Proces dostosowania umów do nowych wymogów regulacyjnych DORA – to jedno z najbardziej pracochłonnych zadań, które czeka instytucje finansowe w najbliższych miesiącach. Wprawdzie część rynku rozpoczęła już proces uzupełniania rejestru oraz aneksowania umów, nadal wiele podmiotów czeka na bardziej szczegółowe wskazówki ze strony organów nadzoru. Niestety czasu na dostosowanie umów jest coraz mniej, a wątpliwości interpretacyjnych nie ubywa.
DORA określa szczegółowe wymogi dla relacji (w tym umowy) pomiędzy podmiotami finansowymi a zewnętrznymi dostawcami usług ICT. Z reguły pierwszym problemem napotykanym w procesie dostosowania umów jest ustalenie, które umowy “podlegają” pod DORA.
Kluczowe kryteria w tym zakresie zawiera definicja usług ICT, obejmująca usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego (art. 3 pkt 21 DORA). Oznacza to, że przepisy dotyczą umów, których przedmiotem jest świadczenie usługi:
W praktyce często występują pytania dotyczące umów licencyjnych na oprogramowanie (w tym licencji open source). Wprawdzie dla celów podatkowych udzielenie licencji bywa kwalifikowane jako usługa, z perspektywy przepisów umowy licencyjne nie stanowią umów o świadczenie usługi. Mimo to projektowany ITS w sprawie ustanowienia standardowych wzorów rejestru informacji o zewnętrznych dostawcach usług ICT1 wyraźnie przewiduje odrębną kategorię dla umów licencyjnych – S13: Software licensing (excluding SaaS). Co więcej, na rynku finansowym coraz rzadziej spotykane są czyste umowy licencyjne zawierane bez dodatkowych usług wsparcia i aktualizacji.
Innym problemem pozostają tzw. umowy B2B, których niewątpliwa popularność na polskim rynku IT budzi niejasności interpretacyjne. Warto podkreślić, że wątpliwości te dotyczą zarówno osób zatrudnionych w ten sposób bezpośrednio przez instytucje finansowe, jak i w ramach struktury dostawców ICT. Naturalnie problemy związane z umowami B2B regularnie pojawiają się również w kontekście innych, obowiązujących już regulacji (GDPR, outsourcing regulowany, tajemnice zawodowe), lecz nadal trudno mówić o spójnym podejściu – rynku i nadzorcy – do tego problemu.
Całkowicie odrębnym problemem pozostają umowy zawierane pomiędzy instytucjami finansowymi. Jako argument za tym, że usługi świadczone przez podmioty finansowe (w rozumieniu DORA) mogą stanowić usługi ICT, najczęściej przywoływana jest reguła, zgodnie z którą podmioty finansowe nie powinny podlegać wyznaczeniu jako kluczowi dostawcy usług ICT (na podstawie art. 31 ust. 1 lit. a DORA). Jednocześnie szczegółowa analiza przepisów rozporządzenia wskazuje, że intencją prawodawcy było rozróżnienie sytuacji prawnej podmiotu finansowego i zewnętrznego dostawcy usług ICT.
O ile zatem podmioty finansowe prowadzące działalność hybrydową (tj. częściowo nieobjętą nadzorem KNF, np. w zakresie usług przetwarzania danych transakcji kartowych) powinny liczyć się z kwalifikacją swoich usług w tym zakresie jako usług ICT, bezcelowe byłoby uznanie za taką usługę np. dostępu do bankowości elektronicznej lub usług otwartej bankowości (których świadczenie jest uzależnione od posiadania przez usługodawcę odpowiedniego statusu w świetle regulacji finansowych). Preambuła wyraźnie zaznacza, że podmioty finansowe „podlegają już mechanizmom nadzorczym ustanowionym przez odpowiednie unijne przepisy dotyczące usług finansowych” (motyw 78 DORA).
Wyzwaniem – szczególnie dla mniejszych podmiotów na rynku – jest również operacyjne podejście do procesu negocjowania umów. W szczególności nierealna wydaje się możliwość efektywnego negocjowania umów z dużymi vendorami technologicznymi (np. dostawcami usług chmurowych, oprogramowania czy kluczowej infrastruktury technologicznej). W najbliższym czasie zapewne również i tego typu podmioty będą dysponować swoimi wzorcami mającymi na celu zapewnienie zgodności z DORA (część z nich już zapowiada zamiar dostosowania swojej działalności do DORA), należy jednak mieć na uwadze, że odpowiedzialność za to, aby umowa była zawarta (i wykonywana) zgodnie z DORA oraz właściwymi RTS i ITS – w tym w terminach wymaganych regulacją – spoczywa zawsze na podmiocie finansowym (niezależnie od tego, czy jest to bank, czy dostawca świadczący wyłącznie usługę dostępu do informacji o rachunku, czy mała instytucja płatnicza).
