Právo 

Nařízení o digitální provozní odolnosti: Změny v řízení rizik v oblasti outsourcingu

Nařízení o digitální provozní odolnosti známé jako DORA vstoupilo v platnost 16. ledna 2023 a účinným se stane 17. ledna 2025. Finanční instituce a poskytovatelé služeb v oblasti informačních a komunikačních technologií mají ani ne 24 měsíců na to, aby zajistili, že jejich aktivity budou v souladu s novými pravidly. Ta se mimo jiné vztahují i na řízení rizik, která jsou spojena s třetími stranami, zejména pak řízení rizik v oblasti outsourcingu.

Nařízení DORA: Jak aktualizovat firemní strategie?

Přečtěte si naši online brožuru, ve které jsme pro vás v krátkosti shrnuli nejdůležitejší informace o nařízení DORA. Seznamte se s pěti strategickými oblastmi, na které by se finanční instituce v souvislosti s novými pravidly měly zaměřit.

Outsourcing před nařízením DORA

Externí zajišťování činností prostřednictvím třetích stran (outsourcing) ze strany finančních institucí je oblastí, které byla ze strany dohledových orgánů věnována v posledních letech značná pozornost. Finanční instituce se v rámci zkvalitňování svých služeb a snižování nákladů uchylují k outsourcingu většího objemu činností, mimo jiné i služeb v oblasti informačních a komunikačních technologií, na které se zaměřuje právě nařízení DORA.

Dosavadní právní úprava outsourcingu činností finančními institucemi je roztříštěná, většinou obsažená ve speciálních zákonech upravujících podnikání v jednotlivých odvětvích finančního trhu (např. pojišťovnictví, bankovnictví, služby v oblasti kapitálového trhu). Konkrétní výkladová vodítka k jinak poměrně úsporné legislativní úpravě outsourcingu pak nacházíme zejména v obecných pokynech jednotlivých sektorových orgánů dohledu (např. Obecné pokyny EBA k outsourcingu, Obecné pokyny EIOPA k outsourcingu u poskytovatelů cloudových služeb nebo Výkladové stanovisko ČNB k využívání cloud computingu úvěrovými institucemi).

Již ze současné právní úpravy outsourcingu vyplývají pro některé finanční instituce (zejména banky a pojišťovny) povinnosti, které obdobně harmonizuje nařízení DORA (např. posouzení rizik outsourcingu, požadavky na smluvní ujednání s outsourcingovým poskytovatelem apod.). Pro tyto finanční instituce bude nařízení DORA v části řízení rizik spojených s třetími stranami představovat určitou úpravu stávajícího stavu. Pro další finanční subjekty však bude nařízení DORA představovat zcela nový regulatorní rámec, kterému se musí v rámci své činnosti přizpůsobit.

Nařízení DORA a outsourcing

Nařízení DORA sjednocuje úpravu externího zajišťování činností v oblasti informačních a komunikačních technologií pro celý finanční sektor. Ve vztahu ke směrnici NIS2, která byla rovněž přijata koncem roku 2022 a upravuje obecné požadavky na digitální bezpečnost, je nařízení DORA speciálním předpisem. Finanční subjekty, které spadají do působnosti nařízení DORA i směrnice NIS2, se tedy budou řídit primárně nařízením DORA, které je tak hlavním předpisem v oblasti digitální bezpečnosti pro finanční sektor.

Požadavky vyplývající z regulace outsourcingu pro finanční subjekty doposud doléhaly zejména na dvě oblasti – nastavení interního systému řízení rizik vyplývajících z outsourcingu a konkrétní promítnutí regulatorních požadavků do smluvních ujednání s externími poskytovateli. Tato koncepce je zachována i v rámci nařízení DORA.

Nařízení o digitální provozní odolnosti vchází v platnost, finanční sektor čekají změny

Číst více arrow-right-icon
Ilustrační obrázek: Nařízení o digitální provozní odolnosti vchází v platnost, finanční sektor čekají změny

1) Interní systém řízení rizik

Vyhotovení funkčního interního systému pro řízení rizik vyplývajících z outsourcingu služeb informačních a komunikačních technologií je primární odpovědností vedoucího orgánu. Ten by měl zajistit vytvoření systému, který je proporcionální velikosti a obchodní činnosti finančního subjektu a zároveň zohledňuje povahu outsourcovaných služeb. Z tohoto hlediska je zejména důležité posouzení, zda je outsourcovaná služba informačních a komunikačních technologií zásadní nebo důležitou (významná služba informačních a komunikačních technologií) pro činnost finančního subjektu, neboť od toho se odvíjí rozsah požadavků na řízení souvisejících rizik.

