Rejestr dostawców usług ICT zgodny z DORA

Współczesny sektor finansowy podlega intensywnej transformacji cyfrowej. Technologie informacyjno-komunikacyjne (ICT) stały się fundamentem jego funkcjonowania, umożliwiając świadczenie szerokiej gamy usług i realizację złożonych operacji. Ten proces, choć nieunikniony i przynoszący liczne korzyści, wiąże się również z nowymi zagrożeniami dla bezpieczeństwa i stabilności całego sektora. Cyberataki, awarie systemów, a także zależność od zewnętrznych dostawców usług ICT to tylko niektóre z wyzwań, z którymi muszą mierzyć się instytucje finansowe.

Unia Europejska, dostrzegając wagę tych problemów, podjęła kroki w celu zwiększenia odporności operacyjnej sektora finansowego na zakłócenia w działaniu systemów ICT. Efektem tych działań jest Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, znane szerzej jako DORA (Digital Operational Resilience Act). Celem DORA jest ujednolicenie i podwyższenie standardów bezpieczeństwa ICT w sektorze finansowym, a tym samym zapewnienie jego stabilności i ciągłości działania w obliczu rosnących zagrożeń. Wśród kluczowych narzędzi wprowadzonych przez DORA znajduje się Rejestr Dostawców Usług ICT, który ma na celu zwiększenie transparentności i kontroli nad relacjami podmiotów finansowych z zewnętrznymi dostawcami usług ICT.

Kluczowe informacje warte zapamiętania – Rejestr dostawców usług ICT:

Reklama
  • Rejestr Dostawców Usług ICT to narzędzie ewidencjonowania umów z dostawcami usług ICT, służące do monitorowania zależności od tych dostawców i oceny związanego z nimi ryzyka.
  • Prowadzenie Rejestru jest obowiązkowe dla szerokiego spektrum podmiotów finansowych i obejmuje umowy dotyczące usług ICT wspierających krytyczne lub istotne funkcje.
  • Rejestr Dostawców Usług ICT stanowi cenne źródło informacji dla organów nadzoru, umożliwiając im lepszą ocenę ryzyka systemowego i skuteczniejsze monitorowanie przestrzegania przepisów DORA.

Rejestr Dostawców Usług ICT: definicja, cel i zakres

Rejestr Dostawców Usług ICT to centralna baza danych, w której instytucje finansowe gromadzą szczegółowe informacje o wszystkich swoich zewnętrznych dostawcach usług ICT. Obowiązek prowadzenia rejestru wynika z art. 28 Rozporządzenia DORA i ma na celu:

  • Zapewnienie przejrzystości i kontroli nad łańcuchem dostaw usług ICT: Rejestr pozwala instytucjom finansowym na identyfikację wszystkich podmiotów zaangażowanych w świadczenie usług ICT, w tym podwykonawców. Umożliwia to lepsze zrozumienie złożoności łańcucha dostaw i potencjalnych punktów krytycznych.
  • Usprawnienie zarządzania ryzykiem związanym z outsourcingiem: Informacje zgromadzone w rejestrze stanowią podstawę do przeprowadzenia kompleksowej analizy ryzyka związanego z outsourcingiem usług ICT. Pozwala to na opracowanie odpowiednich strategii i planów działania w celu minimalizacji tego ryzyka.
  • Wsparcie dla organów nadzoru: Rejestr Dostawców Usług ICT ułatwia organom nadzoru monitorowanie zależności instytucji finansowych od zewnętrznych dostawców usług ICT. Informacje z rejestru mogą być wykorzystane do oceny ryzyka systemowego i podejmowania działań nadzorczych w celu zapewnienia stabilności sektora finansowego.
Rejestr dostawców usług ICT zgodny z DORA

Obowiązek prowadzenia Rejestru wynika wprost z przepisów Rozporządzenia DORA i dotyczy szerokiego spektrum podmiotów finansowych, w tym m.in. instytucji kredytowych, firm inwestycyjnych, dostawców usług w zakresie kryptoaktywów, administratorów kluczowych wskaźników referencyjnych, itd.

