Najważniejsze ustalenia umowne dotyczące korzystania z usług ICT określa art. 30 Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej jako „DORA” lub „Rozporządzenie”), w którym dokonano rozróżnienia umów zawieranych między podmiotami finansowymi, a zewnętrznymi dostawcami usług ICT na umowy dotyczące krytycznych i ważnych funkcji i umowy, które tych funkcji nie wspierają.
Zgodnie z DORA, umowa dotycząca korzystania z usług ICT powinna obowiązkowo zawierać m.in.:
-
-
- jasny i kompletny opis wszystkich funkcji i usług ICT, ze wskazaniem, czy dozwolone jest podwykonawstwo usługi ICT wspierającej krytyczną lub istotną funkcję lub jej istotnych części, a jeżeli tak, to jakie warunki mają zastosowanie do takiego podwykonawstwa;
-
Obowiązkowe elementy wskazane powyżej, które podmiot finansowy musi określić i ocenić przy zlecaniu podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje, zostaną doprecyzowane w projektach regulacyjnych standardów technicznych (RTS) opracowywanych przez Europejskie Urzędy Nadzoru. Rozporządzenie przewiduje publikację ostatecznych projektów RTS do dnia 17 lipca 2024 r.
-
-
- wskazanie miejsc, w których mają być świadczone funkcje i usługi ICT objęte umową lub podwykonawstwem;
- postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych;
- obowiązek zapewnienia przez zewnętrznego dostawcę usług ICT pomocy podmiotowi finansowemu, bez dodatkowych opłat lub za opłatą określoną z góry – w przypadku wystąpienia incydentu związanego z ICT;
- prawa do wypowiedzenia umowy i związane z tym minimalne okresy wypowiedzenia ustaleń umownych;
- warunki uczestnictwa zewnętrznych dostawców usług ICT w opracowanych przez podmioty finansowe programach zwiększania świadomości w zakresie bezpieczeństwa ICT.
-
W przypadku ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje, oprócz elementów wskazanych w art. 30 ust. 2 Rozporządzenia nałożone zostały dodatkowe obowiązki, do których należą m.in.:
-
-
- pełne opisy gwarantowanych poziomów usług wraz z dokładnymi ilościowymi i jakościowymi celami w zakresie wyników w ramach uzgodnionych gwarantowanych poziomów usług;
- okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT w stosunku do podmiotu finansowego;
- obowiązek uczestnictwa zewnętrznych dostawców usług ICT w testach penetracyjnych pod kątem wyszukiwania zagrożeń;
- wymogi wobec zewnętrznego dostawcy usług ICT w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością;
- posiadanie środków, narzędzi i polityk w zakresie bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy zgodnie z jego ramami regulacyjnymi;
- prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT;
- strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego.
-
Co istotne, w przypadku umów zawartych z dostawcami usług ICT przed rozpoczęciem stosowania DORA (17 stycznia 2025 roku) obowiązkowe będzie dostosowanie ich treści w zakresie wymagań wynikających z art. 28-30 Rozporządzenia.
