Przejdź do głównej treści

Zarządzanie współpracą z dostawcami z sektorze finansowym - koniec outsourcingu?

Nowe wytyczne EBA i zmiany w umowach

Europejski Urząd Nadzoru Bankowego (EBA) pracuje nad aktualizacją Wytycznych w sprawie outsourcingu (EBA/GL/2019/02), których celem jest poszerzenie nadzoru nad współpracą pomiędzy instytucjami finansowymi a dostawcami usług. W tym celu EBA przygotowuje projekt Wytycznych dotyczących prawidłowego zarządzania ryzykiem stron trzecich (Consultation Paper on EBA Draft Guidelines on the sound management of third-party risk [EBA/CP/2025/12 8 July 2025, Wytyczne TPRM]). Wytyczne TPRM mają uzupełnić wymogi DORA1 w zakresie umów niemających charakteru ICT (Information and Communications Technology) i zastąpić dotychczasowe Wytyczne EBA dotyczące outsourcingu.

Legal Briefs - blog prawny

Informacje o najważniejszych zmianach w prawie polskim i europejskim, mających realny wpływ na funkcjonowanie biznesu 

Dowiedz się więcej

Czy outsourcing zniknie z regulacji? Zakres planowanych zmian.

Obecnie obowiązujące Wytyczne EBA regulują umowy w zakresie tzw. outsourcingu, czyli współpracy, na podstawie której dostawca świadczy na rzecz podmiotu finansowego usługi w sposób ciągły i które normalnie wykonałaby sama instytucja finansowa – czyli można obiektywnie oczekiwać, że dane zadanie byłoby realizowane przez instytucję finansową.

Zmiana wprowadzona Wytycznymi TPRM polega na zastąpieniu dotychczasowego kryterium outsourcingu – opartego na przesłankach ciągłości usługi oraz braku jej swoistości – kryterium krytyczności lub istotności danej usługi.

W konsekwencji rozszerza się zakres umów objętych regulacją. Może to powodować konieczność podjęcia dodatkowych działań, takich jak przeprowadzenie oceny ryzyka koncentracji w odniesieniu do dostawcy czy uwzględnienie w umowie prawa audytu, również w przypadku współpracy z dostawcami, którzy dotychczas nie podlegali tego rodzaju ocenie.

Wytyczne TPRM dotyczą także usług świadczonych w sposób ciągły, więc incydentalne korzystanie z danej usługi lub zakup sprzętu IT powinien pozostać poza obowiązkami regulacyjnymi – przynajmniej tymi wynikającymi z Wytycznych TPRM.

Zmiany w projektowanych Wytycznych TPRM nie dotyczą umów o świadczenie usługi ICT. Korzystanie z usług ICT jest uregulowane w DORA, dlatego usługi te pozostają objęte przepisami DORA lub innymi regulacjami, np. sektorowymi.

Katalog wyjątków – które usługi pozostaną poza regulacją

Pomimo istotnych zmian, jakie wprowadzają Wytyczne TPRM, nadal utrzymane będą liczne wyłączenia w zakresie współpracy, do których zmieniane Wytyczne EBA i Wytyczne TPRM nie mają zastosowania. Dotyczy to umów, które nie mają istotnego wpływu na ekspozycję podmiotów finansowych na ryzyko lub na ich odporność operacyjną. Przykładowe umowy nadal wyłączone spod stosowania Wytycznych dot. outsourcingu i Wytycznych TPRM to:

  • udzielanie opinii prawnych,
  • reprezentacja przed sądem,
  • konserwacja pomieszczeń,
  • usługi biurowe,
  • usługi pocztowe,
  • recepcja.

Dodatkowo poza zakresem Wytycznych TPRM pozostaje nabywanie mediów już podlegających regulacjom (np. energia elektryczna, gaz, woda, linia telefoniczna).