Zgodnie z art. 28 ust. 3 rozporządzenia DORA, instytucje finansowe są zobowiązane do prowadzenia i aktualizowania na poziomie podmiotu, a także na poziomie subskonsolidowanym i skonsolidowanym rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT. W rejestrze należy odróżnić umowy dotyczące usług ICT wspierających funkcje krytyczne lub istotne od tych, które nie wspierają takich funkcji.

Funkcje krytyczne lub istotne funkcje danego podmiotu finansowego, zdefiniowane w Rozporządzeniu DORA, to te, których zakłócenie miałoby znaczący negatywny wpływ na świadczenie usług finansowych, realizację zobowiązań prawnych, stabilność finansową lub integralność rynku.

Reklama

Prowadzenie Rejestru Dostawców Usług ICT niesie ze sobą szereg korzyści dla podmiotów finansowych, w tym:

  • lepsze zarządzanie ryzykiem związanym z outsourcingiem usług ICT,
  • zwiększenie transparentności i zaufania ze strony organów nadzoru, klientów i partnerów biznesowych,
  • poprawa bezpieczeństwa i odporności operacyjnej,
  • ułatwienie procesu wyboru i oceny dostawców usług ICT.

Należy jednak mieć świadomość potencjalnych wyzwań związanych z wdrożeniem i prowadzeniem Rejestru. Do najważniejszych z nich należą:

  • konieczność zapewnienia aktualności i rzetelności danych,
  • ochrona danych osobowych,
  • koszty związane z wdrożeniem i administrowaniem Rejestrem.

Praktyczne aspekty prowadzenia rejestru: struktura, narzędzia, procedury

Zakres Rejestru Informacji obejmuje wszystkie umowy z zewnętrznymi dostawcami usług ICT, niezależnie od ich rodzaju i wartości. Rejestracja dostawców usług ICT w ramach DORA wymaga od instytucji finansowych skrupulatnego podejścia do zarządzania relacjami z dostawcami oraz wdrażania odpowiednich procedur i umów.

Struktura Rejestru powinna być dostosowana do specyfiki danego podmiotu finansowego, ale powinna obejmować co najmniej następujące informacje:

Reklama
  • Dane ogólne o podmiocie finansowym: Informacje identyfikacyjne oraz struktura organizacyjna.
  • Informacje o umowach kontraktowych: Szczegóły dotyczące umów z dostawcami usług ICT, w tym rodzaj świadczonych usług, okres obowiązywania umowy, ocena krytyczności i ryzyka związanych z tymi usługami, warunki rozwiązania umowy.
  • Identyfikacja dostawców: Wszyscy dostawcy usług ICT oraz ich podwykonawcy muszą być wymienieni w rejestrze, co pozwala na pełną transparentność, informacje o łańcuchu dostaw usług ICT.
  • Ocena ryzyka: Instytucje muszą prowadzić analizy ryzyka związane z każdym dostawcą, zwłaszcza tych, którzy wspierają krytyczne funkcje operacyjne.

Rejestr informacji obejmuje wszystkie ustalenia umowne dotyczące korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT:

  • Usług ICT:
    • Ogólne informacje o ustaleniach umownych, takie jak numer referencyjny, rodzaj i roczne wydatki.
    • Szczegółowe informacje o ustaleniach, w tym rodzaje usług ICT, funkcje wspierane przez te usługi, daty rozpoczęcia i zakończenia, okresy wypowiedzenia, prawo właściwe, lokalizację danych, wrażliwość danych i poziom zależności od usługi.
  • Zewnętrznych dostawców usług ICT:
    • Dane identyfikacyjne, takie jak LEI, EUID, nazwa prawna, rodzaj osobowości prawnej, państwo siedziby.
    • Informacje o łańcuchu dostaw usług ICT, w tym identyfikacja podwykonawców i ich rola w łańcuchu.
  • Funkcji podmiotów finansowych:
    • Identyfikacja funkcji, ocena krytyczności lub istotności, przyczyny krytyczności, data ostatniej oceny, wpływ zaprzestania realizacji funkcji.
  • Oceny usług ICT:
    • Informacje o ocenie ryzyka związanego z usługami ICT, w tym możliwość zastąpienia dostawcy, data ostatniej kontroli, istnienie planu wyjścia, możliwość ponownego włączenia usługi i wpływ zaprzestania świadczenia usług.
  • Ogólne informacje o podmiocie finansowym:
    • Dane identyfikacyjne, w tym LEI, nazwa, państwo, rodzaj, właściwy organ, data przekazania informacji.
    • Informacje o podmiotach objętych konsolidacją.
    • Dane identyfikacyjne oddziałów podmiotów finansowych zlokalizowanych poza krajem macierzystym.
Rejestr Dostawców Usług ICT

