W dobie dynamicznego rozwoju technologii informacyjnej i komunikacyjnej (ICT), umowy regulujące świadczenie usług w tym obszarze stają się coraz bardziej złożone. W odpowiedzi na rosnące potrzeby rynku oraz wyzwania związane z bezpieczeństwem danych, Unia Europejska wprowadza nowe regulacje, które mają na celu uproszczenie i standaryzację umów ICT. Rozporządzenie (UE) 2022/2554 DORA oraz jego uzupełnienie, Rozporządzenie Delegowane Komisji Unii Europejskiej 2024/1773, wprowadzają regulacyjne standardy techniczne, które mają na celu zapewnienie bezpieczeństwa i ciągłości działania instytucji finansowych korzystających z usług ICT.
Niniejszy artykuł ma na celu przedstawienie kluczowych aspektów Rozporządzenia 2024 / 1773 oraz dostarczenie praktycznych wskazówek dla instytucji finansowych w zakresie wdrażania jego wymogów.
Kluczowe informacje warte zapamiętania dotyczące: Rozporządzenie UE dla standardów umów ICT 1773/2024 w kontekście DORA:
- Szerszy zakres: obejmuje wszystkich zewnętrznych dostawców usług ICT, w tym dostawców wewnątrz grupy i podwykonawców.
- Bardziej szczegółowe wymagania: dokładne określenie treści polityki w zakresie usług ICT, szczegółowe wytyczne dotyczące oceny ryzyka i należytej staranności.
- Większy nacisk na monitorowanie: regularne przeglądy i testy planów wyjścia, ścisłe monitorowanie wyników dostawców, wdrożenie mechanizmów kontroli jakości.
Historia regulacji dotyczących umów ICT w UE
Regulacje dotyczące umów ICT w Unii Europejskiej mają swoje korzenie w potrzebie ochrony konsumentów oraz zapewnienia bezpieczeństwa transakcji. Z biegiem lat, wraz z rozwojem technologii, pojawiły się nowe wyzwania związane z ochroną danych, bezpieczeństwem systemów oraz przejrzystością kosztów. Dotychczasowe przepisy często okazywały się niewystarczające, co prowadziło do wzrostu liczby sporów między dostawcami a klientami.
Rozporządzenie DORA ustanawia ramy operacyjnej odporności cyfrowej, wymagając od podmiotów finansowych określenia zasad zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT. Uzupełniające Rozporządzenie Delegowane Komisji (UE) 2024/1773 doprecyzowuje szczegółową treść polityki w zakresie ustaleń umownych. Regulacje te są odpowiedzią na rosnące zagrożenia cyfrowe i mają na celu ochronę sektora finansowego przed zakłóceniami w świadczeniu usług ICT.
Rozporządzenie UE dla standardów umów ICT 2024/1773 – kluczowe zagadnienia
Rozporządzenie Delegowane Komisji (UE) 2024/1773 wprowadza szereg kluczowych zagadnień dotyczących korzystania przez instytucje finansowe z usług ICT świadczonych przez zewnętrznych dostawców. Główne cele Rozporządzenia:
- Zwiększenie bezpieczeństwa i odporności cyfrowej sektora finansowego: Celem nadrzędnym jest minimalizacja ryzyka związanego z uzależnieniem instytucji finansowych od zewnętrznych dostawców usług ICT, które wspierają krytyczne lub istotne funkcje.
- Standaryzacja i ujednolicenie zasad współpracy: Wprowadzenie jednolitych ram regulacyjnych dla wszystkich instytucji finansowych w UE, dotyczących zawierania umów z zewnętrznymi dostawcami usług ICT. Standaryzacja umów pozwoli na szybsze i bardziej efektywne zawieranie kontraktów. Dzięki jednolitym wzorom umownym, mniejsze firmy będą mogły łatwiej konkurować na rynku, eliminując niektóre bariery wejścia. Przejrzystość warunków umowy ułatwi także klientom podejmowanie decyzji oraz porównywanie ofert różnych dostawców.
- Wzmocnienie nadzoru i kontroli: Zapewnienie instytucjom finansowym i organom nadzoru skutecznych narzędzi do kontroli nad działalnością zewnętrznych dostawców usług ICT.
- Uwzględnienie specyfiki różnych podmiotów: Rozporządzenie uwzględnia zróżnicowanie instytucji finansowych pod względem wielkości, struktury i złożoności działalności, a także charakteru usług ICT, z których korzystają.
