Jak klasyfikować relacje z zewnętrznymi dostawcami w świetle DORA?

Istotną nowością dla podmiotów finansowych jest szeroki zakres zastosowania DORA, który w odniesieniu do współpracy z dostawcami technologicznymi obejmuje świadczone podmiotom sektora finansowego „usługi ICT”. Zgodnie z definicją zawartą w rozporządzeniu pojęcie to obejmuje usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej (art. 3 pkt 21 DORA).

Tak szeroka definicja oznacza, że zakres zastosowania DORA wykracza poza powszechnie przyjmowane w regulacjach i wytycznych organów nadzoru definicje „outsourcingu”. Tym samym do wymogów DORA będą musiały zostać dostosowane praktycznie wszelkie relacje z dostawcami zewnętrznymi dostarczającymi rozwiązania technologiczne dla podmiotów rynku finansowego. Dotyczy to również tych relacji, które zgodnie z regulacjami sektorowymi (czyli np. prawem bankowym i wytycznymi EBA) nie stanowiłyby outsourcingu, ponieważ funkcja zlecana do wykonania przez dostawcę zewnętrznego nie wchodziłaby w zakres funkcji, które byłyby lub mogłyby rzeczywiście być wykonywane przez podmiot sektora finansowego.

Wśród takich nowych przypadków można wymienić np. narzędzia związane z rekrutacja pracowników czy prowadzeniem profilu instytucji finansowej na mediach społecznościowych. Dotychczas takie umowy rzadko były kwalifikowane jako outsourcing regulowany, tymczasem zakres zastosowania rozporządzenia DORA wyraźnie obejmuje takie przypadki. Nie oznacza to jednak, że umowy te będą traktowane na gruncie przepisów DORA w taki sam sposób, jak np. outsourcing procesów związanych z monitorowaniem transakcji płatniczych czy korzystanie z usług świadczonych przez pośredników kredytowych online. Celem prawodawcy było wdrożenie regulacji uwzględniającej szeroko rozumianą zasadę proporcjonalności, co pozwala na dostosowanie środków stosowanych w danej relacji do rzeczywistego ryzyka, z którym wiąże się korzystania z danej usługi ICT.

Różne umowy – różne obowiązki

W ślad za istniejącymi już ramami regulacyjnymi dotyczącymi outsourcingu DORA również wprowadza podział dostawców usług ICT w zależności od tego, czy powierzana im funkcja ma charakter krytyczny lub istotny.

Kwalifikacja funkcji jako krytycznej lub istotnej jest pierwszym krokiem analizy przedkontraktowej i ma kluczowe znaczenie z punktu widzenia zakresu obowiązków, które należy spełnić w związku z daną relacją z dostawcą usługi ICT. Do usług ICT wspierających funkcje tej kategorii zastosowanie mają dalej idące wymogi dotyczące m.in. treści umowy z takim dostawcą, oceny ryzyka koncentracji w obszarze ICT oraz wprowadzenia strategii wyjścia.

Każdy podmiot rynku finansowego objęty zakresem DORA powinien również dokładnie przeanalizować stosunki umowne z zewnętrznymi dostawcami, których do tej pory podmiot ten nie klasyfikował jako outsourcing pod kątem obowiązku stosowania wymogów DORA do takiej relacji. Podmioty finansowe mają czas na przeprowadzenie odpowiednich analiz i dostosowanie do nowego rozporządzenia do 17 stycznia 2025 roku – rozporządzenie nie przewiduje w tym zakresie żadnego okresu przejściowego. Jeżeli instytucja stwierdzi, że w ramach relacji z podmiotem zewnętrznym korzysta z usług ICT w rozumieniu rozporządzenia, to konieczne będzie podpisane nowej umowy lub aneksowania dotychczasowej.

W zakresie wymogów dotyczących treści umów zawieranych z dostawcami usług ICT DORA bazuje w dużej mierze na Wytycznych EBA w sprawie outsourcingu. Oznacza to, że podmioty takie jak banki lub instytucje płatnicze, które już stosują wymogi tam przewidziane do relacji outsourcingowych w dużej mierze spełniają w tym zakresie obowiązki przewidziane w DORA. Dla pozostałych instytucji sektora finansowego dostosowanie się do wymogów DORA będzie wymagało poniesienia wysiłku organizacyjnego oraz przeorientowania mechanizmów zarządzania relacjami umownymi zgodnie z logiką DORA.

Zastosowanie takich wymogów umownych będzie jednak nowością w zakresie współpracy z zewnętrznymi dostawcami usług ICT, których dotychczas podmioty finansowe nie kwalifikowały jako outsourcingu. Najważniejszym krokiem będzie identyfikacja takich dostawców wśród obecnych kontrahentów, a także prawidłowa komunikacja oczekiwań podmiotu finansowego w stosunku do podwykonawcy. Choć znaczna część podmiotów rynku finansowego planuje przyjęcie standardowego modelu klauzul umownych wykorzystywanych w relacji z zewnętrznymi dostawcami usług ICT, to rozwiązanie takie nie sprawdzi się, jeżeli zespoły odpowiedzialne za negocjowanie umów nie uwzględnią tej gradacji ryzyka przy poszczególnych kontrahentach. W tym zakresie warto rozważyć skorzystanie z doświadczenia zewnętrznego doradcy prawnego, który pomoże płynnie przejść przez proces dostosowania i aneksowania umów w sposób.