W celu usprawnienia procesu tworzenia i prowadzenia Rejestru, warto rozważyć wykorzystanie dedykowanych narzędzi informatycznych.

Kluczowe znaczenie dla efektywności Rejestru mają jasno zdefiniowane procedury gromadzenia i aktualizacji danych. Procedury te powinny precyzować:

  • kto jest odpowiedzialny za gromadzenie i aktualizację danych?
  • jakie są źródła informacji?
  • jak często należy aktualizować dane?
  • jak należy postępować w przypadku identyfikacji nowych ryzyk?

Wdrożenie Rejestru Dostawców Usług ICT

Wdrożenie Rejestru Dostawców Usług ICT zgodnego z wymogami DORA wymaga od instytucji finansowych starannego planowania i uwzględnienia specyfiki organizacji. Poniżej przedstawiono kluczowe etapy wdrożenia:

Reklama

Przygotowanie organizacji:

  • Identyfikacja interesariuszy: należy zidentyfikować wszystkie jednostki w organizacji, które będą zaangażowane w prowadzenie Rejestru, np. dział IT, dział bezpieczeństwa, dział prawny.
  • Analiza istniejących procesów i systemów: należy przeprowadzić analizę istniejących w organizacji procesów zarządzania umowami z outsourcingu i systemów informatycznych, w których przechowywane są dane o dostawcach usług ICT.
  • Dostosowanie procesów do wymagań DORA: istniejące procesy i systemy należy zweryfikować i dostosować do wymagań DORA.
  • Planowanie szkoleń dla pracowników: należy przeszkolić pracowników z zakresu nowych wymagań i procedur dotyczących Rejestru Dostawców Usług ICT.

Wybór narzędzi IT:

  • Przegląd dostępnych rozwiązań: na rynku dostępnych jest wiele narzędzi IT do zarządzania rejestrem dostawców usług ICT.
  • Kryteria wyboru: wybierając narzędzie IT, należy uwzględnić takie kryteria jak:
    • funkcjonalność narzędzia,
    • koszty wdrożenia i utrzymania,
    • bezpieczeństwo danych,
    • możliwości integracji z istniejącymi systemami.
  • Prezentacja przykładowych narzędzi: dostępne na rynku narzędzia pozwalają na automatyzację procesów zbierania i weryfikowania danych, monitorowanie zmian w umowach, generowanie raportów, a także integrację z innymi systemami.
Wdrażanie Rejestru Dostawców Usług ICT

Integracja z Innymi systemami: Rejestr Dostawców Usług ICT powinien być zintegrowany z innymi systemami w organizacji, takimi jak:

  • systemy zarządzania ryzykiem,
  • systemy zarządzania zgodnością,
  • systemy zarządzania outsourcingiem.

Integracja umożliwi uniknięcie duplikacji danych, usprawni procesy i zapewni spójność informacji w różnych systemach.

Reklama

Wdrażanie Rejestru Dostawców Usług ICT może wiązać się z pewnymi wyzwaniami:

Jakość danych:

  • Dokładność i spójność danych: kluczowe znaczenie ma zapewnienie dokładności i spójności danych w Rejestrze.
  • Weryfikacja i aktualizacja danych: należy wdrożyć procedury weryfikacji i aktualizacji danych, aby zapewnić ich aktualność i rzetelność.