Co se týče konkrétních povinností, finanční subjekty by měly zejména provádět audity externích poskytovatelů, vést registr informací a reportovat nové outsourcingové smlouvy orgánům dohledu. Ve vztahu k významným službám informačních a komunikačních technologií pak budou mít rovněž povinnost předběžně notifikovat orgány dohledu o plánovaném uzavření outsourcingové smlouvy, prověřovat plnění bezpečnostních norem u externích poskytovatelů a zavést strategii ukončení smluvního vztahu. Ta musí zajistit, že v důsledku ukončení smluvního vztahu s poskytovatelem významných služeb informačních a komunikačních technologií nebude ohrožena činnost finančního subjektu a plnění regulatorních požadavků nebo nedojde ke zhoršení kvality služeb poskytovaných klientům v přechodném období. Finanční subjekty v rámci strategie musí rovněž zhotovit plán přechodu k alternativnímu externímu poskytovateli či zajištění vlastního poskytování příslušných služeb.

V rámci interního řízení rizik budou finanční subjekty nuceny předběžně posuzovat přínosy a rizika nově outsourcovaných významných služeb informačních a komunikačních technologií, a to z hledisek potenciální nahraditelnosti externího poskytovatele a koncentrace vícero významných služeb informačních a komunikačních technologií u externího poskytovatele nebo úzce propojených poskytovatelů. Bude tedy nejspíše otázkou aplikační praxe, jak se budou orgány dohledu stavět ke zdůvodnění a prokázání dostatečné digitální odolnosti obchodních modelů, u kterých bude většina významných služeb informačních a komunikačních technologií outsourcována např. k jednomu externímu poskytovateli.

Finanční subjekty budou rovněž nuceny sledovat, zda případné sub-dodavatelské řetězce u externích poskytovatelů významných služeb informačních a komunikačních technologií nevedou do zemí mimo Evropskou unii, zda svou délkou či složitostí nepředstavují riziko z hlediska poskytování sjednaných služeb nebo zda nenarušují efektivní dohled nad tímto poskytováním.

 2) Minimální smluvní ustanovení

Nařízení DORA rovněž uvádí výčet minimálních smluvních ustanovení, která mají být součástí outsourcingových smluv, přičemž tento výčet je dále rozšířen o dodatečné klauzule, pokud se jedná o outsourcing významných služeb informačních a komunikačních technologií. Součástí výčtu minimálních ustanovení jsou rovněž regulatorní požadavky na případné ukončení smluvního vztahu s externím poskytovatelem. Zavedení výčtu smluvních ustanovení v samotném nařízení DORA nepochybně zvětšuje tlak na jejich začlenění do outsourcingových smluv u finančních subjektů, na druhou stranu jim poskytuje konkrétní oporu při negociaci smluv s externími poskytovateli. Některá ustanovení budou upřesněna prováděcím předpisem, který by měl být zveřejněn v první polovině roku 2024.

Nové povinnosti se budou vztahovat rovněž na kritické externí poskytovatele služeb informačních a komunikačních technologií, jejichž činnost má systémový dopad na finanční sektor v Evropské unii. Součástí nařízení DORA je totiž rovněž robustní úprava dohledu nad těmito poskytovateli ze strany evropských orgánů dohledu. Určení, kdo je kritickým poskytovatelem služeb informačních a komunikačních technologií, provedou samotné orgány dohledu.

DORA v praxi: shrnutí klíčových změn

Finanční subjekty budou muset do účinnosti nařízení DORA provést revizi nastavení spolupráce se třetími stranami v oblasti informačních a komunikačních technologií. Zejména bude nutné:

  • zrevidovat (případně vytvořit) interní řídicí a kontrolní systém či obdobné vnitřní dokumenty tvořící systém řízení rizik;
  • zrevidovat a renegociovat smluvní ujednání se třetími stranami poskytujícími služby v oblasti informačních a komunikačních technologií.

Zbystřit by měli i samotní externí poskytovatelé, zvláště pokud mohou spadat do kategorie kritických poskytovatelů nebo poskytují významné informační a komunikační služby, neboť jim přibude řada nových povinností.

Z důvodu časové náročnosti tohoto procesu je vhodné revizi zahájit v dostatečném předstihu, a to s přihlédnutím k rozsahu obchodní činnosti a velikosti subjektu.  Pokud nevíte, do jaké míry nařízení DORA ovlivní provoz vaší společnosti, neváhejte se obrátit na naše odborníky, kteří vám pomohou se na změny připravit.

DORA: Nařízení o digitální provozní odolnosti a jeho dopady na finanční subjekty

Číst více arrow-right-icon
Ilustrační obrázek: DORA: Nařízení o digitální provozní odolnosti a jeho dopady na finanční subjekty
DORA Digitalizace Krizové řízení dReport zpravodaj

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right