Povinný reporting i nový obsah smluv. Nařízení DORA mění pravidla outsourcingu pro finanční instituce

Tereza Davidová

Filip Kolařík

PRÁVNÍ SERVIS | Pro finanční instituce a poskytovatele služeb v oblasti informačních a komunikačních technologií přichází období významných změn. V polovině ledna vešlo v platnost nové nařízení o digitální provozní odolnosti finančního sektoru známé pod zkratkou DORA (z anglického Digital Operational Resilience Act). Stanovené finanční subjekty jsou povinny zohlednit nové povinnosti, které nařízení DORA přináší, nejpozději k polovině ledna 2025. Změny se promítnou mimo jiné také v regulaci řízení rizik spojeného se třetími stranami, respektive obecně v regulaci spolupráce finančních subjektů se třetími stranami poskytujícími služby v oblasti informačních a komunikačních technologií. Co přesně nařízení DORA přináší a jak se na tyto novinky připravit?

Co je to nařízení DORA?

Nařízení DORA (nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně vybraných nařízení) je novou přímo účinnou evropskou regulací harmonizující pravidla v oblasti digitální provozní odolnosti v rámci finančního sektoru. Nařízení zavádí jednotný soubor regulatorních a dohledových pravidel pro provozní odolnost informačních a komunikačních technologií finančních subjektů.

Zajištění souladu s novými pravidly bude vyžadovat, aby finanční subjekty provedly významné investice do zlepšení odolnosti vůči digitálním a kybernetickým rizikům. Řízení rizik spojených se třetími stranami, respektive obecně regulace spolupráce finančních subjektů se třetími stranami poskytujícími služby v oblasti informačních a komunikačních technologií, je jednou z oblastí, na kterou se nová pravidla vztahují.

Nařízení vstoupilo v platnost 16. ledna 2023 a účinným se stane 17. ledna 2025. Finanční subjekty, které spadají nejen do působnosti nařízení DORA, ale i do působnosti směrnice NIS2, která byla přijata koncem roku 2022 a upravuje obecné požadavky na kybernetickou bezpečnost, se budou řídit primárně nařízením DORA, které je pro finanční subjekty speciálním právním předpisem.

Revize interních pravidel souvisejících s řízením rizik a vnitřním řídicím a kontrolním systémem, příprava na nový reporting dohledovým orgánům a renegociace smluvních ujednání s třetími stranami, které finančnímu subjektu poskytují služby v oblasti informačních a komunikačních technologií. To budou první a zásadní kroky, které budou muset finanční subjekty uskutečnit v rámci zajištění souladu s nařízením DORA v oblasti řízení rizik v oblasti informačních a komunikačních technologií spojeného se třetími stranami. Je na místě podotknout, že nařízení DORA se použije na širší okruh vztahů než dosavadní regulace outsourcingu.

Nařízení DORA bude mít dopad nejen na finanční subjekty, ale i na některé externí poskytovatele, pokud budou klasifikovaní jako kritičtí poskytovatelé nebo poskytovatelé zásadní nebo důležité informační a komunikační služby. Zatímco kritičtí poskytovatelé budou určeni přímo evropskými orgány dohledu, a to z důvodu jejich důležitosti pro celý finanční sektor v Evropské unii, posouzení, zda je služba informačních a komunikačních technologií významnou, bude probíhat vždy ve vztahu konkrétního finančního subjektu a externího poskytovatele.

Přínos a dopad nového nařízení DORA

Právní úprava outsourcingu činností, které finanční subjekty zajištují za využití u třetích stran, byla doposud poměrně nejednotná a byla typicky zahrnuta v jednotlivých sektorových právních předpisech. Výklad těchto povinností pak nabízí obecné pokyny jednotlivých sektorových orgánů dohledu (např. Obecné pokyny Evropského orgánu pro bankovnictví [EBA] k outsourcingu, Obecné pokyny Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění [EIOPA] k outsourcingu u poskytovatelů cloudových služeb nebo Výkladové stanovisko České národní banky k využívání cloud computingu úvěrovými institucemi).

Nařízení DORA dosavadní povinnosti zohledňuje, harmonizuje je napříč finančním sektorem a zároveň je rozšiřuje, a to zejména co do povinností spojených s posuzováním rizik spojených se třetími stranami a požadavků na smluvní ujednání s externími poskytovateli.

Interní systém řízení rizik

Zavedení a udržování funkčního interního systému pro řízení rizik vyplývajících z outsourcingu služeb informačních a komunikačních technologií je primární odpovědností vedoucího orgánu. Ten by měl zajistit vytvoření systému, který je proporcionální velikosti a obchodní činnosti finančního subjektu a zároveň zohledňuje povahu externě zajišťovaných služeb. Z tohoto hlediska je zejména důležité posouzení, zda je taková služba informačních a komunikačních technologií významná pro činnost finančního subjektu, neboť od toho se odvíjí rozsah požadavků na řízení souvisejících rizik.

Co se týče konkrétních povinností, finanční subjekty by měly zejména vypracovat strategii pro řízení rizik třetích stran, vést související registr informací obsahující evidenci smluvních ujednání se třetími stranami ve stanoveném formátu a pravidelně reportovat nové smlouvy s externími poskytovateli orgánům dohledu. Ve vztahu k významným službám informačních a komunikačních technologií pak budou mít finanční subjekty rovněž povinnost předběžně notifikovat orgány dohledu o plánovaném uzavření smlouvy se třetí stranou. 