Ochrona danych osobowych:

  • Identyfikacja i minimalizacja danych osobowych: należy zidentyfikować dane osobowe przetwarzane w Rejestrze i wdrożyć mechanizmy minimalizacji danych, pseudonimizacji lub anonimizacji.
  • Zgody i informowanie: należy uzyskać zgody osób, których dane są przetwarzane, i poinformować je o swoich prawach.

Koszty i nakłady pracy:

Reklama
  • Analiza kosztów wdrożenia: wdrożenie Rejestru Dostawców Usług ICT generuje koszty związane z:
    • zakupem oprogramowania,
    • szkoleniami pracowników,
    • dostosowaniem procesów i systemów.
  • Minimalizacja kosztów: można zminimalizować koszty wdrożenia, np. poprzez wykorzystanie istniejących danych i narzędzi, automatyzację procesów.

Wymagania dotyczące rejestracji dostawców ICT

Struktura i format rejestru informacji są zdefiniowane w Rozporządzeniu Wykonawczym Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. Rozporządzenie to ustanawia standardowe szablony do prowadzenia rejestru, które mają zapewnić harmonizację i porównywalność danych w całym sektorze. Szablony te obejmują wszystkie niezbędne informacje o umowach z zewnętrznymi dostawcami usług ICT, a także o łańcuchu dostaw usług.

Zasada proporcjonalności jest jednym z kluczowych założeń rozporządzenia DORA. Oznacza to, że wymogi dotyczące Rejestru Dostawców Usług ICT powinny być dostosowane do rozmiaru, natury, skali, złożoności i profilu ryzyka poszczególnych instytucji finansowych. Mniejsze instytucje finansowe mogą mieć mniej rozbudowany Rejestr w porównaniu do dużych instytucji o złożonej strukturze.

Rejestracja dostawców usług ICT wiąże się z szeregiem wymagań, które mają na celu zapewnienie bezpieczeństwa i odporności operacyjnej w sektorze finansowym. Oto kluczowe wymagania dotyczące rejestracji dostawców usług ICT:

  • Kryteria wyznaczenia: Dostawcy usług ICT mogą być wyznaczani jako kluczowi, co oznacza, że będą objęci bezpośrednim nadzorem finansowym. Kryteria te obejmują m.in. znaczenie dostawcy dla operacji instytucji finansowej oraz ryzyko związane z jego usługami.
  • Rejestr informacji: Instytucje finansowe są zobowiązane do prowadzenia Rejestru Informacji (RoI), który kataloguje wszystkie umowy z dostawcami usług ICT. Rejestr powinien zawierać szczegółowe informacje, takie jak identyfikator prawny dostawcy (LEI), rodzaj usługi, funkcje biznesowe wspierane przez usługę, a także lokalizację przetwarzania danych i cele związane z ciągłością usług.
  • Obowiązki umowne: Umowy z dostawcami ICT muszą zawierać minimalne wymagania określone w DORA. Należy uwzględnić zapisy dotyczące poziomów usług, zasad monitorowania, obowiązków sprawozdawczych oraz planów awaryjnych na wypadek niewywiązywania się dostawcy z umowy.
  • Zarządzanie ryzykiem: Dostawcy muszą wdrożyć odpowiednie mechanizmy zarządzania ryzykiem, w tym środki bezpieczeństwa cybernetycznego oraz procedury raportowania incydentów. W przypadku wystąpienia poważnych incydentów, dostawcy są zobowiązani do szybkiego informowania instytucji finansowych.
  • Przejrzystość i dostępność danych: Rejestr musi być dostępny dla organów nadzorczych, co umożliwia im monitorowanie ryzyka i zależności ICT w instytucjach finansowych. Wymaga to od dostawców utrzymywania aktualnych i dokładnych danych.

