17 stycznia 2025 r. zaczęły obowiązywać postanowienia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej: DORA).
Celem wprowadzenia przepisów DORA jest zwiększenie cyfrowej odporności podmiotów finansowych w obliczu dynamicznego rozwoju światowej cyfryzacji. No właśnie! Podmiotów finansowych, więc dlaczego ISP otrzymują „prośby” o aneksowanie umów na świadczenie usług na rzecz takich właśnie podmiotów? Na to pytanie odpowiemy w dalszej części tekstu.
Kogo obowiązują przepisy DORA?
DORA ma zastosowanie do szerokiego grona podmiotów, poczynając od instytucji kredytowych, przez zakłady ubezpieczeń, aż po zewnętrznych dostawców usług ICT.
W tym miejscu należy zaznaczyć, że „zewnętrzni dostawcy usług ICT” zostali przez europejskiego ustawodawcę wyłączeni ze zbioru „podmiotów finansowych” i stanowią samodzielną kategorię podmiotów, którą przepisy DORA dotyczą niejako „pośrednio”. Istotne znaczenie ma to, do kogo adresowane są konkretne obowiązki – czy są adresowane do „podmiotów finansowych”, czy do „zewnętrznych dostawców usług ICT”. Warto wspomnieć również o tym, że taki zewnętrzny dostawca może być dostawcą „zwykłym” (wpasowującym się w definicję przyjętą w DORA), albo „kluczowym” (wobec którego odpowiedni organ wydał decyzję o uznaniu takiego dostawcy za „kluczowego” zgodnie z DORA). W niniejszym wpisie, skupiamy się na obowiązkach dostawców „zwykłych”.
Czy jesteś „zewnętrznym dostawcą usług ICT” dla podmiotu finansowego?
Mówiąc najogólniej: „zewnętrzny dostawca usług ICT” oznacza przedsiębiorstwo świadczące usługi ICT. Usługi ICT to:
usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej”.
W dużym uproszczeniu można zatem powiedzieć, że w zakres „usług ICT” w rozumieniu DORA wejdą wszystkie usługi polegające na elektronicznym przesyłaniu, gromadzeniu czy przetwarzaniu danych, takie jak np. świadczenie usługi dostępu do Internetu. Należy jednak pamiętać, że z zakresu usług ICT wyłączone zostały usługi telefonii analogowej, tj. telefonii stacjonarnej.
Najważniejsze postanowienia umowne w zakresie usług ICT
Najwięcej obowiązków zostało zaadresowanych do podmiotów finansowych. Jednym z nich jest zadbanie o odpowiednie postanowienia umowne z zewnętrznymi dostawcami ICT.
Przepisy DORA zawierają minimalny katalog klauzul umownych, a raczej swoistych „obszarów tematycznych”, jakie ma uwzględniać umowa regulująca wzajemne prawa i obowiązki podmiotu finansowego i zewnętrznego dostawcy usług ICT, m. in. w zakresie konieczności zapewnienia określonego, minimalnego standardu świadczonych usług ICT bądź też w zakresie zapewnienia przez zewnętrznego dostawcę usług ICT pomocy podmiotowi finansowemu w przypadku wystąpienia incydentu związanego ze świadczonymi usługami ICT.
Jednocześnie wskazać należy, że katalog obligatoryjnych klauzul umownych może zostać rozszerzony, jeżeli świadczona usługa ICT zostanie sklasyfikowana przez podmiot finansowy jako „usługa ICT wspierająca krytyczne lub istotne funkcje” podmiotu finansowego.
Świadczysz usługę ICT na rzecz podmiotu finansowego? Przygotuj się na konieczność podpisania aneksu do umowy.
DORA nakłada na podmioty finansowe odpowiedzialność za wypełnianie i wywiązywanie się ze wszystkich obowiązków wynikających z DORA. W związku z tym, że gros obowiązujących dotychczas umów na świadczenie usług ICT nie spełnia minimalnych standardów narzuconych przez DORA, podmioty finansowe będą dążyły do aneksowania tych umów, aby uniknąć odpowiedzialności.
DORA określa pewne ramy, w jakie strony powinny ubrać umowę, jednak pozostawia im pewien luz decyzyjny co do jej kształtu i treści postanowień – co jest rozwiązaniem logicznym. Umowa powinna być dostosowana z jednej strony do potrzeb podmiotu finansowego, a z drugiej strony do możliwości zewnętrznego dostawcy usług ICT. Negocjując umowę należy pamiętać o tym, że to umowa będzie źródłem praw i obowiązków stron oraz podstawą do dochodzenia ewentualnych roszczeń względem zewnętrznego dostawcy ICT. DORA przewiduje, że negocjując ustalenia umowne, podmioty finansowe i zewnętrzni dostawcy usług ICT powinni rozważyć zastosowanie standardowych klauzul umownych opracowanych przez organy publiczne dla określonych usług, jednak takie standardowe klauzule umowne jeszcze nie zostały opracowane przez KNF. Jaka zatem będzie treść umowy (aneksu) zależy wyłącznie od wyniku negocjacji z podmiotem finansowym.
