
Kim jest dostawca ICT?
Jednym z celów regulatora podczas tworzenia rozporządzenia DORA było wypracowanie skutecznych i ogólnowspólnotowych metod monitorowania ryzyka związanego z zewnętrznymi dostawcami usług ICT w sektorze finansowym.
DORA, definiując dostawcę usług ICT, nie wskazuje jednoznacznie, czy każda firma świadcząca określony rodzaj usług lub oferująca konkretne produkty, mieści się w tej kategorii. Zgodnie z definicją podaną w rozporządzeniu, zewnętrzny dostawca usług ICT to przedsiębiorstwo świadczące usługi ICT.
Definicja dostawcy usług ICT wskazuje na znaczenie tego, czym jest usługa ICT. Według DORA usługi ICT oznaczają usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.
Definicja ta jest bardzo szeroka. Wystarczy, żeby dostawca oferował usługi cyfrowe poprzez systemy ICT, by zostać uznanym za dostawcę usług ICT. To pojęcie obejmuje również dostawców sprzętu komputerowego, jak i przedsiębiorstwa serwisujące sprzęt współpracujące z podmiotami finansowymi. Wynika to m.in z faktu, że dostawcy ICT mają olbrzymi wpływ na zapewnienie ciągłości działania i operacyjnej odporności cyfrowej podmiotów finansowych. DORA podkreśla znaczenie monitorowania, oceny ryzyka i zarządzania współpracą z dostawcami ICT, szczególnie w przypadku krytycznych lub istotnych funkcji. Zasady współpracy obejmują m.in podstawowe prawa umowne, które określają minimalne zabezpieczenia dotyczące wykonywania i wypowiadania umów. Ich celem jest zapewnienie podmiotom finansowym odpowiednich narzędzi do skutecznego monitorowania ryzyk ICT generowanych przez dostawców usług ICT.
Jakie kryteria zastosować do klasyfikacji dostawców ICT?
Współpraca z dostawcami usług ICT w każdym konkretnym przypadku różni się poziomem ryzyka, co wymaga odpowiedniego podejścia do zarządzania tymi relacjami. Z drugiej strony, każdy podmiot finansowy ma ograniczone zasoby, którymi musi zarządzać. Klasyfikacja dostawców pozwala na skupienie zasobów na dostawcach najważniejszych z perspektywy zapewnienia operacyjnej odporności cyfrowej, co skutecznie minimalizuje ryzyko dla całej organizacji. Proces ten jednak powinien być oparty o konkretne, jednakowe kryteria stosowane do każdego z dostawców. DORA uwzględnia tę potrzebę, wprowadzając sformalizowany system klasyfikacji dostawców, co pozwala lepiej zrozumieć ich wpływ na operacyjną odporność cyfrową.
Dostawcy usług ICT są klasyfikowani m.in na podstawie funkcji, które realizują dla podmiotów finansowych. DORA podkreśla, że to funkcje wspierane przez dostawcę decydują o jego klasyfikacji jako dostawcy krytycznego lub istotnego, a nie sam status organizacji. Usługi ICT mogą być uznane za krytyczne, jeśli ich zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu lub której zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych.
Dlaczego funkcje biznesowe są kluczem do klasyfikacji dostawców
Każdy podmiot finansowy współpracując od lat z różnymi dostawcami wypracował swój własny sposób określenia, który partner jest dla tego podmiotu “krytyczny”. DORA nie daje takiego komfortu, jasno wskazując konkretny proces, według którego dostawca ma być tak zakwalifikowany.
Po pierwsze, artykuł 8 ust. 5 nakazuje podmiotom finansowym wskazywać i dokumentować wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT oraz wskazywać wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje. Majac zmapowany zakres współpracy z danym dostawcą usług ICT można przejść do oceny jego “krytyczności”.

Przykład szablonu RT 06.01 rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT
Ocena jest przeprowadzana w szablonie RT 06.01. Warto wskazać punkty, które trzeba wypełnić nim:
- Function Identifier
- Licenced activity
One of the licenced activities referred to in Annex II for the different type of financial entities. In case the function is not linked to a registered or licenced activity, ‘support functions’ shall be reported.
- Function name
Function name according to the financial entity’s internal organisation.
- LEI of the financial entity (prawdopodobnie będzie ten punkt jeszcze zmieniany)
- Criticality or importance assessment
Use this column to indicate whether the function is critical or important according to the financial entity’s assessment. One of the options in the following closed list shall be used: 1. Yes 2. No 3. Assessment not performed
- Reasons for criticality or importance
Brief explanation on the reasons to classify the function as critical or important (300 characters maximum)
- Date of the last assessment of criticality or importance
- Recovery time objective of the function
- Recovery point objective of the function
- Impact of discontinuing the function
Ta ocena opiera się na funkcji, która jest połączeniem procesu biznesowego (function name) oraz rodzaju działalności (licenced activity). Rodzaj działalności odnosi się do zamkniętej listy licencjonowanych przez organ nadzorczy działalności finansowych.
Istnieją przypadki, w których rodzaj działalności może być uznany za niekrytyczny, mimo że związany z nim proces biznesowy jest kluczowy dla podmiotu finansowego. Warto podkreślić, że dla jednego procesu biznesowego podmiot finansowy może posiadać wiele rodzajów działalności. W załączonym przykładzie proces biznesowy “Contact Center” obsługuje 3 różne rodzaje działaności. Podczas gdy lista rodzajów działalności jest zamknięta, procesy biznesowe mogą być swobodnie definiowane przez podmiot finansowy. Kluczowe jest jednak przeprowadzanie indywidualnej oceny krytyczności każdej kombinacji rodzaju działalności i procesu biznesowego.
Wynikiem tego procesu jest informacja, które funkcje wspiera dostawca usług ICT. Jeśli dostawca w jakimkolwiek przypadku świadczy usługi wspierające krytyczne lub istotne funkcje, automatycznie podlega rygorystycznym wymaganiom określonym w regulacji DORA. Nie ma znaczenia, że może to być drobny ułamek całego zakresu współpracy podmiotu finansowego z danym dostawcą.
Czym charakteryzują się poszczególne grupy dostawców?
