Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog
  • EN
  • PL
    • Wizards
    Umów się na rozmowę
    Umów się na rozmowę

    Rozporządzenie Delegowane (UE) 2025/532 – nowe obowiązki

    Wizards

    Rozporządzenie Delegowane Komisji (UE) 2025/532 wprowadza szczegółowe wymagania dotyczące outsourcingu usług ICT. Te regulacje dotyczą usług ICT wspierających krytyczne lub istotne funkcje instytucji finansowych. To uzupełnienie regulacji DORA (Digital Operational Resilience Act) wymusza skuteczniejszy nadzór menedżerów banków, ubezpieczycieli i innych instytucji finansowych. Muszą oni kontrolować nie tylko głównych dostawców IT, ale także całą sieć podwykonawców tych dostawców. W rezultacie dostawcy usług ICT obsługujący sektor finansowy muszą przygotować się na nowe obowiązki kontraktowe, audyty i wymogi transparentności. Poniżej wyjaśniamy w prostym języku kluczowe wymagania i konsekwencje tych przepisów. Unikamy prawniczego żargonu. Podajemy też wskazówki, co CEO i kadra zarządzająca powinni zrobić, by zapewnić zgodność i bezpieczeństwo.

    Outsourcing ICT to złożony system zależności. Nowe regulacje mają zagwarantować pełną kontrolę nad wszystkimi jego elementami (podwykonawcami). Menedżerowie powinni upewnić się, że dokładnie rozumieją, jak ten system działa w ich firmie.

    Kontekst: DORA i nowe standardy dla podwykonawców ICT

    17 stycznia 2025 r. weszło w życie unijne Rozporządzenie DORA. Są to kompleksowe przepisy wzmacniające cyfrową odporność operacyjną sektora finansowego w obliczu postępującej cyfryzacji. DORA nałożyła na instytucje finansowe obowiązki w zakresie zarządzania ryzykiem ICT, raportowania incydentów oraz nadzoru nad dostawcami IT. Obecnie w ramach wdrażania DORA Komisja Europejska wydaje akty wykonawcze doprecyzowujące te wymagania. Rozporządzenie Delegowane Komisji (UE) 2025/532 z 24 marca 2025 r. jest jednym z takich aktów. Regulacja ustanawia standardy techniczne. Precyzują one, jakie elementy instytucja finansowa musi uwzględnić, gdy dostawca IT korzysta z podwykonawców przy krytycznych lub istotnych usługach.

    Innymi słowy, 2025/532 wyjaśnia, na jakich warunkach bank może pozwolić swojemu głównemu dostawcy IT zlecać pracę kolejnym firmom. Dotyczy to np. sytuacji, gdy bank korzysta z usług chmurowych. Dostawca chmury może wtedy angażować kolejnych podwykonawców (np. firmy od infrastruktury, integratorów, fintechy czy globalnych hyperscalerów). Regulacja ta obowiązuje bezpośrednio we wszystkich krajach UE. Dotyczy wszystkich podmiotów finansowych objętych DORA (m.in. banków, firm inwestycyjnych, ubezpieczycieli, funduszy). Oraz wpływa na zewnętrznych dostawców ICT świadczących usługi na ich rzecz. Celem jest zwiększenie przejrzystości i kontroli nad złożonym łańcuchem dostaw IT. Tak aby awaria któregokolwiek ogniwa nie zagrażała ciągłości działania instytucji finansowej.

    Zarządzanie ryzykiem outsourcingu ICT od podstaw

    Pierwszym zadaniem instytucji finansowej jest zrozumienie ryzyka związanego z całym łańcuchem podwykonawców ICT. Rozporządzenie 2025/532 wprost wymaga oceny, czy w ogóle dopuszczamy podwykonawstwo kluczowych usług przed podpisaniem umowy z dostawcą ICT. Musimy także określić, na jakich warunkach się na to zgadzamy. Artykuł 3 ust. 1 jasno wskazuje, że przed zawarciem umowy instytucja finansowa musi zdecydować, czy dostawca może zlecać podwykonawstwo. Taką zgodę można wyrazić tylko, gdy spełnione są określone warunki bezpieczeństwa i jakości. Zanim pozwolimy dostawcy zatrudnić kolejnych podwykonawców, musimy dokładnie zbadać sytuację. Trzeba upewnić się, że spełniono wszystkie wymagane kryteria bezpieczeństwa i jakości.

