Dostosowanie umów i procedur podmiotów ICT do wymogów DORA

Dlaczego podmioty ICT muszą dostosować swoje umowy i procedury w zakresie operacyjnej odporności cyfrowej?

Podmioty sektora finansowego zostały zobowiązane, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) do zapewnienia odporności operacyjnej w obszarze ICT poprzez identyfikowanie, monitorowanie i ograniczanie ryzyk związanych z technologiami cyfrowymi oraz wdrażanie skutecznych planów reagowania na incydenty.

Obowiązki te wynikają z potrzeby zwiększenia stabilności sektora finansowego w kontekście zagrożeń cyfrowych i obejmują szczegółowe wymogi w zakresie zarządzania ryzykiem, testowania odporności systemów oraz nadzoru nad krytycznymi dostawcami usług ICT.

Oznacza to, że obowiązki dostawców usług ICT względem podmiotów sektora finansowego muszą zostać zweryfikowane/dostosowane. Powyższe zostanie zrealizowane poprzez zawarcie nowych umów albo aneksowanie istniejących, a także aktualizację, dostosowanie i audyt wewnętrznych standardów bezpieczeństwa.

Termin dostosowania działalności podmiotów sektora finansowego został określony do końca 2024 roku dla polityk outsourcingowych i nowo zawieranych umów, a dla istniejących umów – do 31 marca 2025 roku. Oznacza to, że dostawcy usług ICT dla podmiotów sektora finansowego muszą liczyć się z koniecznością podjęcie wymaganych działań, tak aby zminimalizować ryzyko utraty współpracy lub naruszeń.

Co możesz otrzymać?

  • audyt istniejących umów na outsourcing IT, w zakresie zgodności z wymogami DORA.
  • opiniowanie i udział w negocjacjach nowych umów i aneksów do istniejących umów, aby zminimalizować ryzyka po stronie podmiotu ICT.
  • tworzenie wzorców umów, polityk i procedur zarządzania ryzykiem ICT, aby odpowiadały standardom podmiotów sektora finansowego i ułatwiały negocjacje/utrzymanie współpracy.
  • szkolenia dla menedżerów i specjalistów ICT w zakresie nowych wymogów prawnych oraz doradztwo w zakresie przygotowania strategii operacyjnej, aby uniknąć kar finansowych czy ryzyka utraty współpracy.
  • pomoc w prowadzeniu rejestru umów ICT oraz wypełnianiu obowiązków raportowania do regulatorów, zgodnie z wymogami DORA, w tym w zakresie opracowywania wymaganych dokumentów i raportów.

Etapy realizacji usługi

Etap 1. Audyt i analiza stanu obecnego. Analiza istniejących umów outsourcingowych z podmiotami sektora finansowego. Ocena zgodności bieżących procedur i polityk ICT z wymogami DORA. Identyfikacja luk prawnych i obszarów wymagających dostosowania.

Etap 2. Dostosowanie dokumentacji. Opracowanie polityk zarządzania ryzykiem ICT, w tym rejestru umów i procedur raportowania. Dostosowanie wzorców umów do spodziewanych oczekiwań/standardów podmiotów sektora finansowego. Stworzenie dokumentacji dotyczącej monitorowania zgodności i testowania odporności systemów.

Etap 3. Szkolenia i doradztwo bieżące. Organizowanie szkoleń dla menedżerów i specjalistów ICT dotyczących nowych wymogów prawnych. Doradztwo w zakresie bieżących problemów związanych z wdrażaniem i interpretacją regulacji DORA.

Etap 4. Negocjacje i wdrożenie zmian. Wsparcie w negocjacjach z podmiotami sektora finansowego dotyczących treści umów i aneksów. Monitorowanie wdrażania zmian w politykach i procedurach operacyjnych.

Etap 5. Monitorowanie i wsparcie po wdrożeniu. Bieżące wsparcie w zakresie zgodności z regulacjami, w tym aktualizacje dokumentacji i procedur oraz wsparcie w negocjacjach z podmiotami sektora finansowego.

Termin realizacji

Realizacja Etapów audytu, dostosowania dokumentacji, szkoleń oraz aktualnych aneksów ze strony podmiotów sektora finansowego od momentu rozpoczęcia współpracy wynosi około 2 miesięcy w zależności od zakresu dokumentacji i potrzeb modyfikacji. Będziemy informować Cię na bieżąco o przebiegu poszczególnych etapów procesu.

Czego od Ciebie potrzebujemy?

Informacje

  • aktualne dane dotyczące działalności firmy.
  • informacje o rodzaju podmiotów sektora finansowego z którymi firma współpracuje.
  • informacje o przedmiocie i liczbie umów zawartych z podmiotami sektora finansowego, z podziałem na usługi krytyczne i niekrytyczne.
  • informacje o funkcjach wspieranych przez ICT, np. zarządzanie danymi, bezpieczeństwo systemów, monitorowanie ryzyk.
  • opis infrastruktury IT oraz kategorii podwykonawców w firmie.
  • opis mechanizmów monitorowania podwykonawców i personelu w zakresie zgodności z wymogami bezpieczeństwa obowiązującymi w firmie.
  • informacje o strukturze organizacyjnej i zasadach odpowiedzialności w firmie.
  • informacje o stosowanych narzędziach raportowania.
  • informacje o dotychczasowych kontrolach i ich wynikach.
  • historia incydentów bezpieczeństwa i podjęte środki zaradcze.
  • plany rozwoju usług ICT.

Dokumenty

  • kopie aktualnych umów z podmiotami sektora finansowego.
  • aneksy do umów lub propozycje zmian od klientów - podmiotów sektora finansowego.
  • specyfikacje/wytyczne dostarczone przez klientów - podmioty sektora finansowego.
  • obowiązujące w firmie polityki bezpieczeństwa, w tym procedury zarządzania ryzykiem operacyjnym.
  • obowiązujące w firmie regulaminy i standardy dotyczące świadczeni usług ICT oraz raportowania.
  • obowiązujące w firmie polityki/procedury reagowania na incydenty oraz plany ciągłości działania.
  • stosowane w firmie procesy testowania odporności systemów informatycznych.
  • umowy z podwykonawcami i personelem.

Współpraca

  • bieżący kontakt e-mailowy lub telefoniczny.
  • współpraca z CTO, CISO, IOD, CO lub innymi osobami o odpowiedniej wiedzy technicznej i organizacyjnej w zakresie działalności firmy.
  • spotkania online (na etapie audytu, przygotowania dokumentacji, szkoleń i negocjacji).
  • wymiana uwag i komentarzy do projektów dokumentów oraz rezultatów audytów i negocjacji.

Jak zamówić dostosowanie umów i procedur podmiotów ICT do wymogów DORA?

Po prostu napisz do nas maila: kancelaria@kancelariastanek.pl.

Możesz też zostawić swój numer telefonu:

    Interesują Cię te usługi? Oddzwonimy!