DORA określa katalog obligatoryjnych postanowień umownych, rozróżniając przy tym poszczególne wymogi dla umów obejmujących usługi ICT wspierające funkcje krytyczne lub istotne oraz dla umów, w ramach których oferowane są usługi, które takich funkcji nie spierają (usługi ICT „zwykłe”). DORA wskazuje przy tym, że dokument powinien być sporządzony w formie pisemnej i być dostępny dla stron w wersji papierowej, lub w dokumencie w innym formacie umożliwiającym pobieranie, zapewniającym trwałość i dostęp (za taki inny dokument należy uznać w szczególności umowę podpisaną kwalifikowanymi podpisami elektronicznymi).
Jeśli chodzi o podstawowy wariant umowy - dla wszystkich usługi ICT - to jej obowiązkowe elementy zostały określone w art. 30 ust. 2 DORA. W szczególności należy tutaj zwrócić uwagę na wskazanie, czy dozwolone jest podwykonawstwo usługi ICT wspierającej krytyczną lub istotną funkcję lub jej istotnych części (w przypadku „zwykłych” usług ICT nie jest to obligatoryjne), a jeżeli tak, to jakie warunki mają zastosowanie do takiego podwykonawstwa. W umowie należy także określić miejsce (region lub kraj), w którym mają być świadczone funkcje i usługi ICT (w tym te objęte podwykonawstwem – już bez rozróżnienia, czy dotyczy to usług ICT wspierających funkcje krytyczne lub istotne) oraz w którym mają być przetwarzane dane (a także miejsce przechowywania). Każda umowa ma także zawierać dość standardowe postanowienia w zakresie SLA, prawa kontroli nad dostawcą, obowiązku współpracy przy wystąpieniu incydentu, obowiązków szkoleniowych, czy prawa wypowiedzenia umowy (tu dodatkowo należy wziąć pod uwagę art. 28 ust. 7 DORA określający przypadki, w których powinno przysługiwać prawo do wypowiedzenia umowy).
W odniesieniu do umów dotyczących usług ICT wspierających funkcje krytyczne lub istotne DORA przewiduje dodatkowe wymogi określone w art. 30 ust. 3 DORA. Umowa obejmująca tego typu usługi powinna w szczególności zawierać wymogi wobec ICT TPP w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością, czy obowiązek uczestnictwa w TLPT i współpracy w tym zakresie (jeśli takie testy będą przeprowadzane). ICT TPP świadczący usługi wspierające funkcje krytyczne lub istotne powinien także być umownie zobowiązany do posiadania środków, narzędzi i polityk w zakresie bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy. Ponadto konieczne jest przyjęcie planów wyjścia (dodatkowe wymogi w tym zakresie zawiera art. 28 ust. 8 DORA), określić prawo do monitorowania na bieżąco wyników osiąganych przez ICT TPP oraz nałożyć na niego odpowiednie wymogi sprawozdawcze.
W przypadku istniejących umów, wiele z elementów wymaganych zgodnie z art. 30 ust. 2 DORA znajduje się już w umowie zawartej między podmiotem finansowym a jego dostawcą (w szczególności SLA, obowiązki w zakresie zabezpieczenia danych, opis usług) należy jednak dokonać szczegółowej analizy i weryfikacji, czy treść tych postanowień nie wymaga uzupełnienia. Szczególną ostrożność należy jednak zachować w przypadku usług ICT wspierających funkcje krytyczne lub istotne, gdyż w tym przypadku DORA przewiduje szczególne wymogi, określone nie tylko w samym rozporządzeniu, ale również w regulacyjnych standardach technicznych (RTS).
Konstruując umowę pod DORA należy także mieć na uwadze w szczególności dwa RTS:
RTS dot. podwykonawstwa stawiają szereg dodatkowych wymogów, od których zależne jest dopuszczenie podwykonawstwa w ramach realizacji danej umowy. W szczególności wymagane jest przeprowadzenie ogólnej analizę ryzyka i złożoności odnoszącej się do całokształtu działalności podmiotu finansowego – ta ocena ma pozwolić na ustalenie w jakim zakresie dany podmiot powinien stosować wymogi wynikające z tych RTS (analiza w zakresie proporcjonalności). Konieczne jest także przeprowadzenie analizy ryzyka i due diligence w zakresie ogólnej dopuszczalności podwykonawstwa dla danej usługi ICT wspierającej funkcje krytyczne lub istotne - analiza powinna zostać dokonana przed zawarciem umowy z danym dostawcą.