    Na co konkretnie trzeba zwrócić uwagę? Art. 1 rozporządzenia wskazuje, że instytucja finansowa powinna uwzględnić przy takiej decyzji swój profil ryzyka, skalę działania. Oraz kluczowe czynniki wpływające na złożoność i ryzyko podwykonawstwa. Wymieniono m.in.:

    • Rodzaj usług ICT zlecanych: Trzeba ocenić, jakie usługi są przekazywane podwykonawcom. Dotyczy to usług świadczonych bezpośrednio przez dostawcę oraz tych realizowanych przez jego podwykonawców. Mówiąc prościej, należy sprawdzić, czy podzlecana jest np. obsługa krytycznej infrastruktury, aplikacji front-end, czy tylko usługi pomocnicze. Im bardziej krytyczna usługa, tym większa powinna być ostrożność.
    • Lokalizacja podwykonawców i danych: Ważne jest miejsce działalności podwykonawcy oraz miejsce przechowywania danych. Trzeba sprawdzić, czy podwykonawca działa lokalnie (w UE), czy w kraju trzecim. Lokalizacja wpływa na kwestie prawne (np. ochronę danych) oraz na ryzyko geopolityczne.
    • Długość i złożoność łańcucha dostaw: Trzeba ustalić, ile poziomów ma łańcuch podwykonawców. Im dłuższy i bardziej skomplikowany jest ten łańcuch, tym trudniej nad nim zapanować. To podobnie jak w produkcji: im więcej pośredników, tym większe ryzyko opóźnień czy błędów.
    • Charakter danych i usług: Trzeba określić charakter danych i usług przekazywanych podwykonawcom. Czy będą to np. dane wrażliwe klientów albo kluczowe systemy? Jak istotna jest ciągłość tej usługi? Udostępnienie danych klientów czy systemów płatniczych wymaga znacznie surowszych zabezpieczeń niż np. zlecenie obsługi poczty e-mail.
    • Ryzyko koncentracji i możliwość zmiany dostawcy: Należy ocenić, czy cała krytyczna usługa spoczywa na jednym podmiocie lub jednej grupie podwykonawców. Trzeba też ustalić, czy w razie problemów można łatwo przenieść usługi do innego dostawcy. Nadmierna koncentracja (np. wszyscy dostawcy chmurowi w jednym regionie) zwiększa ryzyko. DORA wymaga analizowania takich scenariuszy i unikania uzależnienia od jednego źródła.

    Takie wszechstronne spojrzenie na ryzyko daje pełny obraz potencjalnych zagrożeń. Co ważne, rozporządzenie obliguje zarówno instytucję finansową, jak i dostawcę ICT do aktywnego i bieżącego zarządzania tym ryzykiem. Dostawca musi mieć wdrożone wewnętrzne procedury należytej staranności (due diligence) przy wyborze podwykonawców. Powinien oceniać ich zdolności operacyjne i finansowe. Musi być gotowy angażować podwykonawców w testy odporności cyfrowej, jeśli zażąda tego instytucja finansowa. Z kolei instytucja finansowa powinna zapewnić odpowiedni zespół i zasoby. Ich zadaniem jest monitorowanie ryzyk ICT związanych z funkcjami przekazanymi na zewnątrz. Powinny być kontrolowane m.in. standardy bezpieczeństwa informacji, plany ciągłości działania oraz reagowanie na incydenty. Innymi słowy, bank musi mieć kompetencje do kontrolowania wszystkiego, co dzieje się u dostawcy i jego podwykonawców. Dostawca zaś musi sprawować stały nadzór nad swoimi.

    Pełna transparentność łańcucha

    Największym wyzwaniem w zarządzaniu podwykonawcami ICT jest brak przejrzystości. Często instytucja finansowa zna tylko swojego bezpośredniego dostawcę, a nie ma wglądu, komu ten dalej zleca część prac. Taka „ciemna strefa” utrudnia ocenę ryzyka. Jak ocenić bezpieczeństwo usługi, nie wiedząc, kto faktycznie świadczy ją na końcu? Zgodnie z nowymi przepisami to musi się zmienić. Art. 3 ust. 1 lit. b nakłada konkretny wymóg. Zewnętrzny dostawca ICT musi móc wskazać instytucji finansowej wszystkich podwykonawców zaangażowanych w krytyczne lub istotne usługi. Musi też powiadamiać ją o tych podmiotach i dostarczać wszelkich informacji potrzebnych do oceny ryzyk. Innymi słowy, żadni „tajemniczy podwykonawcy” nie wchodzą w grę. Bank ma prawo wiedzieć, kto dokładnie znajduje się w łańcuchu dostaw i co robi.

    Przykład: Bank korzysta z fintechu dostarczającego aplikację mobilną. Fintech ten wynajmuje zewnętrzne centrum danych i usługi DevOps od kolejnych firm. Bank musi o tym wiedzieć. Nowe przepisy obligują fintech (dostawcę) do ujawnienia wszystkich zależności i zapewnienia, że bank może je zweryfikować.

    Co więcej, dostawca ponosi odpowiedzialność za działania swoich podwykonawców. Musi on nie tylko ich identyfikować, ale też aktywnie monitorować ich pracę. Umowa z instytucją finansową powinna zawierać klauzulę o odpowiedzialności dostawcy za usługi świadczone przez podwykonawców. Przykładowy zapis: „zewnętrzny dostawca usług ICT jest odpowiedzialny za świadczenie usług przez podwykonawców”. Powinna także zobowiązać dostawcę do stałego nadzoru nad wszystkimi podzleconymi usługami. Dzięki temu jego zobowiązania wobec instytucji finansowej będą ciągle spełniane. Z perspektywy kadry zarządzającej oznacza to, że nie wolno zakładać, iż ryzyko podwykonawców „rozwiąże się samo”. Należy wymagać od naszych dostawców konkretnego działania.  Raportowania i audytowania swoich partnerów oraz zapewnienia ciągłości usług nawet jeśli któryś podwykonawca zawiedzie.