Efektywna klasyfikacja wymaga stosowania obiektywnych kryteriów, takich jak analiza BIA (Business Impact Analysis), która identyfikuje powiązania między kluczowymi usługami finansowymi, procesami biznesowymi oraz aktywami wspierającymi. Dzięki temu instytucje finansowe mogą określić, które usługi i ich dostawcy mają kluczowe znaczenie dla ciągłości działania organizacji.
Rozporządzenie DORA, a w szczególności artykuły 28 i 29, kładzie nacisk na ocenę dostawców ICT pod kątem ich wpływu na stabilność, jakość i ciągłość świadczenia usług finansowych. Dodatkowo JC 2023 85 rozszerza tę klasyfikację. Każda z grup wymaga szczegółowej oceny, która wpływa na dalsze działania w zakresie nadzoru i zarządzania ryzykiem w ramach współpracy z dostawcami ICT.
Dostawca krytyczny
Określenia “dostawca krytyczny”, czy też “dostawca wspierający krytyczne funkcje” są uproszczonymi skrótami odnoszącymi się do dostawcy usług ICT wspierającego funkcje krytyczne lub istotne. Funkcje te, zdefiniowane przez rozporządzenie DORA, mają kluczowe znaczenie dla ciągłości operacyjnej, bezpieczeństwa i stabilności podmiotów finansowych. Jak już wspomniano ich zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu.
Dostawcy wspierający funkcje krytyczne lub istotne podlegają rygorystycznym wymogom, mającym na celu zapewnienie najwyższego poziomu bezpieczeństwa i ciągłości działania. Wymogi te znajdują odzwierciedlenie w artykułach 28 ust. 5 oraz 30 ust. 3 rozporządzenia DORA, które podkreślają strategiczne znaczenie tych dostawców dla stabilności sektora finansowego. Więcej o tym zagadnieniu w rozdziale Jak postępujemy z krytycznym dostawcą ICT?
Pozostali dostawcy
Pozostali dostawcy to grupa obejmująca wszystkich zewnętrznych dostawców usług ICT, którzy nie są uznawani w DORA za wspierających funkcje krytyczne lub istotne. Można ich określić mianem “zwykłych” dostawców, ponieważ nie podlegają oni tak rygorystycznym wymaganiom jak dostawcy z wcześniejszej kategorii. Pełnią oni istotną rolę w codziennym funkcjonowaniu podmiotów finansowych, wspierając działania operacyjne i dostarczając rozwiązania technologiczne o charakterze pomocniczym. Dostawcy ci nie mają tak dużego wpływu na stabilność, bezpieczeństwo ani ciągłość działania sektora finansowego. Wspierają oni funkcje, które nie są uznawane za krytyczne lub istotne z punktu widzenia operacyjnej odporności cyfrowej.
Mimo że dostawcy ci nie są krytyczni, nadal są zobowiązani do przestrzegania przepisów DORA w zakresie bezpieczeństwa ICT. Oznacza to konieczność spełniania odpowiednich wymogów dotyczących ochrony danych, zgodności z politykami bezpieczeństwa ICT podmiotu finansowego, czy też w zakresie zgłaszania incydentów, które mogą wpłynąć na świadczone usługi. Usługi świadczone przez tych dostawców są zazwyczaj łatwiej zastępowalne. Wysoki poziom substytucyjności oznacza, że ryzyko wynikające z ich awarii lub niedostępności jest niższe w porównaniu do dostawców wspierających funkcje krytyczne lub istotne.
Dostawca zewnętrzny i wewnętrzny
Rozporządzenie DORA rozróżnia dostawców usług ICT również na dwie kolejne kategorie; zewnętrznych i wewnętrznych. Zgodnie z artykułem 3 ust. 19 tego dokumentu, dostawca zewnętrzny to przedsiębiorstwo świadczące usługi ICT na rzecz podmiotów finansowych. Jest to niezależny podmiot, który może oferować szeroką gamę usług, od podstawowej infrastruktury IT po zaawansowane technologie, takie jak chmura obliczeniowa (IaaS, PaaS, SaaS), zarządzanie danymi czy bezpieczeństwo ICT. Zgodnie z artykułem 3 ust. 20 DORA, dostawca wewnętrzny to podmiot należący do grupy finansowej i który świadczy głównie usługi ICT na rzecz podmiotów finansowych należących do tej samej grupy lub podmiotów finansowych należących do tego samego systemu ochrony instytucjonalnej, w tym ich jednostek dominujących, jednostek zależnych, oddziałów lub innych podmiotów będących wspólną własnością lub pod wspólną kontrolą. Takie podmioty, często w postaci spółek zależnych lub centrów usług wspólnych, są dedykowane obsłudze wewnętrznych procesów technologicznych grupy.
Dostawcy wewnętrzni, mimo że operują w ramach jednej grupy kapitałowej, podlegają wymogom dokumentacyjnym i kontrolnym. DORA wymaga rejestrowania wszystkich umów dotyczących usług ICT zawartych między jednostkami w grupie. Szablon RT.02.03 służy do identyfikacji i analizy takich umów poprzez przypisywanie unikalnych „numerów odniesienia umów kontraktowych”. Pozwala to na szczegółowe mapowanie relacji w ramach grupy.
19 kategorii dostawców ICT według ITS
Kolejnym krokiem w kategoryzacji dostawców ICT jest przyporządkowanie ich do jednej (lub więcej niż jednej) kategorii z 19 grup dostawców ponumerowanych od S1 do S19. Wykonawcze standardy techniczne (RTS JC 2023 85) w aneksie III wprowadzają szczegółowy system klasyfikacji dostawców ICT. Przykładowe kategorie to:
- Zarządzanie projektami CT (S01) – Obejmuje usługi związane z PMO (Project Management Office),
- Bezpieczeństwo ICT (S04) – Usługi ochrony, wykrywania, reagowania i odzyskiwania w obszarze bezpieczeństwa ICT,
- Chmura obliczeniowa – Usługi w modelach IaaS (S17), PaaS (S18) i SaaS (S19),
- Usługi analizy danych (S06) – Wsparcie dla przetwarzania i analizy danych,
- Infrastruktura sieciowa (S11) – Zarządzanie i dostarczanie infrastruktury sieciowej,
- Zarządzanie ryzykiem ICT (S16) – Weryfikacja zgodności z wymogami zarządzania ryzykiem ICT.
