Rozporządzenie Delegowane Komisji (UE) 2025/532 wprowadza szczegółowe wymagania dotyczące outsourcingu usług ICT. Te regulacje dotyczą usług ICT wspierających krytyczne lub istotne funkcje instytucji finansowych. To uzupełnienie regulacji DORA (Digital Operational Resilience Act) wymusza skuteczniejszy nadzór menedżerów banków, ubezpieczycieli i innych instytucji finansowych. Muszą oni kontrolować nie tylko głównych dostawców IT, ale także całą sieć podwykonawców tych dostawców. W rezultacie dostawcy usług ICT obsługujący sektor finansowy muszą przygotować się na nowe obowiązki kontraktowe, audyty i wymogi transparentności. Poniżej wyjaśniamy w prostym języku kluczowe wymagania i konsekwencje tych przepisów. Unikamy prawniczego żargonu. Podajemy też wskazówki, co CEO i kadra zarządzająca powinni zrobić, by zapewnić zgodność i bezpieczeństwo.
Outsourcing ICT to złożony system zależności. Nowe regulacje mają zagwarantować pełną kontrolę nad wszystkimi jego elementami (podwykonawcami). Menedżerowie powinni upewnić się, że dokładnie rozumieją, jak ten system działa w ich firmie.
17 stycznia 2025 r. weszło w życie unijne Rozporządzenie DORA. Są to kompleksowe przepisy wzmacniające cyfrową odporność operacyjną sektora finansowego w obliczu postępującej cyfryzacji. DORA nałożyła na instytucje finansowe obowiązki w zakresie zarządzania ryzykiem ICT, raportowania incydentów oraz nadzoru nad dostawcami IT. Obecnie w ramach wdrażania DORA Komisja Europejska wydaje akty wykonawcze doprecyzowujące te wymagania. Rozporządzenie Delegowane Komisji (UE) 2025/532 z 24 marca 2025 r. jest jednym z takich aktów. Regulacja ustanawia standardy techniczne. Precyzują one, jakie elementy instytucja finansowa musi uwzględnić, gdy dostawca IT korzysta z podwykonawców przy krytycznych lub istotnych usługach.
Innymi słowy, 2025/532 wyjaśnia, na jakich warunkach bank może pozwolić swojemu głównemu dostawcy IT zlecać pracę kolejnym firmom. Dotyczy to np. sytuacji, gdy bank korzysta z usług chmurowych. Dostawca chmury może wtedy angażować kolejnych podwykonawców (np. firmy od infrastruktury, integratorów, fintechy czy globalnych hyperscalerów). Regulacja ta obowiązuje bezpośrednio we wszystkich krajach UE. Dotyczy wszystkich podmiotów finansowych objętych DORA (m.in. banków, firm inwestycyjnych, ubezpieczycieli, funduszy). Oraz wpływa na zewnętrznych dostawców ICT świadczących usługi na ich rzecz. Celem jest zwiększenie przejrzystości i kontroli nad złożonym łańcuchem dostaw IT. Tak aby awaria któregokolwiek ogniwa nie zagrażała ciągłości działania instytucji finansowej.
Pierwszym zadaniem instytucji finansowej jest zrozumienie ryzyka związanego z całym łańcuchem podwykonawców ICT. Rozporządzenie 2025/532 wprost wymaga oceny, czy w ogóle dopuszczamy podwykonawstwo kluczowych usług przed podpisaniem umowy z dostawcą ICT. Musimy także określić, na jakich warunkach się na to zgadzamy. Artykuł 3 ust. 1 jasno wskazuje, że przed zawarciem umowy instytucja finansowa musi zdecydować, czy dostawca może zlecać podwykonawstwo. Taką zgodę można wyrazić tylko, gdy spełnione są określone warunki bezpieczeństwa i jakości. Zanim pozwolimy dostawcy zatrudnić kolejnych podwykonawców, musimy dokładnie zbadać sytuację. Trzeba upewnić się, że spełniono wszystkie wymagane kryteria bezpieczeństwa i jakości.
