.
Umowy powinny określać obowiązki dostawcy w przypadku wypowiedzenia umowy, takie jak:
- Współpraca w procesie migracji: Obowiązek dostawcy do współpracy z podmiotem finansowym w celu zapewnienia płynnego przejścia do innego dostawcy.
- Zabezpieczenie danych: Wymóg, aby dostawca zapewnił, że wszystkie dane będą odpowiednio zabezpieczone i przekazane podmiotowi finansowemu lub nowemu dostawcy.
Klauzule dotyczące wypowiedzenia w kontekście regulacji
Umowy powinny być zgodne z obowiązującymi regulacjami, które mogą wpływać na warunki wypowiedzenia umowy. Klauzula ta powinna obejmować:
- Przepisy dotyczące ochrony danych: Ustalenia dotyczące tego, jak dane będą przetwarzane i przekazywane w przypadku wypowiedzenia umowy, zgodnie z regulacjami takimi jak RODO.
- Obowiązki nadzorcze: Wymóg, aby dostawca przestrzegał wszelkich obowiązków nadzorczych w przypadku wypowiedzenia umowy.
Umowy powinny zawierać klauzule dotyczące wymogów raportowania w przypadku wypowiedzenia umowy, takie jak:
- Informowanie organów nadzoru: Obowiązek podmiotu finansowego do informowania odpowiednich organów nadzoru o wypowiedzeniu umowy oraz związanych z tym ryzykach.
- Dokumentacja: Wymóg, aby wszystkie działania związane z wypowiedzeniem umowy były odpowiednio dokumentowane.
Właściwe ustalenia dotyczące warunków zakończenia współpracy, minimalnych czasów wypowiedzenia, planów wyjścia oraz zgodności z przepisami są kluczowe dla zapewnienia bezpieczeństwa, ciągłości operacyjnej oraz zgodności z regulacjami w sektorze finansowym.
Strategie wyjścia
Dobrze opracowane strategie wyjścia umożliwiają podmiotom finansowym bezproblemowe przejście do innych dostawców lub do rozwiązań wewnętrznych w sytuacji zakończenia współpracy z zewnętrznym dostawcą.
Strategia wyjścia to zestaw planów i procedur, które określają, jak podmiot finansowy zamierza zakończyć współpracę z dostawcą usług ICT, w tym przenieść usługi do innego dostawcy lub do wewnętrznych systemów. Strategia ta powinna być dostosowana do specyfiki świadczonych usług oraz do charakterystyki podmiotu finansowego.
Kluczowe elementy strategii wyjścia
Umowy powinny zawierać szczegółowy plan migracji, który określa:
- Kroki migracji: Jakie konkretne działania będą podejmowane w celu przeniesienia usług do innego dostawcy lub do wewnętrznych systemów.
- Harmonogram migracji: Ustalenie terminów, w których poszczególne etapy migracji będą realizowane, aby zminimalizować zakłócenia w działalności podmiotu finansowego.
Umowy powinny przewidywać obowiązkowy okres przejściowy, w którym dostawca usług ICT będzie nadal świadczył odpowiednie usługi, aby:
- Zminimalizować ryzyko zakłóceń: Umożliwić podmiotowi finansowemu płynne przejście do innego dostawcy lub do wewnętrznych rozwiązań.
- Zachować ciągłość działania: Zapewnić, że kluczowe funkcje będą nadal działały bez zakłóceń podczas migracji.
Obowiązki dostawcy ICT w kontekście strategii wyjścia
Dostawcy usług ICT powinni być zobowiązani do:
- Współpracy z podmiotem finansowym: Umożliwienie płynnego przeniesienia usług, w tym udostępnienie niezbędnych informacji i zasobów.
- Zabezpieczenia danych: Zapewnienie, że wszystkie dane będą odpowiednio zabezpieczone i przekazane podmiotowi finansowemu lub nowemu dostawcy.
Dostawcy powinni być zobowiązani do:
- Informowania o incydentach: Zgłaszania wszelkich incydentów związanych z bezpieczeństwem danych, które mogą wystąpić w trakcie procesu migracji.
- Współpracy w przypadku audytów: Umożliwienie przeprowadzania audytów i kontroli przez podmiot finansowy lub odpowiednie organy nadzoru.
Zabezpieczenia dotyczące danych
Umowy powinny zawierać klauzule dotyczące ochrony danych osobowych w kontekście strategii wyjścia, takie jak:
- Zgoda na przetwarzanie danych: Ustalenie, jak dane będą przetwarzane i przekazywane w przypadku wypowiedzenia umowy, zgodnie z regulacjami takimi jak RODO.
- Procedury w przypadku incydentów: Jak dostawca będzie reagować na incydenty związane z bezpieczeństwem danych podczas migracji.
Dostawcy usług ICT powinni posiadać plany awaryjne, które będą wdrażane w przypadku zakłóceń w świadczeniu usług. Plany te powinny obejmować:
- Procedury przywracania: Jak dostawca zamierza przywrócić usługi po incydencie.
- Testowanie planów awaryjnych: Regularne testowanie planów awaryjnych, aby zapewnić ich skuteczność.
Klauzule dotyczące wypowiedzenia umowy
Umowy powinny zawierać szczegółowe warunki, które mogą prowadzić do wypowiedzenia umowy, takie jak:
- Poważne naruszenia: Określenie, jakie naruszenia umowy przez dostawcę mogą skutkować jej wypowiedzeniem.
- Minimalne okresy wypowiedzenia: Ustalenie minimalnych okresów wypowiedzenia umowy, które muszą być przestrzegane przez obie strony.
