
Usługi ICT stanowią dzisiaj fundament funkcjonowania prawie każdego biznesu. Również w przypadku podmiotów finansowych, usługi ICT wspierają procesy operacyjne, komunikację oraz zarządzanie danymi. W dobie rosnącej cyfryzacji i coraz większej zależności od technologii, regulacje dotyczące operacyjnej odporności cyfrowej stają się kluczowe dla stabilności sektora. Rozporządzenie DORA wprowadza jednolitą klasyfikację usług ICT dla całej wspólnoty, określając standardy zarządzania ryzykiem i wymogi dotyczące zgodności regulacyjnej.
Dlaczego usługi ICT nabrały nowego znaczenia w sektorze finansowym?
Raport ESA wskazuje, że usługi ICT stanowią fundament działalności podmiotów finansowych, a ich zakłócenie może prowadzić do poważnych ryzyk operacyjnych. Cyfryzacja sektora sprawia, że bezpieczeństwo operacyjne podmiotów finansowych jest bezpośrednio powiązane z operacyjną odpornością cyfrową ich dostawców. Brak właściwego nadzoru nad tym obszarem może skutkować nie tylko zakłóceniami w działalności pojedynczych podmiotów, ale także szerokimi konsekwencjami dla stabilności rynku finansowego.
Rosnąca zależność od technologii ICT wynika z kilku czynników. Po pierwsze, większość kluczowych procesów operacyjnych, takich jak przetwarzanie transakcji, zarządzanie danymi, systemy płatnicze czy usługi chmurowe, bazuje na infrastrukturze ICT. Po drugie, wiele usług ICT jest trudnych do zastąpienia, co znacząco komplikuje ewentualną zmianę dostawcy w sytuacjach kryzysowych. Dodatkowe zagrożenie stanowi koncentracja rynku ICT – kilku globalnych dostawców obsługuje jednocześnie wiele podmiotów finansowych, co zwiększa ryzyko systemowe. Kolejnym wyzwaniem jest podwykonawstwo w łańcuchu dostaw ICT, które może prowadzić do ukrytych zależności i ograniczonej kontroli nad ryzykiem operacyjnym.
Jaka jest definicja usług ICT w DORA
Usługi ICT w kontekście DORA obejmują szeroki zakres technologii wspierających funkcjonowanie podmiotów finansowych. Ich rola nie ogranicza się jedynie do tradycyjnej infrastruktury IT, lecz obejmują również rozwiązania chmurowe, przetwarzanie i analizę danych, usługi cyberbezpieczeństwa oraz technologie wspierające krytyczne operacje finansowe.
DORA określa usługi ICT jako usługi cyfrowe i usługi danych świadczone za pośrednictwem systemów ICT, obejmujące również sprzęt jako usługę (HaaS) oraz wsparcie techniczne, takie jak aktualizacje oprogramowania i firmware’u. Aby usługa wynikająca z umowy z dostawcą ICT mogła zostać zakwalifikowana jako usługa ICT podlegająca DORA, musi spełniać określone kryteria: być świadczona w sposób ciągły, opierać się na technologiach ICT, być odpłatna i dostosowana do indywidualnych potrzeb odbiorcy. Jednocześnie DORA jednoznacznie wyłącza z tej definicji tradycyjne usługi telefoniczne oparte na technologii analogowej, choć inne aspekty komunikacji elektronicznej mogą podlegać regulacjom np. w ramach Kodeksu łączności elektronicznej.
Jaka jest rola definicji usług ICT w UE?
Aby uniknąć rozbieżności interpretacyjnych i umożliwić pracę nadzorowi finansowemu, rozporządzenie DORA wprowadza jednolitą definicję usług ICT, dostosowaną do aktualnych wyzwań cyfrowych. Harmonizacja tej definicji z innymi aktami prawnymi, takimi jak NIS2, RODO i European Data Governance Act, pozwala na lepszą integrację wymogów regulacyjnych oraz zwiększa bezpieczeństwo operacyjne w podmiotach finansowych.
Dzięki temu podmioty zobowiązane do przestrzegania DORA mogą w sposób spójny klasyfikować usługi ICT, eliminując ryzyko niejednoznaczności w interpretacji przepisów. Ułatwia to identyfikację i monitorowanie ryzyka związanego z dostawcami technologii oraz pozwala regulatorom, w tym KNF na skuteczniejsze egzekwowanie standardów bezpieczeństwa. Ponadto, jednolita definicja usług ICT zapewnia większą transparentność i przewidywalność, co ma kluczowe znaczenie w kontekście współpracy międzynarodowej oraz kontrolę nadzoru finansowego nad globalnymi dostawcami usług cyfrowych.