    Nadzór nad podwykonawcami

    W praktyce wiele instytucji już teraz przegląda i renegocjuje umowy outsourcingowe, by dodać brakujące klauzule o podwykonawcach. Napotyka przy tym wyzwania – skomplikowana struktura relacji w modelu chmury czy fintech sprawia, że skuteczny nadzór bywa utrudniony. Często duzi, globalni dostawcy usług IT (np. dostawcy chmury) nie palą się do ujawniania szczegółów czy zmiany swoich standardowych umów, korzystając ze swojej przewagi negocjacyjnej. Zadaniem menedżerów jest jednak stanowczo egzekwować te wymagania – stawką jest bezpieczeństwo i zgodność z prawem.

    Regulator jasno podkreśla, że instytucja finansowa nie może przenieść odpowiedzialności za zgodność na firmę zewnętrzną, nawet jeśli ta angażuje dalszych podwykonawców. Nie zmienia tego nawet fakt, że dostawca angażuje dalszych podwykonawców – bank odpowiada przed nadzorem za całość. Wprost wskazano: „Korzystanie z ocen ryzyka dokonanych przez dostawców nie ogranicza ostatecznej odpowiedzialności podmiotów finansowych za wywiązywanie się z ich obowiązków prawnych i regulacyjnych”. Mówiąc wprost: nie można tłumaczyć, że „to wina podwykonawcy mojego dostawcy”. To instytucja finansowa musi upewnić się, że cały łańcuch dostaw działa zgodnie z wymogami.

    Jednym z zaleceń jest prowadzenie dokładnego rejestru wszystkich podmiotów w łańcuchu dostaw ICT. Należy również monitorować ich działania i poziom ryzyka. DORA wprost wymaga, by instytucje finansowe utrzymywały rejestr umów outsourcingowych, który obejmuje też informacje o podwykonawcach. Brak danych w takim rejestrze mógłby zostać uznany przez nadzór za naruszenie. Kadra zarządzająca powinna zatem zadać swoim zespołom kilka pytań. Na przykład: Czy na pewno wiemy, komu nasz dostawca dalej zleca usługi? Czy posiadamy te dane i czy są one aktualizowane? Jeżeli nie – trzeba to szybko uporządkować.

    Prawo dostępu, audytu i kontrola – „wchodzimy z butami” aż do ostatniego podwykonawcy

    Kolejnym filarem nowych wymogów jest zagwarantowanie pełnych praw audytu i kontroli względem podwykonawców. Dotychczas umowy z dostawcami IT często pozwalały bankowi (lub audytorowi w jego imieniu) skontrolować jedynie głównego dostawcę. Na przykład audytor mógł sprawdzić bezpieczeństwo w centrum danych dostawcy chmurowego. A co z kolejnymi podmiotami, które ten dostawca zatrudnia? Rozporządzenie 2025/532 wymusza rozszerzenie tych praw na cały łańcuch podwykonawców. Podwykonawca musi zapewnić instytucji finansowej oraz organom nadzoru takie same prawa dostępu i kontroli, jakie ma główny dostawca. Dodatkowo, art. 4 ust. 1 lit. j wymaga dodania odpowiedniej klauzuli do umowy dostawcy z podwykonawcą. Klauzula ta ma gwarantować instytucji finansowej i nadzorcy takie same prawa dostępu, kontroli i audytu, jakie przewiduje umowa główna.

    Co to oznacza w praktyce? Bank oraz regulator muszą mieć możliwość „zajrzenia” do każdego istotnego podwykonawcy, jeśli uznają to za konieczne. Na przykład, jeżeli dostawca chmurowy podzleci krytyczną usługę firmie zewnętrznej w innym kraju, nadzór ma prawo skontrolować tę firmę. Sprawdzi, czy spełnia ona wymagane standardy bezpieczeństwa i ciągłości działania itp. Musi to być zagwarantowane w umowie. Dla działów compliance i zakupów w instytucjach finansowych oznacza to konieczność dodania do umów outsourcingowych odpowiednich klauzul audytowych. Muszą one obejmować nie tylko głównego dostawcę, ale także jego podwykonawców.

    Z perspektywy dostawcy ICT oznacza to konieczność akceptacji większej „inwigilacji” ze strony klientów finansowych i regulatorów. Dostawca będzie zobowiązany zapewnić dostęp do informacji i do swoich obiektów (oraz obiektów podwykonawców) na potrzeby audytów i inspekcji. Warto o tym pamiętać, planując współpracę z sektorem finansowym, ponieważ przejrzystość i otwartość na kontrole stają się nowym standardem. Jeśli jakiś dostawca nie zaakceptuje takich warunków, może po prostu stracić klientów finansowych. Instytucje będą zmuszone z nim nie współpracować dla własnego bezpieczeństwa.

