DORA może zaskoczyć instytucje finansowe

Świadczenie usług informacyjno -telekomunika cyjnych na rzecz podmiotu finansowego będzie oznaczać dodatkowe obowiązki prawne - piszą Bartosz Gauza i Michał Mostowik z Deloitte Legal.

Objęcie współpracy podmiotów finansowych z zewnętrznymi dostawcami usług ICT (z ang. information and communication technologies) szczególnym reżimem prawnym było dotąd uzależnione od kwalifikacji prawnej takiej usługi jako outsourcingu (zgodnie z regulacją danego sektora rynku finansowego). Według Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) każda instytucja finansowa objęta nowymi przepisami – nawet jeśli dostosowała się w pełni do dotychczasowych wymogów stawianych przez nadzorców – mierzy się (lub wkrótce się zmierzy) z koniecznością identyfikacji i usunięcia luk.

Jedną z takich materii, która już częściowo była przedmiotem regulacji, jest współpraca z podmiotami zewnętrznymi (tzw. vendorami). Kształt przepisów DORA przypomina bowiem konstrukcję regulowanego outsourcingu (m.in. w zakresie obowiązków dotyczących analizy ryzyka czy wymogów kontraktowych), choć obejmuje również współpracę z podmiotami, które dotychczas pozostawały poza reżimem outsourcingowym. Zresztą już sam motyw 29 do DORA wyraźnie podkreśla, że rozporządzenie jest uzupełnieniem przepisów sektorowych o outsourcingu. Co więcej, nowe przepisy obejmą w tym zakresie nie tylko firmy technologiczne – w praktyce adresatami wprowadzanych obowiązków będą również przedsiębiorstwa, których działalność na pierwszy rzut oka nie ma związku z technologiami finansowymi.

Ta konkluzja wynika z przyjętej systematyki, zgodnie z którą przedmiotem regulacji są relacje pomiędzy podmiotami finansowymi a „zewnętrznymi dostawcami usług ICT”, czyli przedsiębiorstwami świadczącymi usługi ICT. O ile katalog podmiotów finansowych został szczegółowo określony w art. 2 ust. 1 DORA i obejmuje szeroką listę usługodawców z sektora finansowego (m.in. banki, zakłady ubezpieczeń, domy maklerskie, instytucje płatnicze), o tyle w celu identyfikacji vendorów objętych DORA jest konieczna dokładna analiza definicji usług ICT. A to niezwykle pojemna kategoria, obejmująca „usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego” (art. 3 pkt 21 DORA).

Jakie umowy obejmuje rozporządzenie?

Kluczowymi kryteriami wynikającymi z definicji są zatem: usługowy charakter świadczenia, związek z danymi lub cyfrowy charakter usługi, ciągłość świadczenia, wykonanie usługi za pośrednictwem systemów ICT i istnienie przynajmniej jednego użytkownika usługi. Z takiego podejścia wynika kilka ważnych wniosków.

Po pierwsze, poza zakresem DORA są świadczenia niebędące usługami. Jak kwalifikować np. umowy licencyjne na oprogramowanie? Choć udzielenie licencji jest czasami kwalifikowane jako usługa (np. na potrzeby przepisów o VAT), to nie jest to regułą (np. umowy licencyjne są często zaliczane do umów sprzedaży w rozumieniu konwencji wiedeńskiej o sprzedaży towarów). Z tego względu istotne przy kwalifikacji będą sposób wykonania umowy (np. czy umowa jest wykonywana w modelu SaaS) albo dodatkowe świadczenia (np. powiązanie licencji z usługami utrzymania).

Po drugie, we współczesnych realiach gospodarczych ogólnie sformułowana przesłanka powiązania usługi z danymi lub jej cyfrowy charakter prowadzi do objęcia zakresem tej definicji części zwykłych usług, które nie kojarzą się intuicyjnie z obszarem ICT. Przykładowo korzystanie z narzędzi informatycznych służących do zarządzania podaniami o pracę lub flotą pojazdów – nawet jeśli dotychczas nie było kwalifikowane przez podmiot nadzorowany jako outsourcing – będzie podlegać przepisom DORA. Rozporządzenie nie wyłącza takich umów z zakresu swojego zastosowania. Wręcz przeciwnie – jak już wskazano, intencją prawodawcy było szerokie podejście do zewnętrznych dostawców usług.