Na co konkretnie trzeba zwrócić uwagę? Art. 1 rozporządzenia wskazuje, że instytucja finansowa powinna uwzględnić przy takiej decyzji swój profil ryzyka, skalę działania. Oraz kluczowe czynniki wpływające na złożoność i ryzyko podwykonawstwa. Wymieniono m.in.:
Takie wszechstronne spojrzenie na ryzyko daje pełny obraz potencjalnych zagrożeń. Co ważne, rozporządzenie obliguje zarówno instytucję finansową, jak i dostawcę ICT do aktywnego i bieżącego zarządzania tym ryzykiem. Dostawca musi mieć wdrożone wewnętrzne procedury należytej staranności (due diligence) przy wyborze podwykonawców. Powinien oceniać ich zdolności operacyjne i finansowe. Musi być gotowy angażować podwykonawców w testy odporności cyfrowej, jeśli zażąda tego instytucja finansowa. Z kolei instytucja finansowa powinna zapewnić odpowiedni zespół i zasoby. Ich zadaniem jest monitorowanie ryzyk ICT związanych z funkcjami przekazanymi na zewnątrz. Powinny być kontrolowane m.in. standardy bezpieczeństwa informacji, plany ciągłości działania oraz reagowanie na incydenty. Innymi słowy, bank musi mieć kompetencje do kontrolowania wszystkiego, co dzieje się u dostawcy i jego podwykonawców. Dostawca zaś musi sprawować stały nadzór nad swoimi.
Największym wyzwaniem w zarządzaniu podwykonawcami ICT jest brak przejrzystości. Często instytucja finansowa zna tylko swojego bezpośredniego dostawcę, a nie ma wglądu, komu ten dalej zleca część prac. Taka „ciemna strefa” utrudnia ocenę ryzyka. Jak ocenić bezpieczeństwo usługi, nie wiedząc, kto faktycznie świadczy ją na końcu? Zgodnie z nowymi przepisami to musi się zmienić. Art. 3 ust. 1 lit. b nakłada konkretny wymóg. Zewnętrzny dostawca ICT musi móc wskazać instytucji finansowej wszystkich podwykonawców zaangażowanych w krytyczne lub istotne usługi. Musi też powiadamiać ją o tych podmiotach i dostarczać wszelkich informacji potrzebnych do oceny ryzyk. Innymi słowy, żadni „tajemniczy podwykonawcy” nie wchodzą w grę. Bank ma prawo wiedzieć, kto dokładnie znajduje się w łańcuchu dostaw i co robi.
Przykład: Bank korzysta z fintechu dostarczającego aplikację mobilną. Fintech ten wynajmuje zewnętrzne centrum danych i usługi DevOps od kolejnych firm. Bank musi o tym wiedzieć. Nowe przepisy obligują fintech (dostawcę) do ujawnienia wszystkich zależności i zapewnienia, że bank może je zweryfikować.
Co więcej, dostawca ponosi odpowiedzialność za działania swoich podwykonawców. Musi on nie tylko ich identyfikować, ale też aktywnie monitorować ich pracę. Umowa z instytucją finansową powinna zawierać klauzulę o odpowiedzialności dostawcy za usługi świadczone przez podwykonawców. Przykładowy zapis: „zewnętrzny dostawca usług ICT jest odpowiedzialny za świadczenie usług przez podwykonawców”. Powinna także zobowiązać dostawcę do stałego nadzoru nad wszystkimi podzleconymi usługami. Dzięki temu jego zobowiązania wobec instytucji finansowej będą ciągle spełniane. Z perspektywy kadry zarządzającej oznacza to, że nie wolno zakładać, iż ryzyko podwykonawców „rozwiąże się samo”. Należy wymagać od naszych dostawców konkretnego działania. Raportowania i audytowania swoich partnerów oraz zapewnienia ciągłości usług nawet jeśli któryś podwykonawca zawiedzie.
W praktyce wiele instytucji już teraz przegląda i renegocjuje umowy outsourcingowe, by dodać brakujące klauzule o podwykonawcach. Napotyka przy tym wyzwania – skomplikowana struktura relacji w modelu chmury czy fintech sprawia, że skuteczny nadzór bywa utrudniony. Często duzi, globalni dostawcy usług IT (np. dostawcy chmury) nie palą się do ujawniania szczegółów czy zmiany swoich standardowych umów, korzystając ze swojej przewagi negocjacyjnej. Zadaniem menedżerów jest jednak stanowczo egzekwować te wymagania – stawką jest bezpieczeństwo i zgodność z prawem.
