Czy DORA utrudni współpracę na linii biznes a Software House?

O DORA, czyli Digital Operation Resilience Act pisaliśmy już we wcześniejszym wpisie: „Uwaga, nadchodzi DORA. Czy wstrząśnie sektorem finansowym?”, gdzie przybliżaliśmy największe zmiany, jakie rozporządzenie wprowadzi w zakresie funkcjonowania europejskich instytucji finansowych (oraz dostawców usług ICT, nawet jeżeli ich siedziby znajdują się poza UE). Warto jednak pójść o krok dalej i zastanowić się, jak nowe przepisy wpłyną na współpracę między branżą finansową a firmami technologicznymi (w tym Software House’ami). Czy już teraz ktokolwiek może powiedzieć, że jest gotowy na nadejście DORA i jak to ewentualnie zweryfikować?

Na wstępie chcielibyśmy zaznaczyć, że jednym z założeń DORA jest regulacja polityki i przepisów dotyczących ICT na poziomie Unii Europejskiej. Wynika to z niespójności wymogów prawnych pomiędzy państwami członkowskimi, co naraża instytucje finansowe (działające transgranicznie) na ryzyko związane z koniecznością uwzględniania wielu odmiennych regulacji w tym zakresie. Z tego też powodu sytuacja wyjściowa względem DORA będzie różnić się w zależności od kraju i jego wewnętrznych przepisów. Poniższy tekst pisany jest głównie z perspektywy Polski i może częściowo nie oddawać rzeczywistości naszych europejskich sąsiadów (w tym Wielkiej Brytanii, która opuściła UE, ale dalej wiele instytucji finansowych współpracuje z jej wewnętrznymi podmiotami).

Są jednak elementy wspólne i uniwersalne dla każdego państwa członkowskiego oraz firm spoza UE, które w przyszłości będą chciały prowadzić interesy na terenie Europy. Dlatego zapraszamy do czytania i dzielenia się własną perspektywą na naszym LinkedIn.

Artykuł szczególnie ważny z perspektywy:

Instytucji kredytowych, płatniczych i pieniądza elektronicznego; dostawców usług w zakresie kryptoaktywów i ich emitentów, emitentów tokenów powiązanych z aktywami, centralnych depozytów papierów wartościowych, zakładów ubezpieczeń i reasekuracji, dostawców usług finansowania społecznościowego oraz wszystkich zewnętrznych dostawców ICT.

Czy Polska gotowa jest na rozporządzenie DORA? 

Na wstępie trzeba poruszyć ważną kwestię: Polska uznawana jest za jednego z liderów w dziedzinie rozwoju cyfrowych kanałów bankowości oraz transformacji cyfrowej sektora finansowego. Dla przykładu, PKO Bank Polski zwyciężył w rankingu Finnoscore 2020, zostając europejskim liderem cyfrowej bankowości, a aż 95% liderów bankowości wdrożyło już zaawansowane usługi w chmurze. Jednocześnie to właśnie sektor finansowy należy do najsilniej regulowanych wewnętrznymi przepisami, których zadaniem jest zapewnienie bezpieczeństwa, stabilności i przejrzystości rynku finansowego w Polsce.

Nowoczesne podejście sektora finansowego oznacza również ścisłe regulacje w dziedzinie cyberbezpieczeństwa. Opracowane strategie zarządzania ryzykiem, szybkie raportowanie incydentów związanych z bezpieczeństwem, testy odporności, gotowość do audytów i kontroli – to żadne nowości dla podmiotów finansowych i współpracujących z nimi firm technologicznych, szczególnie Software House’ów pracujących przy kluczowych systemach IT.

Polskie firmy technologiczne, mające doświadczenie we współpracy z sektorem finansowym, mogą być potencjalnymi partnerami dla zagranicznych podmiotów z tej branży. Polskie prawo już teraz restrykcyjnie podchodzi do kwestii bezpieczeństwa i nadzoru nad usługami ICT, a więc DORA i jej regulacje nie będą dla naszego regionu szczególnym zaskoczeniem.

Czy nowe przepisy zakończą niektóre współprace?  