Poza DORA definicja usług ICT pojawia się również w innych aktach prawnych regulujących sektor technologii cyfrowych i finansowych. European Data Governance Act (2018/1724) reguluje pośrednictwo danych i ich udostępnianie, Dyrektywa NIS2 (2022/2555) definiuje usługi ICT w kontekście cyberbezpieczeństwa, a Kodeks łączności elektronicznej (2018/1972) określa zasady transmisji danych i zarządzania infrastrukturą sieciową. Jednolita definicja usług ICT w DORA ułatwia monitorowanie ryzyka operacyjnego, automatyzację raportowania oraz standaryzację wymogów bezpieczeństwa IT, co przekłada się na większą operacyjną odporność cyfrową podmiotów finansowych.
Usługi ICT według NIS2 – czym różnią się od definicji z DORA?
Definicje usług ICT w rozporządzeniu DORA i dyrektywie NIS2 różnią się zakresem i celem. NIS2, odwołując się do rozporządzenia 2019/881, definiuje usługi ICT jako te, które w pełni lub głównie polegają na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych. To techniczne i ogólne ujęcie, typowe dla przepisów z zakresu cyberbezpieczeństwa, które mają zastosowanie w wielu sektorach i branżach.
Z kolei DORA przyjmuje znacznie szersze i bardziej operacyjne podejście. Usługi ICT są tu rozumiane jako usługi cyfrowe i dane świadczone w sposób ciągły za pośrednictwem systemów ICT, obejmujące również sprzęt jako usługę oraz wsparcie techniczne (np. aktualizacje oprogramowania czy firmware’u). DORA wyraźnie wskazuje, że chodzi o usługi świadczone na rzecz użytkowników wewnętrznych lub zewnętrznych w sposób ciągły, z wyłączeniem tradycyjnej telefonii analogowej. Tak zdefiniowane usługi mają bezpośrednie przełożenie na funkcjonowanie i operacyjną odporność cyfrową podmiotów finansowych.
Różnice te wynikają z odmiennych celów obu aktów. NIS2 koncentruje się na ogólnym cyfrowym bezpieczeństwie informacji w Unii Europejskiej, natomiast DORA została zaprojektowana specjalnie dla sektora finansowego. Jej definicja usług ICT ma służyć jako podstawa do klasyfikacji dostawców, oceny ryzyka i realizacji obowiązków nadzorczych. W praktyce oznacza to, że ten sam dostawca ICT lub usługa może być inaczej traktowana w zależności od kontekstu regulacyjnego – bardziej ogólnie w NIS2, a bardziej szczegółowo i funkcjonalnie w DORA.
Na czym polegają kategorie usług ICT w DORA?
Rozporządzenie DORA wprowadza szczegółową klasyfikację usług ICT, co zostało określone w RTS 85. Obejmuje ona 19 grup usług, które różnią się zakresem i wpływem na funkcjonowanie podmiotów finansowych. Klasyfikacja ta umożliwia dokładne określenie, które usługi ICT mają krytyczne znaczenie dla ciągłości działania oraz podlegają bardziej rygorystycznym wymogom nadzorczym. Ma to znaczenie też dla planu wyjścia i zastępowalności dostawcy.
Podstawą klasyfikacji usług ICT jest ich powiązanie z funkcjami krytycznymi danej organizacji. Usługi te mogą mieć charakter podstawowy, gdy ich działanie jest niezbędne do realizacji kluczowych procesów biznesowych lub wspierający, gdy ułatwiają operacje, ale ich niedostępność nie prowadzi do bezpośrednich zakłóceń. Podział ten ma duże znaczenie dla oceny ryzyka, ponieważ usługi o największym wpływie na odporność operacyjną muszą spełniać bardziej restrykcyjne wymagania regulacyjne. Jednolity model klasyfikacji usług ICT w ramach DORA pozwala podmiotom finansowym nie tylko uporządkować rejestr informacji o dostawcach ICT, ale także skuteczniej monitorować zagrożenia i zapewnić większą transparentność relacji z dostawcami ICT.
Jak ustalić, czy usługa należy do kategorii ICT?
Rozporządzenie DORA precyzuje, że nie wszystkie usługi świadczone na rzecz podmiotów finansowych powinny być uznane za usługi ICT. Aby uniknąć niejednoznaczności interpretacyjnych, można zastosować dwustopniowy test kwalifikacji, który pozwala określić, czy dana usługa powinna zostać objęta wymogami regulacyjnymi DORA.