Regulator jasno podkreśla, że instytucja finansowa nie może przenieść odpowiedzialności za zgodność na firmę zewnętrzną, nawet jeśli ta angażuje dalszych podwykonawców. Nie zmienia tego nawet fakt, że dostawca angażuje dalszych podwykonawców – bank odpowiada przed nadzorem za całość. Wprost wskazano: „Korzystanie z ocen ryzyka dokonanych przez dostawców nie ogranicza ostatecznej odpowiedzialności podmiotów finansowych za wywiązywanie się z ich obowiązków prawnych i regulacyjnych”. Mówiąc wprost: nie można tłumaczyć, że „to wina podwykonawcy mojego dostawcy”. To instytucja finansowa musi upewnić się, że cały łańcuch dostaw działa zgodnie z wymogami.
Jednym z zaleceń jest prowadzenie dokładnego rejestru wszystkich podmiotów w łańcuchu dostaw ICT. Należy również monitorować ich działania i poziom ryzyka. DORA wprost wymaga, by instytucje finansowe utrzymywały rejestr umów outsourcingowych, który obejmuje też informacje o podwykonawcach. Brak danych w takim rejestrze mógłby zostać uznany przez nadzór za naruszenie. Kadra zarządzająca powinna zatem zadać swoim zespołom kilka pytań. Na przykład: Czy na pewno wiemy, komu nasz dostawca dalej zleca usługi? Czy posiadamy te dane i czy są one aktualizowane? Jeżeli nie – trzeba to szybko uporządkować.
Kolejnym filarem nowych wymogów jest zagwarantowanie pełnych praw audytu i kontroli względem podwykonawców. Dotychczas umowy z dostawcami IT często pozwalały bankowi (lub audytorowi w jego imieniu) skontrolować jedynie głównego dostawcę. Na przykład audytor mógł sprawdzić bezpieczeństwo w centrum danych dostawcy chmurowego. A co z kolejnymi podmiotami, które ten dostawca zatrudnia? Rozporządzenie 2025/532 wymusza rozszerzenie tych praw na cały łańcuch podwykonawców. Podwykonawca musi zapewnić instytucji finansowej oraz organom nadzoru takie same prawa dostępu i kontroli, jakie ma główny dostawca. Dodatkowo, art. 4 ust. 1 lit. j wymaga dodania odpowiedniej klauzuli do umowy dostawcy z podwykonawcą. Klauzula ta ma gwarantować instytucji finansowej i nadzorcy takie same prawa dostępu, kontroli i audytu, jakie przewiduje umowa główna.
Co to oznacza w praktyce? Bank oraz regulator muszą mieć możliwość „zajrzenia” do każdego istotnego podwykonawcy, jeśli uznają to za konieczne. Na przykład, jeżeli dostawca chmurowy podzleci krytyczną usługę firmie zewnętrznej w innym kraju, nadzór ma prawo skontrolować tę firmę. Sprawdzi, czy spełnia ona wymagane standardy bezpieczeństwa i ciągłości działania itp. Musi to być zagwarantowane w umowie. Dla działów compliance i zakupów w instytucjach finansowych oznacza to konieczność dodania do umów outsourcingowych odpowiednich klauzul audytowych. Muszą one obejmować nie tylko głównego dostawcę, ale także jego podwykonawców.
Z perspektywy dostawcy ICT oznacza to konieczność akceptacji większej „inwigilacji” ze strony klientów finansowych i regulatorów. Dostawca będzie zobowiązany zapewnić dostęp do informacji i do swoich obiektów (oraz obiektów podwykonawców) na potrzeby audytów i inspekcji. Warto o tym pamiętać, planując współpracę z sektorem finansowym, ponieważ przejrzystość i otwartość na kontrole stają się nowym standardem. Jeśli jakiś dostawca nie zaakceptuje takich warunków, może po prostu stracić klientów finansowych. Instytucje będą zmuszone z nim nie współpracować dla własnego bezpieczeństwa.
