Strona główna
>
Baza wiedzy
>
Rejestr dostawców usług ICT – nowy obowiązek sprawozdawczy w ramach DORA

Rejestr dostawców usług ICT – nowy obowiązek sprawozdawczy w ramach DORA

Data publikacji:
2024-08-20
Data ostatniej aktualizacji:
2024-08-20

Postępująca cyfryzacja sprawia, że coraz częściej prawidłowe działanie instytucji finansowych jest uzależnione od dostawców usług ICT (ang. Information and Communication Technologies). Zewnętrznych firm, które dostarczają rozwiązania informatyczne umożliwiające przetwarzanie, gromadzenie i przesyłanie informacji w formie elektronicznej.

Kluczowe staje się skutecznie zarządzanie ryzykiem operacyjnym i zwiększanie odporność cyfrowej podmiotów sektora finansowego. Stąd Komisja Europejska wraz z wprowadzeniem rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), wymaga prowadzenia rejestru dostawców usług ICT i nakłada obowiązek sprawozdawczy.

Wraz z zespołem ekspertów z FINGO System przyjrzeliśmy się wymaganiom regulacyjnym w zakresie rejestru dostawców usług ICT.

Od kiedy będzie obowiązywać sprawozdawczość z rejestru dostawców usług ICT?

Od 17. stycznia 2025 r.  

Sprawozdanie będzie trzeba składać raz w roku lub na żądanie instytucji nadzorującej.

Natomiast już teraz instytucje finansowe podejmują działania przygotowawcze, mogące wiązać się z dostosowaniem warunków zawartych umów do art. 28-30 Rozporządzenia DORA.

Od połowy 2024 r. trafiają do nas zapytania o rozwiązanie sprawozdawcze w zakresie rejestru dostawców ICT. Słuchając wymagań klientów, podjęliśmy działania, aby móc zaspokoić potrzeby instytucji finansowych w zakresie nowego obowiązku sprawozdawczego. Chcemy, aby nasz system pozwalał na wygodne utrzymywanie i aktualizowanie rejestrów, a także dokonywał wstępnej walidacji i wskazywał błędy lub braki przed wysyłką do KNF sprawozdania w formacie XBRL. - mówi Michał Stawniak, Business Development Manager w FINGO Systems.

Jakie instytucje finansowe są zobligowane do raportowania dostawców usług ICT?

Zgodnie z Rozporządzeniem DORA, do raportowania dostawców usług ICT zobowiązane są różne instytucje finansowe. Upraszczając, można by powiedzieć, że dotyczy to: banków, kredytodawców, ubezpieczycieli, firm zajmujących się inwestycjami oraz FinTech-ów.

Warto jednak pamiętać, że lista podmiotów jest długa i szczegółowo opisuje, kto musi składać sprawozdania np.:

  • instytucje kredytowe, płatnicze, świadczące usługę dostępu do informacji o rachunku
  • firmy inwestycyjne i zarządzające alternatywnymi funduszami inwestycyjnym
  • dostawcy usług w zakresie kryptoaktywów
  • zakłady ubezpieczeń i reasekuracji
  • pośrednicy ubezpieczeniowi, reasekuracyjni czy oferujący ubezpieczenia uzupełniające
  • dostawcy usług finansowania społecznościowego

Co powinien zwierać rejestr umów ICT?

Rejestr powinien zawierać informacje o wszystkich umowach dotyczących korzystania z usług ICT. Gromadzone informacje muszą umożliwiać rzetelną analizę ryzyka związaną z konkretnym dostawcą.

Dostawcy usług ICT powinni być podzieleni na dwie kategorie: na tych wspierających krytyczne lub istotne funkcje i na tych, którzy takich funkcji nie wspierają. Następnie podmioty o znaczeniu krytycznym muszą zostać ocenione w zakresie ryzyka koncentracji w obszarze usług ICT, czyli:

  • trudności zastąpienia
  • podpisania wielu umów tylko z jednym lub z blisko powiązanymi dostawcami usług ICT

Rozporządzenie DORA określa kluczowe elementy, które powinny być zawarte w umowach. Część z tych wymagań jest typowa dla tradycyjnych umów zawieranych między kontraktorami, np.:

  • dane dostawcy
  • miejsce (kraje, regiony) świadczonych usług  
  • opis gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany
  • udzielenie pomocy podmiotowi finansowemu w przypadku wystąpienia incydentu ICT
  • prawo do wypowiedzenia umowy i związane z tym minimalne okresy wypowiedzenia

Pojawiają się też wymogi, których wcześniej najczęściej nie uwzględniano np.: warunki uczestnictwa w opracowanych przez podmioty finansowe programach zwiększania świadomości w zakresie bezpieczeństwa ICT.

Są też elementy, które dotyczą tylko dostawców usług krytycznych lub istotnych funkcji, np.:  

  • podwykonawstwo usługi ICT – czy jest dozwolone, a jeżeli tak, to jakie warunki mają zastosowanie do takiego podwykonawstwa.
  • wymogi w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością oraz środków bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy.
  • prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT, w tym:
    • nieograniczone prawa dostępu, kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią oraz przez organ właściwy,
    • prawo do uzgodnienia alternatywnych poziomów zabezpieczenia w przypadku naruszenia praw innych klientów,
    • obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy podczas kontroli i audytów,
    • obowiązek przekazywania szczegółowych informacji na temat zakresu, mających zastosowanie procedur i częstotliwości takich kontroli i audytów,
    • strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego.

