Aktualności

Piątek z DORA: Minimalne wymagania umowne wobec dostawców usług ICT

Zofia Zborowska Zofia Zborowska Associate
30 maja 2024
Piątek z DORA: Minimalne wymagania umowne wobec dostawców usług ICT

Najważniejsze ustalenia umowne dotyczące korzystania z usług ICT określa art. 30 Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej jako „DORA” lub „Rozporządzenie”), w którym dokonano rozróżnienia umów zawieranych między podmiotami finansowymi, a zewnętrznymi dostawcami usług ICT na umowy dotyczące krytycznych i ważnych funkcji i umowy, które tych funkcji nie wspierają.

Zgodnie z DORA, umowa dotycząca korzystania z usług ICT powinna obowiązkowo zawierać m.in.:

      • jasny i kompletny opis wszystkich funkcji i usług ICT, ze wskazaniem, czy dozwolone jest podwykonawstwo usługi ICT wspierającej krytyczną lub istotną funkcję lub jej istotnych części, a jeżeli tak, to jakie warunki mają zastosowanie do takiego podwykonawstwa;

Obowiązkowe elementy wskazane powyżej, które podmiot finansowy musi określić i ocenić przy zlecaniu podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje, zostaną doprecyzowane w projektach regulacyjnych standardów technicznych (RTS) opracowywanych przez Europejskie Urzędy Nadzoru. Rozporządzenie przewiduje publikację ostatecznych projektów RTS do dnia 17 lipca 2024 r.

      • wskazanie miejsc, w których mają być świadczone funkcje i usługi ICT objęte umową lub podwykonawstwem;
      • postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych;
      • obowiązek zapewnienia przez zewnętrznego dostawcę usług ICT pomocy podmiotowi finansowemu, bez dodatkowych opłat lub za opłatą określoną z góry – w przypadku wystąpienia incydentu związanego z ICT;
      • prawa do wypowiedzenia umowy i związane z tym minimalne okresy wypowiedzenia ustaleń umownych;
      • warunki uczestnictwa zewnętrznych dostawców usług ICT w opracowanych przez podmioty finansowe programach zwiększania świadomości w zakresie bezpieczeństwa ICT.

W przypadku ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje, oprócz elementów wskazanych w art. 30 ust. 2 Rozporządzenia nałożone zostały dodatkowe obowiązki, do których należą m.in.:

      • pełne opisy gwarantowanych poziomów usług wraz z dokładnymi ilościowymi i jakościowymi celami w zakresie wyników w ramach uzgodnionych gwarantowanych poziomów usług;
      • okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT w stosunku do podmiotu finansowego;
      • obowiązek uczestnictwa zewnętrznych dostawców usług ICT w testach penetracyjnych pod kątem wyszukiwania zagrożeń;
      • wymogi wobec zewnętrznego dostawcy usług ICT w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością;
      • posiadanie środków, narzędzi i polityk w zakresie bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy zgodnie z jego ramami regulacyjnymi;
      • prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT;
      • strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego.

Co istotne, w przypadku umów zawartych z dostawcami usług ICT przed rozpoczęciem stosowania DORA (17 stycznia 2025 roku) obowiązkowe będzie dostosowanie ich treści w zakresie wymagań wynikających z art. 28-30 Rozporządzenia.

Powiązane

Piątek z DORA – Proces zarządzania incydentami związanymi z ICT. Obowiązek podmiotów finansowych wynikający z DORA
30 maja 2024

Przepisy Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr…

Zofia Zborowska Zofia Zborowska Associate
Chcesz otrzymywać aktualności na bieżąco?
Zapisz się do Newslettera

    Wybierz listę

    Chcę być informowany e-mailowo informacjach ze strony Raczyński Skalski & Partners Kancelaria Radców Prawnych Spółka Partnerska z siedzibą w Warszawie na podany przeze mnie adres e-mail. Czytaj dalej

    Ta witryna jest chroniona przez reCAPTCHA i obowiązuje Polityka prywatności i Warunki korzystania z usługi Google.