Cyberbezpieczeństwo jest rdzeniem wymagań DORA. Nic dziwnego, że także wobec podwykonawców kładzie się na nie ogromny nacisk. Instytucje finansowe muszą upewnić się, że standardy bezpieczeństwa informacji obowiązują na każdym poziomie dostaw. Od głównego dostawcy po najmniejszego subkontrahenta. Rozporządzenie delegowane wymaga, aby umowy między dostawcą a podwykonawcami określały konkretne standardy bezpieczeństwa ICT. Powinny też zawierać wszelkie dodatkowe wymogi, o których mowa w art. 30 ust. 3 lit. c) DORA. W praktyce oznacza to, że dostawca powinien narzucić swoim podwykonawcom co najmniej te same środki bezpieczeństwa, do których sam zobowiązał się wobec banku. Przykładowo, jeśli umowa outsourcingowa wymaga szyfrowania danych i stosowania wieloskładnikowego uwierzytelniania, każdy podwykonawca obsługujący tę usługę także musi tego przestrzegać. Instytucja finansowa powinna mieć wgląd w te ustalenia, by upewnić się, że w żadnym ogniwie łańcucha nie ma „słabego punktu”.
Reagowanie na incydenty to kolejny kluczowy aspekt. DORA wprowadza obowiązek zgłaszania incydentów ICT do nadzoru w określonym czasie. Aby to było możliwe, dostawcy i ich podwykonawcy muszą szybko przekazywać informacje o incydentach w górę łańcucha. Rozporządzenie 2025/532 wymaga, aby dostawca posiadał odpowiednie mechanizmy raportowania. Dostawca musi zapewnić wewnętrzną strukturę i kontrolę obejmujące zgłaszanie incydentów oraz reakcję na nie. Także instytucja finansowa musi być przygotowana na incydenty związane z podwykonawcami. Powinna mieć plany ciągłości działania na wypadek awarii u dostawcy.
W praktyce menedżerowie powinni upewnić się, że w umowach znalazły się zapisy zobowiązujące dostawcę do natychmiastowego informowania o każdym poważnym incydencie u niego lub u jego podwykonawcy, który może wpłynąć na usługę krytyczną. Warto także przećwiczyć (np. w formie scenariusza) procedurę reakcji na awarię lub wyciek danych u podwykonawcy dostawcy. Należy ustalić, kto kogo informuje, jakie działania podejmujemy i czy mamy plan awaryjny. Art. 4 ust. 1 lit. h rozporządzenia wymaga posiadania tzw. planów awaryjnych (exit planów) oraz gwarantowanych poziomów usług, które muszą spełnić podwykonawcy. Oznacza to, że ciągłość działania musi zostać zachowana nawet, gdy któryś podwykonawca zawiedzie. Na przykład dostawca ma obowiązek szybko przenieść usługę do alternatywnego podwykonawcy lub przejąć ją na siebie, tak aby klienci banku nie odczuli przerwy. Takie mechanizmy zapewnienia ciągłości również powinny być opisane i uzgodnione w łańcuchu umów.
Nowe regulacje bardzo precyzyjnie wskazują, co musi znaleźć się w umowie między instytucją finansową a dostawcą ICT odnośnie podwykonawstwa. Dla kadry zarządzającej oznacza to konieczność bliskiej współpracy z działem prawnym i zakupów, aby istotne klauzule zostały dodane do nowych i istniejących kontraktów (często w formie aneksów). Poniżej podsumowujemy najważniejsze wymagane zapisy umowne wynikające z art. 4 rozporządzenia delegowanego:
Powyższa lista jest długa, ale sprowadza się do jednego: żadna istotna kwestia związana z podwykonawstwem nie może pozostać poza umową. Zarządzający powinni zapytać swoje działy prawne, czy wszystkie te elementy są już uwzględnione w umowach z dostawcami krytycznych usług IT – a jeśli nie, to jak najszybciej podjąć działania, by to uzupełnić (np. poprzez aneksy). Regulacja dopuszcza wprowadzanie niezbędnych zmian w istniejących umowach „w odpowiednim czasie i tak szybko, jak to możliwe”. Jednak nie warto zwlekać – nadzorcy będą oczekiwać konkretów.