Po trzecie, nową regulacją objęte są tylko usługi świadczone w sposób ciągły, co wyklucza usługi wykonywane doraźnie lub jednorazowo. Dobrym przykładem będzie serwisowanie sprzętu lub oprogramowania. O ile usługi utrzymania generalnie będą podlegać przepisom DORA, o tyle jednorazowe zlecenie naprawy, aktualizacji lub zmiany konfiguracji oprogramowania lub sprzętu wykorzystywanego przez podmiot finansowy pozostanie już poza zakresem regulacji.

Po czwarte, umowy o usługi telekomunikacyjne z reguły nie były dotychczas kwalifikowane przez instytucje nadzorowane jako outsourcing. Tymczasem DORA znajdzie zastosowanie do właściwie wszystkich takich usług, z wyłączeniem „tradycyjnych usług telefonii analogowej” (czyli np. usługi publicznej komutowanej sieci telefonicznej – PSTN). Oznacza to, że nowym przepisom będą podlegać m.in. usługi dostępu do internetu czy VOIP (ang. Voice Over Internet Protocol) – co może zaskoczyć operatorów telekomunikacyjnych.

Zgodnie z zasadą proporcjonalności

Nie każdy przypadek współpracy będzie wymagał od podmiotu finansowego takich samych działań. Istotnie wyższe wymogi są nakładane na przypadki współpracy z vendorami, których usługi wspierają funkcje krytyczne lub istotne (w rozumieniu dyrektywy BRRD). Przykładowo podmiot finansowy będzie wówczas zobowiązany wdrożyć politykę korzystania z takich usług ICT, a także zastosować bardziej rygorystyczne podejścia do testowania i obszerniejsze klauzule umowne.

Dodatkowo cały obszar zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT podlega zasadzie proporcjonalności, więc ocena ryzyka może wpłynąć na „ulgowe” traktowanie partnerów o mniejszym wpływie na bieżącą działalność operacyjną podmiotu finansowego. Proporcjonalne stosowanie przepisów zwykle nie pozwala jednak w oczach nadzorców na niewykonywanie przez podmioty finansowe niektórych obowiązków, a jedynie na ograniczenie intensywności lub zakresu pewnych działań. Z tego względu podstawowe obowiązki przewidziane w DORA (np. minimalny katalog przesłanek wypowiedzenia umowy, zasady zwrotu danych czy obowiązek współpracy z nadzorcą) będą mieć zastosowanie nawet do mniej istotnych umów z vendorami świadczącymi usługi ICT.

Na koniec warto dodać, że DORA wprowadza szczególne ramy nadzorcze dla tzw. kluczowych zewnętrznych dostawców usług ICT, czyli podmiotów wyznaczonych przez Komisję Europejską (z urzędu lub na wniosek), których znaczenie dla sektora finansowego w UE uzasadnia przyjęcie takich specjalnych ram nadzoru (m.in. ze względu na współpracę vendora z instytucjami istotnymi systemowo, wysoką zależność funkcji krytycznych lub istotnych od świadczonych usług lub niską substytucyjność tej usługi). Takiemu wyznaczeniu nie będą mogli podlegać dostawcy stricte krajowi lub wewnątrzgrupowi, a także same podmioty finansowe. W praktyce skala obowiązków nadzorczych związanych z każdym wyznaczonym podmiotem będzie wysoka i obejmie m.in. obowiązek przyjęcia indywidualnego planu nadzoru opisującego roczne cele nadzoru i główne planowane działania nadzorcze, więc wyznaczenia mogą się spodziewać raczej tylko nieliczni usługodawcy, o naprawdę dużym wpływie na cały rynek finansowy w UE. ©℗