Cyberbezpieczeństwo
Definicja usługi ICT w kontekście wdrożenia rozporządzenia DORA
Prawidłowe zdefiniowanie usługi ICT w rozumieniu DORA ma istotne znaczenie z uwagi na koszty, jakie musi ponieść każda organizacja, która zostanie objęta wymaganiami tego rozporządzenia.
- Propozycję interpretacji definicji usługi ICT odnosząca się do art. 3 pkt 21 DORA (Digital Operational Resilience Act lub Rozporządzenie) oraz Załącznika III ITS dot. rejestru ustaleń umownych.
- Przykłady oceny umów, które mogą budzić wątpliwości, czy daną umowę/współpracę należy klasyfikować jako usługę ICT w rozumieniu DORA – umowy: EULA, pośrednictwa finansowego oraz consultingu.
Nowe regulacja obejmują podmioty finansowe, które są bezpośrednimi adresatami rozporządzenia na podstawie art. 2 ust. 1 DORA oraz ich partnerów biznesowych, m.in. pośredników ubezpieczeniowych i kredytowych, dostawców oprogramowania czy firmy doradcze.
Wydatki, jakie będzie musiała ponieść organizacja mogą wynikać np. z konieczności przeprowadzenia szkoleń w zakresie korzystania z usługi, audytu lub utrzymywania i aktualizacji rejestru umów. Koszty operacyjne podniesie ponadto aneksowanie umów oraz utrzymywanie rejestru umów zgodnie z wymogami DORA oraz aktów wykonawczych. Z tego względu kluczowe jest zapewnienie zgodności regulacyjnej przy jednoczesnym ograniczeniu obciążenia finansowego po stronie instytucji finansowej oraz dostawców usług.
Kontekst regulacyjny
Rozporządzenie DORA zacznie obowiązywać 17 stycznia 2025 r. Podmioty finansowe wymienione w art. 2 ust. 1 DORA będą musiały od tego dnia zapewnić zgodności działania z rozporządzeniem, które będzie bezpośrednio stosowane i nie wymaga krajowych aktów implementujących.
Wymogi DORA będą obejmowały m.in. umowy pomiędzy instytucjami finansowymi i ich partnerami biznesowymi. To czy dana umowa podlega wymogom DORA zależy od zakwalifikowania danej umowy, współpracy jako usługi ICT w rozumieniu DORA.
Klasyfikacja współpracy jako usługi ICT w rozumieniu DORA wiąże się z koniecznością stosowania szeregu obowiązków wynikających bezpośrednio z rozporządzenia lub aktów prawnych wydanych na podstawie DORA. Obowiązki te wynikają m.in. z wymagań dotyczących umów wynikających z art. 28 ust. 7 i 30 DORA – ITS dotyczącego rejestru ustaleń umownych oraz RTS dotyczącego podoutsourcingu funkcji krytycznej lub istotnej.
Wdrożenie wymagań Rozporządzenia wpłynie na koszty działalności operacyjnej instytucji finansowych oraz ich partnerów biznesowych, także tych oferujących swoje usług jako dostawcy wewnętrzni w ramach grupy kapitałowej. Dostawcy usług choć nie będą objęci bezpośrednim stosowaniem DORA, to jednak z uwagi na współpracę z instytucjami finansowymi powinni wziąć pod uwagę to, że banki lub zakłady ubezpieczeń będą np. oczekiwały od nich spełnienia wymogów umownych wynikających z DORA – RTS dotyczących podoutsourcingu funkcji krytycznych lub istotnych, ITS dotyczących rejestru ustaleń umownych.
Propozycja interpretacji przepisów DORA
W rozumieniu przepisów DORA usługą ICT jest ta, która:
- wypełnia wymogi definicji usługi ICT w art. 3 pkt 21 DORA,
- podpada pod jedną z usług z katalogu usług wymienionych w załączniku III do ITS dot. rejestru ustaleń umownych.
Zgodnie zaś z art. 3 pkt 21 DORA usługa ICT to:
- usługa cyfrowa i usługa w zakresie danych,
- świadczona w sposób ciągły,
- za pośrednictwem systemów ICT łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej,
- na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego.
