Baza wiedzy

2024-09-24

DORA. Najważniejsze postanowienia umowne – czyli jakie?

Jeżeli twoja organizacja świadczy usługi z zakresu cyfrowych technologii informacyjno-komunikacyjnych (ICT) dla podmiotów finansowych, to prawdopodobnie już słyszałeś o rozporządzeniu DORA. A czy dostałeś już wielostronicowy aneks, z licznymi oświadczeniami o zgodności z wszelkimi możliwymi wymyślonymi już – a czasem i nie – normami?


Zgodnie z DORA, o którym szerzej piszemy tutaj: Prawo nowych technologii. Co to jest DORA i kogo dotyczy?, na potrzeby zarządzania ryzykiem podmioty finansowe utrzymują i aktualizują rejestry informacji. Rejestry obejmują postanowienia umowne dotyczące korzystania z usług ICT. Ustalenia umowne muszą być odpowiednio udokumentowane, z rozróżnieniem na ustalenia, które obejmują usługi ICT wspierające krytyczne lub istotne funkcje.


Usługi ICT wspierające krytyczne lub istotne funkcje – czyli jakie?

Krytyczna lub istotna funkcja to taka, której:

1. zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu; lub

2. zaprzestanie, wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków.

Przed zawarciem umowy podmioty finansowe oceniają, czy dane ustalenie umowne dotyczy korzystania z usług ICT wspierających krytyczną lub istotną funkcję.


Forma umowy

Umowa musi być zawarta w jednym dokumencie pisemnym i dostępna dla stron w wersji papierowej lub w dokumencie w innym formacie umożliwiającym pobieranie, zapewniającym trwałość i dostęp.

Najważniejsze postanowienia umowne – ogólnie

Umowa świadczenia usług ICT musi w każdym przypadku zawierać co najmniej:

 1. opis funkcji i usług ICT, ze wskazaniem podwykonawstwa;

 2. region lub kraj, w którym mają być świadczone usługi ICT oraz przetwarzane dane;

 3. postanowienia dotyczące dostępności, autentyczności, integralności i poufności;

4. postanowienia dotyczące zapewnienia dostępu, odzyskiwania i zwrotu w określonych przypadkach;

 5. opisy gwarantowanych poziomów usług;

 6. obowiązek zapewnienia pomocy, bez dodatkowych opłat lub za opłatą określoną ex ante;

 7. obowiązek pełnej współpracy;

 8. prawo do wypowiedzenia umowy;

 9. warunki uczestnictwa dostawców usług ICT w programach i szkoleniach.


Najważniejsze postanowienia umowne – usługi ICT wspierające krytyczne lub istotne funkcje

Dla usług ICT wspierających krytyczne lub istotne funkcje, umowa musi dodatkowo zawierać:

1. opis gwarantowanych poziomów usług, wraz z dokładnymi ilościowymi i jakościowymi celami;

2. obowiązki sprawozdawcze;

3. wymogi w zakresie wdrażania i testowania planów awaryjnych oraz posiadania środków, narzędzi i polityk w zakresie bezpieczeństwa ICT;

4. obowiązek uczestnictwa w TLPT podmiotu finansowego;

5. prawo do monitorowania na bieżąco wyników;

6. strategie wyjścia i ustanowienie obowiązkowego odpowiedniego okresu przejściowego.


Zmiany w aktualnie obowiązujących umowach

Zapewnienie zgodności z przepisami DORA wiąże się z wyzwaniami umownymi i operacyjnymi. Należyte dostosowania organizacji powinno obejmować przegląd posiadanych przez organizację umów świadczenia usług ICT na rzecz podmiotów finansowych i ich stosowne aneksowanie.

Jeśli nie masz pewności, czy oczekiwane przez kontrahenta zmiany do umowy są niezbędne lub potrzebujesz wsparcia w dostosowaniu się do regulacji DORA – zachęcamy do kontaktu: https://gsw.com.pl/kontakt  


Łukasz Rabiak, prawnik w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy Adwokaci i Radcowie Prawni.