Optymalizacja kosztów w obecnych czasach powoduje, że każda organizacja wykorzystuje dostawców. Jedni dostawy są ważniejsi z punktu widzenia działalności organizacji inni tylko wspierają procesy. Kluczową sprawą jest określenie kto jest naszym dostawcą i co nam dostarcza. Te informacje zawarte są w umowach, zamówieniach, regulaminach. Wielu dostawców współpracuje z organizacja od wielu lat, a teraz musimy doprecyzować jaki jest zakres świadczonych usług i jak ważne one są dla zapewnienia poprawnego funkcjonowania instytucji finansowej. Nowe obowiązki wynikające z rozporządzenia DORA sprawiają, że zarządzanie dostawcami staje się wyzwaniem – szczególnie gdy pracujemy z wieloma dostawcami. Jednym z pierwszych kroków do osiągnięcia zgodności z DORA jest właściwa klasyfikacja dostawców i budowa przejrzystego rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT.
Dla większości organizacji przygotowanie tego rejestru wiąże się z zebraniem kolosalnej ilości informacji. Obecnie podmioty mają rejestr umów, bazy aktywów w CMDB, różne raporty, analizy i zestawienia aktywów, zabezpieczeń, zestawień wykonanych w arkuszach Excel, co sprawia wrażenie, że przygotowanie rejestru ustaleń umownych dot. korzystania z usług ICT nie będzie takim problemem, ale Ci co zostawiają tworzenie tego rejestru na koniec mogą się zdziwić. Zestawienia takie są często mało czytelne, a zarządzanie nimi wymaga ekwilibrystyki aby utrzymać ich aktualność i integralność. Jak więc poprawnie sklasyfikować dostawców? Jak stworzyć rejestr bezbłędnie i na czas? Dowiesz się w tym artykule.
Czy mój dostawca jest dostawcą ICT według DORA?
O tym czy dostawca jest dostawcą usług mieszczących się w zakresie usług ICT decyduje przedmiot umowy i usługi w ramach niej świadczone. Podmioty finansowe współpracują z wieloma dostawcami. Jednak nie każdy z nich podlega wymaganiom DORA. Rozporządzenie, definiując dostawcę usług ICT, nie rozstrzyga jednoznacznie, czy konkretna firma świadcząca określone usługi lub oferująca produkty jest objęta tą regulacją. Zgodnie z tekstem rozporządzenia, rozróżniamy zewnętrzny dostawca usług ICT oraz dostawców wewnątrzgrupowy, którymi są podmioty w ramach grupy finansowej, który koncentrują się głównie na świadczeniu usług ICT dla jednostek z tej samej grupy.
Ustalenie, czy dany podmiot spełnia kryteria dostawcy ICT i czy podlega pod DORA, wymaga przyjrzenia się definicji usług ICT, która według rozporządzenia oznacza:
ciągłe świadczenie usług cyfrowych oraz obsługę danych przy wykorzystaniu systemów ICT dla użytkowników wewnętrznych lub zewnętrznych.
Usługi te mogą obejmować także dostarczanie sprzętu, zapewnianie wsparcia technicznego, aktualizacje oprogramowania lub firmware’u, z wyłączeniem tradycyjnej telefonii analogowej. Definicja jest szeroka, co oznacza, że w przypadku wątpliwości, czy dany podmiot spełnia kryteria dostawcy ICT, odpowiedź najczęściej będzie twierdząca. Zatem w umowie należy szukać informacji czy mamy do czynienia z takim dostawcą i takie usługi muszą zostać ujęte w rejestrze.
Czym jest i czemu służy klasyfikacja dostawców?
