Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog
  • EN
  • PL
    • Wizards
    Umów się na rozmowę
    Umów się na rozmowę

    Zarządzanie outsourcingiem ICT: łańcuch podwykonawców pod lupą DORA

    DORA Outsourcing ICT Wizards

    Outsourcing ICT i nowe obowiązki wynikające z DORA

    Outsourcing ICT wspierający krytyczne lub istotne funkcje operacyjne stanowi dziś jeden z najbardziej złożonych i newralgicznych obszarów w ramach zgodności z rozporządzeniem DORA. Choć sektor finansowy korzysta z zewnętrznych dostawców IT od lat, to dopiero teraz musi objąć skutecznym nadzorem nie tylko głównego usługodawcę, ale także całą sieć podwykonawców – w tym dostawców infrastruktury, integratorów, firmy fintech czy hyperscalerów spoza UE.

    Największe wyzwania według działów compliance

    Eksperci compliance zwracają uwagę na szereg powtarzających się trudności. Jedną z nich jest brak przejrzystości i widoczności ustaleń między kolejnymi podmiotami w łańcuchu dostaw. Skomplikowana struktura relacji między usługodawcami ICT sprawia, że skuteczny nadzór nad wszystkimi uczestnikami procesu bywa ograniczony.

    Wiele instytucji finansowych zmuszonych jest do renegocjacji obowiązujących umów z dostawcami, by uwzględnić nowe wymagania regulacyjne. Często jednak spotykają się one z ograniczoną otwartością partnerów – zwłaszcza globalnych dostawców chmurowych, których przewaga negocjacyjna znacznie utrudnia osiągnięcie porozumienia.

    Problemem okazuje się również stosowanie checklistowego podejścia do due diligence, w którym odpowiedzi są powierzchowne i niepoparte rzeczywistą analizą ryzyka. W takich sytuacjach istnieje ryzyko pozornego zapewnienia zgodności bez realnej kontroli nad bezpieczeństwem i jakością usług.

    Outsourcing ICT

    Organizacje muszą również zbudować systemy wczesnego ostrzegania. Systemy, które pozwolą na szybką ocenę wpływu zmian w łańcuchu podwykonawców na ciągłość działania i profil ryzyka całej instytucji. W grupach kapitałowych działających na wielu rynkach pojawia się dodatkowo wyzwanie związane z rozbieżnościami w stosowanych politykach podwykonawstwa, zwłaszcza poza terytorium UE.

    RTS 2025/532: konkretne wymagania dla instytucji finansowych

    W odpowiedzi na te wyzwania Komisja Europejska opublikowała Rozporządzenie Delegowane 2025/532, w którym określiła techniczne standardy regulacyjne (RTS) dotyczące outsourcingu ICT i zarządzania podwykonawcami. W art. 5 ust. 1 wskazano:

    „Instytucje finansowe powinny wdrożyć ramy zarządzania ryzykiem operacyjnym, obejmujące cały łańcuch podwykonawców związanych z funkcjami ICT, niezależnie od ich lokalizacji i poziomu zależności.”

    Regulacja podkreśla, że instytucja finansowa nie może przenieść odpowiedzialności za zgodność – nawet jeśli usługi ICT są zlecane dalej. Przed podpisaniem nowej umowy (lub aneksowaniem istniejącej) konieczne jest przeprowadzenie gruntownego due diligence, które uwzględni zdolności techniczne, finansowe i bezpieczeństwa każdego podwykonawcy.

    Dodatkowo należy prowadzić dokładny rejestr wszystkich podmiotów w łańcuchu dostaw, monitorować ich działania oraz oceniać poziom ryzyka związanego z ich działalnością, zwracając uwagę na zasięg geograficzny oraz złożoność relacji. Co istotne, zgodnie z art. 6 ust. 3:

    „Instytucje nadzorowane powinny zawrzeć w umowach outsourcingowych postanowienia dotyczące prawa do audytu, wymogów sprawozdawczości oraz warunków wypowiedzenia umowy w przypadku wystąpienia ryzyka przekraczającego akceptowalne poziomy.”

    Oznacza to konieczność uwzględnienia w umowach precyzyjnych klauzul o dopuszczalności podwykonawstwa, Również obowiązku informowania o zmianach, prawie sprzeciwu oraz możliwości rozwiązania umowy.

    Dla podmiotów dominujących działających w strukturze grupy kapitałowej szczególnie ważne jest zapewnienie spójności polityk outsourcingu ICT w całej organizacji – również poza granicami UE. Oznacza to ujednolicenie zasad współpracy z dostawcami. Dodatkowo wdrażanie wspólnych procedur oraz prowadzenie szkoleń i audytów wewnętrznych w celu zagwarantowania zgodności z wymogami DORA.

    Co powinni zrobić compliance managerowie?

    Zespoły compliance muszą działać szybko i zdecydowanie. Przegląd obowiązujących polityk outsourcingowych powinien być połączony z mapowaniem całego łańcucha dostaw, identyfikacją kluczowych punktów ryzyka oraz aktualizacją zapisów umownych.

    Szczególną uwagę należy zwrócić na dostawców spoza UE, podmioty posiadające dominującą pozycję negocjacyjną oraz operatorów infrastruktury chmurowej. Odpowiednio przygotowane instytucje będą mogły nie tylko zapewnić zgodność z DORA. Także zwiększyć odporność operacyjną, ograniczyć ryzyko systemowe i poprawić jakość współpracy z zewnętrznymi usługodawcami.

    W erze coraz większej cyfryzacji i globalizacji, właściwe zarządzanie outsourcingiem ICT staje się jednym z kluczowych filarów bezpieczeństwa sektora finansowego.

    Wsparcie Wizards w zarządzaniu outsourcingiem ICT

    Zespół Wizards wspiera organizacje w ocenie ryzyk związanych z outsourcingiem ICT. W przygotowaniu zgodnych z RTS umów oraz tworzeniu mechanizmów kontroli i raportowania. Jeśli potrzebujesz praktycznego wsparcia – odezwij się.