RTS dot. podwykonawstwa wymagają także zapewnienia odpowiednich postanowień umownych w umowach z ICT TPP, w szczególności w odniesieniu do monitorowania wszystkich podwykonawców, określenia praw kontroli, audytu i współpracy z właściwymi organami, czy lokalizacji danych. Umowa z dostawcą ma także zapewniać wprowadzenie do umów z podwykonawcami stosownych zobowiązań (m.in. w zakresie sprawozdawczości). RTS określają także tryb postępowania w przypadku wprowadzenia istotnych zmian w umowie podwykonawstwa oraz zasady wypowiadania umowy, co także powinno mieć odzwierciedlenie w dokumentacji umownej pomiędzy podmiotem finansowym a ICT TPP. Co dodatkowo istotne, RTS dot. podwykonawstwa wymagają podjęcia określonych środków w celu monitorowania całego łańcucha podwykonawców, co w wielu przypadkach może być istotnym wyzwaniem. W ostatnim raporcie wskazano jednak, że podmioty finansowe mogą w tym aspekcie poświęcać szczególną uwagę tym podwykonawcom, którzy bezpośrednio wspierają usługę ICT wspierającą funkcje krytyczne lub istotne, w tym wszystkim podwykonawcom świadczącym usługi ICT, których zakłócenie mogłoby naruszyć bezpieczeństwo lub ciągłość świadczenia usług (co do zasady zgodnie z podejściem z ITS o Rejestrze informacji). Wciąż oznacza to konieczność monitorowania całego łańcucha, choć z możliwością przyjęcia w tym zakresie zróżnicowanego podejścia i środków.
W przypadku RTS dot. polityki korzystania z ICT TPP należy zwrócić szczególną uwagę na art. 8 odnoszący się do klauzul umownych oraz prawa podmiotu finansowego do dostępu do informacji, przeprowadzania inspekcji i audytów oraz do przeprowadzania testów w odniesieniu do ICT. Ponadto RTS odnoszą się do planów wyjścia czy zasad monitorowania ustaleń umownych.
Przy pracy nad aneksami lub nowymi umowami zgodnymi z DORA warto uwzględnić również wspomniane już ITS w sprawie rejestru informacji, w szczególności w odniesieniu do terminologii czy spójności postanowień umownych z informacjami, które podmiot musi gromadzić w celu prowadzenia i aktualizacji swoich rejestrów (np. dla lokalizacji w zakresie przetwarzania danych etc).
Choć DORA zacznie obowiązywać dopiero 17 stycznia 2025 roku, proces aneksowania umów z pewnością będzie wymagał czasu. Ani DORA, ani żadne RTS nie przewidują okresów przejściowych (choć w przypadku RTS dot. podwykonawstwa takie postulaty z rynku się pojawiały – zostały jednak odrzucone). Oznacza to, że umowy obejmujące usługi ICT zgodnie z DORA powinny zgodnie z przepisami zostać zawarte lub dostosowane momenty wejścia w życie nowej regulacji.
Aby zdążyć z dostosowaniem umów do stycznia należy już teraz aktualizować wewnętrzne procesy, przeprowadzać analizę ryzyka i podejmować rozmowy z dostawcami (dla nich wejście w reżim DORA również będzie się pośrednio wiązało z wieloma obowiązkami). W przypadku wieloletnich umów, w ramach których identyfikujemy wielu podwykonawców, podmioty finansowe powinny jak najszybciej dokonać kwalifikacji takich umów jako umowy obejmujące świadczenie usług ICT lub nie oraz określić, czy wspierają funkcje krytyczne lub istotne. Na podstawie tak dokonanej kwalifikacji należy rozpocząć gromadzenie informacji na temat podwykonawców równolegle z negocjowaniem aneksów do umów – tam, gdzie to konieczne. Mając na uwadze dość skomplikowany proces związany z dostosowaniem do DORA należy zaplanować odpowiednio harmonogram wdrożenia, pozwalający na skuteczną zmianę umowy, ale również terminową realizację innych obowiązków (np. w zakresie rejestrów informacji). Nie warto zatem czekać na ewentualne wskazówki od nadzorcy – czasu na działanie jest bowiem coraz mniej.