    Standardy bezpieczeństwa i obsługa incydentów – obowiązki w całym łańcuchu

    Cyberbezpieczeństwo jest rdzeniem wymagań DORA. Nic dziwnego, że także wobec podwykonawców kładzie się na nie ogromny nacisk. Instytucje finansowe muszą upewnić się, że standardy bezpieczeństwa informacji obowiązują na każdym poziomie dostaw. Od głównego dostawcy po najmniejszego subkontrahenta. Rozporządzenie delegowane wymaga, aby umowy między dostawcą a podwykonawcami określały konkretne standardy bezpieczeństwa ICT. Powinny też zawierać wszelkie dodatkowe wymogi, o których mowa w art. 30 ust. 3 lit. c) DORA. W praktyce oznacza to, że dostawca powinien narzucić swoim podwykonawcom co najmniej te same środki bezpieczeństwa, do których sam zobowiązał się wobec banku. Przykładowo, jeśli umowa outsourcingowa wymaga szyfrowania danych i stosowania wieloskładnikowego uwierzytelniania, każdy podwykonawca obsługujący tę usługę także musi tego przestrzegać. Instytucja finansowa powinna mieć wgląd w te ustalenia, by upewnić się, że w żadnym ogniwie łańcucha nie ma „słabego punktu”.

    Reagowanie na incydenty to kolejny kluczowy aspekt. DORA wprowadza obowiązek zgłaszania incydentów ICT do nadzoru w określonym czasie. Aby to było możliwe, dostawcy i ich podwykonawcy muszą szybko przekazywać informacje o incydentach w górę łańcucha. Rozporządzenie 2025/532 wymaga, aby dostawca posiadał odpowiednie mechanizmy raportowania. Dostawca musi zapewnić wewnętrzną strukturę i kontrolę obejmujące zgłaszanie incydentów oraz reakcję na nie. Także instytucja finansowa musi być przygotowana na incydenty związane z podwykonawcami. Powinna mieć plany ciągłości działania na wypadek awarii u dostawcy.

    W praktyce menedżerowie powinni upewnić się, że w umowach znalazły się zapisy zobowiązujące dostawcę do natychmiastowego informowania o każdym poważnym incydencie u niego lub u jego podwykonawcy, który może wpłynąć na usługę krytyczną. Warto także przećwiczyć (np. w formie scenariusza) procedurę reakcji na awarię lub wyciek danych u podwykonawcy dostawcy. Należy ustalić, kto kogo informuje, jakie działania podejmujemy i czy mamy plan awaryjny. Art. 4 ust. 1 lit. h rozporządzenia wymaga posiadania tzw. planów awaryjnych (exit planów) oraz gwarantowanych poziomów usług, które muszą spełnić podwykonawcy. Oznacza to, że ciągłość działania musi zostać zachowana nawet, gdy któryś podwykonawca zawiedzie. Na przykład dostawca ma obowiązek szybko przenieść usługę do alternatywnego podwykonawcy lub przejąć ją na siebie, tak aby klienci banku nie odczuli przerwy. Takie mechanizmy zapewnienia ciągłości również powinny być opisane i uzgodnione w łańcuchu umów.

    Kluczowe elementy umowy outsourcingowej (zgodnie z 2025/532)

    Nowe regulacje bardzo precyzyjnie wskazują, co musi znaleźć się w umowie między instytucją finansową a dostawcą ICT odnośnie podwykonawstwa. Dla kadry zarządzającej oznacza to konieczność bliskiej współpracy z działem prawnym i zakupów, aby istotne klauzule zostały dodane do nowych i istniejących kontraktów (często w formie aneksów). Poniżej podsumowujemy najważniejsze wymagane zapisy umowne wynikające z art. 4 rozporządzenia delegowanego:

