DORA może zaskoczyć

Objęcie współpracy podmiotów finansowych z zewnętrznymi dostawcami usług ICT (z ang. information and communication technologies) szczególnym reżimem prawnym było dotąd uzależnione od kwalifikacji prawnej takiej usługi jako outsourcingu (zgodnie z regulacją danego sektora rynku finansowego). Według Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) każda instytucja finansowa objęta nowymi przepisami – nawet jeśli dostosowała się w pełni do dotychczasowych wymogów stawianych przez nadzorców – mierzy się (lub wkrótce się zmierzy) z koniecznością identyfikacji i usunięcia luk.

Jedną z takich materii, która już częściowo była przedmiotem regulacji, jest współpraca z podmiotami zewnętrznymi (tzw. vendorami). Kształt przepisów DORA przypomina bowiem konstrukcję regulowanego outsourcingu (m.in. w zakresie obowiązków dotyczących analizy ryzyka czy wymogów kontraktowych), choć obejmuje również współpracę z podmiotami, które dotychczas pozostawały poza reżimem outsourcingowym. Zresztą już sam motyw 29 do DORA wyraźnie podkreśla, że rozporządzenie jest uzupełnieniem przepisów sektorowych o outsourcingu. Co więcej, nowe przepisy obejmą w tym zakresie nie tylko firmy technologiczne – w praktyce adresatami wprowadzanych obowiązków będą również przedsiębiorstwa, których działalność na pierwszy rzut oka nie ma związku z technologiami finansowymi.