Kategoryzacja dostawców ICT według 19 typów usług wprowadza strukturę, która umożliwia podmiotom finansowym lepsze zrozumienie i zarządzanie ryzykami związanymi z ich współpracą z dostawcami ICT. Pomaga to także w skutecznym raportowaniu, szczególnie w kontekście krytycznych funkcji wspieranych przez dostawców. Niemniej jednak, w praktyce kategoryzacja może być wyzwaniem, ponieważ część podmiotów świadczy usługi wpisujące się w kilka kategorii wymienionych w Aneksie III.
Dostawca kluczowy
Dostawca kluczowy to strategiczny zewnętrzny dostawca usług ICT, który został wyznaczony jako kluczowy przez europejskie organy nadzoru, a nie przez poszczególne podmioty finansowe. Europejskie organy nadzoru wyznaczają tych dostawców na podstawie danych przesyłanych przez podmioty finansowe z 27 krajów UE w formie rejestru ustaleń umownych. Z tego powodu kategoria “dostawcy kluczowego” nie jest jedną z kategorii, wedle których podmioty finansowe same charakteryzują swoich dostawców w rejestrze ustaleń umownych. Trzeba jednak znać tę grupę i wiedzieć z jaką specyfiką się ona łączy.
Europejskie organy nadzoru wyznaczają kluczowych dostawców na podstawie szczegółowej analizy. Jest nim taki dostawca, którego potencjalne awarie usług mogą znacząco wpłynąć na dużą liczbę podmiotów finansowych, w szczególności tych o dużych aktywach. Pod uwagę brany jest poziom współzależności między instytucjami korzystającymi z jego usług, w szczególności globalnymi instytucjami o znaczeniu systemowym. Dodatkowo analizowana jest zależność podmiotów finansowych od tego usług dostawcy, szczególnie w kontekście wspierania krytycznych lub istotnych funkcji. Ważnym kryterium jest także dostępność alternatyw dla usług tego dostawcy, przy czym uwzględnia się takie aspekty jak techniczna złożoność, koszty migracji oraz ograniczenia wynikające z warunków rynkowych. Regulator nakazuje kluczowym dostawcom ICT spoza Europejskiego Obszaru Gospodarczego wyznaczenie jednostki zależnej zlokalizowanej na terenie EOG.
Dostawcy ci są identyfikowani jako szczególnie istotni dla całego sektora finansowego Unii Europejskiej ze względu na ich systemowe znaczenie i wpływ na stabilność, bezpieczeństwo oraz ciągłość operacyjną podmiotów finansowych. Zakłócenia w dostawie ich usług mogą znacząco wpłynąć na funkcjonowanie wielu podmiotów finansowych, co podkreśla ich strategiczne znaczenie. Fakt, że duża liczba podmiotów finansowych korzysta z usług tych samych dostawców, zwiększa ryzyko koncentracji. Jednak dzięki odpowiedniemu zarządzaniu i skutecznemu nadzorowi możliwe jest minimalizowanie ryzyka systemowego i zapewnienie stabilności sektora. Istotnym aspektem jest to, że kluczowi dostawcy nie są audytowani przez podmioty finansowe, lecz przez europejskie organy nadzoru, co wzmacnia transparentność i bezpieczeństwo ich działań.
Czy projekt Dry Run przyniósł wartość?
Projekt Dry Run został zorganizowany jako praktyczne ćwiczenie dla podmiotów finansowych, mające na celu przetestowanie możliwości przygotowania rejestrów informacji zgodnie z wymogami rozporządzenia DORA. Głównym celem Dry Runu było umożliwienie tym podmiotom wstępnego przygotowania raportu (rejestr informacji), co miało pomóc w identyfikacji potencjalnych problemów i braków w procesach raportowania. Jednocześnie umożliwiło to organom nadzorczym ocenę stanu gotowości sektora finansowego oraz przetestowanie metodologii zbierania danych.
Podmioty finansowe miały okazję zidentyfikować obszary wymagające poprawy przed wejściem w życie nowych regulacji. Dry Run pozwolił na praktyczne przetestowanie metodyki tworzenia rejestrów, co dostarczyło cennych informacji zarówno instytucjom, jak i organom nadzoru. Wykazano tam, które aspekty rozporządzenia, jak np. identyfikacja dostawców czy struktura rejestru, są najbardziej problematyczne.
Dry Run ujawnił liczne wyzwania związane z przygotowaniem rejestrów informacji. Okazało się, że stworzenie rejestru informacji zgodnego z wymogami DORA, to zadanie znacznie bardziej skomplikowane, niż przewidywano. Template w Excel, który pierwotnie był narzędziem do pracy wg ESA, nie spełnił oczekiwań, co zostało podkreślone 18.12.2024 w tracie webinaru podsumowującego dry run. Wyniki Dry run – 6,5% z 1000 uczestników zrobiła projekt bezbłędnie, 50 % zrobiło mniej niż 5 błędów. .
Warto dodać, że w trakcie Dry Runu wykorzystywano identyfikator LEI (Legal Entity Identifier) dla dostawców. Teraz dodano możliwość korzystania z numer EUN. Ostateczny zmieniony tekst został przyjęty na początku grudnia. Wiadomo już jakie są oczekiwania, ale dane trzeba ułożyć w narzędziu dającym więcej możliwości niż Excel.
Jak wykonać due diligence krytycznych dostawców ICT?
Due diligence to proces szczegółowej analizy i oceny potencjalnego dostawcy ICT, mający na celu zrozumienie jego zdolności do świadczenia usług zgodnie z wymaganiami oraz identyfikację potencjalnych ryzyk. Due diligence jest obowiązkowym etapem dla podmiotów finansowych przed nawiązaniem współpracy z dostawcami ICT wspierającymi funkcje krytyczne lub istotne.
