Jeżeli twoja organizacja świadczy usługi z zakresu cyfrowych technologii informacyjno-komunikacyjnych (ICT) dla podmiotów finansowych, to prawdopodobnie już słyszałeś o rozporządzeniu DORA. A czy dostałeś już wielostronicowy aneks, z licznymi oświadczeniami o zgodności z wszelkimi możliwymi wymyślonymi już – a czasem i nie – normami?
Zgodnie z DORA, o którym szerzej piszemy tutaj: Prawo nowych technologii. Co to jest DORA i kogo dotyczy?, na potrzeby zarządzania ryzykiem podmioty finansowe utrzymują i aktualizują rejestry informacji. Rejestry obejmują postanowienia umowne dotyczące korzystania z usług ICT. Ustalenia umowne muszą być odpowiednio udokumentowane, z rozróżnieniem na ustalenia, które obejmują usługi ICT wspierające krytyczne lub istotne funkcje.
Usługi ICT wspierające krytyczne lub istotne funkcje – czyli jakie?
Krytyczna lub istotna funkcja to taka, której:
1. zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu; lub
2. zaprzestanie, wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków.
Przed zawarciem umowy podmioty finansowe oceniają, czy dane ustalenie umowne dotyczy korzystania z usług ICT wspierających krytyczną lub istotną funkcję.
Forma umowy
Umowa musi być zawarta w jednym dokumencie pisemnym i dostępna dla stron w wersji papierowej lub w dokumencie w innym formacie umożliwiającym pobieranie, zapewniającym trwałość i dostęp.
Najważniejsze postanowienia umowne – ogólnie
Umowa świadczenia usług ICT musi w każdym przypadku zawierać co najmniej:
1. opis funkcji i usług ICT, ze wskazaniem podwykonawstwa;
2. region lub kraj, w którym mają być świadczone usługi ICT oraz przetwarzane dane;
3. postanowienia dotyczące dostępności, autentyczności, integralności i poufności;
4. postanowienia dotyczące zapewnienia dostępu, odzyskiwania i zwrotu w określonych przypadkach;
5. opisy gwarantowanych poziomów usług;
6. obowiązek zapewnienia pomocy, bez dodatkowych opłat lub za opłatą określoną ex ante;
7. obowiązek pełnej współpracy;
8. prawo do wypowiedzenia umowy;
9. warunki uczestnictwa dostawców usług ICT w programach i szkoleniach.
Najważniejsze postanowienia umowne – usługi ICT wspierające krytyczne lub istotne funkcje
Dla usług ICT wspierających krytyczne lub istotne funkcje, umowa musi dodatkowo zawierać:
1. opis gwarantowanych poziomów usług, wraz z dokładnymi ilościowymi i jakościowymi celami;
2. obowiązki sprawozdawcze;
3. wymogi w zakresie wdrażania i testowania planów awaryjnych oraz posiadania środków, narzędzi i polityk w zakresie bezpieczeństwa ICT;
4. obowiązek uczestnictwa w TLPT podmiotu finansowego;
5. prawo do monitorowania na bieżąco wyników;
6. strategie wyjścia i ustanowienie obowiązkowego odpowiedniego okresu przejściowego.
Zmiany w aktualnie obowiązujących umowach
Zapewnienie zgodności z przepisami DORA wiąże się z wyzwaniami umownymi i operacyjnymi. Należyte dostosowania organizacji powinno obejmować przegląd posiadanych przez organizację umów świadczenia usług ICT na rzecz podmiotów finansowych i ich stosowne aneksowanie.
Jeśli nie masz pewności, czy oczekiwane przez kontrahenta zmiany do umowy są niezbędne lub potrzebujesz wsparcia w dostosowaniu się do regulacji DORA – zachęcamy do kontaktu: https://gsw.com.pl/kontakt
Łukasz Rabiak, prawnik w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy Adwokaci i Radcowie Prawni.