Nawet najlepsze środki nadzoru i klauzule umowne nie eliminują ryzyka w 100%. Instytucja finansowa musi mieć prawo do wypowiedzenia umowy z dostawcą IT jako ostateczną „bezpieczną linę”, jeśli sytuacja stanie się nie do zaakceptowania. Rozporządzenie 2025/532 w art. 6 wymienia scenariusze, w których bank powinien móc zerwać umowę z dostawcą bez czekania na długie okresy wypowiedzenia. To kluczowe uprawnienie działa jak „zawór bezpieczeństwa”, pozwalając uchronić się przed dalszym ryzykiem. Kluczowe przypadki to:
Warto podkreślić, że te klauzule działają na korzyść instytucji finansowej. Dają one bankowi narzędzie ochrony, gdy sytuacja staje się groźna. Kadra zarządzająca powinna upewnić się, że umowy z dostawcami zawierają takie zapisy. Zresztą DORA (art. 28 ust. 7) wymaga posiadania planów wyjścia z każdej kluczowej umowy. To znaczy, że trzeba wcześniej przygotować scenariusz na wypadek konieczności szybkiego zakończenia współpracy (np. z powodu poważnych naruszeń lub upadłości dostawcy). Prawo wypowiedzenia jest integralną częścią takiego planu wyjścia. Menedżerowie powinni zadbać, by ich organizacje opracowały alternatywy (zapasowy dostawca, możliwość przeniesienia usługi wewnętrznie itp.). Ponieważ sama klauzula wypowiedzenia w umowie bez przygotowania się na jej użycie może być ryzykowna.
Jeżeli instytucja finansowa jest częścią większej grupy kapitałowej (np. międzynarodowej grupy bankowej), nowe wymogi podwykonawców ICT należy stosować spójnie w całej grupie. Art. 2 rozporządzenia stanowi, że jednostka dominująca odpowiedzialna za sprawozdawczość finansową grupy musi zapewnić jednolite wdrażanie warunków podwykonawstwa we wszystkich podmiotach finansowych grupy. W praktyce oznacza to, że polityka outsourcingu ICT powinna być ujednolicona bez względu na kraj działania spółek (Polska, inne kraje UE czy poza UE). Grupa powinna wyznaczyć minimalne standardy i procedury dotyczące zgód na podwykonawców, klauzul umownych, audytów itp.
To szczególnie ważne, gdy grupa działa globalnie – może się okazać, że w niektórych regionach dotąd dopuszczano szersze podwykonawstwo bez takich obostrzeń. Teraz, aby spełnić wymogi DORA, centrala musi wyrównać poziom. Dotyczy to także sytuacji, gdy w ramach grupy usługi IT świadczy wewnętrzny dostawca (spółka IT należąca do grupy). Jego polityka wobec własnych podwykonawców również musi spełniać te same standardy. Zarząd grupy powinien rozesłać wytyczne do wszystkich oddziałów i spółek zależnych, narzucając jednolite zasady współpracy z dostawcami ICT. Należy także przeprowadzić szkolenia i audyty wewnętrzne, aby upewnić się, że każdy rozumie nowe obowiązki.
Wszystkie powyższe wymagania, choć formalnie skierowane do instytucji finansowych, w praktyce mocno wpływają na firmy świadczące im usługi ICT. Dla dostawców – od największych korporacji chmurowych po mniejszych fintechowych partnerów – oznacza to konieczność dostosowania się do nowych realiów współpracy. Jakie konsekwencje powinni brać pod uwagę dostawcy ICT?
