Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 („Rozporządzenie” lub „DORA”) zapewnia kompleksowe ramy prawne dotyczące różnych podstawowych elementów operacyjnej odporności cyfrowej podmiotów finansowych.
W Rozporządzeniu ustanowiono unijne ramy nadzoru nad zewnętrznymi dostawcami usług ICT, uznanymi za kluczowych (ang. Critical third-party provider, dalej „CTPP”). Zgodnie z art. 31 DORA, są dwie możliwości uzyskania statusu CTPP:
-
-
- wyznaczenie przez Europejskie Urzędy Nadzoru – EUN (tj. EBA, ESMA oraz EIOPA), za pośrednictwem Wspólnego Komitetu i na podstawie zalecenia forum nadzoru,
- możliwość samodzielnego zwrócenia się z umotywowanym wnioskiem do EUN o wyznaczenie.
-
Jako wiodące organy nadzorcze, zarówno EBA, ESMA jak i EIOPA będą uprawnione do monitorowania na skalę ogólnoeuropejską działalności CTPP w kontekście usług ICT świadczonych przez nie na rzecz podmiotów finansowych. W związku z tym, po wyznaczeniu dostawcy ICT na CTPP zostanie on objęty bezpośrednim nadzorem finansowym, co może pozytywnie wpłynąć na pozycję konkurencyjną tego dostawcy i stanowić o jakości świadczonych przez niego usług.
W końcowym projekcie rozporządzenia delegowanego (UE) C(2024) 896 przyjętym przez Komisję Europejską w dniu 22 lutego 2024 r. doprecyzowano kryteria wyznaczania CTPP w odniesieniu do następujących kwestii:
-
-
- systemowego wpływu, jaki awaria lub przestój operacyjny zewnętrznego dostawcy usług ICT mogłyby mieć na podmioty finansowe, na rzecz których dostawca taki świadczy usługi ICT;
- systemowego charakteru lub znaczenia podmiotów finansowych, biorąc pod uwagę liczbę globalnych instytucji o znaczeniu systemowym lub innych instytucji o znaczeniu systemowym, które korzystają z usług danego zewnętrznego dostawcy usług ICT;
- krytyczności lub istotności funkcji wspieranych przez usługi ICT świadczone przez zewnętrznego dostawcę usług ICT; oraz
- stopnia substytucyjności zewnętrznego dostawcy usług ICT, biorąc pod uwagę liczbę zewnętrznych dostawców usług ICT działających na danym rynku, a także koszty migracji danych i nakładów pracy w zakresie ICT do innych zewnętrznych dostawców usług ICT.
-
Co istotne, w przypadku gdy zewnętrzny dostawca usług ICT należy do grupy, kryteria 1) – 4), o których mowa wyżej są uwzględniane w kontekście usług ICT świadczonych przez grupę jako całość.
Wyłączenia od wyznaczenia dostawcy kluczowych usług ICT
Zgodnie z rozporządzeniem DORA wyznaczeniu na dostawcę kluczowych usług ICT nie podlegają:
-
-
- podmioty finansowe świadczące usługi ICT na rzecz innych podmiotów finansowych;
- zewnętrzni dostawcy usług ICT, którzy podlegają ustanowionym ramom nadzoru do celów wspierania zadań, o których mowa w art. 127 ust. 2 TFUE;
- wewnątrzgrupowi dostawcy usług ICT;
- zewnętrzni dostawy usług ICT świadczący usługi wyłącznie w jednym państwie członkowskim dla podmiotów finansowych, które działają tylko w tym państwie
-