W mojej ocenie utrzymanie tego katalogu wyłączeń stosowania wytycznych jest trafne i powoduje, że planowane zmiany nie spowodują obciążenia operacyjnego w podmiotach finansowych ani po stronie dostawców. Jednak, na co może wskazywać brzmienie Wytycznych TPRM, decyzja o braku stosowania Wytycznych TPRM powinna być poprzedzona oceną wpływu na odporność operacyjną instytucji finansowej.

Nowy trend regulacyjny w UE

Wytyczne TPRM są skierowane do wybranych kategorii podmiotów tj.: instytucji kredytowych (banków), instytucji płatniczych, instytucji pieniądza elektronicznego, firm inwestycyjnych, emitentów tokenów powiązanych z aktywami oraz wybranych kredytodawców niebędących bankami. Jednak można się spodziewać, że oczekiwania EBA zostaną wprowadzone także przez Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) w sektorze ubezpieczeniowym oraz przez Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) w sektorze kapitałowym. Nie można wykluczyć, że wymogi dotyczące technologii informacyjno-telekomunikacyjnych (ICT) będą w przyszłości uregulowane w unijnym rozporządzeniu na wzór DORA, co w mojej ocenie przyczyniłoby się do harmonizacji wymogów, ułatwiłoby dostosowanie współpracy z dostawcami usług z uwagi na powszechnie obowiązujący charakter przepisów w porównaniu do sektorowych wytycznych.

Regulacyjny labirynt w sektorze finansowym

Toczące się prace nad aktualizacją Wytycznych EBA skłaniają do wniosku, że jednym z kluczowych wyzwań w instytucjach finansowych jest identyfikacja właściwej regulacji, którą należy stosować podczas korzystania z danej usługi.

Brak zidentyfikowania właściwych przepisów prawa może skutkować karami administracyjnymi, kontraktowymi, a w skrajnych przypadkach może prowadzić do konieczności zakończenia współpracy biznesowej w wyniku decyzji administracyjnej lub orzeczenia sądowego – np. jeżeli brak w umowie obligatoryjnego postanowienia negatywnie wpłynie na jakość usług instytucji finansowej. Dlatego jeszcze przed uruchomieniem procesu zakupowego konieczna jest identyfikacja, czy i jakie regulacje będą miały wpływ na umowę pomiędzy zamawiającym a dostawcą.

Jak ustalić właściwą regulację – praktyczna „road mapa”

  • Oceniamy, czy przedmiot umowy dotyczy usługi ICT w rozumieniu art. 3 pkt 21 DORA. W takim przypadku stosujemy wymogi DORA, a nie Wytycznych TPRM.
  • Jeżeli przedmiot umowy nie dotyczy usługi ICT, badamy czy przedmiot umowy dotyczy jednorazowego nabycia towarów lub czy nabycie usług ma charakter incydentalny i zamknięty w czasie.
  • Oceniamy [dodane: krytyczność] lub istotność usługi w kontekście odporności operacyjnej instytucji finansowej.
  • Uwzględniamy regulacje horyzontalne lub produktowe wynikające z przedmiotu świadczonej usługi – np. przetwarzanie danych osobowych lub wykorzystanie określonej technologii.

W celu określenia właściwej regulacji mającej zastosowanie do danej współpracy można zastosować etapowe podejście, które pozwoli na identyfikację właściwych wymogów regulacyjnych. Warto zacząć od sprawdzenia wymogów wynikających z ustawy sektorowej, która bezpośrednio odnosi się do przedmiotu działalności.

  • Identyfikujemy wymogi wynikające z regulacji sektorowej dotyczące naszej organizacji np. ustawy Prawo bankowe lub ustawy o działalności ubezpieczeniowej i reasekuracyjnej. Z przepisów sektorowych wynika np. czy i w jaki sposób możemy korzystać z usług zewnętrznych dostawców np. prawo bankowe wprowadza wymogi w zakresie usług realizowanych poza Europejskim Obszarem Gospodarczym, a druga z wymienionych ustaw już nie.
  • Oceniamy, czy przedmiot umowy dotyczy usługi ICT z art. 3 pkt 21 DORA. W takim przypadku stosujemy wymogi DORA, a nie Wytycznych TPRM. Usługami ICT są do zasady usługi, których przedmiot umowy/cel umowy polega na cyfrowym przetwarzaniu danych za pośrednictwem systemów ICT dostawcy i są jednocześnie świadczone w sposób ciągły.