Zagadnienie to zostało opisane w artykule 6 Due diligence regulacyjnych standardów technicznych (JC 2023 84) określających szczegółową treść polityki w odniesieniu do ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub ważne funkcje świadczone przez zewnętrznych dostawców usług ICT. Podmiot finansowy ma za zadanie między innymi sprawdzić, czy dostawca usług ICT:
- posiada reputację biznesową, odpowiednie zasoby (finansowe, ludzkie i techniczne), strukturę organizacyjną, własny proces zarządzania ryzykiem i kontroli wewnętrznej oraz, jeśli wymagane, odpowiednie zezwolenia lub licencje do świadczenia usług ICT wspierających krytyczną lub ważną funkcję w sposób niezawodny i profesjonalny;
- zdolność do monitorowania odpowiednich zmian technologicznych i identyfikowania wiodących praktyk w zakresie bezpieczeństwa ICT oraz wdrażania ich w stosownych przypadkach w celu posiadania skutecznych i solidnych ram cyfrowej odporności operacyjnej;
- korzysta lub zamierza korzystać z podwykonawców ICT dla realizacji usług krytycznych lub ich istotnych części;
- przetwarza lub przechowuje dane w kraju trzecim. Podmiot finansowy ocenia ryzyko operacyjne i reputacyjne związane z taką lokalizacją, w tym ryzyko sankcji, embarg lub innych ograniczeń;
- koncentruje usługi. Instytucje muszą ocenić ryzyko związane z koncentracją usług u jednego dostawcy, szczególnie w kontekście potencjalnych zakłóceń operacyjnych;
- akceptuje możliwość przeprowadzenia audytów (w tym offline, w lokalizacji fizycznej) przez podmiot finansowy, zewnętrzne podmioty lub organy nadzorcze;
- działa zgodnie z etycznymi standardami, przestrzega praw człowieka i zasad ochrony środowiska oraz zapewnia odpowiednie warunki pracy, w tym zakaz pracy dzieci.
Wynikiem due diligence powinna być pewność, że zewnętrzni dostawcy usług ICT spełnią stawiane przed nimi wymagania. W ramach tej polityki należy sprawdzić, czy dostawca ma odpowiednie zabezpieczenia i plany na wypadek problemów oraz upewnić się, że faktycznie działają one zgodnie z przeznaczeniem.
Podsumowując due diligence pod kątem rozporządzenia DORA to rzetelna analiza, którą należy wykonywać z uwzględnieniem: krytyczności funkcji ICT, analizy ich zależności, ryzykiem związanym z ich koncentracją i dbałością o dywersyfikację dostawców ICT.
Jakie narzędzia wykorzystać do weryfikacji tych obszarów?
Podmioty finansowe mogą zastanawiać się, w jaki sposób mogą przeprowadzić proces due diligence wobec dostawców ICT wspierających krytyczne lub istotne funkcje. Wytyczne w tym zakresie zostały szczegółowo opisane w RTS JC 2023 84:
- Audyty lub niezależne oceny przeprowadzane przez sam podmiot finansowy lub na jego zlecenie.
- Wykorzystanie przez podmiot finansowy niezależnych raportów z audytów wykonanych na zlecenie dostawcy zewnętrznych usług ICT.
- Wykorzystanie przez podmiot finansowy raportów z audytów wewnętrznych przeprowadzonych przez dostawcę zewnętrznych usług ICT.
- Wykorzystanie przez podmiot finansowy odpowiednich certyfikacji stron trzecich.
- Wykorzystanie przez podmiot finansowy innych dostępnych istotnych informacji lub informacji dostarczonych przez dostawcę zewnętrznych usług ICT.
Opracowanie raportu końcowego z oceny due diligence
Końcowym etapem procesu due diligence jest przygotowanie raportu podsumowującego wyniki oceny dostawcy. Raport ten powinien zawierać identyfikację kluczowych obszarów ryzyka, rekomendacje dotyczące działań naprawczych lub zmian w współpracy z dostawcą oraz wnioski na temat zgodności jego działalności z wymaganiami organizacji i regulacjami prawnymi. Dokument pozwala organom zarządzającym w organizacji lepiej rozumieć ryzyko związane ze współpracą z danym dostawcą usług ICT.
Jak postępujemy z krytycznym dostawcą ICT?
Poprawne postępowanie z krytycznymi dostawcami ICT to jedno z najważniejszych zadań podmiotu finansowego w zakresie jego procesu zarządzania ryzykiem w kontekście wymogów stawianych przez rozporządzenie DORA. Krytyczni dostawcy odgrywają znaczną rolę w zapewnianiu ciągłości działania, bezpieczeństwa oraz stabilności operacyjnej podmiotów finansowych.
Czy dostawca spełnia najwyższe zasady bezpieczeństwa?
W związku z pełnieniem kluczowej roli w utrzymaniu stabilności operacyjnej, ciągłości działania oraz bezpieczeństwa danych podmiotów finansowych, dostawcy usług ICT wspierający krytyczne lub istotne funkcje muszą spełniać wysokie wymagania zarówno w zakresie bezpieczeństwa świadczonych usług, jak i organizacji wewnętrznej. Jak wspomina rozporządzenie DORA w artykule 28 ust. 5. podmioty finansowe mogą zawierać ustalenia umowne wyłącznie z zewnętrznymi dostawcami usług ICT, którzy przestrzegają odpowiednich standardów w zakresie bezpieczeństwa informacji. W przypadku gdy te ustalenia umowne dotyczą krytycznych lub istotnych funkcji, podmioty finansowe – przed zawarciem takich ustaleń umownych – należycie uwzględniają, czy zewnętrzni dostawcy usług ICT stosują najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji.
DORA nie definiuje konkretnie, czym są odpowiednie oraz czym są najwyższe standardy bezpieczeństwa informacji. Wynika to z faktu, że “aktualne” standardy stale się zmieniają. Warto zwrócić uwagę choćby na częstotliwość aktualizacji ISO, żeby zauważyć, że ujęcie konkretnych działań w dokumencie mijałoby się z celem.
DORA jednak wskazuje pewne obszary, w ramach których dostawcy są zobowiązani do wdrożenia kompleksowych polityk i procedur. Mają one zapewnić ochronę dostępności, autentyczności, integralności oraz poufności danych własnych oraz przekazywanych przez podmiot finansowy.