Kluczowe informacje w rejestrze umów ICT

Rejestr umów z dostawcami usług ICT, zgodnie z wymaganiami Rozporządzenia DORA (Digital Operational Resilience Act), musi zawierać szereg kluczowych informacji, które umożliwiają skuteczne zarządzanie ryzykiem oraz zapewniają przejrzystość w relacjach z dostawcami. Oto najważniejsze elementy, które powinny być uwzględnione w tym rejestrze:

Reklama
  • Identyfikacja dostawcy: W tym m.in. identyfikator prawny dostawcy (LEI) oraz dane kontaktowe.
  • Rodzaj usług: Szczegółowy opis świadczonych usług ICT, w tym ich funkcji oraz krytyczności dla działalności instytucji finansowej.
  • Lokalizacja przetwarzania danych: Informacje o miejscach, w których dane są przetwarzane, co jest istotne dla zgodności z regulacjami dotyczącymi ochrony danych.
  • Ocena ryzyka: Analiza ryzyka związana z danym dostawcą, w tym ocena krytyczności usług oraz potencjalnych trudności w zastąpieniu dostawcy.
  • Cele związane z ciągłością usług: Określenie celów dotyczących czasu przywracania usług (RTO – Recovery Time Objectives) oraz planów awaryjnych.
  • Podwykonawcy: Informacje o wszelkich materialnych podwykonawcach, którzy mogą być zaangażowani w świadczenie usług.
  • Warunki umowy: Kluczowe zapisy dotyczące poziomów usług (SLA), obowiązków związanych z raportowaniem incydentów oraz prawa do audytu.
  • Strategie wyjścia: Zasady dotyczące zakończenia współpracy z dostawcą, w tym minimalne okresy wypowiedzenia i procedury przejścia do alternatywnych dostawców lub powrotu do świadczenia usług wewnętrznie.

Jakie są konsekwencje niewypełnienia obowiązku utrzymywania rejestrów dostawców ICT?

Niewypełnienie obowiązku utrzymywania rejestrów dostawców usług ICT w kontekście rozporządzenia DORA (Digital Operational Resilience Act) może prowadzić do poważnych konsekwencji dla instytucji finansowych. Oto kluczowe aspekty związane z tym zagadnieniem:

Konsekwencje prawne i finansowe

  1. Kary finansowe: Naruszenia przepisów DORA mogą skutkować nałożeniem kar finansowych, które mogą sięgać do 10 milionów euro lub 2% rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Kary te mają na celu odstraszenie podmiotów od naruszeń.
  2. Nakazy administracyjne: Organy nadzorcze mogą wydawać nakazy zobowiązujące do podjęcia działań naprawczych, takich jak wdrożenie odpowiednich środków bezpieczeństwa czy zmiana procesów zarządzania ryzykiem.
  3. Publiczne ostrzeżenia: W przypadku mniej poważnych naruszeń, możliwe jest wydanie publicznego ostrzeżenia, co może negatywnie wpłynąć na reputację instytucji.
  4. Czasowe zawieszenie działalności: W skrajnych przypadkach, gdy naruszenia są poważne i powtarzające się, może być nałożone czasowe zawieszenie działalności związanej z usługami ICT.
  5. Cofnięcie zezwolenia na działalność: W najcięższych przypadkach, organy nadzorcze mogą cofnąć zezwolenie na prowadzenie działalności w sektorze finansowym.

Problemy operacyjne

  1. Zwiększone ryzyko operacyjne: Niewłaściwe zarządzanie rejestrem dostawców ICT może prowadzić do zwiększonego ryzyka operacyjnego, co może skutkować poważnymi incydentami związanymi z bezpieczeństwem informacji oraz ciągłością działania.
  2. Trudności w monitorowaniu dostawców: Brak rejestru utrudnia skuteczne monitorowanie i ocenę ryzyka związanego z korzystaniem z usług ICT, co może prowadzić do nieprzewidzianych problemów w przypadku incydentów technologicznych.
  3. Niezgodność z regulacjami: Nieprzestrzeganie wymogów dotyczących rejestracji dostawców usług ICT może również skutkować niezadowoleniem ze strony organów regulacyjnych oraz potencjalnymi audytami.

