Ankieta dostawcy ICT zgodna z DORA ma za zadanie zweryfikować wiele informacji dotyczących dostawcy podmiotu finansowego w tym to, czy umowa dotyczy usług ICT wspierających funkcję krytyczną lub istotną. Na wysoko konkurencyjnym rynku finansowym pozbawienie podmiotów finansowych możliwości nawiązywania współpracy z dostawcami ICT skutkowałoby obniżeniem jakości usług oferowanych klientowi docelowemu. Podmioty finansowe pomimo ciążących na nich obowiązków w zakresie poufności, dostępności, integralności oraz autentyczności danych muszą kontynuować współpracę z dostawcami usług ICT.
Z tego powodu regulator, przygotowując rozporządzenie DORA, uwzględnił w nim kompromis. Z jednej strony motywuje do współpracy i wymiany informacji, ale z drugiej strony tworzy warunki, w których takie przekazanie będzie bezpieczne. Ankiety dostawców ICT są jednym z narzędzi, dzięki którym jest to możliwe.
Dostawcy ICT
DORA określa definicję dostawcy usług ICT, ale nie precyzuje, czy konkretna firma świadcząca dane usługi lub oferująca konkretne produkty, jest tym dostawcą. Aby ustalić, czy dany podmiot jest dostawcą usług ICT, należy odnieść się do definicji tych usług. Usługi ICT obejmują usługi i usługi cyfrowe świadczone w konkretnym okresie przez systemy ICT dla co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, w tym sprzęt komputerowy dostarczany w ramach usług oraz świadczenie wsparcia technicznego poprzez aktualizacje oprogramowania lub firmware dostarczane przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.
Jest to bardzo szeroka definicja, która wskazuje, że wystarczy, aby dostawca świadczył usługi cyfrowe przez systemy ICT, aby być uznanym za dostawcę usług ICT. Obejmuje ona, co warto zauważyć, również dostawców hardware dla podmiotów finansowych.
Zadania podmiotu finansowego
Znając definicję dostawcy ICT można określić, czy firma, z którą podmiot finansowy chce rozpocząć współpracę, zalicza się do tej grupy. Organizacje, które zaliczają się do niej, mają nałożony na siebie szereg obowiązków. Regulator wie, że podmiot finansowy nie ma tak sprawnej kontroli nad środowiskiem ICT dostawcy jak nad swoim. Ponad to podmiot finansowy ma minimalną kontrolę nad poddostawcami swojego dostawcy ICT. Pomimo tego, artykuł 28 ust. 1 a) wskazuje, że w świetle DORA cała odpowiedzialność za stosowanie i wywiązanie się z ustaleń umownych pomiędzy podmiotem finansowym i dostawcą ICT leży po stronie podmiotu finansowego.
DORA m.in w artykułach 28 i 30 określa wiele zadań, które stoją przed podmiotem finansowym chcącym rozpocząć współpracę z dostawcą ICT. Podmiot finansowy musi jasno określić prawa i obowiązki obu stron na piśmie z uwzględnieniem klauzul o gwarantowanym poziomie usług. Podmiot finansowy musi otrzymać zapewnienie, że dostawca ICT będzie go wspierał w sytuacji wystąpienia jakichkolwiek incydentów związanych z usługą ICT. Powinien również otrzymać zapewnienie w temacie współpracy dostawcy ICT z odpowiednimi organami regulacyjnymi oraz organami przymusowej restrukturyzacji. Podmiot finansowy musi mieć zapewnione prawa do wypowiedzenia umowy w konkretnych sytuacjach oraz określić minimalne okresy wypowiedzenia. Sporządzony powinien zostać opis wszystkich funkcji i usług ICT świadczonych przez dostawcę, w tym warunki podwykonawstwa. Określone muszą być regiony lub kraje, w których będą świadczone usługi i przetwarzane dane z obowiązkiem wcześniejszego powiadamiania o zmianach miejsca przetwarzania. Podmiot finansowy musi uwzględnić postanowienia dotyczące dostępności, autentyczności, integralności i poufności danych. Podmiot finansowy musi również przygotować opis gwarantowanych poziomów usług, ich aktualizacji i procesu zmiany. Dodatkowo musi nastąpić ocena zgodności z warunkami nadzorczymi dotyczącymi zawierania umów oraz zidentyfikowane powinny być potencjalne obszary konfliktu interesów wynikających z umowy.