Obejmuje to zarządzanie incydentami, czyli identyfikację incydentów, reakcję, raportowanie oraz podejmowanie działań zapobiegawczych w przypadku zdarzeń związanych z bezpieczeństwem ICT. Kluczowym elementem jest również planowanie ciągłości działania, polegające na wdrożeniu planów awaryjnych umożliwiających szybkie przywrócenie krytycznych funkcji w przypadku zakłóceń operacyjnych. Polityki te muszą być zgodne z międzynarodowymi standardami, takimi jak ISO/IEC 27001 oraz podlegać regularnym przeglądom i aktualizacjom.
Dostawcy są zobowiązani do umożliwienia regularnych audytów przeprowadzanych przez podmioty finansowe lub ich wyznaczonych audytorów, a także organy nadzorcze, które mają prawo do sprawdzania zgodności z regulacjami i postanowieniami umów. Dostawca musi zapewnić pełny dostęp do dokumentacji, systemów i zasobów objętych audytem. Niezbędna jest weryfikacja zasobów dostawcy, w tym infrastruktury technicznej, stabilności finansowej oraz kwalifikacji i doświadczenia personelu.
Dostawca musi monitorować i zarządzać ryzykiem związanym z własnymi podwykonawcami oraz innymi elementami łańcucha dostaw, ponosząc pełną odpowiedzialność przed podmiotem finansowym za wszelkie zaniedbania tych firm. Jest zobowiązany do weryfikacji standardów bezpieczeństwa podwykonawców oraz ich zdolności do świadczenia usług na wymaganym poziomie. Ponadto dostawca musi zapewnić ciągłość działania nawet w przypadku zakłóceń u podwykonawców. Dodatkowo, regularnie powinien aktualizować listę podwykonawców zaangażowanych w realizację krytycznych funkcji, zapewniając przejrzystość i zgodność z wymogami regulacyjnymi.
Dostawcy wspierający krytyczne funkcje są zobowiązani do udziału w programach testowania odporności cyfrowej (TLPT) organizowanych przez podmioty finansowe. O ile instytucja finansowa zostanie wyznaczona przez Organ nadzorczy do przeprowadzenia takiego testu. Rozporządzenie DORA wspomina o testach penetracyjnych, scenariuszowych oraz symulacjach awarii krytycznych funkcji. Dostawca musi poddać się ocenie skuteczności środków bezpieczeństwa, takich jak systemy wykrywania i reagowania na incydenty. Musi również testować plany awaryjne, aby upewnić się, że usługi mogą być przywrócone w krótkim czasie.
Dostawcy muszą jasno określić lokalizację, w której dane są przetwarzane i przechowywane. Ponadto jest on zobowiązany zapewnić zgodność z unijnymi przepisami o ochronie danych, w tym RODO oraz przestrzegać zasad dotyczących międzynarodowego transferu danych.
Dostawcy ci muszą zapewnić podmiotom finansowym wsparcie wdrożenia strategii wyjścia, która pozwala na bezpieczne zakończenie współpracy bez zakłóceń w działalności. Strategia ta powinna obejmować odzyskanie danych i usług zgodnie z warunkami umowy, a także umożliwiać przekazania ich nowemu dostawcy lub przywrócenie usług do wewnętrznej struktury podmiotu finansowego w przypadku awarii lub zakończenia współpracy.
Przesyłanie ankiet
Ankieta nie zastąpi audytu. DORA wymaga weryfikacji, a nie zaufania. Jest ona jednym z narzędzi, które podmiot finansowy może wykorzystać w celu pozyskania szczegółowych informacji na temat dostawców. Celem tego działania jest uzyskanie kompleksowej wiedzy o strukturze organizacyjnej dostawcy, jego procesach, zdolnościach operacyjnych oraz poziomie zgodności z wymogami regulacyjnymi. Informacje te stanowią podstawę do oceny ryzyka, identyfikacji słabych punktów i weryfikacji zdolności dostawcy do wspierania krytycznych lub istotnych funkcji.
W ramach ankiety podmiot finansowy może zapytać dostawcę o dane dotyczące kluczowych osób odpowiedzialnych za zarządzanie i bezpieczeństwo, a także o relacje z innymi podmiotami, które mogą mieć wpływ na świadczone usługi. Istotnym elementem, jest również lokalizacja, w której przetwarzane i przechowywane są dane, szczególnie jeśli obejmuje ona kraje spoza Europejskiego Obszaru Gospodarczego. Ankieta powinna także obejmować szczegółowy opis zakresu świadczonych usług, w tym ich znaczenie dla krytycznych lub istotnych funkcji oraz warunki podwykonawstwa, wraz z listą zaangażowanych podwykonawców.
Dostawca powinien przedstawić informacje o wdrożonych politykach i procedurach ochrony danych, zarządzania incydentami oraz reagowania na zagrożenia. Ważna jest również zgodność ze standardami w zakresie integralności i poufności informacji. Podmiot finansowy może dodatkowo zapytać w ankiecie o kwalifikacje zespołów odpowiedzialnych za zarządzanie ryzykiem i bezpieczeństwem ICT, procedury zarządzania ryzykiem oraz plany awaryjne na wypadek zakłóceń. Zdolność dostawcy do przywracania funkcji w przypadku incydentów operacyjnych również powinna zostać dokładnie opisana.
Skuteczna ankieta musi być powiązana z wymaganiami regulacyjnymi i pozwalać na mapowanie usług dostawcy względem procesów oraz aktywów podmiotu finansowego. Jej wyniki powinny stanowić solidną podstawę do realizacji działań mających na celu zwiększenie operacyjnej odporności cyfrowej.
Dostosowanie umów
DORA w artykule 30 ust. 2 oraz ust. 3 wskazuje szereg punktów, które należy zawrzeć w umowach z dostawcami usług ICT. W tym rozdziale artykułu zostały omówione punkty dotyczące dostawców usług ICT wspierających krytyczne lub istotne funkcje, ogólne zapisy zostaną omówione w rozdziale Jak postępujemy z dostawcami „zwykłymi”?