Zarządzanie rejestrem dostawców usług ICT jest kluczowe dla zapewnienia zgodności z regulacjami DORA oraz dla minimalizacji ryzyka operacyjnego. Niewypełnienie tego obowiązku może prowadzić do poważnych konsekwencji prawnych i finansowych, a także negatywnie wpłynąć na reputację instytucji finansowej.

Rejestr Dostawców Usług ICT w świetle RODO

Prowadzenie Rejestru Dostawców Usług ICT wiąże się z przetwarzaniem danych osobowych, w związku z czym musi być realizowane z poszanowaniem przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwanego RODO.

Potencjalne punkty styczności Rejestru Dostawców ICT z RODO

  • Dane identyfikacyjne: Rejestr zawiera dane identyfikacyjne dostawców usług ICT, a w niektórych przypadkach również ich podwykonawców. Jeżeli dostawcy lub podwykonawcy są osobami fizycznymi, informacje te mogą stanowić dane osobowe w rozumieniu RODO.
  • Informacje o umowach: Rejestr obejmuje szczegółowe informacje o umowach z dostawcami ICT, które mogą zawierać klauzule dotyczące przetwarzania danych osobowych.
  • Dane dotyczące bezpieczeństwa: Rejestr zawiera informacje o środkach bezpieczeństwa ICT wdrażanych przez dostawców, które mogą pośrednio dotyczyć ochrony danych osobowych.

Kluczowe aspekty zgodności z RODO:

  • Podstawa prawna przetwarzania: Podmioty finansowe muszą zidentyfikować podstawę prawną przetwarzania danych osobowych w Rejestrze Dostawców Usług ICT. Możliwe podstawy to:
    • Obowiązek prawny: RODO dopuszcza przetwarzanie danych osobowych, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. W tym przypadku, obowiązek prowadzenia Rejestru wynika z DORA.
    • Uzasadniony interes administratora: Przetwarzanie może być również oparte na uzasadnionym interesie administratora, o ile nie narusza to praw i wolności osób, których dane dotyczą. W kontekście Rejestru, uzasadnionym interesem może być zapewnienie stabilności sektora finansowego.
  • Zasady przetwarzania danych: Dane osobowe w Rejestrze muszą być przetwarzane zgodnie z zasadami RODO, takimi jak:
    • Zminimalizowanie danych: Należy ograniczyć przetwarzanie danych do minimum niezbędnego do osiągnięcia celu.
    • Poufność: Należy zapewnić odpowiednie środki bezpieczeństwa w celu ochrony danych przed nieuprawnionym dostępem.
    • Przejrzystość: Dostawcy usług ICT powinni być informowani o przetwarzaniu ich danych w Rejestrze.
  • Prawa osób, których dane dotyczą: Należy zapewnić realizację praw osób, których dane dotyczą, takich jak prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych (prawo do bycia zapomnianym).

Podsumowanie

Rejestr Dostawców Usług ICT to niezbędne narzędzie dla podmiotów finansowych, które chcą skutecznie zarządzać ryzykiem związanym z outsourcingiem usług ICT. Jego wdrożenie i prowadzenie wymaga starannego planowania i uwzględnienia szeregu aspektów prawnych, operacyjnych i technologicznych. Korzyści z prowadzenia Rejestru przemawiają jednak za tym, aby stał się on standardem w sektorze finansowym.

Reklama

Najczęściej zadawane pytania – Rejestr Dostawców Usług ICT

Reklama
Podziel się swoją opinią:

Zapisz się na newslettera

Wprowadź swój adres e-mail poniżej, aby otrzymywać newslettera.

Wyrażam zgodę na przetwarzanie danych osobowych (adres e-mail) w celu otrzymywania wiadomości w ramach newslettera Bankowe ABC.
Zapisując się wyrażasz zgodę na otrzymywanie wiadomości drogą mailową. W celu uzyskania szczegółów zapoznaj się z polityką prywatności. Otrzymasz maksymalnie 2 wiadomości w miesiącu, bez reklam i spamu. Możesz wypisać się w każdej chwili.