Przede wszystkim, pojawi się większa liczba i szczegółowość klauzul w umowach. Klient z sektora finansowego może przedłożyć do podpisu aneks lub nowy kontrakt zawierający wszystkie wspomniane postanowienia. Od jawnego wskazania podwykonawców, przez obowiązek uzyskania zgody na zmiany. Po prawa audytowe i prawo natychmiastowego rozwiązania umowy. Dostawcy muszą przygotować się na negocjacje tych zapisów. Ci, którzy liczyli na zachowanie pełnej kontroli nad swoim łańcuchem dostaw i niechętnie dzielili się informacjami, mogą odczuć dyskomfort. Alternatywą jest jednak utrata kontraktów, ponieważ instytucje finansowe nie będą mogły tolerować braku zgodności z DORA. Już teraz wiele banków zgłasza opór globalnych gigantów chmurowych wobec dostosowania umów. Jednak unijne regulacje są tu rygorystyczne: jeśli dostawca nie ustąpi, nadzór może uznać taką współpracę za zbyt ryzykowną.
Po drugie, dostawcy ICT muszą usprawnić własne procesy due diligence i nadzoru nad swoimi podwykonawcami. Rozporządzenie wymaga, aby dostawca miał zdolność wyboru i oceny swoich partnerów pod kątem stabilności operacyjnej, finansowej i bezpieczeństwa. Oznacza to m.in. konieczność regularnych ocen ryzyka podwykonawców, audytów bezpieczeństwa u nich oraz monitorowania wskaźników wydajności. Dostawcy powinni zainwestować w odpowiednie zasoby (kadrowe i narzędziowe) do zarządzania swoim łańcuchem dostaw. Tak aby móc przedstawić instytucji finansowej rzetelne informacje i zapewnienia. Jeśli np. fintech korzysta z usług czterech różnych podwykonawców IT. Powinien wyznaczyć dedykowaną osobę lub zespół nadzorujący tych partnerów i współpracujący z zespołem ryzyka klienta (banku).
Po trzecie, dostawcy muszą liczyć się z audytami i wizytacjami. Instytucja finansowa (np. bank) może zapowiedzieć kontrolę, a organ nadzoru może zażądać dostępu do informacji. I to nie tylko u samego dostawcy, ale także u jego kluczowych podwykonawców. Dostawca ICT powinien zatem uprzedzić swoich partnerów biznesowych, że takie sytuacje są możliwe. Zawrzeć z nimi odpowiednie porozumienia (np. umożliwiające audytorom banku dostęp do ich obiektów). Dzięki temu uniknie się chaosu podczas faktycznego audytu – każdy będzie wiedział, jakie ma obowiązki.
Wreszcie, dostawcy powinni traktować nowe wymagania nie tylko jako obowiązek, ale też jako szansę. Ci, którzy proaktywnie dostosują się do DORA, zyskają przewagę konkurencyjną na rynku finansowym. Instytucje będą wolały współpracować z firmami, które gwarantują pełną przejrzystość, wysoki standard bezpieczeństwa oraz sprawne zarządzanie ciągłością działania. To buduje zaufanie. Jak zauważają komentatorzy, dobrze przygotowane instytucje finansowe i ich partnerzy mogą dzięki temu nie tylko zapewnić zgodność, ale także zwiększyć odporność operacyjną. Ograniczyć ryzyko systemowe oraz poprawić jakość współpracy na linii biznes–dostawca. Innymi słowy, spełnienie regulacji może przynieść korzyści obu stronom. Bank staje się bezpieczniejszy, a dostawca zyskuje opinię solidnego i godnego zaufania.
Kadra zarządzająca wyższego i średniego szczebla instytucji finansowych powinna aktywnie działać, aby wdrożyć powyższe wymagania. Oto plan działania w pigułce – co warto zrobić, nawet jeśli nie znamy wszystkich szczegółów prawnych:
Na koniec warto podkreślić pozytywny aspekt. Choć wdrożenie tych zmian może wydawać się pracochłonne, w dłuższej perspektywie zwiększy odporność firmy na wstrząsy technologiczne. Lepsza wiedza o łańcuchu dostaw ICT oznacza mniej niespodzianek. Jasne zasady z dostawcami to mniej sporów i przerzucania odpowiedzialności. Szybka reakcja na incydenty przekłada się na mniejsze straty w razie kryzysu. Regulacje wymuszają dobre praktyki, które wielu innowacyjnych menedżerów chciało wprowadzić od dawna. Teraz to nie tylko kwestia chęci, ale obowiązek – który nam wszystkim wyjdzie na dobre.