Wdrożenie wymogów tego rozporządzenia wymaga od instytucji finansowych podjęcia szeregu działań, w tym:
- Opracowania i wdrożenia kompleksowej polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców.
- Przeprowadzenia gruntownej oceny ryzyka przed zawarciem umowy z każdym dostawcą.
- Dokładnego wyboru i weryfikacji dostawców w ramach procesu należytej staranności.
- Zawarcia szczegółowych umów regulujących prawa i obowiązki obu stron.
- Bieżącego monitorowania umów i oceny wyników dostawców.
- Opracowania i testowania planów wyjścia dla każdej umowy.
Kluczowe elementy polityki zarządzania ryzykiem związanym z ICT
Rozporządzenie Delegowane Komisji (UE) 2024/1773 kładzie silny nacisk na kwestie zarządzania ryzykiem związanym z korzystaniem przez instytucje finansowe z usług ICT świadczonych przez zewnętrznych dostawców.
Zarządzanie ryzykiem w kontekście usług ICT powinno być rozumiane w sposób kompleksowy, obejmując wszystkie etapy cyklu życia umowy z zewnętrznym dostawcą: od planowania i wyboru dostawcy, przez wdrożenie i monitorowanie umowy, aż po ewentualne wyjście z niej.
Artykuł 5 Rozporządzenia 2024/1773 nakazuje instytucjom finansowym przeprowadzenie oceny ryzyka przed zawarciem umowy z zewnętrznym dostawcą usług ICT. Ocena ta powinna uwzględniać wszystkie rodzaje ryzyka związane z outsourcingiem usług ICT, w tym:
- Ryzyka operacyjne: np. awarie systemów, błędy ludzkie, ataki cybernetyczne.
- Ryzyka prawne: np. naruszenie przepisów o ochronie danych osobowych, odpowiedzialność za działania podwykonawców.
- Ryzyka związane z ICT: np. utrata danych, brak dostępności systemów, zagrożenia dla bezpieczeństwa informacji.
- Ryzyka utraty reputacji: np. negatywny wpływ na wizerunek instytucji finansowej w wyniku incydentu bezpieczeństwa u dostawcy usług ICT.
- Ryzyka związane z ochroną danych: np. nieautoryzowany dostęp do danych, utrata danych, naruszenie poufności, w tym zgodność z RODO.
- Ryzyka związane z dostępnością danych: np. przerwy w dostępie do systemów i danych, uniemożliwiające świadczenie usług finansowych.
- Ryzyka związane z miejscem przetwarzania i przechowywania danych: np. ryzyko związane z transferem danych do państw trzecich, o odmiennych standardach ochrony danych.
- Ryzyka związane z siedzibą dostawcy usług ICT: np. ryzyko polityczne, gospodarcze lub prawne w kraju, w którym działa dostawca.
- Ryzyka koncentracji w obszarze ICT: np. nadmierne uzależnienie od jednego dostawcy usług ICT.
Artykuł 6 Rozporządzenia 2024/1773 podkreśla odpowiedzialność organu zarządzającego instytucji finansowej za skuteczne zarządzanie ryzykiem związanym z korzystaniem z usług ICT świadczonych przez zewnętrznych dostawców. Organ ten jest zobowiązany do:
- Ustalenia polityki w zakresie korzystania z usług ICT: Polityka ta powinna określać ramy zarządzania ryzykiem, procedury wyboru dostawców, wymogi dotyczące umów, a także zasady monitorowania i kontroli.
- Zapewnienia odpowiednich zasobów: Organ zarządzający musi zapewnić odpowiednie zasoby finansowe, ludzkie i techniczne do wdrożenia i monitorowania polityki w zakresie usług ICT.
- Nadzoru nad wdrażaniem polityki: Organ zarządzający jest odpowiedzialny za nadzór nad wdrażaniem polityki w zakresie usług ICT i zapewnienie jej skuteczności.
Podmioty finansowe muszą przyjąć strategię dotyczącą ryzyka związanego z zewnętrznymi dostawcami usług ICT, która obejmuje politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje. Polityka powinna jasno określać wewnętrzne obowiązki w zakresie zatwierdzania ustaleń umownych oraz zarządzania nimi.
Zarządzanie ryzykiem związanym z usługami ICT to proces ciągły, wymagający regularnej ewaluacji i usprawniania stosowanych metod i procedur. Instytucja finansowa powinna stale dostosowywać swoje podejście do zmieniających się warunków rynkowych, technologicznych i regulacyjnych.