    • Zakres dozwolonego podwykonawstwa: Umowa musi dokładnie określać, które usługi ICT wspierające krytyczne lub istotne funkcje wolno dostawcy zlecać podwykonawcom i na jakich warunkach. Domyślnie, jeśli coś nie jest wyraźnie dozwolone, powinno być traktowane jako zabronione. Taka jasność zapobiega sytuacji, w której dostawca dowolnie podzleca kluczowe prace bez wiedzy klienta.
    • Odpowiedzialność dostawcy za podwykonawców: W umowie powinno być zapisane, że dostawca pozostaje w pełni odpowiedzialny za wykonanie usług przez swoich podwykonawców – tak jakby wykonywał je sam. Bank może więc dochodzić swoich praw wobec głównego dostawcy, nawet jeśli winny problemów był np. jego podwykonawca (dostawca nie może uchylać się od odpowiedzialności, zasłaniając firmą trzecią).
    • Obowiązek monitorowania podwykonawców: Dostawca musi zobowiązać się do ciągłego monitoringu usług świadczonych przez swoich podwykonawców, aby zapewnić spełnianie umowy z instytucją finansową. Innymi słowy – ma pilnować swoich poddostawców jak własnego działu, by jakość i bezpieczeństwo usług nie spadły poniżej ustalonych poziomów.
    • Ocena ryzyka związanego z lokalizacją: Dostawca powinien oceniać ryzyka wynikające z lokalizacji geograficznej obecnych i potencjalnych podwykonawców (oraz ich spółek matek) oraz miejsca świadczenia danej usługi. Przykładowo, jeśli podwykonawca działa poza UE, dostawca musi rozważyć ryzyka prawne i operacyjne z tym związane – i takie analizy przedstawiać instytucji finansowej.
    • Lokalizacja przetwarzania danych: W stosownych przypadkach umowa powinna wskazywać gdzie (w jakim kraju/regionie) podwykonawca będzie przetwarzać lub przechowywać dane powierzane w ramach usługi. To istotne z punktu widzenia np. RODO i transferów danych – bank musi wiedzieć, czy dane nie trafią np. do Azji czy USA poprzez dalsze zlecenia.
    • Obowiązki sprawozdawcze podwykonawcy: Dostawca powinien narzucić w swoich umowach z podwykonawcami obowiązki w zakresie monitorowania i raportowania – zarówno wobec siebie (dostawcy), jak i ewentualnie bezpośrednio wobec instytucji finansowej. Dzięki temu bank może otrzymywać informacje o działaniu podwykonawców, np. raporty bezpieczeństwa czy wyniki audytów, jeśli uzna to za konieczne.
    • Ciągłość działania i plany awaryjne: Jak wspomniano, umowy podwykonawcze muszą zawierać wymogi dotyczące planów awaryjnych (exit planów) zgodnie z DORA oraz określać gwarantowane poziomy usług (SLA), jakie podwykonawca musi utrzymać realizując te plany. Przykład: jeśli podwykonawca zapewnia zapasowe centrum danych na wypadek awarii głównego, umowa powinna określać, jak szybko musi on przełączyć usługi na zapas i jakie parametry jakości mają być spełnione.
    • Standardy bezpieczeństwa ICT: Umowa między dostawcą a podwykonawcą musi określać standardy bezpieczeństwa ICT (np. zgodność z konkretnymi normami, wymagania dot. szyfrowania, kontroli dostępu, certyfikacji) oraz wszelkie dodatkowe wymagania bezpieczeństwa przewidziane w DORA. Tym samym bank zyskuje pewność, że podwykonawca działa według tych samych rygorystycznych polityk bezpieczeństwa co główny dostawca.
    • Prawo do audytu i wglądu: Absolutnie kluczowa klauzula – podwykonawca musi zgodzić się na te same prawa dostępu, kontroli i audytu dla instytucji finansowej oraz organów nadzoru, jakie zawarto w umowie głównej. Oznacza to np., że jeśli nadzór bankowy zażąda inspekcji bezpieczeństwa u podwykonawcy (np. firmy hostingowej wynajętej przez dostawcę fintech), to taka inspekcja będzie możliwa na mocy umowy. Bank nie może zostać odcięty od informacji tylko dlatego, że usługa jest u podwykonawcy.
    • Obowiązek informowania o zmianach: Dostawca musi informować instytucję finansową o wszelkich planowanych istotnych zmianach w umowach z podwykonawcami z odpowiednim wyprzedzeniem. To daje bankowi czas na ocenę, czy dana zmiana (np. zmiana kluczowego podwykonawcy na innego) nie rodzi nowych ryzyk. W art. 5 ust. 1 wskazano, że informacje te mają pozwolić instytucji ocenić „a) wpływ na ryzyko, na które podmiot ten jest lub może być narażony; b) czy takie zmiany mogą wpłynąć na zdolność dostawcy ICT do wypełniania jego zobowiązań wobec instytucji”. Mówiąc prościej: trzeba sprawdzić, czy zmiana podwykonawcy nie zwiększy nam ryzyka albo nie zaburzy jakości usług.
    • Prawo sprzeciwu i akceptacji zmian: Sama informacja to nie wszystko – umowa powinna przewidywać rozsądny termin na to, by instytucja finansowa mogła wyrazić sprzeciw wobec planowanych zmian lub je zatwierdzić. Jeśli bank się nie zgadza, dostawca nie może bez zgody banku wprowadzić zmian. Mało tego, rozporządzenie wymaga, by dostawca wprowadzał istotne zmiany u podwykonawców tylko wtedy, gdy instytucja je zaakceptuje lub nie zgłosi sprzeciwu w ustalonym czasie. Gdy bank uważa, że dana zmiana przekracza jego tolerancję ryzyka, ma prawo żądać modyfikacji tych planów zanim wejdą w życie. To bardzo wzmacnia pozycję instytucji – dostawca nie może po prostu postawić jej przed faktem dokonanym przy zmianach w łańcuchu dostaw.
    • Prawo do rozwiązania umowy: Wreszcie, umowa powinna przewidywać możliwość wypowiedzenia kontraktu przez instytucję finansową w określonych sytuacjach. Art. 4 ust. 1 lit. l wymaga, aby prawo to przysługiwało co najmniej w przypadkach określonych w art. 6 rozporządzenia oraz art. 28 ust. 7 DORA. Innymi słowy, gdy wystąpią przesłanki do zerwania współpracy (np. rażące naruszenie warunków dotyczących podwykonawców), bank musi mieć zagwarantowaną możliwość odstąpienia od umowy bez kary.