DORA zwraca uwagę na kilka ważnych aspektów odnośnie do umów, jakie podmioty finansowe zawierają z dostawcami usług ICT. Według rozporządzenia problematyczne jest to, że: 

  • Firmy z branży finansowej często napotykają problemy w kwestii negocjacji zapisów umownych, które byłyby dopasowane do rzeczywistych wymogów regulacyjnych, jakim podlega ten sektor; 
  • Dostawcy usług niechętnie zgadzają się na zapisy umowne pozwalające na dostęp lub audyt prowadzonych działań. Nawet jeżeli umowa przewiduje takie postępowanie, istnieje problem z jego egzekucją; 
  • Umowy dostawców nie przewidują wystarczających gwarancji w zakresie monitorowania prowadzonych prac i zachodzących procesów, a tym samym firmy finansowe nie mogą ocenić powiązanych z nimi zagrożeń; 
  • Zewnętrzni dostawcy usług ICT często świadczą znormalizowane usługi na rzecz wielu partnerów, a więc ich umowy mogą być niedopasowane do indywidualnych potrzeb sektora finansowego. 

W związku z tym, rozporządzenie nakładać będzie warunek, aby prawa i obowiązki podmiotu finansowego oraz zewnętrznego dostawcy usług ICT były wyraźnie określone na piśmie. DORA formułuje również minimum, jakie określać musi taki dokument, obejmując między innymi aspekty takie jak:  

  • pełny opis wszystkich funkcji i usług, które mają być świadczone przez zewnętrznego dostawcę usług; 
  • wskazanie lokalizacji, w których świadczone będą funkcje i usługi, a także to, gdzie przetwarzane będą dane; 
  • postanowienia w sprawie dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych oraz gwarancje dostępu, odzyskiwania i zwrotu w przypadku awarii zewnętrznych dostawców usług ICT; 
  • pełne opisy poziomu usług wraz z ilościowymi i jakościowymi celami w zakresie wydajności; 
  • okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT; 
  • obowiązek zapewnienia przez zewnętrznego dostawcę usług ICT pomocy w przypadku incydentu związanego z ICT, bez dodatkowych opłat; 
  • prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT); 
  • prawa do odstąpienia od umowy i związany z nimi minimalny okres wypowiedzenia umowy, a także strategie wyjścia. 

Czy nowe obostrzenia, jakie DORA narzuca względem umów, będą powodem do zakończenia obecnie trwających działań lub niepodejmowania nowych współprac w przyszłości? Biorąc pod uwagę wcześniej opisane problemy umowne, jakie według rozporządzania dotykają sektor finansowy, można by się tego spodziewać. Do tej pory była to kwestia uzgodnienia warunków między partnerami, ale w chwili wejścia nowych przepisów w życie, dostawcy usług ICT albo zaakceptują narzucone obowiązki i przeformatują obecne umowy, albo instytucje finansowe będą musiały zakończyć z nimi współpracę (lub odrzucić je na starcie poszukiwań). 

„Jako Software House doświadczony we współpracy z branżą finansową nie widzimy zagrożeń w nowych wytycznych dotyczących umów i respektowania praw podmiotów finansowych do audytu, kontroli i oceny zagrożeń, jakie wynikają z prowadzonej współpracy. Pracując przy systemach bankowych i ubezpieczeniowych, większość z wyżej wymienionych elementów już wcześniej regulowana była umowami, a ewentualne uzupełnienie zapisów o wytyczne wynikające z DORA nie powinno stanowić problemu w przyszłości”.

Piotr Pisarek

Head of PMO Team w Altkom Software

DORA a ISO 27001 

Rozporządzenie DORA nakładać będzie na firmy z sektora finansowego obowiązki, których celem ma być skuteczniejsze i bardziej świadome zarządzanie ryzykiem związanym z ICT. Nowe wytyczne obejmują w szczególności takie aspekty jak testowanie operacyjnej odporności cyfrowej i zarządzanie ryzykiem ze strony zewnętrznych dostawców usług. A ponieważ podmioty finansowe będą cały czas odpowiedzialne za wypełnianie obowiązków wynikających z DORA, muszą mieć pewność, że ich dostawcy również będą stosować się do wytycznych i zapewniać odpowiedni poziom bezpieczeństwa cyfrowego.  

Niewątpliwie jednym z elementów takiego podejścia jest zapewnienie bezpieczeństwa informacji. Wiele firm technologicznych (i nie tylko) już od kilku lat świadomie inwestuje w ochronę zasobów informacyjnych i odpowiednie mechanizmy kontroli. Gwarancją takich działań jest wdrożenie międzynarodowej normy ISO 27001 (lub ISO/IEC 27001). Norma określa wymagania odnośnie ustanowienia, wdrożenia, utrzymania oraz ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Zawiera również wytyczne, w jaki sposób szacować i postępować w obliczu ryzyka związanego z bezpieczeństwem zasobów informacyjnych.   