Klasyfikacja stanowi pierwszy krok w tworzeniu rejestru informacji i umożliwia dokładne mapowanie dostawców i usług przez nich świadczonych. W pierwszym kroku dzieli się dostawców na dwie kategorie: pierwsza dostawców ICT świadczących usługi wspierające krytyczne lub istotne funkcje, druga innych dostawców, W ramach tego procesu szczególną uwagę przykłada się do dostawców wspierających krytyczne lub istotne funkcje oraz analizuje stopień zależności podmiotu finansowego od dostawców.
Dzięki klasyfikacji podmioty finansowe mogą zarządzać ryzykiem związanym z usługami ICT, koncentrując się na nadzorze nad dostawcami najistotniejszymi z punktu widzenia działalności organizacji.
Jak sklasyfikować dostawcę ICT?
Klasyfikacja dostawców ICT wymaga konsekwentnego podejścia opartego na obiektywnych kryteriach, a nie uznaniowych decyzjach. W pierwszej kolejności można wziąć pod uwagę wyniki analizy BIA (Business Impact Analysis). W uproszczeniu BIA łączy trzy elementy. Po pierwsze informacje o produktach/usługach realizowanych przez instytucję finansową, po drugie procesach dzięki, którym te usługi są realizowane, a po trzecie aktywach wspierających, które są niezbędne do realizacji procesu, a w konsekwencji usługi. Cześć z tych aktywów jest dostarczana przez dostawców ICT. Jeśli zostaną przypisane odpowiednie wartości do poziomu istotności usługi dla naszej organizacji, to tam gdzie usługi zostaną określone jako krytyczne, mamy z założenia do czynienia z dostawcami krytycznymi. Oczywiście w drugim etapie można się zastanowić czy na pewno wszyscy są krytyczni, bo może warto zweryfikować udział dostawców w niektórych procesach związanych z krytycznymi funkcjami biznesowymi.
Nie należy jednak mylić tworzenia własnych metod klasyfikacji dostawców bez oparcia ich na rzeczywistych funkcjach biznesowych, które dostawcy wspierają z namysłem nad określeniem krytycznych funkcji biznesowych w podejściu strategicznym. Należy unikać tworzenia własnych metod klasyfikacji dostawców w oderwaniu od funkcji. Klasyfikacja powinna być oparta na ustalonych zasadach, zgodnych z wymogami DORA, które określają, jakie funkcje i procesy mają kluczowe znaczenie dla podmiotu finansowego.
O zasadach tych można przeczytać w artykułach 28 i 29. Artykuł 28 poza wyznaczaniem dostawców kluczowych usług ICT przez Europejskie Urzędy Nadzoru (EBA, ESMA, EIOPA) na podstawie zaleceń Forum Nadzoru. Określa również kryteria, które muszą być spełnione, aby dostawca został uznany za kluczowego. Artykuł 29 zawiera szczegółowe kryteria oceny dostawców kluczowych usług ICT, w tym wpływ na stabilność, ciągłość i jakość świadczenia usług finansowych oraz systemowe znaczenie podmiotów finansowych korzystających z usług danego dostawcy.
W klasyfikacji dostawców ICT instytucja finansowa powinna uwzględnić klasyfikację według szczegółowych wytycznych zawartych w JC 2023 85, obejmujących pełną dokumentację rejestru informacji. Ten wykonawczy standard techniczny wskazuje na kilka kategorii, wedle których należy skategoryzować dostawców ICT. Są to takie kategorie jak dostawcy wspierający funkcje krytyczne lub istotne oraz 19 specyficznych kategorii usług ICT określonych w Aneksie 3 RTS 85. W procesie klasyfikacji należy także uwzględnić dostawców wewnątrzgrupowych, którzy są wyszczególnieni w tabeli RT.02.03, obejmującej umowy wewnątrzgrupowe i powiązania z dostawcami spoza grupy.
Dodatkowo dostawcy uznani za kluczowych przez europejskie organy nadzoru będą szczególną grupą, której organizacja nie klasyfikuje samodzielnie, lecz będzie ona wskazana odgórnie. Tacy dostawcy, będą podlegać specjalnemu nadzorowi z poziomu organów UE. Nie jest to podział uwzględniany w samym rejestrze informacji, ale może mieć wpływ na jego ocenę i dalszą współpracę z dostawcą.
