Rejestr dostawców usług ICT – nowy obowiązek sprawozdawczy w ramach DORA

Postępująca cyfryzacja sprawia, że coraz częściej prawidłowe działanie instytucji finansowych jest uzależnione od dostawców usług ICT (ang. Information and Communication Technologies). Zewnętrznych firm, które dostarczają rozwiązania informatyczne umożliwiające przetwarzanie, gromadzenie i przesyłanie informacji w formie elektronicznej.

Kluczowe staje się skutecznie zarządzanie ryzykiem operacyjnym i zwiększanie odporność cyfrowej podmiotów sektora finansowego. Stąd Komisja Europejska wraz z wprowadzeniem rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), wymaga prowadzenia rejestru dostawców usług ICT i nakłada obowiązek sprawozdawczy.

Wraz z zespołem ekspertów z FINGO System przyjrzeliśmy się wymaganiom regulacyjnym w zakresie rejestru dostawców usług ICT.

Od kiedy będzie obowiązywać sprawozdawczość z rejestru dostawców usług ICT?

Od 17. stycznia 2025 r.  

Sprawozdanie będzie trzeba składać raz w roku lub na żądanie instytucji nadzorującej.

Natomiast już teraz instytucje finansowe podejmują działania przygotowawcze, mogące wiązać się z dostosowaniem warunków zawartych umów do art. 28-30 Rozporządzenia DORA.

Od połowy 2024 r. trafiają do nas zapytania o rozwiązanie sprawozdawcze w zakresie rejestru dostawców ICT. Słuchając wymagań klientów, podjęliśmy działania, aby móc zaspokoić potrzeby instytucji finansowych w zakresie nowego obowiązku sprawozdawczego. Chcemy, aby nasz system pozwalał na wygodne utrzymywanie i aktualizowanie rejestrów, a także dokonywał wstępnej walidacji i wskazywał błędy lub braki przed wysyłką do KNF sprawozdania w formacie XBRL. - mówi Michał Stawniak, Business Development Manager w FINGO Systems.

Jakie instytucje finansowe są zobligowane do raportowania dostawców usług ICT?

Zgodnie z Rozporządzeniem DORA, do raportowania dostawców usług ICT zobowiązane są różne instytucje finansowe. Upraszczając, można by powiedzieć, że dotyczy to: banków, kredytodawców, ubezpieczycieli, firm zajmujących się inwestycjami oraz FinTech-ów.

Warto jednak pamiętać, że lista podmiotów jest długa i szczegółowo opisuje, kto musi składać sprawozdania np.:

  • instytucje kredytowe, płatnicze, świadczące usługę dostępu do informacji o rachunku
  • firmy inwestycyjne i zarządzające alternatywnymi funduszami inwestycyjnym
  • dostawcy usług w zakresie kryptoaktywów
  • zakłady ubezpieczeń i reasekuracji
  • pośrednicy ubezpieczeniowi, reasekuracyjni czy oferujący ubezpieczenia uzupełniające
  • dostawcy usług finansowania społecznościowego

Co powinien zwierać rejestr umów ICT?

Rejestr powinien zawierać informacje o wszystkich umowach dotyczących korzystania z usług ICT. Gromadzone informacje muszą umożliwiać rzetelną analizę ryzyka związaną z konkretnym dostawcą.

Dostawcy usług ICT powinni być podzieleni na dwie kategorie: na tych wspierających krytyczne lub istotne funkcje i na tych, którzy takich funkcji nie wspierają. Następnie podmioty o znaczeniu krytycznym muszą zostać ocenione w zakresie ryzyka koncentracji w obszarze usług ICT, czyli:

  • trudności zastąpienia
  • podpisania wielu umów tylko z jednym lub z blisko powiązanymi dostawcami usług ICT

Rozporządzenie DORA określa kluczowe elementy, które powinny być zawarte w umowach. Część z tych wymagań jest typowa dla tradycyjnych umów zawieranych między kontraktorami, np.:

  • dane dostawcy
  • miejsce (kraje, regiony) świadczonych usług  
  • opis gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany
  • udzielenie pomocy podmiotowi finansowemu w przypadku wystąpienia incydentu ICT
  • prawo do wypowiedzenia umowy i związane z tym minimalne okresy wypowiedzenia

Pojawiają się też wymogi, których wcześniej najczęściej nie uwzględniano np.: warunki uczestnictwa w opracowanych przez podmioty finansowe programach zwiększania świadomości w zakresie bezpieczeństwa ICT.

Są też elementy, które dotyczą tylko dostawców usług krytycznych lub istotnych funkcji, np.:  

  • podwykonawstwo usługi ICT – czy jest dozwolone, a jeżeli tak, to jakie warunki mają zastosowanie do takiego podwykonawstwa.
  • wymogi w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością oraz środków bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy.
  • prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT, w tym:
    • nieograniczone prawa dostępu, kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią oraz przez organ właściwy,
    • prawo do uzgodnienia alternatywnych poziomów zabezpieczenia w przypadku naruszenia praw innych klientów,
    • obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy podczas kontroli i audytów,
    • obowiązek przekazywania szczegółowych informacji na temat zakresu, mających zastosowanie procedur i częstotliwości takich kontroli i audytów,
    • strategie wyjścia, w szczególności ustanowienie obowiązkowego odpowiedniego okresu przejściowego.

FINGO jest dostawcą usług ICT

Nasza firma jest także objęta regulacjami DORA. Posiadanie certyfikatu ISO 27001:2022 już wcześniej zobowiązywał naszą organizację do spełniania większości wymogów, które teraz rozporządzenie DORA ujednolica na rynku finansowym w stosunku do dostawców usług ICT.

Nie zmienia to jednak faktu, że aby przygotować w pełni użyteczne rozwiązanie sprawozdawcze, musimy dogłębnie zrozumieć, czym jest sam rejestr umów IC i w jakim celu jest on przygotowywany. Dzięki takiemu podejściu będziemy w stanie odciążyć naszych klientów w kolejnym obowiązku sprawozdawczym.  

Aby być na bieżąco, zachęcamy do zapisania się do naszego newslettera.

Jak przygotować organizację do sprawozdania rejestru umów ICT?

Przygotowanie organizacji do sprawozdawania zgodności w zakresie rejestru umów ICT może być wyzwaniem. Na pewno będzie wymagało udoskonalenia podejścia do dostawców, dokumentowania nowych, wcześniej nieskodyfikowanych obszarów, a także ścisłej współpracy pomiędzy wieloma działami. Przede wszystkim IT oraz prawnym i compliance, ale z pewnością w ten proces włączone będą także komórki administracyjne, a być może także finansowe i sprzedażowe.

Stąd instytucje finansowe powinny zrobić audyt, gdzie zostaną wskazane i udokumentowane wszystkie procesy zależne od zewnętrznych dostawców usług ICT. A także wskazać wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje.

7 kroków, aby przygotować się do stworzenia rejestru dostawców usług ICT

Kinga Brzozowska, Information Compliance Officer w FINGO radzi, jak przygotować do wdrożenia nowego wymagania nadzorczego.

Myślę, że pomocne może być przejście poniższych 7 kluczowych kroków. Jeśli poprawnie wdrożymy zalecenia, samo utworzenie sprawozdania nie powinno być dla instytucji finansowej wyzwaniem.

1. Inwentaryzacja umów.
Niezbędne jest sporządzenie listy wszystkich umów i podzielenie ich na odpowiednie kategorie (sprawdzenie czego dotyczą, np. usługa, licencja etc.) Ważne jest dokładne sprawdzenia miejsc, gdzie mogą się znajdować umowy - zarówno w postaci fizycznej, jak i cyfrowej.

2. Centralizacja i digitalizacja dokumentacji.
Zeskanowanie wszystkich umów, załączników i innych dokumentów, a następnie umieszczenie ich w cyfrowej bazie, zdecydowanie ułatwia ich przeszukiwanie i archiwizację. Pamiętajmy, że aby poprawnie zarządzać umowami musimy mieć pewność, że znajdują się one w określonym miejscu i są na bieżąco aktualizowane.

3. Analiza i ocena dokumentacji.
Musimy przeanalizować umowy pod kątem aktualności i compliance, ocenić ryzyko przyjętych warunków umownych oraz uzupełnić niektóre braki formalne.

4. Wdrożenie systemu zarządzania umowami.
W tym miejscu warto podkreślić, że DORA nie reguluje systemu w jakim należy zarządzać umowami. Dlatego warto się zastanowić, czy nie skorzystać z narzędzia automatyzującego proces - oczywiście po odpowiedniej ocenie dostawcy.

5. Wyznaczenie ról w systemie zarządzania umowami oraz szkolenie Personelu.
Należy wyznaczyć odpowiedzialności za elementy systemu, ważne, aby wszystkie osoby powiązane z cyklem życia umów były świadome istnienia i budowy rejestru oraz nauczyły się z niego korzystać adekwatnie do pełnionej roli.

6. Audyt i kontrola wewnętrzna.
Procesy kontrolne mają na celu weryfikację poprawności działania oraz doskonalenie systemu, dlatego istotne jest, aby były prowadzone regularnie, skrupulatnie i obiektywnie.

7. Regularne przeglądy rejestru i pilnowanie ich aktualizacji.
Najważniejsze, aby raz stworzony rejestr był na bieżąco aktualizowany, nawet posiadając narzędzia automatyzujące proces rejestrowania umów, nie należy zapominać o konieczności kontrolowania aktualności rejestru.

Zapisz się na newsletter

Bądź zawsze na bieżąco ze zmianami w przepisach sprawozdawczych i naszych systemach.

Gotowe, dziękujemy za dołączenie do naszego newslettera.
Ups, coś poszło nie tak. Spróbuj ponownie.

Przełącz się na chmurę!

Zamów sprawozdawczość w formie usługi SaaS i zyskaj pakiet nowych możliwości.

Więcej

Zwiększ efektywność sprawozdawczości rejestrowej!

Postaw na nowoczesny system, zyskaj pełne wsparcie i pakiet nowych możliwości.

Więcej
Brak elementów.
Brak elementów.