Umowy z dostawcami wspierającymi funkcje krytyczne lub istotne powinny zawierać szczegółowy opis gwarantowanych poziomów usług (SLA), które muszą uwzględniać zarówno ilościowe, jak i jakościowe cele dotyczące realizacji usług. Ważnym aspektem umowy jest również określony czas wypowiedzenia oraz obowiązki sprawozdawcze dostawcy. Powinni oni zobowiązać się do informowania podmiotu finansowego o każdej zmianie, która może wpłynąć na zdolność świadczenia usług na uzgodnionym poziomie.
W kontekście bezpieczeństwa ICT dostawcy muszą wdrażać i regularnie testować plany awaryjne, które zapewniają ciągłość świadczenia usług nawet w sytuacjach kryzysowych. Umowy powinny również zobowiązywać te firmy do posiadania odpowiednich narzędzi, polityk i procedur, które zagwarantują zgodność z ramami regulacyjnymi podmiotu finansowego.
Obowiązek uczestnictwa dostawców w testach odporności cyfrowej, takich jak TLPT (Threat-Led Penetration Testing), powinien być również jasno określony w umowach. Muszą oni w pełni współpracować przy realizacji takich testów oraz wdrażać wnioski z nich wynikające.
Podmioty finansowe powinny mieć zagwarantowane prawa do monitorowania działań dostawców, w tym do przeprowadzania audytów. Umowy powinny obejmować nieograniczone prawa dostępu, kontroli oraz audytów na miejscu, zarówno przez podmiot finansowy, jak i przez wyznaczone osoby trzecie lub organy nadzorcze. Dodatkowo dostawcy muszą zobowiązać się do pełnej współpracy podczas takich kontroli i audytów oraz do dostarczania szczegółowych informacji na temat procedur i częstotliwości przeprowadzanych kontroli.
Strategie wyjścia powinny być integralną częścią umowy oraz zapewniać płynne zakończenie współpracy, w tym możliwość odzyskania danych oraz migracji usług do nowego dostawcy lub struktur wewnętrznych podmiotu finansowego. W okresie przejściowym dostawca powinien nadal świadczyć usługi, aby minimalizować ryzyko zakłóceń w działalności organizacji. Strategie wyjścia muszą być dostosowane do stopnia złożoności świadczonych usług, zapewniając płynność operacyjną nawet w przypadku zakończenia współpracy.
Podmioty finansowe i dostawcy mogą również korzystać ze standardowych klauzul umownych opracowanych przez organy publiczne, które usprawniają proces negocjacji oraz zapewniają zgodność z regulacjami. Takie klauzule ułatwiają standaryzację zapisów umownych, jednocześnie wspierając ochronę interesów organizacji.
Jak postępujemy z dostawcami „zwykłymi”?
Zarządzanie dostawcami „zwykłymi” różni się od zarządzania dostawcami usług ICT wspierającymi funkcje krytyczne lub istotne. Związane jest to z artykułem 4 DORA, czyli zasadą proporcjonalności. Zasada proporcjonalności, określona w rozporządzeniu DORA, wymaga, aby podmioty finansowe dostosowywały wdrażanie przepisów regulacyjnych do swojej wielkości, profilu ryzyka oraz charakteru, skali i złożoności świadczonych usług, działań i operacji.
Dotyczy to zarówno ogólnych ram zarządzania ryzykiem związanym z ICT (rozdział II), jak i szczegółowych wymogów dotyczących zarządzania dostawcami oraz testów odporności cyfrowej (rozdziały III, IV i V sekcja I). Z tego powodu rozporządzenie DORA pozwala na stosunkowo luźniejsze podejście w ocenie ryzyka zwykłych dostawców oraz w wymaganych działaniach niż do dostawców krytycznych. DORA w artykule 28 ust. 5 wskazuje, że dostawcy “zwykli” muszą przestrzegać odpowiednich standardów w zakresie bezpieczeństwa informacji. Regularne oceny zabezpieczeń pozwalają upewnić się, że poziom ochrony pozostaje zgodny z wymaganiami organizacji oraz odpowiednio dostosowany do zmieniających się warunków.
Zarządzanie ryzykiem związanym z tymi dostawcami powinno być dostosowane do specyfiki współpracy. Dzięki uproszczeniu tego procesu możliwe jest zoptymalizowanie zasobów organizacji, przy jednoczesnym zachowaniu zgodności z DORA oraz zapewnieniu ciągłości działania. Regularny przegląd zabezpieczeń i procedur stosowanych przez dostawców pozwala na bieżąco dostosowywać poziom kontroli, co minimalizuje ryzyko operacyjne i wzmacnia ogólne bezpieczeństwo organizacji.
Zapisy umowne z dostawcami usług ICT
Współpraca z dostawcami „zwykłymi” wymaga także odpowiedniego dostosowania umów z dostawcami ICT. Powinny one zawierać kluczowe klauzule dotyczące ochrony danych, minimalnych standardów bezpieczeństwa, zasad raportowania incydentów oraz warunków rozwiązania umowy. Tematyka została omówiona w artykule 30 ust. 2 DORA.
Umowy z dostawcami ICT powinny szczegółowo określać wszystkie funkcje i usługi, jakie mają być świadczone, uwzględniając specyfikację techniczną, zakres funkcjonalności oraz wymagania jakościowe. Kolejnym istotnym aspektem jest precyzyjne określenie lokalizacji świadczenia usług i przetwarzania danych. Umowy powinny wskazywać konkretne regiony lub kraje, w których będą realizowane usługi ICT oraz przechowywane dane, zarówno przez dostawcę głównego, jak i jego podwykonawców. Ważne jest, aby uwzględnić wymóg wcześniejszego informowania organizacji o wszelkich planowanych zmianach dotyczących lokalizacji świadczenia usług lub przetwarzania danych. Umowy muszą również uwzględniać postanowienia dotyczące ochrony danych, zarówno osobowych, jak i nieosobowych. Powinny one określać środki zapewniające dostępność, integralność oraz poufność przetwarzanych informacji, a także procedury na wypadek naruszeń bezpieczeństwa.
Równie istotne jest zapewnienie mechanizmów umożliwiających odzyskiwanie danych w sytuacjach kryzysowych, takich jak niewypłacalność dostawcy czy zakończenie współpracy. W umowie powinien być określony format danych, który umożliwi łatwe ich przeniesienie do innego dostawcy lub wewnętrznego systemu organizacji. Dodatkowo umowy powinny zawierać jasne zapisy dotyczące gwarantowanych poziomów usług (SLA), w tym wskaźników wydajności, takich jak dostępność usług, czasy reakcji oraz procedury eskalacji problemów.
