Umowa zgodna z DORA powinna zawierać szereg elementów, aby spełniać wymagania regulacyjne i zapewnić skuteczną współpracę między podmiotami finansowymi a dostawcami usług ICT.
Jak ocenić dostawcę ICT przed nawiązaniem współpracy?
Według artykułu 2 pkt 1 u) zewnętrzni dostawcy usług ICT świadczący usługi podmiotom finansowym podlegają w tym samym stopniu pod wytyczne rozporządzenia DORA jak same podmioty finansowe. Z tego powodu chcąc rozpocząć współpracę z danym dostawcą należy dowiedzieć się, czy zachowuje on zgodność z DORA. Przydatnym w tym celu narzędziem może być dokument przygotowany przez Komisję Nadzoru Finansowego, czyli ankieta dotycząca zarządzania ryzykiem związanym z wykorzystaniem ICT w podmiocie finansowym (https://dora.knf.gov.pl/ankiety/home).
KNF stworzył ten materiał dla przedstawicieli sektora, którzy muszą raportować do urzędu poziom swojej zgodności z regulacją. Z racji na równoczesne stosowanie DORA do zewnętrznych dostawców ICT można wykorzystać ten materiał jako kwestionariusz dostawcy ICT. Warto dostosować ten dokument do swojej organizacji i przyjąć jako standard we współpracy z dostawcami usług ICT. Niezależnie od wybranej formy należy pamiętać jaki jest jego cel. Efektywna ankieta będzie pozwalała na przełożenie jej wyników na zadania związane z dostosowaniem się do wymogów oraz na mapowaniem dostawcy z aktywami i procesami.
Forma umowy
Konieczne jest jasne i precyzyjne określenie wszystkich praw i obowiązków, które spoczywają zarówno na dostawcy ICT, jak i na podmiocie finansowym. Umowa musi być dostępna w formie papierowej lub w innym dostępnym i trwałym formacie, umożliwiając interesariuszom łatwe pobranie jej treści. Taka dostępność ma na celu zwiększenie przejrzystości, ułatwienie dostępu do najważniejszych informacji oraz zgodność z praktykami prawnymi i branżowymi.
Opis usług i zasady świadczenia usług
Dostawca usług ICT zobowiązany jest do dostarczenia pełnego, jednoznacznego opisu wszystkich funkcji i usług ICT, które będą świadczone w ramach umowy. Ten opis obejmuje zarówno główne funkcje, jak i specyficzne usługi. Dzięki temu możliwe jest zapewnienie kompleksowej wiedzy o zakresie świadczonych usług kadrze podmiotu finansowego, która będzie obsługiwać dostarczone usługi. Umowa powinna zawierać szczegółowe opisy poziomów świadczenia usług (SLA), skupiając się na konkretnych kryteriach, takich jak aktualizacje i rewizje. Szczególną uwagę należy poświęcić funkcjom krytycznym lub istotnym, określając ich najważniejsze parametry i oczekiwane poziomy wydajności. To obejmuje także zapisy dotyczące procedur aktualizacji, czasu odpowiedzi oraz wszelkich działań naprawczych dla funkcji krytycznych lub istotnych, aby zapewnić ciągłość i niezawodność świadczonych usług. Gwarantuje to wysoką jakość i spójność świadczonych usług, a także określenie celów, które strony umowy powinny przestrzegać.
Monitorowanie świadczonych usług oraz komunikacja z dostawcą
Należy ustalić częstotliwości monitorowania usług świadczonych przez dostawców ICT w celu zapewnienia bieżącej oceny wydajności systemów oraz funkcji ICT. Dodatkowo konieczne jest wyraźne wskazanie, które funkcje są uznawane za krytyczne lub istotne, wymagające szczególnej uwagi i natychmiastowego reagowania. Dla tych funkcji należy określić krótsze okresy monitorowania oraz stworzyć proces natychmiastowego powiadamiania o wszelkich odstępstwach od normy.
Rozwiązanie umowy
Podmiot finansowy musi zapewnić sobie w ramach postanowień umownych możliwość rozwiązania umowy, zwłaszcza w przypadku poważnych naruszeń, zidentyfikowanych ryzyk, słabości w obszarze ICT, czy problemów nadzorczych.
W sytuacji, w której występują poważne naruszenia umowy, przewidziane są klarowne procedury zgłaszania, a także opisane są możliwe sankcje dla strony winnej. Umowa musi dokładnie określać warunki wypowiedzenia oraz strategie wyjścia, dostarczając, w przypadku zakończenia współpracy, klarownych wytycznych dla obu stron. Celem tych postanowień jest zapewnienie płynności procesu zakończenia umowy.
