Aktualności

Konsekwencje odrzucenia przez Komisję Europejską projektu RTS w sprawie podwykonawstwa usług ICT wspierających krytyczną lub istotną funkcję

Zofia Zborowska Zofia Zborowska Associate
13 marca 2025
Konsekwencje odrzucenia przez Komisję Europejską projektu RTS w sprawie podwykonawstwa usług ICT wspierających krytyczną lub istotną funkcję

W dniu 21 stycznia 2025 r. Komisja Europejska („KE”), działając zgodnie z procedurą określoną w art. 15 ust. 1 akapit czwarty rozporządzeń w sprawie Europejskich Urzędów Nadzoru[1] powiadomiła Europejskie Urzędy Nadzoru o odrzuceniu projektu regulacyjnych standardów technicznych dotyczących podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje[2] („RTS”). Przyczyną tego odrzucenia okazały się być wymogi wprowadzone w art. 5 projektu RTS w sprawie warunków podwykonawstwa odnoszących się do łańcucha podwykonawców ICT. Zdaniem Komisji Europejskiej postanowienia te wykraczają poza uprawnienia przyznane Europejskim Urzędom Nadzoru na mocy art. 30 ust. 5 DORA.

W opublikowanej opinii z dnia 7 marca 2025 r., Europejskie Urzędy Nadzoru podzieliły wątpliwości wyrażone przez Komisję Europejską i nie zaleciły dodatkowych poprawek do proponowanych przez KE zmian. Oznacza to, że przedmiotowy ostateczny projekt RTS zostanie najprawdopodobniej przyjęty jako rozporządzenie delegowane Komisji po usunięciu art. 5 (oraz motywu 5).

Co to obecnie oznacza dla podmiotów finansowych?

  • Usunięcie art. 5 z RTS w żaden sposób nie ogranicza ostatecznej odpowiedzialności podmiotu finansowego za usługi ICT (w tym wspierające krytyczne lub istotne funkcje) świadczone przez zewnętrznych dostawców usług ICT i ich podwykonawców.

Należy pamiętać o treści art. 29 ust. 2 akapit 4 DORA, zgodnie z którym podmioty finansowe zobowiązane są ocenić, czy i w jaki sposób potencjalnie długie lub złożone łańcuchy podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje mogą wpływać na ich zdolność do pełnego monitorowania funkcji będących przedmiotem umowy oraz na zdolność właściwego organu do skutecznego nadzoru nad podmiotem finansowym w tym zakresie. Pozbycie się dodatkowych uprawnień podmiotów finansowych wskazanych w art. 5 RTS może utrudnić im przeprowadzenie takiej oceny.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1093/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Bankowego), zmiany decyzji nr 716/2009/WE oraz uchylenia decyzji Komisji 2009/78/WE                                                                Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1095/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/77/WE                Rozporządzenie Parlamentu Europejskiego  i Rady (UE) nr 1094/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/79/WE

[2]https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024_53_Final_report_DORA_RTS_on_subcontracting.pdf

  • W związku z tym, że Rozporządzenie DORA zaczęło obowiązywać 17 stycznia 2025 r., część aneksów dotyczących usług ICT dostosowujących umowy podmiotów finansowych została już zawarta lub znajdowała się na etapie ostatecznych negocjacji. Jeśli dany aneks dotyczył usług ICT wspierających krytyczne lub istotne funkcje, to w zakresie dotyczącym podwykonawstwa niezbędne może okazać się renegocjowanie poszczególnych postanowień.
  • Zgodnie z przepisami ITS 2024/2956[3], podmioty finansowe są zobowiązane uwzględnić w rejestrze informacji („ROI”), informacje na temat wszystkich podwykonawców, którzy faktycznie wspierają usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części, a także przypisywać im odpowiednią rangę. Po usunięciu z aneksów postanowień odpowiadających treści art. 5 kluczowe będzie zatem zapewnienie podmiotom finansowym w tych aneksach innych uprawnień (np. wynikających z art. 3 ust. 1 lit. b RTS), dzięki którym będą mogły spełniać obowiązki związane z prowadzeniem i aktualizacją ROI.

[3] Rozporządzenie wykonawcze Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacji

Kancelaria Raczyński Skalski & Partners
Interesuje Cię ten temat?
Skontaktuj się z nami,
aby poznać naszą ofertę.

Powiązane

Piątek z DORA – Kogo obowiązuje Rozporządzenie DORA?
13 marca 2025

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie…

Zofia Zborowska Zofia Zborowska Associate
Chcesz otrzymywać aktualności na bieżąco?
Zapisz się do Newslettera

    Wybierz listę

    Chcę być informowany e-mailowo informacjach ze strony Raczyński Skalski & Partners Kancelaria Radców Prawnych Spółka Partnerska z siedzibą w Warszawie na podany przeze mnie adres e-mail. Czytaj dalej

    Ta witryna jest chroniona przez reCAPTCHA i obowiązuje Polityka prywatności i Warunki korzystania z usługi Google.