FINGO jest dostawcą usług ICT

Nasza firma jest także objęta regulacjami DORA. Posiadanie certyfikatu ISO 27001:2022 już wcześniej zobowiązywał naszą organizację do spełniania większości wymogów, które teraz rozporządzenie DORA ujednolica na rynku finansowym w stosunku do dostawców usług ICT.

Nie zmienia to jednak faktu, że aby przygotować w pełni użyteczne rozwiązanie sprawozdawcze, musimy dogłębnie zrozumieć, czym jest sam rejestr umów IC i w jakim celu jest on przygotowywany. Dzięki takiemu podejściu będziemy w stanie odciążyć naszych klientów w kolejnym obowiązku sprawozdawczym.  

Aby być na bieżąco, zachęcamy do zapisania się do naszego newslettera.

Jak przygotować organizację do sprawozdania rejestru umów ICT?

Przygotowanie organizacji do sprawozdawania zgodności w zakresie rejestru umów ICT może być wyzwaniem. Na pewno będzie wymagało udoskonalenia podejścia do dostawców, dokumentowania nowych, wcześniej nieskodyfikowanych obszarów, a także ścisłej współpracy pomiędzy wieloma działami. Przede wszystkim IT oraz prawnym i compliance, ale z pewnością w ten proces włączone będą także komórki administracyjne, a być może także finansowe i sprzedażowe.

Stąd instytucje finansowe powinny zrobić audyt, gdzie zostaną wskazane i udokumentowane wszystkie procesy zależne od zewnętrznych dostawców usług ICT. A także wskazać wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje.

7 kroków, aby przygotować się do stworzenia rejestru dostawców usług ICT

Kinga Brzozowska, Information Compliance Officer w FINGO radzi, jak przygotować do wdrożenia nowego wymagania nadzorczego.

Myślę, że pomocne może być przejście poniższych 7 kluczowych kroków. Jeśli poprawnie wdrożymy zalecenia, samo utworzenie sprawozdania nie powinno być dla instytucji finansowej wyzwaniem.

1. Inwentaryzacja umów. Niezbędne jest sporządzenie listy wszystkich umów i podzielenie ich na odpowiednie kategorie (sprawdzenie czego dotyczą, np. usługa, licencja etc.) Ważne jest dokładne sprawdzenia miejsc, gdzie mogą się znajdować umowy - zarówno w postaci fizycznej, jak i cyfrowej.

2. Centralizacja i digitalizacja dokumentacji. Zeskanowanie wszystkich umów, załączników i innych dokumentów, a następnie umieszczenie ich w cyfrowej bazie, zdecydowanie ułatwia ich przeszukiwanie i archiwizację. Pamiętajmy, że aby poprawnie zarządzać umowami musimy mieć pewność, że znajdują się one w określonym miejscu i są na bieżąco aktualizowane.

3. Analiza i ocena dokumentacji. Musimy przeanalizować umowy pod kątem aktualności i compliance, ocenić ryzyko przyjętych warunków umownych oraz uzupełnić niektóre braki formalne.

4. Wdrożenie systemu zarządzania umowami. W tym miejscu warto podkreślić, że DORA nie reguluje systemu w jakim należy zarządzać umowami. Dlatego warto się zastanowić, czy nie skorzystać z narzędzia automatyzującego proces - oczywiście po odpowiedniej ocenie dostawcy.

5. Wyznaczenie ról w systemie zarządzania umowami oraz szkolenie Personelu. Należy wyznaczyć odpowiedzialności za elementy systemu, ważne, aby wszystkie osoby powiązane z cyklem życia umów były świadome istnienia i budowy rejestru oraz nauczyły się z niego korzystać adekwatnie do pełnionej roli.

6. Audyt i kontrola wewnętrzna. Procesy kontrolne mają na celu weryfikację poprawności działania oraz doskonalenie systemu, dlatego istotne jest, aby były prowadzone regularnie, skrupulatnie i obiektywnie.

7. Regularne przeglądy rejestru i pilnowanie ich aktualizacji. Najważniejsze, aby raz stworzony rejestr był na bieżąco aktualizowany, nawet posiadając narzędzia automatyzujące proces rejestrowania umów, nie należy zapominać o konieczności kontrolowania aktualności rejestru.
Monika Sianko

Content Marketing Manager w FINGO. Szukam inspirujących historii o rozwiązaniach IT, które pozwalają firmom generować większe przychody lub oszczędności.

Najnowsze artykuły

Polskie ePłatności tworzą sprawozdania usług płatniczych w systemie eON SaaS

Raportowanie dużych wolumenów danych do nadzorców rynku finansowego - 5 wyzwań

Bank Spółdzielczy w Kamiennej Górze wdrożył chmurowy system eON

Zapisz się na newsletter

Bądź zawsze na bieżąco ze zmianami w przepisach sprawozdawczych i naszych systemach.

Gotowe, dziękujemy za dołączenie do naszego newslettera.
Ups, coś poszło nie tak. Spróbuj ponownie.

Przełącz się na chmurę!

Zamów sprawozdawczość w formie usługi SaaS i zyskaj pakiet nowych możliwości.

Więcej

Zwiększ efektywność sprawozdawczości rejestrowej!

Postaw na nowoczesny system, zyskaj pełne wsparcie i pakiet nowych możliwości.

Więcej
Sprawozdawczość
Brak elementów.
DORA
Brak elementów.