Aktualności

Piątek z DORA: Przegląd zasad zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT

Zofia Zborowska Zofia Zborowska Associate
17 maja 2024
Piątek z DORA: Przegląd zasad zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT

Jednym z obowiązków nałożonych m.in. na krajowe instytucje płatnicze i małe instytucje płatnicze przez Rozporządzenie 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej jako „DORA” lub „Rozporządzenie”) jest zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT.

W związku z powyższym, na mocy DORA podmioty finansowe zobowiązane są:

    • co najmniej raz w roku przedstawiać właściwym organom informacje na temat liczby nowych ustaleń dotyczących korzystania z usług ICT, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług ICT i obsługiwanych funkcji;
    • udostępniać właściwemu organowi (na jego żądanie) pełny rejestr informacji lub określone sekcje tego rejestru wraz ze wszelkimi informacjami uznanymi za niezbędne, aby umożliwić skuteczny nadzór nad danym podmiotem finansowym.
    • informować w odpowiednim terminie właściwy organ o wszelkich planowanych ustaleniach umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje oraz o tym, że dana funkcja stała się krytyczna lub istotna.

! Zgodnie z opublikowanym w dniu 18 kwietnia 2024 r. projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego, wyznaczonym organem nadzorczym w Polsce ma być Komisja Nadzoru Finansowego.

Ponadto, w ramach zarządzania ryzykiem związanym z ICT, niektóre podmioty finansowe – w tym KIP (nie dotyczy MIP) powinny w szczególności:

    1. przyjąć strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT i regularnie dokonywać jej przeglądu;
    2. opracować i przyjąć politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT;
    3. przeprowadzić przegląd ryzyka w odniesieniu do umów dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje.

Rozporządzenie zobowiązuje także podmioty finansowe do dokonywania wstępnej oceny ryzyka koncentracji w przypadku, gdy zawarcie planowanego ustalenia umownego w związku z usługami ICT wspierającymi krytyczne lub istotne funkcje prowadziłoby do któregokolwiek z poniższych skutków:

    • zawarcia umowy z zewnętrznym dostawcą usług ICT, którego nie można łatwo zastąpić lub
    • posiadania wielu ustaleń umownych dotyczących świadczenia usług ICT wspierających krytyczne lub istotne funkcje z tym samym zewnętrznym dostawcą usług ICT lub z blisko powiązanymi zewnętrznymi dostawcami usług ICT.

Powiązane

Piątek z DORA – Kogo obowiązuje Rozporządzenie DORA?
17 maja 2024

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie…

Zofia Zborowska Zofia Zborowska Associate
Chcesz otrzymywać aktualności na bieżąco?
Zapisz się do Newslettera

    Wybierz listę

    Chcę być informowany e-mailowo informacjach ze strony Raczyński Skalski & Partners Kancelaria Radców Prawnych Spółka Partnerska z siedzibą w Warszawie na podany przeze mnie adres e-mail. Czytaj dalej

    Ta witryna jest chroniona przez reCAPTCHA i obowiązuje Polityka prywatności i Warunki korzystania z usługi Google.