Dokumentacja jest kluczowym elementem zarządzania ustaleniami umownymi. Polityka powinna określać wymogi dotyczące prowadzenia rejestrów i dokumentacji związanej z ustaleniami umownymi.
Etapy cyklu życia umowy z dostawcą ICT
Rozporządzenie 2024/1773 kładzie silny nacisk na zarządzanie ryzykiem w całym cyklu życia umowy z zewnętrznymi dostawcami usług ICT. Dokument ten nie definiuje sztywno etapów cyklu życia umowy, ale wskazuje na kluczowe elementy, które powinny być brane pod uwagę na każdym etapie.
Artykuł 4 wskazuje na konieczność uwzględnienia w polityce instytucji finansowej wymogów dla każdego głównego etapu cyklu życia umowy, obejmujących co najmniej:
- Obowiązki organu zarządzającego: Na każdym etapie organ zarządzający instytucji finansowej ponosi odpowiedzialność za nadzór i podejmowanie kluczowych decyzji, w tym dotyczących wyboru dostawcy, zatwierdzania umowy i monitorowania jej realizacji.
- Planowanie ustaleń umownych: Etap ten obejmuje ocenę ryzyka, proces due diligence (należytej staranności) oraz proces zatwierdzania nowych lub istotnych zmian w umowie.
- Zaangażowanie jednostek: W proces zarządzania umową powinny być zaangażowane odpowiednie jednostki instytucji finansowej, takie jak jednostki kontroli wewnętrznej, bezpieczeństwa informacji i zarządzania ryzykiem.
- Wdrażanie i monitorowanie: Po zawarciu umowy instytucja finansowa musi monitorować jej realizację, weryfikować zgodność z ustaleniami i reagować na ewentualne problemy.
- Dokumentacja i rejestry: Instytucja finansowa zobowiązana jest do prowadzenia dokumentacji i rejestrów dotyczących umowy, w tym rejestru informacji o zewnętrznych dostawcach usług ICT.
- Strategie wyjścia i procesy wypowiedzenia: Instytucja finansowa musi opracować plan awaryjny na wypadek konieczności zakończenia współpracy z dostawcą usług ICT.
Należyta staranność w kontekście Rozporządzenia 2024/1773
Należyta staranność (Due Diligence) to kluczowy proces w kontekście wyboru i oceny zewnętrznych dostawców usług ICT przez instytucje finansowe, który jest szczegółowo opisany w Rozporządzeniu Delegowanym Komisji (UE) 2024/1773.
Należyta staranność jest niezbędnym elementem zapewnienia bezpieczeństwa i odporności cyfrowej instytucji finansowej. Dokładne przeprowadzenie tego procesu pozwala zminimalizować ryzyko związane z korzystaniem z usług zewnętrznych dostawców ICT oraz zbudować silne i bezpieczne relacje biznesowe.
Artykuł 6 jasno wskazuje na obowiązek instytucji finansowych do przeprowadzenia należytej staranności przed zawarciem umowy z jakimkolwiek zewnętrznym dostawcą usług ICT. Niezależnie od wielkości dostawcy czy zakresu świadczonych usług, instytucja finansowa musi zweryfikować jego wiarygodność i zdolność do zapewnienia bezpieczeństwa i ciągłości działania.
Czym jest należyta staranność?
Należyta staranność to kompleksowe badanie i ocena potencjalnych partnerów biznesowych (zewnętrznych dostawców usług ICT), od których instytucje finansowe uzależniają realizację krytycznych lub istotnych funkcji., mające na celu zminimalizowanie ryzyka związanego z nawiązaniem współpracy.
Kryteria oceny w procesie należytej staranności
Źródła wskazują na szereg kryteriów, które instytucje finansowe powinny uwzględnić w procesie oceny potencjalnego dostawcy usług ICT. Najważniejsze z nich to:
- Reputacja biznesowa: Instytucja finansowa powinna zbadać historię działalności dostawcy, jego doświadczenie w branży, referencje od innych klientów.
- Zasoby finansowe, ludzkie i techniczne: Należy zweryfikować stabilność finansową dostawcy, jego możliwości kadrowe i infrastrukturę techniczną, aby upewnić się, że jest on w stanie sprostać wymaganiom instytucji finansowej.
