Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog
  • EN
  • PL
  • Audyt i kontrola dostawców ICT w świetle DORA: Jak skutecznie egzekwować prawo do nadzoru?

    Wraz z wejściem w życie rozporządzenia DORA w styczniu 2025 r. instytucje finansowe muszą uważnie zbadać relacje z dostawcami ICT. Dotychczas wielu bankom trudno było egzekwować prawo audytu mimo formalnych klauzul. DORA wymaga pełnych, nieograniczonych praw dostępu, kontroli i audytu oraz współpracy dostawcy z regulatorem. Poniżej przedstawiamy obowiązki, wyzwania, dobre klauzule kontraktowe oraz alternatywne modele nadzoru zgodne z przepisami.

    Audyt jako obowiązek regulacyjny – co mówi DORA?

    Hiperskalowi dostawcy stosują standardowe warunki, komplikując negocjacje szczegółowych klauzul audytowych. Mniejsze instytucje mają ograniczoną siłę przetargową i często otrzymują jedynie raporty SOC lub certyfikaty. DORA wprowadza rolę Lead Overseera, który może kontrolować kluczowych dostawców bezpośrednio na poziomie UE. Dodatkowo instytucje jednak nadal muszą aktywnie egzekwować uzgodnione postanowienia i monitorować ryzyka.

    Klauzule umowne: przykłady i najlepsze praktyki

    Umowa outsourcingowa powinna zawierać pełny zakres usług, lokalizacje, SLA, bezpieczeństwo i plan awaryjny. Kluczowa klauzula daje instytucji prawo audytu zdalnego i na miejscu, periodycznego lub ad hoc.
    Regulator musi również mieć te same prawa dostępu i kontroli u dostawcy. Umowa powinna ograniczać sub‑outsourcing lub wymagać zgody instytucji dla kluczowych podwykonawców. Należy określić lokalizacje danych i procedurę zgody na zmiany jurysdykcji. Kontrakt musi zawierać wsparcie przy incydentach, określone czasy reakcji oraz standardy bezpieczeństwa, np. ISO 27001. Klauzule wypowiedzenia powinny obejmować poważne naruszenia, słabości zarządzania ryzykiem ICT i utrudniony nadzór.

    Wyzwania związane z globalnymi dostawcami (AWS, Azure, Google)

    Hiperskalowi dostawcy stosują standardowe warunki, komplikując negocjacje szczegółowych klauzul audytowych. Mniejsze instytucje mają ograniczoną siłę przetargową i często otrzymują jedynie raporty SOC lub certyfikaty. DORA wprowadza rolę Lead Overseera, który może kontrolować kluczowych dostawców bezpośrednio na poziomie UE. Instytucje jednak nadal muszą aktywnie egzekwować uzgodnione postanowienia i monitorować ryzyka.

    Klauzule umowne: przykłady i najlepsze praktyki

    Umowa outsourcingowa powinna zawierać pełny zakres usług, lokalizacje, SLA, bezpieczeństwo i plan awaryjny. Kluczowa klauzula daje instytucji prawo audytu zdalnego i na miejscu, periodycznego lub ad hoc. Regulator musi również mieć te same prawa dostępu i kontroli u dostawcy. Umowa powinna ograniczać sub‑outsourcing lub wymagać zgody instytucji dla kluczowych podwykonawców. Należy określić lokalizacje danych i procedurę zgody na zmiany jurysdykcji. Kontrakt musi zawierać wsparcie przy incydentach, określone czasy reakcji oraz standardy bezpieczeństwa, np. ISO 27001. Klauzule wypowiedzenia powinny obejmować poważne naruszenia, słabości zarządzania ryzykiem ICT i utrudniony nadzór.

    Alternatywy: third‑party assurance, certyfikaty ISO, raporty SOC

    Instytucje mogą korzystać ze wspólnych audytów lub raportów niezależnych audytorów, dzieląc koszty i wyniki. Certyfikaty ISO 27001 czy raporty SOC 2 zapewniają pierwszy poziom nadzoru przy mniej krytycznych usługach. Instytucja powinna co roku weryfikować ważność atestów i żądać informacji o niezgodnościach. Przy wysokim ryzyku certyfikat nie zastąpi pełnego audytu na miejscu.

    Współpraca z regulatorami w sytuacjach spornych

    Regulator może zorganizować spotkanie trójstronne, co często mobilizuje dostawcę do współpracy.
    Instytucja powinna dokumentować wezwania, audyty i działania naprawcze, informując nadzór o postępach. Gdy dostawca spoza UE odmawia przekazania danych, regulator może wykorzystać współpracę międzynarodową.

    Podsumowanie

    DORA wymusza wzmocniony nadzór nad dostawcami ICT i aktualizację kluczowych umów outsourcingowych. Sukces zależy od jasnych klauzul, ich codziennego egzekwowania i proaktywnej współpracy z regulatorami. Strategie oparte na certyfikatach i audytach zewnętrznych zmniejszą koszty, lecz nie zastąpią odpowiedzialności za ryzyko. Nowe przepisy dają instytucjom mocniejsze narzędzia, by utrzymać odporność operacyjną