Aktualności

Piątek z DORA: Jak zostać kluczowym zewnętrznym dostawcą usług ICT?

Zofia Zborowska Zofia Zborowska Associate
14 czerwca 2024
Piątek z DORA: Jak zostać kluczowym zewnętrznym dostawcą usług ICT?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 („Rozporządzenie” lub „DORA”) zapewnia kompleksowe ramy prawne dotyczące różnych podstawowych elementów operacyjnej odporności cyfrowej podmiotów finansowych.

W Rozporządzeniu ustanowiono unijne ramy nadzoru nad zewnętrznymi dostawcami usług ICT, uznanymi za kluczowych (ang. Critical third-party provider, dalej „CTPP”). Zgodnie z art. 31 DORA, są dwie możliwości uzyskania statusu CTPP:

      1. wyznaczenie przez Europejskie Urzędy Nadzoru – EUN (tj. EBA, ESMA oraz EIOPA), za pośrednictwem Wspólnego Komitetu i na podstawie zalecenia forum nadzoru,
      2. możliwość samodzielnego zwrócenia się z umotywowanym wnioskiem do EUN o wyznaczenie.

Jako wiodące organy nadzorcze, zarówno EBA, ESMA jak i EIOPA będą uprawnione do monitorowania na skalę ogólnoeuropejską działalności CTPP w kontekście usług ICT świadczonych przez nie na rzecz podmiotów finansowych. W związku z tym, po wyznaczeniu dostawcy ICT na CTPP zostanie on objęty bezpośrednim nadzorem finansowym, co może pozytywnie wpłynąć na pozycję konkurencyjną tego dostawcy i stanowić o jakości świadczonych przez niego usług.

W końcowym projekcie rozporządzenia delegowanego (UE) C(2024) 896 przyjętym przez Komisję Europejską w dniu 22 lutego 2024 r. doprecyzowano kryteria wyznaczania CTPP w odniesieniu do następujących kwestii:

      • systemowego wpływu, jaki awaria lub przestój operacyjny zewnętrznego dostawcy usług ICT mogłyby mieć na podmioty finansowe, na rzecz których dostawca taki świadczy usługi ICT;
      • systemowego charakteru lub znaczenia podmiotów finansowych, biorąc pod uwagę liczbę globalnych instytucji o znaczeniu systemowym lub innych instytucji o znaczeniu systemowym, które korzystają z usług danego zewnętrznego dostawcy usług ICT;
      • krytyczności lub istotności funkcji wspieranych przez usługi ICT świadczone przez zewnętrznego dostawcę usług ICT; oraz
      • stopnia substytucyjności zewnętrznego dostawcy usług ICT, biorąc pod uwagę liczbę zewnętrznych dostawców usług ICT działających na danym rynku, a także koszty migracji danych i nakładów pracy w zakresie ICT do innych zewnętrznych dostawców usług ICT.

 

Co istotne, w przypadku gdy zewnętrzny dostawca usług ICT należy do grupy, kryteria 1) – 4), o których mowa wyżej są uwzględniane w kontekście usług ICT świadczonych przez grupę jako całość.

Wyłączenia od wyznaczenia dostawcy kluczowych usług ICT

Zgodnie z rozporządzeniem DORA wyznaczeniu na dostawcę kluczowych usług ICT nie podlegają:

      • podmioty finansowe świadczące usługi ICT na rzecz innych podmiotów finansowych;
      • zewnętrzni dostawcy usług ICT, którzy podlegają ustanowionym ramom nadzoru do celów wspierania zadań, o których mowa w art. 127 ust. 2 TFUE;
      • wewnątrzgrupowi dostawcy usług ICT;
      • zewnętrzni dostawy usług ICT świadczący usługi wyłącznie w jednym państwie członkowskim dla podmiotów finansowych, które działają tylko w tym państwie
Kancelaria Raczyński Skalski & Partners
Interesuje Cię ten temat?
Skontaktuj się z nami,
aby poznać naszą ofertę.

Powiązane

Piątek z DORA – Kogo obowiązuje Rozporządzenie DORA?
14 czerwca 2024

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie…

Zofia Zborowska Zofia Zborowska Associate
Chcesz otrzymywać aktualności na bieżąco?
Zapisz się do Newslettera

    Wybierz listę

    Chcę być informowany e-mailowo informacjach ze strony Raczyński Skalski & Partners Kancelaria Radców Prawnych Spółka Partnerska z siedzibą w Warszawie na podany przeze mnie adres e-mail. Czytaj dalej

    Ta witryna jest chroniona przez reCAPTCHA i obowiązuje Polityka prywatności i Warunki korzystania z usługi Google.