Jeżeli przedmiot umowy nie dotyczy usługi ICT, to badamy czy przedmiot umowy dotyczy jednorazowego nabycia towarów lub czy nabycie usług ma charakter incydentalny i zamknięty w czasie. Przykładem takich umów może być zakup sprzętu komputerowego lub usług, z których korzystanie jest czasowe/dające się z góry określić. Jeżeli przedmiot umowy jest świadczony w sposób ciągły, to stosujemy Wytyczne TPRM.

  • Oceniamy krytyczność lub istotność usługi.
  • Uwzględniamy regulacje horyzontalne lub produktowe wynikające z przedmiotu świadczonej usługi – np. w przetwarzaniu danych osobowych lub wykorzystaniu określonej technologii.

Komentarz

Projektowane zmiany w Wytycznych TPRM można ocenić pozytywnie z uwagi na unormowanie ryzyka operacyjnego niezwiązanego z ICT oraz harmonizację kryterium oceny współpracy z dostawcami poprzez zastosowanie jednolitego kryterium krytyczności lub istotności danej usługi dla podmiotu finansowego niezależnie od tego, czy umowa dotyczy usług ICT czy nie. Także zmiany polegające na rezygnacji z odwołania do pojęcia outsourcingu w nazwie wytycznych są trafne, ponieważ nawet obecnie obowiązujące wytyczne EBA odwoływały się do krytyczności lub istotności usługi, co powodowało brak jasności interpretacyjnych. Sprawą dyskusyjną pozostaje wybór formy planowanych zmian w postaci wytycznych nadzorczych, a nie unijnego rozporządzenia. Uregulowanie wymogów dotyczących usług nie-ICT w unijnym rozporządzeniu przyczyniłoby się do większej pewności prawa oraz dalszej harmonizacji regulacji w sektorze finansowym.

 

Autor:

Marek Dzięciołowski
Managing Associate Deloitte Legal, adwokat, współtworzył Q&A do Komunikatu Chmurowego UKNF, opracowania ZBP dot. ICT, specjalizuje się w tematyce TMT, prywatności, cyberbezpieczeństwie

 

Przypisy:

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

Did you find this useful?

Yes
No

Thanks for your feedback

Państwa opinia jest dla nas ważna.

Aby podzielić się z nami swoją opinią, zaktualizuj ustawienia i zaakceptuj analityczne oraz wydajnościowe pliki cookie.

Potrzebujesz pomocy w aktualizacji plików cookie?

Rekomendowane strony:

Finansowanie ekspansji zagranicznej polskiego biznesu – rola BGK i praktyczne doświadczenia z projektów międzynarodowych .

Finansowanie ekspansji zagranicznej polskiego biznesu – rola BGK i praktyczne doświadczenia z projektów międzynarodowych.
Publikacje

Biuletyn prawny dla branży finansowej

Publikacje

Webinar: Polska na globalnej mapie biznesu – jak skutecznie zarządzać delegowaniem pracowników w ekspansji zagranicznej?

Wirtualne : Webinarium
wt. 13 sty. 2026

Delegowanie pracowników – rozwiązania w podatkach, ubezpieczeniach społecznych, budowanie polityk mobilności i narzędzia do zarządzania oddelegowaniami.

Obejrzyj nagranie Zobacz szczegóły
Przeszłe wydarzenia

10 rzeczy o których musisz pamiętać przy delegowaniu pracownika za granicę

Jakie dokumenty są niezbędne przy delegowaniu pracownika za granicę? Jak rozliczyć podatki i składki? Obowiązki pracodawcy delegującego pracownika.
Publikacje
Przeczytasz w 5 minut(y)