Pierwszym krokiem jest ocena czy usługa spełnia kryteria usług ICT określone w DORA. Obejmuje to m.in. świadczenie usług cyfrowych, zarządzanie infrastrukturą IT, przechowywanie i przetwarzanie danych czy cyberbezpieczeństwo. Jeśli usługa mieści się w tej definicji, przechodzi się do drugiego etapu weryfikacji.
Drugim krokiem jest ustalenie czy dostawca usługi ICT podlega regulacjom jako podmiot finansowy. Jeżeli dostawcą jest podmiot finansowy objęty innymi przepisami, takimi jak CRD, Solvency II czy MiFID II, usługa może nie być traktowana jako samodzielna usługa ICT w rozumieniu DORA.
Rozróżnienie między usługami pomocniczymi a usługami samodzielnymi ma kluczowe znaczenie dla właściwej klasyfikacji. Jeśli usługa ICT jest integralna dla działalności finansowej i stanowi część regulowanej operacji, może nie podlegać DORA jako odrębna usługa ICT. W praktyce oznacza to, że np. usługi przetwarzania płatności czy rozliczania transakcji mogą nie być klasyfikowane jako usługi ICT, jeśli są świadczone przez podmiot finansowy w ramach jego podstawowej działalności. Natomiast jeśli ta sama usługa jest dostarczana przez zewnętrznego dostawcę technologicznego, podlega DORA jako samodzielna usługa ICT.
Jasne odgraniczenie usług ICT od usług finansowych pozwala uniknąć nieporozumień interpretacyjnych, zapewniając przejrzystość wymogów regulacyjnych i ułatwiając podmiotom finansowym właściwą klasyfikację dostawcy ICT oraz zarządzanie ich ryzykiem operacyjnym.
Jak zapewnić spójne zarządzania łańcuchem usług ICT w kontekście DORA i NIS2?
Szeroka definicja usług ICT przyjęta w DORA pozwala na skuteczniejsze zarządzanie ryzykiem oraz zapewnienie zgodności z wymogami regulacyjnymi. W połączeniu z NIS2, która nakłada zbliżone obowiązki w zakresie cyberbezpieczeństwa i zarządzania usługami cyfrowymi, regulacje te tworzą ramy, w których konieczne jest kompleksowe podejście do klasyfikacji usług ICT i ich wpływu na funkcjonowanie organizacji. Zarówno DORA, jak i NIS2 wymagają identyfikacji kluczowych zależności operacyjnych i wykazania, w jaki sposób dostawcy ICT wspierają funkcje krytyczne — co oznacza potrzebę ścisłej współpracy działów IT, compliance i operacji. Dla CISO oznacza to nowe obowiązki związane z nadzorem nad zewnętrznymi usługami, w tym konieczność objęcia ich testami odporności i mechanizmami audytu dostawców.
DORA wprowadza obowiązek przesłania rejestru dostawców ICT do KNF do kwietnia 2025 roku. Proces ten wymaga identyfikacja funkcji krytycznych, usług ICT mających na nie wpływ i tego jakie ryzyko z tego wynika. Dotychczasowe podejście – w którym klasyfikacja usług ICT była domeną zespołu IT – przestaje być wystarczające. Teraz konieczna jest granularna ocena oparta o Business Impact Analysis, która musi być na bieżąco aktualizowana. Dla CIO oznacza to konieczność wdrożenia nowych procedur zarządzania danymi, które będą nie tylko spójne z DORA, ale także z wymogami NIS2. Z kolei dla CCO największym wyzwaniem pozostaje zapewnienie zgodności pomiędzy wieloma regulacjami – DORA, NIS2, RODO – i zbudowanie jednolitego, zintegrowanego podejścia w całej organizacji.
Aby ograniczyć ryzyko błędów i zwiększyć efektywność procesu, podmioty finansowe powinny zautomatyzować zarządzanie rejestrem dostawców ICT. Takim narzędziem jest DORA Register, który upraszcza klasyfikację, mapowanie funkcji oraz sprawozdawczość zgodne z wymaganiami nadzorczymi. Dzięki synchronizacji danych i eliminacji ręcznego przetwarzania informacji, narzędzie to pozwala spełnić wymogi zarówno DORA, jak i częściowo NIS2 – zwłaszcza w zakresie monitorowania łańcucha dostaw i reagowania na incydenty ICT. Automatyzacja ułatwia także budowanie przejrzystych relacji między usługami a funkcjami krytycznymi, co jest kluczowe dla zachowania operacyjnej odporności cyfrowej i pozytywnego wyniku audytów regulatorów.