Dostawcy ICT wspierający funkcje krytyczne lub istotne
Funkcje krytyczne lub istotne to te, które mają kluczowe znaczenie dla ciągłości operacyjnej, bezpieczeństwa i stabilności podmiotu finansowego. Są to procesy, których zakłócenie mogłoby prowadzić do poważnych konsekwencji, takich jak zakłócenia w obsłudze klientów, problemy z przetwarzaniem transakcji finansowych, czy naruszenie ochrony danych osobowych, krótko mówiąc na ciągłość działania instytucji. DORA wskazuje, że są to funkcje, których zaprzestanie lub wadliwe działanie miałoby istotny wpływ na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z prawa.
Współpraca z dostawcami ICT wspierającymi funkcje krytyczne lub istotne jest obwarowana bardziej rygorystycznymi wymogami niż w przypadku dostawców wspierających inne funkcje. Warto zaznaczyć, że dostawca ICT wspierający choćby jedną funkcję krytyczną lub istotną musi zostać uwzględniony w tej grupie, nawet jeśli stanowi to jedynie niewielką część jego współpracy z podmiotem finansowym. Co ważne taki dostawca musi raportować instytucji finansowej wymagane informacje o swoich dostawcach, którzy będą poddostawcami usług ICT dla instytucji finansowej. Mówimy tu o całym łańcuch dostaw.
Dostawcy wspierający krytyczne lub istotne funkcje muszą zapewniać najwyższy standard bezpieczeństwa, poddawać się regularnym audytom i stosować zabezpieczenia, które wspierają ciągłość działania. Jest to wspominane w artykułach takich jak artykuł 28 ust 5. czy też artykuł 30 ust 3.
Kategorie usług ICT według RTS 85
Poza podziałem na krytycznych i nie krytycznych dostawców ICT, który wynika z samego rozporządzenia DORA, RTS 85 definiuje 19 kategorii usług ICT. Oba rodzaje kategorii dostawców stanowią podstawę do klasyfikacji dostawców ICT i opisywania ich w rejestrze informacji. Te 19 kategorii obejmuje szeroki zakres usług, od podstawowej infrastruktury IT po bardziej wyspecjalizowane usługi, takie jak zarządzanie bezpieczeństwem ICT, usługi w chmurze (IaaS, PaaS, SaaS), czy analitykę danych. Każdy dostawca ICT, zgodnie z wymogami DORA, musi zostać przypisany do odpowiedniej kategorii, co ułatwia identyfikację i ocenę funkcji dla podmiotu finansowego.
Podział na konkretne kategorie w RTS 85 umożliwia podmiotom finansowym dokładne określenie rodzaju świadczonych usług, co jest ważne dla właściwego zarządzania ryzykiem związanym z dostawcami ICT. Dzięki tej klasyfikacji podmioty finansowe mogą monitorować i kontrolować różne aspekty świadczonych usług, szczególnie te wspierające krytyczne funkcje. Rozdzielając dostawców na kategorie, organizacja jest w stanie precyzyjniej określić, jakie wymogi należy postawić każdemu z dostawców, zależnie od charakteru i znaczenia ich usług dla instytucji.
W praktyce podział na te grupy nie jest jednoznaczny i oczywisty. Niektóre podmioty wypełniają znamiona udziału w kilku kategoriach usług, i z doświadczenia widać, że bardzo rośnie grupa dostawców wspierających.
Dostawcy ICT wewnątrz grupy
Wewnętrzni dostawcy ICT to podmioty, które funkcjonują w ramach dużych grup finansowych i są dedykowane świadczeniu usług ICT na rzecz innych jednostek tej samej grupy. Tego rodzaju dostawcy występują w grupach kapitałowych. W ramach rozporządzenia DORA należy identyfikować wszystkie umowy wewnątrzgrupowe odnośnie ICT, co pozwala na jasne określenie relacji pomiędzy dostawcami wewnątrz grupy a dostawcami zewnętrznymi.