- Standardy bezpieczeństwa informacji: Kluczowe znaczenie ma ocena stosowanych przez dostawcę standardów bezpieczeństwa informacji, polityk bezpieczeństwa, procedur reagowania na incydenty, certyfikatów bezpieczeństwa.
- Struktura organizacyjna, mechanizmy zarządzania ryzykiem i kontroli wewnętrznej: Instytucja finansowa powinna przeanalizować strukturę organizacyjną dostawcy, jego podejście do zarządzania ryzykiem, system kontroli wewnętrznej, aby ocenić jego dojrzałość w tym obszarze.
- Zgodność z licencjami i zezwoleniami: Należy sprawdzić, czy dostawca posiada wszystkie niezbędne licencje i zezwolenia do świadczenia usług ICT w danym kraju.
- Etyka i odpowiedzialność społeczna: Źródła podkreślają również znaczenie aspektów etycznych i społecznej odpowiedzialności biznesu. Instytucja finansowa powinna zweryfikować, czy dostawca działa w sposób etyczny, przestrzega praw człowieka, dba o środowisko naturalne.
Poziom pewności
Istotnym elementem należytej staranności jest określenie wymaganego poziomu pewności co do skuteczności ram zarządzania ryzykiem u dostawcy usług ICT. Im wyższy poziom ryzyka związany z korzystaniem z usług danego dostawcy, tym wyższy poziom pewności powinna uzyskać instytucja finansowa.
Aby osiągnąć wymagany poziom pewności, instytucja finansowa może korzystać z różnych metod, takich jak:
- Audyty: Przeprowadzenie audytów u dostawcy, zarówno przez własne służby, jak i przez niezależne firmy audytorskie.
- Analiza dokumentacji: Weryfikacja polityk bezpieczeństwa, procedur, certyfikatów dostawcy.
- Referencje: Zbieranie informacji od innych klientów dostawcy.
- Testy penetracyjne: Przeprowadzenie testów penetracyjnych systemów informatycznych dostawcy.
Instytucja finansowa zobowiązana jest do dokumentowania całego procesu należytej staranności. Dokumentacja ta powinna zawierać opis przeprowadzonych działań, zebrane informacje, wyniki oceny, uzasadnienie wyboru danego dostawcy.
Konflikty interesów w Rozporządzeniu 2024/1773
Rozporządzenie 2024/1773 kładzie nacisk na transparentność i obiektywizm w relacjach z zewnętrznymi dostawcami usług ICT. Instytucje finansowe mają obowiązek identyfikować, zapobiegać i zarządzać konfliktami interesów, aby zapewnić bezpieczeństwo i odporność cyfrową sektora finansowego.
Artykuł 7 Rozporządzenia 2024/1773 koncentruje się na identyfikacji, zapobieganiu i zarządzaniu konfliktami interesów w relacji z zewnętrznymi dostawcami usług ICT.
Artykuł 7 ust. 1 nakłada na instytucje finansowe obowiązek określenia w swojej polityce odpowiednich środków służących:
- Identyfikacji faktycznych lub potencjalnych konfliktów interesów wynikających z korzystania z usług zewnętrznych dostawców usług ICT.
- Zapobieganiu tym konfliktom.
- Zarządzaniu nimi.
Środki te powinny być wdrożone przed zawarciem odpowiednich ustaleń umownych, a instytucja finansowa musi zapewnić bieżące monitorowanie takich konfliktów interesów.
Artykuł 7 ust. 2 skupia się na specyficznej sytuacji, gdy usługi ICT wspierające krytyczne lub istotne funkcje są świadczone przez dostawców usług ICT wewnątrz grupy. W takim przypadku polityka instytucji finansowej musi wyraźnie określać, że decyzje dotyczące warunków świadczenia usług ICT, w tym warunków finansowych, mają być podejmowane obiektywnie.
Chociaż Rozporządzenie 2024/1773 nie definiuje precyzyjnie rodzajów konfliktów interesów, możemy wskazać kilka przykładowych sytuacji, które mogłyby stanowić konflikt interesów:
- Sytuacja, w której członek organu zarządzającego instytucji finansowej ma powiązania finansowe z zewnętrznym dostawcą usług ICT.
- Sytuacja, w której zewnętrzny dostawca usług ICT świadczy usługi dla konkurencyjnej instytucji finansowej.
- Sytuacja, w której zewnętrzny dostawca usług ICT jest jednocześnie dostawcą usług dla instytucji finansowej i jej klienta.