Kluczowym elementem jest także zobowiązanie dostawcy do wsparcia w przypadku incydentów ICT, takich jak ataki cybernetyczne, awarie systemów czy utrata danych. Umowy powinny określać, czy taka pomoc będzie świadczona bez dodatkowych opłat, czy też za ustaloną wcześniej opłatą.
Na koniec umowy powinny jasno regulować kwestie współpracy dostawcy z organami nadzoru w przypadku dochodzeń lub procedur restrukturyzacyjnych. Powinna być również zagwarantowana transparentność w dostarczaniu informacji wymaganych przez organy regulacyjne. Dodatkowo umowy muszą przewidywać minimalne okresy wypowiedzenia, zgodne z wymogami regulacyjnymi oraz szczegółowe procedury zapewniające ciągłość działalności organizacji po zakończeniu współpracy.
Czym jest rejestr dostawców ICT?
Rejestr informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT nazywany jest również “rejestrem dostawców ICT”, “rejestrem informacji” lub “rejestrem ustaleń umownych”. Zgodnie z artykułem 28 ust. 3 DORA, podmioty finansowe są zobowiązane utrzymywać i aktualizować rejestr informacji dotyczący umów z dostawcami usług ICT. Każdy podmiot finansowy musi przygotować rejestr informacji i przekazać go do właściwego urzędu nadzorczego na początku kwietnia 2025 (dokładne terminy wskazują urzędy). ESA ma otrzymać te raporty od lokalnych urzędów do 30 kwietnia 2025. .
Jest to narzędzie odpowiadające na wymogi rozporządzenia DORA i obejmuje informacje takie jak ogólne dane o podmiocie finansowym, identyfikację jednostek w zakresie konsolidacji, informacje o oddziałach poza krajem macierzystym, informacje o umowach kontraktowych, szczegółowe informacje dotyczące umów, powiązania między umowami wewnątrzgrupowymi a dostawcami usług ICT z zewnątrz grupy, informacje o podmiotach podpisujących umowy, identyfikację dostawców usług ICT oraz ocenę usług ICT wspierających funkcje krytyczne lub istotne.
DORA wymaga prowadzenia rejestru dostawców ICT, aby ujednolicić i scentralizować informacje o dostawcach, co ma na celu lepsze zarządzanie ryzykiem w sektorze finansowym. Centralny rejestr umożliwia lepsze zrozumienie i ocenę zależności pomiędzy podmiotami finansowymi a ich dostawcami ICT. Wspiera też identyfikację ryzyk związanych z krytycznymi funkcjami operacyjnymi wspieranymi przez technologie ICT. Standaryzacja umożliwia organom nadzoru szybki i precyzyjny dostęp do danych, co zwiększa skuteczność w monitorowaniu ryzyk.
Powiązania w rejestrze informacji
Powiązania w rejestrze informacji są ważnym i równocześnie trudnym do zaimplementowania elementem. Cały rejestr informacji składa się z 15 tabel:
- Podmiot prowadzący rejestr informacji (RT.01.01)
- Lista podmiotów objętych konsolidacją (RT.01.02)
- Lista oddziałów (RT.01.03)
- Ustalenia umowne – informacje ogólne (RT.02.01)
- Ustalenia umowne – informacje szczegółowe (RT.02.02)
- Wykaz ustaleń umownych wewnątrz grupy (RT.02.03)
- Podmioty podpisujące umowę (RT.03.01)
- Zewnętrzni dostawcy usług ICT (RT.03.02)
- Podmioty podpisujące umowę (RT.03.03)
- Podmioty korzystające z usług ICT (RT.04.01)
- Zewnętrzni dostawcy usług ICT (RT.05.01)
- Łańcuch dostaw usług ICT (RT.05.02)
- Identyfikacja funkcji (RT.06.01)
- Ocena usług ICT świadczonych przez zewnętrznych dostawców (RT.07.01)
- Definicje pochodzące od podmiotów korzystających z usług ICT (RT.99.01)
Informacje w tych tabelach mogą się powtarzać, jak w przypadku 19 kategorii usług ICT świadczonych przez dostawców. W tym przypadku informacja ta jest wskazywana w:
- RT.02.02 – Ustalenia umowne (Contractual arrangements) – Pole RT.02.02.0060
- RT.05.02 – Łańcuch dostaw usług ICT (ICT service supply chains) – Pole RT.05.02.0020
- RT.07.01 – Ocena usług ICT (Assessment of the ICT services) – Pole RT.07.01.0040
Trzeba pamiętać, żeby w każdej z tych tabel (RT.02.02, RT.05.02 oraz RT.07.01) zaznaczyć te same kategorie. Z tego powodu manualne wypełnianie rejestru może wprowadzić niezgodności pomiędzy tabelami, zwłaszcza w przypadku późniejszej aktualizacji.
Aktualizacja danych na bieżąco
Rejestr informacji musi być na bieżąco aktualizowany w przypadku każdej zmiany dotyczącej dostawców, umów z nimi związanych lub funkcji wspieranych przez usługi ICT. Jego aktualność jest ważna ponieważ podmioty finansowe co najmniej raz w roku przedstawiają właściwym organom informacje na temat liczby nowych ustaleń dotyczących korzystania z usług ICT, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług ICT i obsługiwanych funkcji. Właściwe organy również mogą w każdej chwili zażądać pełnego rejestru informacji lub zgodnie z treścią takiego żądania, określone sekcje tego rejestru wraz ze wszelkimi informacjami uznanymi za niezbędne.
Jakie obowiązki narzuca DORA w aspekcie zarządzania dostawcami?
Wiele obowiązków związanych z dostawcami ICT zostało omówione już w artykule. Podmioty finansowe muszą prowadzić wspomniany powyżej rejestr zawierający informacje o zapisach umownych usług ICT oraz innych informacjach wskazanych w RTS. Rejestr musi być na bieżąco aktualizowany i dostępny na żądanie organów nadzoru. Podmioty finansowe muszą regularnie raportować informacje dotyczące współpracy z dostawcami ICT do organów nadzoru, w tym szczegóły umów i wsparcie funkcji krytycznych.