Szablon RT.02.03 służy do dokumentowania tych powiązań, a „numer odniesienia umowy kontraktowej” umożliwia identyfikację poszczególnych umów oraz zrozumienie, jakie zależności zachodzą w łańcuchu dostaw. Zrozumienie tego jest istotne w przypadkach, gdy choć jeden z dostawców w łańcuchu usług ICT jest częścią tej samej grupy, co podmiot korzystający z tych usług. Taki rejestr dostawców wewnątrz grupy pozwala na monitorowanie ryzyka wewnętrznego, zwiększając przejrzystość i ułatwiając zarządzanie skonsolidowanymi procesami ICT.
Kluczowi dostawcy we wspólnocie
Nowością jest kategoria “kluczowi dostawcy ICT”, którzy jako strategiczni dostawcy usług, których wyznaczenie odbywa się na poziomie europejskich organów nadzorczych, a nie przez same podmioty finansowe. Właśnie dla celów określenia tych kluczowych dostawców ICT, ESA wymaga przesłania rejestru ustaleń umownych w określonym formacie. To na podstawie danych od wszystkich instytucji nadzorczych z 28 krajów Unii Europejskie będą wyznaczeni ci kluczowi dostawcy. Mają to być dostawcy ICT o szczególnym znaczeniu systemowym z perspektywy całej Unii Europejskiej, patrząc przez pryzmat ich usługi mogącej mieć bezpośredni wpływ na stabilność, bezpieczeństwo i ciągłość działania sektora finansowego. DORA wprowadza nowość w tym zakresie dając prawo nadzoru nad dostawcami kluczowymi dla Europejskie Urzędy Nadzoru (ESAs – European Supervisory Authorities), w tym:
- Europejski Urząd Nadzoru Bankowego (EBA)
- Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA)
- Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA).
Dzięki tej zmianie kluczowi dostawcy będą podlegać rygorystycznym wymogom bezpieczeństwa oraz będą zobowiązani do współpracy z ESA, co zwiększy siłę nacisku na tych dostawców, a co za tym idzie podniesie się ogólna odporność cyfrową całego sektora finansowego. Warto zaznaczyć, że w przypadku którym dostawca kluczowy jest spoza Europejskiego Obszaru Gospodarczego, musi wyznaczyć jednostkę zależną na terenie EOG. Dostawcy kluczowi nie są audytowani przez same podmioty finansowe, a przez europejskie organy nadzoru.
Praktyczne aspekty klasyfikacji
Przed rozpoczęciem współpracy z dostawcą ICT podmiot finansowy zobowiązany jest przeprowadzić szczegółową weryfikację i klasyfikację, co pozwoli zidentyfikować procesy zależne od tego dostawcy oraz ocenić ryzyko związane z jego usługami. W pierwszej kolejności podmiot finansowy powinien określić, które procesy biznesowe będą oparte na usługach dostawcy oraz czy te usługi wspierają funkcje krytyczne lub istotne dla działalności podmiotu. Dostawcy usług ICT mogą mieć różny wpływ na działalność, a funkcje krytyczne wymagają szczególnego nadzoru i dodatkowych zabezpieczeń.
Konieczna jest w tym zakresie dokładna analiza wszystkich umów zawieranych z takim dostawcą ICT, w którym należy uwzględnić warunki współpracy, nie zapominając o ewentualnych zapisach dotyczących podwykonawstwa. Jeżeli dostawca wspiera krytyczne lub istotne funkcje, podmiot finansowy musi upewnić się, że posiada pełną wiedzę na temat wszystkich uczestników łańcucha dostaw, w tym podwykonawców. Zapewnienie takiej transparentności jest niezbędne do zarządzania ryzykiem związanym z ICT i minimalizacji potencjalnych zakłóceń.