Klauzule umowne w Rozporządzeniu 2024/1773
Klauzule umowne odgrywają kluczową rolę w zapewnieniu bezpieczeństwa i odporności cyfrowej instytucji finansowej. Szczegółowe i precyzyjne klauzule, uwzględniające wszystkie aspekty współpracy z zewnętrznym dostawcą usług ICT, minimalizują ryzyko i tworzą solidne podstawy dla bezpiecznej i efektywnej współpracy oraz stanowią formalną podstawę współpracy.
Artykuł 8 Rozporządzenia 2024/1773 precyzuje, że każda umowa z zewnętrznym dostawcą usług ICT musi mieć formę pisemną i zawierać wszystkie elementy określone w Artykule 30 ust. 2 i 3 Rozporządzenia (UE) 2022/2554. Dodatkowo, klauzule umowne powinny uwzględniać wymogi określone w Artykule 1 ust. 1 lit. a) Rozporządzenia (UE) 2022/2554, a także innych stosownych przepisów unijnych i krajowych.
Istotnym elementem klauzul umownych jest zagwarantowanie instytucji finansowej prawa do dostępu do informacji, przeprowadzania inspekcji i audytów oraz testów w odniesieniu do ICT u dostawcy usług.
W celu realizacji tych uprawnień instytucja finansowa może stosować różne metody, takie jak:
- Własny audyt wewnętrzny lub audyt przeprowadzany przez wyznaczoną osobę trzecią.
- Audyty zbiorcze i zbiorcze testy ICT, w tym testy penetracyjne, organizowane wspólnie z innymi instytucjami korzystającymi z usług tego samego dostawcy.
- Certyfikaty wydane przez osoby trzecie.
- Sprawozdania z audytu wewnętrznego lub audytu prowadzonego przez osobę trzecią, udostępnione przez dostawcę usług ICT.
Należy jednak pamiętać, że instytucja finansowa nie może polegać wyłącznie na certyfikatach lub sprawozdaniach z audytu dostarczonych przez dostawcę. Artykuł 8 ust. 3 Rozporządzenia 2024/1773 określa szereg warunków, które muszą być spełnione, aby instytucja mogła korzystać z tych metod.
Każda istotna zmiana w umowie z dostawcą usług ICT musi być formalnie udokumentowana w formie pisemnej i podpisana przez obie strony. Klauzule umowne powinny również określać proces przedłużenia obowiązywania umowy.
Klauzule umowne powinny precyzować środki i kluczowe wskaźniki służące bieżącemu monitorowaniu wyników dostawcy usług ICT. Należy monitorować w szczególności:
- Przestrzeganie wymogów dotyczących poufności, dostępności, integralności i autentyczności danych i informacji.
- Przestrzeganie przez dostawcę odpowiednich polityk i procedur instytucji finansowej.
Umowa powinna również określać środki mające zastosowanie w przypadku niewywiązania się z postanowień umów o gwarantowanym poziomie usług, w tym kary umowne.
Monitorowanie i wyjście z umowy w Rozporządzeniu 2024/1773
Monitorowanie umów i planowanie wyjścia z nich stanowią kluczowe elementy zapewnienia operacyjnej odporności cyfrowej instytucji finansowej. Przemyślane i dobrze udokumentowane procedury pozwalają zminimalizować ryzyko związane z korzystaniem z usług zewnętrznych dostawców ICT i zapewnić ciągłość działania w przypadku wystąpienia problemów.
Monitorowanie umów ICT
Artykuł 9 Rozporządzenia 2024/1773 nakłada na instytucje finansowe obowiązek bieżącego monitorowania wyników zewnętrznych dostawców usług ICT. W tym celu umowy z dostawcami powinny określać kluczowe wskaźniki (KPI) oraz środki służące ocenie ich efektywności i zgodności z wymaganiami. Kluczowe elementy monitorowania:
- Poufność, dostępność, integralność i autentyczność danych: Instytucja finansowa musi monitorować, czy dostawca usług ICT przestrzega zasad bezpieczeństwa informacji i zapewnia odpowiedni poziom ochrony danych.
- Zgodność z politykami i procedurami: Dostawca usług ICT musi działać zgodnie z politykami i procedurami instytucji finansowej, w tym w zakresie bezpieczeństwa informacji, zarządzania ryzykiem i ciągłości działania.
- Raportowanie: Umowa powinna zobowiązywać dostawcę do regularnego raportowania o swojej działalności, w tym o incydentach bezpieczeństwa, testach ciągłości działania i innych istotnych kwestiach.