Umowy powinny zawierać klauzule dotyczące strategii wyjścia, które powinny obejmować:
- Obowiązki dostawcy: Wymóg, aby dostawca współpracował w procesie migracji i zapewnił odpowiednie zabezpieczenia danych.
- Zgłaszanie incydentów: Obowiązek dostawcy do informowania podmiotu finansowego o wszelkich incydentach związanych z usługami ICT.
Monitorowanie i audyt dostawcy ICT
Monitorowanie i audyt to istotne składniki zarządzania ryzykiem związanym z usługami ICT, zwłaszcza w branży finansowej, gdzie priorytetem jest bezpieczeństwo i nieprzerwana działalność. Właściwe mechanizmy śledzenia i kontroli umożliwiają podmiotom finansowym bieżącą ocenę ryzyka związanego z zewnętrznymi dostawcami usług ICT oraz zapewniają zgodność z przepisami.
Cel monitorowania i audytu
Monitorowanie i audyt mają na celu ocenę zgodności dostawców usług ICT z umowami oraz regulacjami, co obejmuje:
- Przestrzeganie warunków umowy: Upewnienie się, że dostawcy przestrzegają ustaleń dotyczących poziomów usług, bezpieczeństwa danych oraz procedur zgłaszania incydentów.
- Zgodność z regulacjami: Ocena, czy dostawcy przestrzegają obowiązujących regulacji dotyczących ochrony danych i zarządzania ryzykiem.
Monitorowanie i audyt pozwalają na identyfikację potencjalnych ryzyk związanych z działalnością dostawców, w tym:
- Zagrożenia dla bezpieczeństwa: Wykrywanie nieautoryzowanego dostępu, naruszeń danych oraz innych incydentów związanych z bezpieczeństwem.
- Problemy operacyjne: Identyfikacja problemów, które mogą wpłynąć na ciągłość działania usług ICT.
Mechanizmy monitorowania
Umowy z dostawcami usług ICT powinny przewidywać obowiązek regularnego raportowania, które obejmuje:
- Raporty o stanie usług: Dostawcy powinni regularnie dostarczać raporty dotyczące wydajności usług, w tym osiąganych poziomów usług oraz wszelkich incydentów.
- Zgłaszanie incydentów: Obowiązek dostawcy do informowania podmiotu finansowego o wszelkich incydentach związanych z bezpieczeństwem danych.
Podmioty finansowe powinny przeprowadzać audyty wewnętrzne i zewnętrzne, które obejmują:
- Audyt wewnętrzny: Regularne przeglądy wewnętrzne, które oceniają skuteczność systemów zarządzania ryzykiem związanym z ICT.
- Audyt zewnętrzny: Zlecanie audytów zewnętrznym firmom audytorskim w celu oceny zgodności z regulacjami oraz standardami branżowymi.
Klauzule dotyczące audytu w umowach
Umowy z dostawcami usług ICT powinny zawierać klauzule dotyczące prawa do audytu, które obejmują:
- Prawo do przeprowadzania audytów: Umożliwienie podmiotowi finansowemu przeprowadzania audytów u dostawcy, aby ocenić zgodność z umową oraz regulacjami.
- Zgłaszanie wyników audytów: Obowiązek dostawcy do informowania podmiotu finansowego o wynikach audytów oraz podejmowanych działaniach naprawczych.
Umowy powinny określać częstotliwość audytów, która powinna być dostosowana do:
- Krytyczności usług: Częstsze audyty dla usług uznawanych za krytyczne lub istotne dla działalności podmiotu finansowego.
- Profilu ryzyka: Dostosowanie częstotliwości audytów do ogólnego profilu ryzyka dostawcy oraz jego historii w zakresie przestrzegania regulacji.
Współpraca z organami nadzoru
Podmioty finansowe powinny współpracować z odpowiednimi organami nadzoru, co obejmuje:
- Przekazywanie wyników audytów: Umożliwienie organom nadzoru dostępu do wyników audytów oraz informacji dotyczących działalności dostawców.
- Informowanie o incydentach: Obowiązek zgłaszania organom nadzoru wszelkich poważnych incydentów związanych z ICT.
Podmioty finansowe powinny umożliwić organom nadzoru udział w audytach przeprowadzanych u dostawców usług ICT, co pozwala na:
- Zwiększenie transparentności: Umożliwienie organom nadzoru lepszego zrozumienia ryzyk związanych z działalnością dostawców.
- Współpracę w zakresie monitorowania: Umożliwienie organom nadzoru monitorowania działań dostawców w kontekście zarządzania ryzykiem związanym z ICT.
Podsumowanie
Zasady dotyczące umów z kluczowymi dostawcami usług ICT są kluczowe dla zapewnienia bezpieczeństwa, ciągłości działania oraz zgodności z regulacjami w sektorze finansowym. Odpowiednio skonstruowane umowy wspomagają kontrolę ryzyka związanego z zewnętrznymi usługodawcami, co jest kluczowe dla stabilności i zabezpieczenia systemu finansowego. W obliczu narastających niebezpieczeństw w sferze cyberbezpieczeństwa, instytucje finansowe muszą przykładać szczególną wagę do jakości i szczegółowości umów zawieranych z kluczowymi dostawcami rozwiązań informatycznych.
DORA zachęca do stosowania standardowych klauzul umownych opracowanych przez organy publiczne lub instytucje unijne, np. klauzule dla usług chmurowych. Użycie takich klauzul może zwiększyć pewność prawa i ułatwić proces negocjacji.