Strategia wyjścia powinna zawierać opis kroków umożliwiających płynne zakończenie umowy i świadczenia usług. Obejmuje to przeniesienie danych, dostęp do zasobów oraz zabezpieczenie przed utratą funkcjonalności. Proces wyjścia z usługi powinien obejmować określone kroki, które zostaną podjęte w takiej sytuacji, obejmując procedury ostrzegawcze i konsultacje z obiema stronami umowy.
Poddostawcy
Umowa musi zawierać zapisy dotyczące jednoznacznego ustalenia, czy dostawca ICT ma prawo korzystać z podwykonawców w zakresie funkcji krytycznych lub istotnych. Jeżeli umowa zezwala na taki łańcuch świadczenia usług, powinny zostać opisane warunki współpracy z podwykonawcami. Obejmują one zarówno kryteria, według których podwykonawcy mogą być zaangażowani w projekt, jak i zabezpieczenia zapewniające, że standardy i zobowiązania umowne są utrzymane niezależnie od udziału podwykonawców. To umożliwia elastyczność dostawcy, jednocześnie zapewniając zachowanie jakości i bezpieczeństwa w obszarze funkcji krytycznych i istotnych.
Audyt podmiotu finansowego i współpraca z nadzorem
Podmiot finansowy musi zapewnić sobie umownie pełne prawa do monitorowania dostawcy ICT, co obejmuje zarówno przeprowadzanie inspekcji, jak i audytów w celu oceny zgodności z umową oraz standardami branżowymi. Dostawca zobowiązuje się do pełnej współpracy podczas wszelkich inspekcji prowadzonych przez organy nadzorcze, zapewniając nieograniczony dostęp do informacji i zasobów niezbędnych do przeprowadzenia kontroli. Ten aspekt umożliwia instytucji finansowej skuteczne monitorowanie i zapewnienie, że dostarczane usługi spełniają wymagania regulacyjne oraz są zgodne z najwyższymi standardami.
Fizyczna lokalizacja
W umowie należy określić lokalizację, w której będą świadczone usługi ICT. Dostawca musi zobowiązać się do udzielenia informacji na temat fizycznej lokalizacji, infrastruktury oraz wszelkich związanych z tym aspektów, mając na celu zapewnienie podmiotowi finansowemu pełną przejrzystość co do środowiska, w którym będą świadczone usługi ICT. Ponadto podmiot finansowy musi zapewnić sobie zapis zobowiązujący dostawcę do powiadamiania o wszelkich planowanych zmianach lokalizacji. To umożliwi wcześniejsze przygotowanie i dostosowanie się do ewentualnych wpływów na świadczone usługi.
Bezpieczeństwo danych
Kolejnym obszarem do uregulowania w umowie są kwestie związane z ochroną danych zapewniające dostępność, autentyczność, integralność i poufność przekazywanych dostawcy informacji. Zapisy te mają na celu zapewnienie pełnej ochrony danych klientów podmiotu finansowego, eliminując potencjalne ryzyko naruszeń w ramach środowiska ICT dostawcy. Dodatkowo umowa musi opisywać zagadnienia dostępu, procedur odzyskiwania danych w przypadku awarii, a także zasad związanych z ich zwrotem w różnych sytuacjach.
Sprawdź wszystkie procedury wymagane przez rozporządzenie DORA zebrane na jednej liście.
Ciągłość biznesowa i operacyjna odporność cyfrowa
Podmiot finansowy musi uwzględnić w umowie plan awaryjny oraz środki bezpieczeństwa ICT, mając na uwadze funkcje krytyczne i istotne wspierane przez dostawcę ICT. Musi się on zobowiązać do utrzymania wysokiej operacyjnej odporności cyfrowej poprzez efektywne środki zaradcze w przypadku zakłóceń lub awarii systemów ICT. Ponadto postanowienia umowy powinny obejmować zobowiązanie dostawcy do udzielenia wsparcia w przypadku incydentów ICT, włączając w to aktywną pomoc w szybkim przywróceniu usług ICT do działania.
Współpraca z właściwymi organami
W umowie należy uwzględnić postanowienia dotyczące współpracy z właściwymi organami. Dostawca ICT musi zobowiązać się do pełnej współpracy i zgodności z wszelkimi wymaganiami organów regulacyjnych, włączając w to niezbędne raportowanie, audyty oraz inne działania zgodne z obowiązującymi przepisami.