W ramach weryfikacji dostawców podmioty finansowe zwykle stosują ankiety, które pozwalają zgromadzić szczegółowe informacje o dostawcy i jego zgodności z wymogami regulacyjnymi. Taka dokumentacja jest kluczowa do wstępnej oceny, czy dostawca spełnia standardy wymagane przez rozporządzenie DORA oraz czy jest w stanie zapewnić ciągłość usług, ale to dopiero pierwszy krok zarządzania dostawcami ICT.
Formalne ujęcie dostawcy w rejestrze informacji jest skomplikowanym i czasochłonnym procesem. Tłumaczenie umów z dostawcami ICT na format rejestru informacji jest złożonym procesem, polegającym na przełożeniu języka biznesowego na niezrozumiałe kody i wymaga dodatkowego nakładu pracy, dlatego warto jest skorzystać z narzędzia informatycznego ułatwiającego przygotowanie rejestru postanowień umownych. Proces kończy się na wygenerowaniu i przekazywaniu raportów w formacie odpowiednich a plików w odpowiednich formatach, np. CSV oraz JSON, które zawierają zarówno dane biznesowe, jak i techniczne metadane. Dodatkowo raporty muszą być odpowiednio uporządkowane i dostarczone do organów nadzorczych w formie spakowanych plików ZIP.
Dlaczego funkcje biznesowe są kluczem do klasyfikacji dostawców?
Funkcja jest podstawą do oceny czy mamy do czynienia z krytycznym dostawcą ICT. Jest ona kombinacją procesu biznesowego oraz rodzaju działalności (6.01). Może to być kombinacja, w której rodzaj działalności może być niekrytyczny mimo tego, że proces biznesowy jest krytyczny. Do jednego rodzaju działalności podmiot finansowy musi mieć wiele procesów biznesowych. Warto zauważyć, że lista tych działalności jest zamknięta, a procesy biznesowe podmiot finansowy może dopisywać według uznania. W każdym przypadku należy indywidualnie ocenić krytyczność tej kombinacji rodzaju działalności w procesie biznesowym.
Z tego powodu chcąc określić, którzy dostawcy ICT są dostawcami ICT wspierającymi krytyczne lub istotne funkcje, trzeba przejść przez cały proces ocen krytyczności procesów biznesowych oraz rodzajów działalności. Jeżeli chociaż w jednym przypadku dostawca będzie świadczył usługi wspierające krytyczne lub istotne funkcje, będzie podlegał pod rygorystyczne wymagania DORA.
Jaka jest różnica między dostawcami krytycznymi i istotnymi?
Artykuł 3 Definicje podpunkt 22) wskazuje, że „krytyczna lub istotna funkcja oznacza funkcję, której zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego[…]”. Tekst DORA nie wyjaśnia różnic pomiędzy funkcją krytyczną a funkcją istotną. Z tego powodu można je traktować jako jedna i ta sama funkcja. Oznacza to, że każdy dostawca wspierający krytyczne lub istotne funkcje podlega tym samym, surowym wymogom dotyczącym bezpieczeństwa, zarządzania ryzykiem oraz ciągłości działania.
Dlaczego zastępowalność dostawcy jest istotna?
Rozporządzenie DORA zauważa wyzwanie stojące przed podmiotami finansowymi powszechnie nazywane “Vendor lock-in”. Z tego powodu zwraca uwagę na rozważenie możliwości zastępowalności dostawcy. Chodzi o zapewnienie możliwości szybkiego i bezpiecznego przejścia na alternatywne rozwiązanie w przypadku, gdy dany dostawca ICT przestaje świadczyć usługi lub nie spełnia nałożonych na niego wymagań. Jest to jeden z kluczowych elementów zarządzania ryzykiem związanym z dostawcami ICT, ponieważ zmniejsza ryzyko zakłóceń w krytycznych funkcjach, które mogą prowadzić do strat finansowych, reputacyjnych lub zgodności z wymaganiami. Wysoka zastępowalność oznacza, że w przypadku problemów z jednym dostawcą podmiot finansowy jest w stanie płynnie, a przynajmniej w miarę szybko, przestawić się na alternatywne usługi. W związku z tym podmioty finansowe muszą ocenić poziom zastępowalności przy podejmowaniu współpracy z dostawcami ICT i działać w celu wypracowania strategii wyjścia.