W mojej ocenie usługą ICT w rozumieniu DORA, jest usługa która spełnia jednocześnie wszystkie cztery warunki oraz jest wymieniona w katalogu usług wymienionych w załączniku III do ITS dot. rejestru ustaleń umownych.
Załącznik III do ITS zawiera rozbudowany katalog 19 usług, jak np. usługi chmurowe (SaaS, PaaS, IaaS), consultingu, przechowywania danych, analizę danych czy licencjonowanie oprogramowania.
Przedmiot umowy a usługa ICT w rozumieniu DORA – umowy licencyjne, umowy pośrednictwa ubezpieczeniowego i kredytowego
Na tle przepisów rozporządzenia powstały wątpliwości interpretacyjne, jak kwalifikować np. umowy licencyjne/EULA lub umowy instytucji finansowych z agentami ubezpieczeniowymi lub pośrednikami kredytowymi. W mojej ocenie, w celu klasyfikacji umów w kontekście wymogów DORA każdą współpracę pomiędzy instytucją finansową a usługodawcą należy również oceniać przez pryzmat przedmiotu umowy i celu zawarcia umowy.
DORA powinna regulować typowe umowy ICT, a nie umowy których przedmiotem i głównym celem nie jest świadczenie usługi ICT. Zakresem zastosowania rozporządzenia nie powinny być objęte usługi pośrednictwa finansowego lub zapewnienie prawa do korzystania z oprogramowania. Do takiego wniosku skłania treść wybranych motywów DORA oraz pośrednio brzmienie przepisu art. 30 DORA – stosowanie niektórych wymogów umownych DORA do kategorii umów stricte prawnoautorskich lub usług pośrednictwa finansowego jest niecelowe i może być utrudnione.
Przykłady kwalifikacji wybranych usług jako usług ICT w rozumieniu DORA
Dla celu artykułu przyjąłem, że współpraca pomiędzy instytucją finansową a dostawcą usług: ma charakter ciągły, włączając w to z góry i obiektywnie dające się przewidzieć świadczenie usługi. Dodatkowo przyjąłem, że usługa jest świadczona dla użytkownika wewnętrznego lub zewnętrznego np. dla instytucji finansowej z grupy kapitałowej.
Biorąc te założenia pod uwagę, poniżej prezentuję ocenę wybranych typów umów, które budzą lub mogą budzić wątpliwości interpretacyjne w świetle DORA.
- Umowy dotyczące pośrednictwa finansowego np. ubezpieczeniowego lub kredytowego – tego typu umowy nie powinny być kwalifikowane jako usługa ICT w rozumieniu DORA, o ile przedmiotem celem takich umów jest pośrednictwo finansowe.
- Umowy na korzystanie z oprogramowania/EULA – tego typu umowy nie powinny być klasyfikowane jako usługa ICT w rozumieniu DORA, o ile ich przedmiotem i celem jest zapewnienie prawa do korzystania z oprogramowania i umowa ma charakter stricte prawnoautorski.
- Umowy consultingu ICT/usługi doradztwa prawnego – tego typu umowy nie powinny być zakwalifikowane jako usługa ICT w rozumieniu rozporządzenia, o ile umowa/współpraca nie przewiduje dostępu dostawcy usługi do danych instytucji finansowej i jej celem jest consulting a nie samo świadczenie usługi cyfrowej i w zakresie danych.
- Umowy dot. body leasingu IT – tego typu umowy powinny być zakwalifikowane jako usługa ICT, o ile osoby świadczenie usług wiąże się z przetwarzaniem danych instytucji finansowej.
- Umowy dot. dostarczania informacji rynkowych – tego typu umowy nie powinny być zakwalifikowane jako usługa ICT w rozumieniu Rozporządzenia, o ile umowa/współpraca przewiduje tylko dostarczanie informacji rynkowych oraz dostarczanie informacji rynkowych jest celem umowy.
Zaproponowana ocena wybranych usług ma charakter poglądowy i nie może zastąpić każdorazowej analizy.
Jednak zaproponowane podejście może stanowić punkt wyjścia do dokonania kwalifikacji przez instytucje finansową.
Marek Dzięciołowski, adwokat