W momencie wejścia w życie DORA dostawcy ICT posiadający certyfikat ISO 27001 mogą być pierwszym wyborem dla firm z sektora finansowego. Jest to potwierdzenie, że dostawca sprawuje nadzór nad procesami przetwarzania informacji oraz jest przygotowany na działanie w obliczu wystąpienia incydentu bezpieczeństwa.

Wdrożenie normy ISO 27001 daje gwarancję, że organizacja odpowiednio zidentyfikowała zagrożenia związane z bezpieczeństwem informacji oraz wprowadziła odpowiednie środki zapobiegawcze. Dla sektora finansowego jest to potwierdzenie, że partner spełnia ich wymagania prawne, a aktywa informacyjne są dobrze chronione.

DORA a chmura obliczeniowa 

W przypadku regulacji prawnych zawsze najwięcej nieścisłości i wątpliwości dotyczy usług chmurowych. Specyfika chmury obliczeniowej zakłada jej rozproszony charakter, a więc nastręcza trudności z dokładnym zdefiniowaniem miejsca, w którym przetwarzane są dane osobowe. Mimo to bankowość i inne gałęzie sektora finansowego już teraz w dużej mierze działają w chmurze, a z wypowiedzi członków zarządu różnych firm i instytucji wynika, że branża wiąże z nią dalszą przyszłość.  

W obliczu nowych przepisów warto przyjrzeć się oficjalnym stanowiskom, jakie odnośnie DORA zajmują najwięksi dostarczyciele publicznych usług chmurowych. Swoje oświadczenia wydały zarówno AWS Cloud, Google Cloud oraz Azure Cloud i w każdym z nich znajdziemy zapewnienia, że usługi chmurowe zgodne są z wytycznymi bezpieczeństwa, jakie narzucać będzie DORA. Jak wynika z tekstów, każdy z dostawców pozytywnie ocenia założenia, jakie stoją za rozporządzeniem, dopatrując się w nim szansy na przyspieszenie cyfryzacji sektora finansowego UE oraz poprawy odporności cyfrowej dla tego regionu.  

Zarówno AWS, jak i również Azure i Google Cloud podkreślają, że ich infrastruktura oraz dostarczane narzędzia gotowe są wspierać sektor finansowy, a umowy dostosowane są do specyficznych potrzeb przedsiębiorstw z tej branży, łącznie z możliwościami audytów i kontroli regulacyjnych.

Nad polskim sektorem finansowym kontrolę sprawuje UKNF (Urząd Komisji Nadzoru Finansowego), który w 2020 roku wydał specjalny Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Dokument ściśle określa zasady, na jakich sektor finansowy może korzystać z usług chmurowych, nie blokując dalszego rozwoju w tym kierunku, a raczej wytyczając regulacje dotyczące nadzoru i bezpieczeństwa świadczonych usług. Zapiski w dużej mierze pokrywają się z założeniami DORA (także w kwestii zawierania umów), co na pewno ułatwi polskim firmom z sektora finansowego, jak ich technologicznym partnerom dostosowanie się do nowych przepisów.

DORA a wybór dostawcy ICT 

Z punktu widzenia biznesu, po wejściu rozporządzenia DORA w życie, jednym z ważniejszych aspektów w zakresie outsourcowania usług ICT będzie wybór zaufanego i doświadczonego partnera. Część firm technologicznych może nie być gotowych na wymogi, jakie DORA postawi przed branżą finansową lub być nieświadomym obowiązków wynikających z rozporządzenia.  

Dlatego jeżeli w najbliższej przyszłości planujesz skorzystać ze wsparcia w zakresie tworzenia, rozwoju czy utrzymania systemów i aplikacji lub (w tym aplikacji cloud-native i innych usług chmurowych), pamiętaj, aby zwrócić uwagę czy Twój potencjalny partner posiada: 

  • Wdrożoną normę ISO 27001,  
  • Wcześniejsze doświadczenie we współpracy z branżą finansową, 
  • Certyfikaty partnerskie dostawców usług chmurowych, 
  • Indywidualnie przygotowywane umowy, uwzględniające możliwości audytu i kontroli.