Nařízení DORA dále předpokládá, že finanční subjekty budou poskytovatele služeb informačních a komunikačních technologií prověřovat, a to před navázáním spolupráce, i v jejím průběhu. Mimo jiné se budou muset zaměřit na prověřování plnění bezpečnostních norem u externích poskytovatelů a zavést např. strategii ukončení smluvního vztahu. Ta musí zajistit, že v důsledku ukončení smluvního vztahu s poskytovatelem významných služeb informačních a komunikačních technologií nebude ohrožena činnost finančního subjektu a plnění regulatorních požadavků nebo nedojde ke zhoršení kvality služeb poskytovaných klientům v přechodném období. Finanční subjekty v rámci strategie musí rovněž zhotovit plán přechodu k alternativnímu externímu poskytovateli či zajištění vlastního poskytování příslušných služeb, přičemž tento plán musí být průběžně aktualizován. Bude tedy povinností finanční subjektů sledovat nejen činnost a ekonomickou situaci stávajících externích poskytovatelů, ale rovněž monitorovat trh pro případ nutnosti přechodu k jinému poskytovateli. Dále by měly finanční subjekty stanovit podmínky a četnost auditů poskytovatelů služeb informačních a komunikačních technologií.

V rámci interního řízení rizik budou finanční subjekty povinny předběžně posuzovat přínosy a rizika zajišťování významných služeb informačních a komunikačních technologií třetími stranami, a to z hlediska potenciální nahraditelnosti externího poskytovatele a koncentrace vícero významných služeb informačních a komunikačních technologií u jednoho externího poskytovatele nebo u jedné skupiny úzce propojených poskytovatelů. Finanční subjekty, které jsou součástí skupiny, budou povinny provádět analýzu a přezkum rizik také z hlediska celé skupiny. V důsledku výše uvedeného tedy bude nejspíše otázkou aplikační praxe, jak se budou orgány dohledu stavět ke zdůvodnění a prokázání dostatečné digitální odolnosti obchodních modelů, u kterých bude většina významných služeb informačních a komunikačních technologií zajišťována prostřednictvím jediného externího poskytovatele.

Finanční subjekty budou rovněž povinny sledovat, zda případné sub-dodavatelské řetězce u externích poskytovatelů významných služeb informačních a komunikačních technologií nevedou do zemí mimo Evropskou unii, zda svou délkou či složitostí nepředstavují riziko z hlediska poskytování sjednaných služeb nebo zda nenarušují efektivní dohled nad tímto poskytováním.

Minimální smluvní ustanovení

Nařízení DORA rovněž uvádí výčet minimálních smluvních ustanovení, která mají být součástí smluv s externími poskytovateli služeb informačních a komunikačních technologií. Součástí těchto smluv musí být obvyklá ustanovení jako jsou přesný popis poskytovaných služeb, místo, kde budou služby poskytovány, a způsob zajišťování ochrany dat poskytnutých finančním subjektem. Rovněž však musí tyto smlouvy obsahovat povinnost externího poskytovatele poskytnout součinnost orgánům dohledu nebo právo finančního subjektu smlouvu vypovědět či od ní odstoupit z důvodů stanovených nařízením. Mezi tyto důvody patří např. zásadní porušení právních předpisů či smlouvy externím poskytovatelem nebo podstatná změny okolností či zjištění slabé úrovně ochrany dat na straně externího poskytovatele.

Výčet smluvních ustanovení je dále rozšířen o dodatečné klauzule, pokud se smlouva týká významných služeb informačních a komunikačních technologií. V rámci těchto smluv musí být stanoveny kvalitativní a kvantitativní cíle pro měření kvality služeb externího poskytovatele a poskytovatel bude ze smluv povinen podílet se na penetračním testování, což je další oblast upravená nařízením DORA.

Zavedení výčtu smluvních ustanovení v samotném nařízení DORA nepochybně zvětšuje tlak na jejich začlenění do smluv o externím zajišťování informačních a komunikačních služeb u finančních subjektů, na druhou stranu jim poskytuje konkrétní oporu při negociaci těchto smluv s externími poskytovateli. Způsob, jak mají být služby ve smlouvách s externími poskytovateli významných služeb informačních a komunikačních technologií popsány, bude upřesněn prováděcím předpisem, který by měl být zveřejněn Evropskou komisí v první polovině roku 2024.

Jak již bylo zmíněno, nové povinnosti se budou vztahovat rovněž na kritické externí poskytovatele služeb informačních a komunikačních technologií, jejichž činnost má systémový dopad na finanční sektor v Evropské unii. Součástí nařízení DORA je totiž rovněž úprava dohledu nad těmito poskytovateli ze strany evropských orgánů dohledu.

Jak se na nařízení DORA připravit?

Finanční subjekty i externí poskytovatelé služeb informačních a komunikačních technologií by se měli připravit na to, že po vstupu nařízení DORA v účinnost na počátku roku 2025 bude nastavení řízení rizik spojeného se třetími stranami opět předmětem kontrol ze strany orgánů dohledu. Z tohoto důvodu je vhodné nepodcenit přípravu a zahájit revizi interního systému a smluvní dokumentace v dostatečném předstihu, neboť proces revize bude probíhat v řádech týdnů či měsíců. Současně je vhodné připomenout, že adekvátní nastavení řízení rizik souvisejících s třetími stranami je vhodné nejen z hlediska plnění požadavků regulace, ale také z důvodu zajištění bezproblémové činnosti finančního subjektu a předcházení finančním ztrátám či případným soudním sporům.

Deloitte Legal

Autorky článku jsou Tereza Davidová a Filip Kolařík z advokátní kanceláře Deloitte Legal, která je partnerem rubriky Právní servis na INFO.CZ a garantem oblastí právo životního prostředí a digitální právo.

sinfin.digital