Aneksowanie umowy o świadczenie usług ICT może stanowić okazję do renegocjacji warunków już zawartych umów na świadczenie usług ICT z powodu zwiększenia zakresu umownych obowiązków po stronie dostawcy usług ICT w stosunku do podmiotu finansowego. Chyba, że jako ISP chcesz przyjąć na siebie dodatkowe obowiązki bez dodatkowego wynagrodzenia. Decyzja należy do Ciebie.
Rekomendacje Zarządu Związku Banków Polskich z dnia 9 października 2024 r.
W związku z wejściem w życie przepisów DORA, Zarząd Związku Banków Polskich opracował wzór aneksów wdrażających wymogi przepisów DORA dla umów dot. świadczenia usług ICT z:
Jeżeli jeszcze nie spotkałeś się z aneksem stanowiącym wierną kopię tej Rekomendacji, to z pewnością czeka Cię to w niedalekiej przyszłości, ponieważ podmioty finansowe niezwykle upodobały sobie ten wzór.
Jeżeli podmiot finansowy, z którym współpracujesz zdecyduje się na skorzystanie z Rekomendacji, to przed podpisaniem aneksu w kształcie proponowanym przez podmiot finansowy powinieneś wiedzieć kilka rzeczy.
Po pierwsze, Rekomendacje nie mają mocy wiążącej, a Związek Banków Polskich nie ponosi odpowiedzialności za potencjalne szkody, które mogą wiązać się z ich zastosowaniem, dlatego Rekomendacje mogą ewentualnie stanowić punkt wyjścia do prowadzenia negocjacji, a ich treść nie jest „sztywna”. Rekomendacje nie zawierają również „standardowych klauzul umownych”, o których wspomnieliśmy wyżej, a które może wydać odpowiedni organ państwowy.
Po drugie, Rekomendacje są bardzo ogólne, przygotowane pod szeroki zakres usług ICT i nie zawsze oddają specyfikę konkretnie świadczonej usługi ICT (w przypadku ISP – dostępu do internetu). Szereg zapisów może być nieadekwatny albo nadmiarowy.
Rekomendacje znajdziesz pod adresem: https://www.zbp.pl/getmedia/49027ff8-6609-484c-a5dd-44e5dea3fa2a/2024-10-11-02-Rekomendacje-w-zakresie-aneksu-DORA_voo1a
Podsumowanie
Liczne obowiązki nakładane przez DORA na podmioty finansowe m. in. dostosowania umów o świadczenie usług ICT przez zewnętrznych dostawców, oddziałują pośrednio na zewnętrznych dostawców usług ICT (do których niewątpliwie zaliczają się ISP) rozszerzając zakres obowiązków umownych przewidzianych w związku ze świadczeniem usług ICT na rzecz podmiotu finansowego.
W związku z tym, że większość umów na świadczenie usług ICT nie zawiera klauzul wymaganych przez DORA, zewnętrzni dostawcy usług ICT muszą przygotować się na konieczność aneksowania umów. W przeciwnym razie podmiot finansowy w ramach szacowania ryzyka powinien ocenić, jak brak takich klauzul wpływa na ryzyko ich działalności i czy nadal mogą korzystać z usług danego dostawcy.
Aneksując umowę, jako zewnętrzny dostawca usług ICT musisz pamiętać o kilku rzeczach. Po pierwsze, nie daj na siebie przerzucić odpowiedzialności za przygotowanie aneksu – to na podmiocie finansowym spoczywa obowiązek dostosowania postanowień umowy do DORA. Po drugie, unikaj automatycznego podpisywania propozycji przedstawionych przez podmiot finansowy – aneksy muszą zawierać postanowienia dostosowujące umowę do wymogów DORA, ale przy tym są w pełni negocjowalne, w związku z czym nałożenie na zewnętrznego dostawcę usług ICT nowych obowiązków może stanowić dobrą okazję do renegocjacji stawki za świadczoną usługę. Co więcej, umowa łącząca zewnętrznego dostawcę usług ICT i podmiot finansowy powinna zostać każdorazowo dostosowana pod specyfikę świadczonej usługi ICT, tj. powinna precyzować prawa i obowiązki stron, adekwatne do ryzyka/potrzeb podmiotu finansowego i możliwości ISP. To umowa tworzy prawa i obowiązki stron oraz będzie podstawą dochodzenia ewentualnych roszczeń. Po trzecie, jeżeli nie jesteś w stanie sprostać (w sensie organizacyjno-technicznym) oczekiwaniom podmiotu finansowego związanym z DORA, nie masz obowiązku podpisywania aneksu, ale powinieneś liczyć się z tym, że Twoja współpraca z podmiotem finansowym może ulec zakończeniu.
Masz problemy z aneksowaniem umowy na świadczenie usług ICT na rzecz podmiotu finansowego? Napisz do Nas, pomożemy!
Szymon Rakoczy
Aplikant radcowski
*Grafika wygenerowana przez AI