Jak przebiega ocena ryzyka związana z dostawcą ICT?
Ocena ryzyka związanego ze świadczeniem usług przez dostawcę ICT to jeden z elementów skutecznego procesu zarządzania ryzykiem, które może wystąpić ze strony zewnętrznych dostawców usług ICT. Według rozporządzenia ocena ryzyka opiera się na metodyce, która skupia się na wartości i krytyczności aktywów informacyjnych dla organizacji. Proces ten powinien uwzględnić identyfikację potencjalnych zagrożeń, ocenę prawdopodobieństwa ich wystąpienia oraz wpływu na funkcjonowanie organizacji w zakresie zapewnienia jej usług. Ryzyko szacujemy według ogólnego wzoru
R=W*P,
gdzie R to ryzyko, W to wpływ na szeroko rozumianą zgodność organizacji z wymaganiami DORA, P to prawdopodobieństwo wystąpienia zagrożenia.
Zagrożenia muszą być ocenione zarówno pod kątem ich potencjalnych konsekwencji dla aktywów wspierających (np. serwery czy oprogramowanie), jak i ich wpływu na funkcjonowanie całego podmiotu finansowego. Istotne jest rozważenie, jak utrata atrybutów bezpieczeństwa, takich jak dostępność, autentyczność, integralność i poufność, mogłaby wpłynąć na funkcjonowanie organizacji, a w szczególności na świadczone przez nią usługi. Skuteczna metodyka uwzględniająca Asset Based Approach pomaga w bezpiecznej współpracy z dostawcami ICT równocześnie z perspektywy operacyjnej jak i regulacyjnej.
Iteracyjne podejście ułatwia wypełnienie rejestru informacji
Identyfikacja i klasyfikacja dostawców ICT wymaga nieustannego monitorowania ich udziału w procesach biznesowych i powiązań z funkcjami krytycznymi. Zadanie to jest czasochłonne, zwłaszcza jeśli w do tego celu wykorzystuje się ręczną weryfikacja zgodności funkcji z kryterium krytyczności za pomocą budowanych arkuszy kalkulacyjnych na przykład w Excelu i może prowadzić do powstania błędów, które trudno wyeliminować w tak skomplikowanym układzie zapisów, nie mówiąc już o tworzeniu wymaganych raportów. Zastosowanie aplikacji wspierającej klasyfikację dostawców umożliwia iteracyjne podejście, a to pozwala na symulację różnych scenariuszy – na przykład, „ilu dostawców uznanych zostanie za krytycznych, jeśli dana funkcja zostanie uznana za kluczową?” lub „czy część dostawców, których uznajemy za krytycznych może zostać sklasyfikowana jako niekrytyczni, jeśli przypisane im funkcje nie są krytyczne?”.
DORA Register wspiera takie podejście. Dzięki zaproponowanemu w aplikacji DORA Register podejściu, osoby odpowiedzialne za opracowanie rejestru otrzymują możliwość w etapach uzupełniać informacje po przeanalizowaniu zapisów umownych, wymagań kierowanych do dostawców, określenie krytyczności oferowanych im usług, koncentracji usług i zbudowania odzwierciedlenie łańcucha dostaw, a to przekłada się na stworzenie precyzyjnego i elastycznego rejestru dostawców, oraz na automatycznym raportowaniu do KNF.