Podmioty finansowe muszą stworzyć strategię zarządzania ryzykiem dostawców ICT obejmującą zasady współpracy, oceny ryzyka oraz monitorowania. Muszą one przeprowadzać ocenę ryzyka koncentracji, czyli zależności od jednego dostawcy i potencjalnych zagrożeń z tym związanych. Umowy powinny obejmować kluczowe klauzule dotyczące bezpieczeństwa i zarządzania ryzykiem. Podmioty muszą zapewnić sobie możliwość kontroli i przeprowadzania regularnych audytów. Ich zadaniem jest zapewnienie ciągłości działania poprzez plany awaryjne, regularne testy i przygotowanie na różne scenariusze. Muszą również stworzyć strategie wyjścia, czyli plany na wypadek zakończenia współpracy z krytycznym dostawcą.
Każdy podmiot finansowy musi przeanalizować swoje dotychczasowe metody zarządzania dostawcami usług ICT i dostosować się do nowych wytycznych wynikających z rozporządzenia DORA i szczegółowych wytycznych wychodzących z RTSów.
Przed zawarciem umowy z dostawcą “krytycznym” fakt ten należy zgłosić do Urzędu nadzorczego. Umowa wejdzie w życie po upływie odpowiedniego czasu (w Polsce podobno 14 dni).
Co się wydarzy, jeżeli instytucja finansowa nie spełni wymogów DORA?
Nieprzestrzeganie wymogów określonych w rozporządzeniu DORA może prowadzić do poważnych konsekwencji prawnych, finansowych, operacyjnych i reputacyjnych dla podmiotów finansowych. Podmioty te mogą stanąć przed ryzykiem postępowań prawnych, szczególnie jeśli niespełnienie wymogów prowadzi do incydentów. Organy nadzorcze mogą nałożyć wysokie kary finansowe, których wysokość zależy od stopnia naruszenia oraz potencjalnych zagrożeń wynikających z nieprzestrzegania przepisów. Takie kary mogą znacząco wpłynąć na stabilność finansową podmiotu oraz jego zdolność do realizacji podstawowych funkcji.
Podmioty finansowe mogą zostać objęte ograniczeniami w działalności, np. poprzez blokadę współpracy z dostawcami ICT niespełniającymi wymogów bezpieczeństwa. Tego rodzaju sankcje mogą zakłócić kluczowe operacje podmiotu, prowadząc do utraty możliwości świadczenia niektórych usług. Oprócz tego podmioty finansowe mogą zostać zobowiązane do opracowania i realizacji planów naprawczych, co wpłynie na alokację zasobów przedsiębiorstwa.
Brak zgodności z przepisami może poważnie zaszkodzić reputacji podmiotu, osłabiając zaufanie klientów, partnerów biznesowych i inwestorów. Negatywna percepcja może skutkować odpływem klientów oraz spadkiem wyników finansowych. W skrajnych przypadkach, gdy naruszenie wymogów DORA stanowi poważne zagrożenie dla klientów lub sektora finansowego, organy nadzoru mogą cofnąć licencję na działalność instytucji. Cofnięcie licencji skutkuje koniecznością zaprzestania prowadzenia działalności finansowej.
Dodatkowo członkowie zarządu mogą zostać ukarani sankcjami administracyjnymi, w tym zakazem pełnienia funkcji kierowniczych. Tego rodzaju kary są egzekwowane natychmiast, bez możliwości ich odroczenia.
Jak łatwo poradzić sobie z obowiązkami narzuconymi przez DORA?
Zachowanie zgodności z rozporządzeniem DORA w zakresie dostawców usług ICT to wymagający proces, który nakłada na podmioty finansowe wiele złożonych obowiązków. Obejmują one, jak zostało wskazane w tym artykule, między innymi prowadzenie rejestru dostawców ICT, bieżącą aktualizację danych oraz tworzenie raportów dla organów nadzorczych.
W rzeczywistości przygotowanie rejestru dla jednego dostawcy może zająć nawet dwa dni pracy członka zespołu projektowego, szczególnie jeśli jest to dostawca wspierający funkcje krytyczne. Proces ten wymaga przeszukania wielu dokumentów oraz zachowania pełnej precyzji w kodowaniu informacji. W kontekście ręcznego uzupełniania rejestru takie zadanie jest nie tylko czasochłonne, ale także zwiększa ryzyko popełnienia błędów.
Dodając do tego potrzebę późniejszej aktualizacji danych pomiędzy tabelami, format “ręczny” w pliku excel może okazać się wyzwaniem, które może stanowić problem nawet dla dużych zespołów w sprawnie działających organizacjach.
Automatyzacja jako wsparcie w zarządzaniu obowiązkami DORA
Jednym z narzędzi, które automatyzuje ten proces, jest DORA Register – aplikacja do zarządzania dostawcami ICT zgodnie z DORA. Narzędzie to minimalizuje pracochłonność dzięki funkcji automatycznego przenoszenia informacji między powiązanymi rekordami, a także ułatwia utrzymanie integralności danych. Co więcej, przetwarzanie danych w jednym systemie a nie w wielu plikach excel, pozwala uniknąć problemów z powtarzalnością i rozbieżnościami między tabelami. Zmiana dokonana raz w jednym miejscu jest automatycznie propagowana we wszystkich powiązanych rekordach, oszczędzając czas i eliminując ryzyko błędów. Ma to kluczowe znaczenie podczas wszelkich aktualizacji rejestru. DORA Register oferuje także gotowe raporty, zgodne z wymaganiami regulatorów, które można uzyskać jednym kliknięciem.
Dzięki automatyzacji z DORA Register uzupełnienie rejestru dla jednego dostawcy zajmuje około 1,5 godziny, podczas gdy ręczne tworzenie dokumentacji może trwać nawet 8 godzin. To narzędzie sprawdza się szczególnie przy większej liczbie dostawców, umożliwiając szybki dostęp do raportów na żądanie oraz prowadzenie monitoringu w czasie rzeczywistym.