W dniu 21 stycznia 2025 r. Komisja Europejska („KE”), działając zgodnie z procedurą określoną w art. 15 ust. 1 akapit czwarty rozporządzeń w sprawie Europejskich Urzędów Nadzoru[1] powiadomiła Europejskie Urzędy Nadzoru o odrzuceniu projektu regulacyjnych standardów technicznych dotyczących podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje[2] („RTS”). Przyczyną tego odrzucenia okazały się być wymogi wprowadzone w art. 5 projektu RTS w sprawie warunków podwykonawstwa odnoszących się do łańcucha podwykonawców ICT. Zdaniem Komisji Europejskiej postanowienia te wykraczają poza uprawnienia przyznane Europejskim Urzędom Nadzoru na mocy art. 30 ust. 5 DORA.
W opublikowanej opinii z dnia 7 marca 2025 r., Europejskie Urzędy Nadzoru podzieliły wątpliwości wyrażone przez Komisję Europejską i nie zaleciły dodatkowych poprawek do proponowanych przez KE zmian. Oznacza to, że przedmiotowy ostateczny projekt RTS zostanie najprawdopodobniej przyjęty jako rozporządzenie delegowane Komisji po usunięciu art. 5 (oraz motywu 5).
Co to obecnie oznacza dla podmiotów finansowych?
- Usunięcie art. 5 z RTS w żaden sposób nie ogranicza ostatecznej odpowiedzialności podmiotu finansowego za usługi ICT (w tym wspierające krytyczne lub istotne funkcje) świadczone przez zewnętrznych dostawców usług ICT i ich podwykonawców.
Należy pamiętać o treści art. 29 ust. 2 akapit 4 DORA, zgodnie z którym podmioty finansowe zobowiązane są ocenić, czy i w jaki sposób potencjalnie długie lub złożone łańcuchy podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje mogą wpływać na ich zdolność do pełnego monitorowania funkcji będących przedmiotem umowy oraz na zdolność właściwego organu do skutecznego nadzoru nad podmiotem finansowym w tym zakresie. Pozbycie się dodatkowych uprawnień podmiotów finansowych wskazanych w art. 5 RTS może utrudnić im przeprowadzenie takiej oceny.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1093/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Bankowego), zmiany decyzji nr 716/2009/WE oraz uchylenia decyzji Komisji 2009/78/WE Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1095/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/77/WE Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1094/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/79/WE
- W związku z tym, że Rozporządzenie DORA zaczęło obowiązywać 17 stycznia 2025 r., część aneksów dotyczących usług ICT dostosowujących umowy podmiotów finansowych została już zawarta lub znajdowała się na etapie ostatecznych negocjacji. Jeśli dany aneks dotyczył usług ICT wspierających krytyczne lub istotne funkcje, to w zakresie dotyczącym podwykonawstwa niezbędne może okazać się renegocjowanie poszczególnych postanowień.
- Zgodnie z przepisami ITS 2024/2956[3], podmioty finansowe są zobowiązane uwzględnić w rejestrze informacji („ROI”), informacje na temat wszystkich podwykonawców, którzy faktycznie wspierają usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części, a także przypisywać im odpowiednią rangę. Po usunięciu z aneksów postanowień odpowiadających treści art. 5 kluczowe będzie zatem zapewnienie podmiotom finansowym w tych aneksach innych uprawnień (np. wynikających z art. 3 ust. 1 lit. b RTS), dzięki którym będą mogły spełniać obowiązki związane z prowadzeniem i aktualizacją ROI.
[3] Rozporządzenie wykonawcze Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacji