Artykuły eksperckie

Definicja usługi ICT w rozumieniu rozporządzenia DORA

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

Radca prawny

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?

e-mail: kancelaria@afterlegal.pl

tel. +48 500 436 703

Opublikowano: 29 października 2024

W dobie postępującej cyfryzacji oraz rosnących zagrożeń związanych z cyberprzestępczością, regulacje dotyczące technologii informacyjno-komunikacyjnych (ICT) stają się kluczowe dla bezpieczeństwa sektora finansowego. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, nazywane „DORA” (Digital Operational Resilience Act) jest częścią strategii Unii Europejskiej mającej na celu wzmocnienie odporności operacyjnej instytucji finansowych na zakłócenia związane z usługami ICT świadczonymi przez zewnętrznych dostawców. Pełne stosowanie przepisów rozporządzenia DORA obowiązuje już od 17 stycznia 2025 r. Czym są więc tzw. usługi ICT w kontekście rozporządzenia DORA i jakie obowiązki wdrożeniowe powoduje identyfikacja usługi ICT w strukturze instytucji finansowej?

Definicja usługi ICT

Zgodnie z art. 3 pkt. 21 rozporządzenia DORA, usługi ICT są definiowane jako „usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego”. Definicja obejmuje także usługi w zakresie sprzętu komputerowego, w tym zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania, jak również:

  1. usługi związane z infrastrukturą ICT – elementy techniczne, takie jak serwery, oprogramowanie, urządzenia sieciowe i systemy telekomunikacyjne, które wspierają działalność instytucji,
  2. usługi przetwarzania danych – formy przechowywania, zarządzania i analizy danych, w tym rozwiązania chmurowe i usługi hostingu,
  3. usługi zarządzania cyberbezpieczeństwem – działania i rozwiązania mające na celu zabezpieczenie systemów ICT przed zagrożeniami, w tym ochronę przed atakami hakerskimi.

Sprawdź również: Rejestr Informacji DORA: Jak prowadzić rejestr umów z dostawcami ICT zgodnie z rozporządzeniem?

Cel rozporządzenia DORA – dodatkowe obowiązki

Przepisy DORA mają na celu zapewnienie odporności na zakłócenia operacyjne instytucji finansowych, a także szybkiej reakcji na wykryte incydenty. Nowe obowiązki wynikające z rozporządzenia obejmują następujące zagadnienia:

  1. zarządzanie ryzykiem ICT – instytucje finansowe mają obowiązek opracować polityki dotyczące identyfikacji, oceny i zarządzania ryzykiem związanym z usługami ICT. Powinny prowadzić regularne analizy ryzyka oraz stosować procedury monitorowania i raportowania,
  2. zgłaszanie incydentów – każda instytucja powinna posiadać system umożliwiający zgłaszanie incydentów związanych z ICT do odpowiednich organów. Zgłoszenia zawierać mają szczegóły dotyczące charakteru incydentu, jego wpływu na działalność podmiotu oraz podjętych działań naprawczych,
  3. określone wymogi dotyczące umów z dostawcami – instytucje są zobowiązane do zawierania umów z dostawcami usług ICT, które określają zasady dotyczące dostępności, bezpieczeństwa i jakości usług. Umowy muszą również przewidywać mechanizmy monitorowania i audytu,
  4. obowiązki związane z zarządzaniem relacjami z dostawcami – instytucje finansowe powinny przeprowadzać szczegółowe analizy due diligence przed nawiązaniem współpracy oraz regularnie oceniać jakość i bezpieczeństwo usług świadczonych przez dostawców.

Sprawdź również: Rozporządzenie DORA – czym jest i jakie stawia wymogi?

Jakie zmiany czekają instytucje finansowe?

Dla instytucji finansowych wdrożenie DORA wiąże się z wieloma wyzwaniami oraz dodatkowymi obowiązkami. Kluczowe kroki, które powinny zostać podjęte przez te podmioty w związku z rozpoczęciem obowiązywania rozporządzenia, dotyczą w szczególności:

  1. przeglądu i aktualizacji polityk – podmioty finansowe muszą przeanalizować swoje dotychczasowe polityki dotyczące usług ICT i dostosować je do wymogów DORA, w szczególności powinny skupić się na politykach dotyczących zarządzania ryzykiem ICT oraz incydentami,
  2. edukacji pracowników – szkolenia dla pracowników dotyczące nowych regulacji oraz procedur związanych z zarządzaniem ryzykiem ICT są niezbędne, aby zapewnić, że wszyscy pracownicy są świadomi wymogów DORA i potrafią skutecznie reagować na incydenty,
  3. współpracy z dostawcami – współpraca z dostawcami usług ICT powinna być bardziej zorganizowana i oparta na wzajemnym zrozumieniu obowiązków każdej ze stron. Instytucje finansowe powinny regularnie monitorować jakość usług i prowadzić stosowne audyty zgodności,
  4. inwestycji w technologie – w celu spełnienia wymogów DORA, instytucje finansowe powinny rozważyć inwestycje w nowoczesne technologie oraz rozwiązania z zakresu cyberbezpieczeństwa, wspierające nie tylko zgodność z regulacjami, ale również zwiększające odporność na potencjalne zagrożenia.

Rozporządzenie DORA – Kancelaria After Legal

Rozporządzenie DORA stanowi istotny krok w kierunku zwiększenia odporności instytucji finansowych na zagrożenia związane z technologią informacyjno-komunikacyjną. Definicja usługi ICT w kontekście DORA jest kluczowa dla zrozumienia, jakie aspekty działalności instytucji należy monitorować i regulować. Wdrożenie tych przepisów wymaga zaangażowania zarówno ze strony instytucji jak i ich dostawców, aby możliwe było osiągnięcie celu wprowadzenia nowej regulacji, a więc zbudowanie bezpiecznej i odpornej infrastruktury cyfrowej.