    Powyższa lista jest długa, ale sprowadza się do jednego: żadna istotna kwestia związana z podwykonawstwem nie może pozostać poza umową. Zarządzający powinni zapytać swoje działy prawne, czy wszystkie te elementy są już uwzględnione w umowach z dostawcami krytycznych usług IT – a jeśli nie, to jak najszybciej podjąć działania, by to uzupełnić (np. poprzez aneksy). Regulacja dopuszcza wprowadzanie niezbędnych zmian w istniejących umowach „w odpowiednim czasie i tak szybko, jak to możliwe”. Jednak nie warto zwlekać – nadzorcy będą oczekiwać konkretów.

    Prawo wypowiedzenia umowy – bezpieczeństwo na wypadek „w”

    Nawet najlepsze środki nadzoru i klauzule umowne nie eliminują ryzyka w 100%. Instytucja finansowa musi mieć prawo do wypowiedzenia umowy z dostawcą IT jako ostateczną „bezpieczną linę”, jeśli sytuacja stanie się nie do zaakceptowania. Rozporządzenie 2025/532 w art. 6 wymienia scenariusze, w których bank powinien móc zerwać umowę z dostawcą bez czekania na długie okresy wypowiedzenia. To kluczowe uprawnienie działa jak „zawór bezpieczeństwa”, pozwalając uchronić się przed dalszym ryzykiem. Kluczowe przypadki to:

    • Zignorowanie sprzeciwu wobec zmian podwykonawców: Jeżeli instytucja finansowa zgłosiła sprzeciw wobec planowanych istotnych zmian w łańcuchu podwykonawców (i zażądała ich modyfikacji), a mimo to dostawca wprowadził te zmiany – bank ma prawo zakończyć współpracę. To logiczna konsekwencja: skoro dostawca nie respektuje ustaleń i naraża bank na nieakceptowalne ryzyko, instytucja nie powinna być związana taką umową.
    • Wprowadzenie zmian bez zgody (złamanie procedury): Jeśli dostawca dokona istotnych zmian u podwykonawców przed upływem uzgodnionego okresu powiadomienia, bez uzyskania akceptacji instytucji finansowej – jest to podstawa do wypowiedzenia umowy. Mówiąc obrazowo, gdy dostawca „działa na własną rękę”, nie czekając na zielone światło banku, przekracza granice zaufania.
    • Nieautoryzowane podzlecenie krytycznej funkcji: Jeżeli dostawca zleci podwykonawcy realizację krytycznej lub istotnej funkcji ICT (lub jej części) bez wyraźnego dozwolenia w umowie z instytucją finansową, stanowi to rażące naruszenie i daje instytucji prawo natychmiastowego wypowiedzenia umowy. Innymi słowy, gdy dostawca robi coś za plecami banku – zatrudnia podwykonawcę tam, gdzie nie powinien – bank może natychmiast wycofać się ze współpracy.

    Warto podkreślić, że te klauzule działają na korzyść instytucji finansowej. Dają one bankowi narzędzie ochrony, gdy sytuacja staje się groźna. Kadra zarządzająca powinna upewnić się, że umowy z dostawcami zawierają takie zapisy. Zresztą DORA (art. 28 ust. 7) wymaga posiadania planów wyjścia z każdej kluczowej umowy. To znaczy, że trzeba wcześniej przygotować scenariusz na wypadek konieczności szybkiego zakończenia współpracy (np. z powodu poważnych naruszeń lub upadłości dostawcy). Prawo wypowiedzenia jest integralną częścią takiego planu wyjścia. Menedżerowie powinni zadbać, by ich organizacje opracowały alternatywy (zapasowy dostawca, możliwość przeniesienia usługi wewnętrznie itp.). Ponieważ sama klauzula wypowiedzenia w umowie bez przygotowania się na jej użycie może być ryzykowna.

    Spójność w grupach kapitałowych – jednolite podejście w całej organizacji

    Jeżeli instytucja finansowa jest częścią większej grupy kapitałowej (np. międzynarodowej grupy bankowej), nowe wymogi podwykonawców ICT należy stosować spójnie w całej grupie. Art. 2 rozporządzenia stanowi, że jednostka dominująca odpowiedzialna za sprawozdawczość finansową grupy musi zapewnić jednolite wdrażanie warunków podwykonawstwa we wszystkich podmiotach finansowych grupy. W praktyce oznacza to, że polityka outsourcingu ICT powinna być ujednolicona bez względu na kraj działania spółek (Polska, inne kraje UE czy poza UE). Grupa powinna wyznaczyć minimalne standardy i procedury dotyczące zgód na podwykonawców, klauzul umownych, audytów itp.

    To szczególnie ważne, gdy grupa działa globalnie – może się okazać, że w niektórych regionach dotąd dopuszczano szersze podwykonawstwo bez takich obostrzeń. Teraz, aby spełnić wymogi DORA, centrala musi wyrównać poziom. Dotyczy to także sytuacji, gdy w ramach grupy usługi IT świadczy wewnętrzny dostawca (spółka IT należąca do grupy). Jego polityka wobec własnych podwykonawców również musi spełniać te same standardy. Zarząd grupy powinien rozesłać wytyczne do wszystkich oddziałów i spółek zależnych, narzucając jednolite zasady współpracy z dostawcami ICT. Należy także przeprowadzić szkolenia i audyty wewnętrzne, aby upewnić się, że każdy rozumie nowe obowiązki.