Podmiot finansowy musi wybrać dostawców ICT przestrzegających odpowiednich standardów w zakresie bezpieczeństwa informacji, szczególnie w kontekście krytycznych lub istotnych funkcji. Z tego powodu powinien zweryfikować, czy umowa obejmuje usługi ICT wspierające krytyczną lub istotną funkcję. Mając już komplet informacji, podmiot finansowy określa i ocenia wszystkie rodzaje istotnego ryzyka związanego z umową, w tym ryzyka koncentracji w obszarze ICT.
Ankieta dostawcy ICT
Jaki jest pierwszy krok, który umożliwia realizację tych zadań? Jednym z narzędzi stworzonych w tym celu jest ankieta dostawcy ICT. Jedną z najgorszych form ryzyka jest to nieznane. Przeprowadzenie wywiadu lub wysłanie ankiety do dostawcy ICT, w której zawarte będą pytania na wszystkie ważne z perspektywy podmiotu finansowego kwestie, pozwala zbudować podstawową świadomość o środowisku ICT dostawcy i jego usługach. Dzięki temu można zmniejszyć ryzyko związane ze współpracą. Jest to duże wyzwanie stojące przed podmiotami finansowymi oraz m.in działami zakupów odpowiedzialnymi za pozyskiwanie nowych usług i produktów.
Dodatkowo, zgodnie z artykułem 28 ust. 3, podmioty finansowe muszą posiadać i stale aktualizować rejestr informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT. Muszą być one odpowiednio udokumentowane, z rozróżnieniem na ustalenia, które obejmują usługi ICT wspierające krytyczne lub istotne funkcje oraz ustalenia, które takich funkcji nie wspierają. Doprecyzowuje to wykonawczy standard techniczny (JC 2023 85) zawarty w pierwszej części regulacyjnych standardów technicznych. Standard ten definiuje szablony, wedle których podmioty finansowe powinny prowadzić rejestr informacji o ustaleniach umownych z dostawcami ICT.
Podmioty finansowe co najmniej raz w roku przedstawiają właściwym organom informacje na temat liczby nowych ustaleń dotyczących korzystania z usług ICT, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług ICT i obsługiwanych funkcji. Podmioty finansowe przedstawiają te i inne informacje również na żądanie właściwego organu. W Polsce takie informacje przekazywane są do KNF.
Sprawdź w przygotowanej instrukcji jak udokumentować współpracę z podwykonawcami.
Wykorzystanie narzędzi do generowania, oceniania i przechowywania ankiet
Wysyłanie ankiety dostawcy ICT w formie prostej tabeli w Excelu przy skali współpracy z dostawcami ICT typowego podmiotu finansowego w Polsce może okazać się niewystarczająca, ponieważ jest to manualne i czasochłonne w analizie narzędzie. Samo zebranie informacji od dostawcy ICT jest dopiero pierwszym etapem zarządzania ryzykiem dostawców ICT, czyli jednym z podstawowych obowiązków DORA. Zwykły plik z tabelą może również okazać się niewystarczający do przechowywania danych na temat rejestrów ustaleń umownych z dostawcami ICT.
Z tego powodu warto skorzystać z nowoczesnych narzędzi GRC, które mogą ułatwić pozyskiwanie informacji od dostawcy ICT, a co ważniejsze, zautomatyzować proces analizy przekazanej przez niego wiedzy. Wykorzystanie kompleksowego systemu pozwala na powtarzalność, a powtarzalność skutkuje oszczędnością czasu i pieniędzy. Właśnie z tego powodu RIG DORA zapewnia funkcjonalności takie jak rejestr umów, procedur i podwykonawców. Pozwala to na wgląd w całościowe ryzyko związane z dostawcami ICT w jednym miejscu. W przeciwieństwie do tabeli Excel, przetwarzanie, porównywanie i analizowanie danych w tych rejestrach jest proste, a wnioski widoczne są natychmiastowo na zagregowanym dashboardzie.
Bez względu na wybraną formę ankiety warto pamiętać o jej celu. Skuteczna ankieta powinna umożliwiać przełożenie jej wyników na zadania związane z dostosowaniem się do wymogów DORA oraz na mapowanie dostawcy względem aktywów i procesów. Z tego powodu w RIG DORA przygotowany został moduł zadań, który pozwala na rozliczalność członków zespołu z realizacji czynności mających na celu zapewnienie operacyjnej odporności cyfrowej.