- Audyty i przeglądy: Instytucja finansowa ma prawo do przeprowadzania audytów i przeglądów u dostawcy usług ICT w celu weryfikacji jego zgodności z umową i obowiązującymi przepisami.
W przypadku stwierdzenia niedociągnięć ze strony dostawcy usług ICT, instytucja finansowa powinna podjąć odpowiednie środki, w tym nałożyć kary umowne. Umowa powinna precyzyjnie określać te środki i kary.
Wyjście z umowy ICT (Plan wyjścia)
Artykuł 10 Rozporządzenia 2024/1773 zobowiązuje instytucje finansowe do opracowania udokumentowanego planu wyjścia dla każdej umowy z zewnętrznym dostawcą usług ICT. Plan ten ma zapewnić bezpieczne i efektywne zakończenie współpracy z dostawcą w różnych scenariuszach, takich jak:
- Nieprzewidziane i trwałe przerwy w świadczeniu usług.
- Niewłaściwe świadczenie usług lub brak świadczenia usług.
- Niespodziewane wypowiedzenie umowy przez dostawcę.
Elementy planu wyjścia:
- Scenariusze: Plan powinien uwzględniać różne możliwe scenariusze wyjścia z umowy i określać działania do podjęcia w każdej sytuacji.
- Harmonogram: Należy ustalić realistyczny harmonogram wdrożenia planu, uwzględniając czas potrzebny na przeniesienie usług do innego dostawcy lub wewnątrz organizacji.
- Zasoby: Plan powinien określać zasoby ludzkie, finansowe i techniczne niezbędne do realizacji planu.
- Procedury: Należy opracować szczegółowe procedury postępowania w przypadku konieczności wdrożenia planu wyjścia.
- Komunikacja: Plan powinien uwzględniać kwestie komunikacji z dostawcą usług ICT, klientami, pracownikami i innymi interesariuszami.
Instytucje finansowe są zobowiązane do regularnego testowania swoich planów wyjścia i aktualizowania ich w miarę potrzeb, aby zapewnić ich adekwatność i skuteczność.
Wpływ na sektor ICT
Wprowadzenie Rozporządzenia 2024/1773 ma potencjał znacząco wpłynąć na sektor ICT w Europie.
Dostawcy usług ICT będą musieli dostosować swoje praktyki do nowych regulacji, co może wiązać się z dodatkowymi kosztami związanymi z wdrażaniem nowych standardów. Jednakże długofalowo może to przynieść korzyści w postaci większego zaufania ze strony klientów oraz lepszej reputacji na rynku.
Mniejsze firmy mogą skorzystać na standaryzacji umów, która ułatwi im konkurowanie z większymi graczami rynkowymi. Z drugiej strony, mogą napotkać trudności związane z koniecznością dostosowania się do nowych wymogów prawnych oraz inwestycji w zabezpieczenia danych.
Przyszłość regulacji umów ICT w UE
W miarę jak technologia będzie się rozwijać, regulacje dotyczące umów ICT również będą musiały ewoluować.
Można spodziewać się dalszych zmian w przepisach dotyczących ochrony danych oraz bezpieczeństwa systemów informatycznych. W miarę jak nowe technologie stają się powszechne, takich jak sztuczna inteligencja czy blockchain, regulacje będą musiały uwzględniać te innowacje.
Przykładowo, rozwój technologii chmurowych może wymagać dodatkowych regulacji dotyczących przechowywania danych oraz ich transferu między różnymi jurysdykcjami. Wprowadzenie nowych standardów będzie kluczowe dla zapewnienia bezpieczeństwa i ochrony prywatności użytkowników.
Podsumowanie
Rozporządzenie 2024/1773 stanowi istotny krok w kierunku modernizacji i harmonizacji regulacji dotyczących umów ICT w Unii Europejskiej. Kluczowe zmiany obejmują standaryzację umów, zwiększoną ochronę danych osobowych, odpowiedzialność dostawców za bezpieczeństwo oraz przejrzystość kosztów. Te zmiany mają potencjał przynieść korzyści zarówno dla dostawców usług ICT, jak i ich klientów, przyczyniając się do rozwoju rynku cyfrowego w Europie. W miarę jak technologia będzie się rozwijać, należy spodziewać się dalszych zmian w regulacjach, które będą musiały odpowiadać na nowe wyzwania i możliwości pojawiające się w obszarze technologii informacyjnej i komunikacyjnej.