    Co to oznacza dla dostawców ICT?

    Wszystkie powyższe wymagania, choć formalnie skierowane do instytucji finansowych, w praktyce mocno wpływają na firmy świadczące im usługi ICT. Dla dostawców – od największych korporacji chmurowych po mniejszych fintechowych partnerów – oznacza to konieczność dostosowania się do nowych realiów współpracy. Jakie konsekwencje powinni brać pod uwagę dostawcy ICT?

    Przede wszystkim, pojawi się większa liczba i szczegółowość klauzul w umowach. Klient z sektora finansowego może przedłożyć do podpisu aneks lub nowy kontrakt zawierający wszystkie wspomniane postanowienia. Od jawnego wskazania podwykonawców, przez obowiązek uzyskania zgody na zmiany. Po prawa audytowe i prawo natychmiastowego rozwiązania umowy. Dostawcy muszą przygotować się na negocjacje tych zapisów. Ci, którzy liczyli na zachowanie pełnej kontroli nad swoim łańcuchem dostaw i niechętnie dzielili się informacjami, mogą odczuć dyskomfort. Alternatywą jest jednak utrata kontraktów, ponieważ instytucje finansowe nie będą mogły tolerować braku zgodności z DORA. Już teraz wiele banków zgłasza opór globalnych gigantów chmurowych wobec dostosowania umów. Jednak unijne regulacje są tu rygorystyczne: jeśli dostawca nie ustąpi, nadzór może uznać taką współpracę za zbyt ryzykowną.

    Po drugie, dostawcy ICT muszą usprawnić własne procesy due diligence i nadzoru nad swoimi podwykonawcami. Rozporządzenie wymaga, aby dostawca miał zdolność wyboru i oceny swoich partnerów pod kątem stabilności operacyjnej, finansowej i bezpieczeństwa. Oznacza to m.in. konieczność regularnych ocen ryzyka podwykonawców, audytów bezpieczeństwa u nich oraz monitorowania wskaźników wydajności. Dostawcy powinni zainwestować w odpowiednie zasoby (kadrowe i narzędziowe) do zarządzania swoim łańcuchem dostaw. Tak aby móc przedstawić instytucji finansowej rzetelne informacje i zapewnienia. Jeśli np. fintech korzysta z usług czterech różnych podwykonawców IT. Powinien wyznaczyć dedykowaną osobę lub zespół nadzorujący tych partnerów i współpracujący z zespołem ryzyka klienta (banku).

    Po trzecie, dostawcy muszą liczyć się z audytami i wizytacjami. Instytucja finansowa (np. bank) może zapowiedzieć kontrolę, a organ nadzoru może zażądać dostępu do informacji. I to nie tylko u samego dostawcy, ale także u jego kluczowych podwykonawców. Dostawca ICT powinien zatem uprzedzić swoich partnerów biznesowych, że takie sytuacje są możliwe. Zawrzeć z nimi odpowiednie porozumienia (np. umożliwiające audytorom banku dostęp do ich obiektów). Dzięki temu uniknie się chaosu podczas faktycznego audytu – każdy będzie wiedział, jakie ma obowiązki.

    Wreszcie, dostawcy powinni traktować nowe wymagania nie tylko jako obowiązek, ale też jako szansę. Ci, którzy proaktywnie dostosują się do DORA, zyskają przewagę konkurencyjną na rynku finansowym. Instytucje będą wolały współpracować z firmami, które gwarantują pełną przejrzystość, wysoki standard bezpieczeństwa oraz sprawne zarządzanie ciągłością działania. To buduje zaufanie. Jak zauważają komentatorzy, dobrze przygotowane instytucje finansowe i ich partnerzy mogą dzięki temu nie tylko zapewnić zgodność, ale także zwiększyć odporność operacyjną. Ograniczyć ryzyko systemowe oraz poprawić jakość współpracy na linii biznes–dostawca. Innymi słowy, spełnienie regulacji może przynieść korzyści obu stronom. Bank staje się bezpieczniejszy, a dostawca zyskuje opinię solidnego i godnego zaufania.

    Rozporządzenie Delegowane

    Jak przygotować się na nowe obowiązki – rekomendacje dla zarządzających

    Kadra zarządzająca wyższego i średniego szczebla instytucji finansowych powinna aktywnie działać, aby wdrożyć powyższe wymagania. Oto plan działania w pigułce – co warto zrobić, nawet jeśli nie znamy wszystkich szczegółów prawnych:

    • Zidentyfikuj krytyczne usługi ICT i umowy outsourcingowe – Sporządź listę wszystkich aktualnych umów z dostawcami IT, zwłaszcza tych obsługujących funkcje uznane za krytyczne lub istotne (zgodnie z definicjami DORA). Przy każdej umowie sprawdź, czy dostawca korzysta z podwykonawców i czy umowa to reguluje.
    • Zweryfikuj i zaktualizuj politykę outsourcingu – Polityka powinna odzwierciedlać nowe wymagania: jasno określać procedury zgody na podwykonawstwo. Wymagane klauzule umowne, role i odpowiedzialności wewnątrz firmy za nadzór nad dostawcami. Jeśli firma działa w grupie – upewnij się, że polityka jest spójna z wytycznymi grupy i obejmuje jednostki zagraniczne.
    • Przeprowadź „gap analysis” istniejących umów – Wraz z działem prawnym porównaj obecne umowy z dostawcami z listą wymaganych klauzul (patrz wyżej). Ustal, gdzie są luki (brak zapisu o audycie podwykonawców? Zbyt długi czas na sprzeciw wobec zmian? Brak prawa wypowiedzenia?). Przygotuj plan aneksowania umów. Rozporządzenie 2025/532 wymaga, by te dostosowania wprowadzić możliwie szybko, więc nie odkładaj tego.
    • Rozmowy z dostawcami – Uprzedź kluczowych dostawców ICT, że w związku z DORA będziesz wymagać od nich spełnienia nowych warunków. Warto wypracować wspólnie harmonogram i sposób wprowadzenia zmian (dostawcy też potrzebują czasu na swoich podwykonawców). Szczególnie zwróć uwagę na dostawców spoza UE oraz takich, którzy mają silną pozycję rynkową (duzi gracze chmurowi). Tutaj negocjacje mogą być trudniejsze, więc zacznij wcześniej.
    • Mapowanie łańcucha podwykonawców – Poproś każdego krytycznego dostawcę o przedstawienie pełnej listy podwykonawców zaangażowanych. W świadczenie dla was usług (jeśli jeszcze tego nie zrobił). Zbierz informacje o tych firmach: lokalizacja, jakie usługi pełnią, czy są regulowane itp. Utwórz lub zaktualizuj rejestr podwykonawców i wprowadź procedurę jego bieżącej aktualizacji przy każdej zmianie.
    • Ocena ryzyka i due diligence – Zorganizuj przegląd due diligence wszystkich istotnych podwykonawców (bezpośrednio lub przez dostawcę). Unikaj „odhaczania checkboxów” – wymagaj konkretnych dowodów na spełnienie standardów (np. certyfikatów, wyników testów bezpieczeństwa). Nie polegaj ślepo na zapewnieniach dostawcy – pamiętaj, że odpowiedzialność spoczywa na tobie. Jeśli czegoś nie wiesz o ryzyku podwykonawcy, drąż temat.
    • Wprowadź mechanizmy wczesnego ostrzegania – Upewnij się, że w firmie jest jasny proces informowania o planowanych zmianach u dostawców. Być może stwórz dedykowany punkt kontaktu (np. w dziale vendor management), który będzie odbierał zawiadomienia od dostawców o zmianach i koordynował wewnętrzną ocenę ryzyka. Zdefiniuj, kto ma decydować o ewentualnej zgodzie lub sprzeciwie (np. komitet ryzyka).
    • Przygotuj plany awaryjne (exit plany) – Dla każdego krytycznego outsourcingu opracuj scenariusz awaryjny. Co zrobimy, jeśli trzeba będzie nagle rozstać się z dostawcą lub jeśli jego kluczowy podwykonawca przestanie świadczyć usługę. Czy mamy alternatywnego dostawcę na rynku? Ile potrwa migracja? Kto technicznie to przeprowadzi? Te plany powinny być gotowe zawczasu, bo w kryzysie nie będzie na to czasu.
    • Szkol i buduj świadomość – Przeprowadź szkolenia dla zespołów zaangażowanych w zarządzanie dostawcami: dział zakupów, IT, bezpieczeństwa, ryzyka operacyjnego, compliance. Upewnij się, że wszyscy rozumieją, dlaczego pytamy dostawców o podwykonawców, czemu nagle chcemy dodawać klauzule do umów itd. Kultura organizacyjna musi wspierać nowe podejście: lepiej dmuchać na zimne i mieć pełny obraz sytuacji, niż żyć w nieświadomości ryzyka.
    • Monitoruj zgodność i raportuj – Włącz wymagania DORA/2025/532 do wewnętrznych audytów i monitoringu zgodności. Regularnie sprawdzaj, czy dostawcy dotrzymują obietnic (np. czy informują o zmianach, czy przesyłają raporty bezpieczeństwa). Raportuj postępy wdrożenia do zarządu – to z jednej strony sygnalizuje powagę sprawy, a z drugiej chroni kierownictwo, pokazując nadzorowi, że temat jest na radarze.

    Na koniec warto podkreślić pozytywny aspekt. Choć wdrożenie tych zmian może wydawać się pracochłonne, w dłuższej perspektywie zwiększy odporność firmy na wstrząsy technologiczne. Lepsza wiedza o łańcuchu dostaw ICT oznacza mniej niespodzianek. Jasne zasady z dostawcami to mniej sporów i przerzucania odpowiedzialności. Szybka reakcja na incydenty przekłada się na mniejsze straty w razie kryzysu. Regulacje wymuszają dobre praktyki, które wielu innowacyjnych menedżerów chciało wprowadzić od dawna. Teraz to nie tylko kwestia chęci, ale obowiązek – który nam wszystkim wyjdzie na dobre.