O Dori – Uredbi o digitalnoj operativnoj otpornosti za financijski sektor (Uredba EU 2022/2554) već smo pisali u članku Što nam donosi Dora – Uredba o digitalnoj operativnoj otpornosti koji možete pronaći na sljedećoj poveznici.
Dora je dokument koji traži stručnu pripremu, implementaciju i suradnju kroz informacijska i tehnička znanja kolega iz IT-a ili informacijske sigurnosti, potom znanja risk menadžera, ali i pravna znanja pravnika i specijalista za usklađenošću poslovanja. Tema Dora se polako zahuktava kako nam se primiče rok pune primjene odnosno 17.1.2025.
U ovom članku osvrnut ćemo se na samo jedan aspekt iz Dore, a to su ključne ugovorne odredbe propisane člankom 30. Dore koje čine dio upravljanja IKT rizikom povezanim s trećim stranama te što je potrebno uskladiti u vrlo kratkom roku odnosno do 17.1.2025. kada će cijeli financijski sektor morati primijeniti Doru u punom opsegu bez mogućnosti konzumiranja nekih „prijelaznih odredbi“. To znači potrebu usklađivanja dosadašnjih ugovora s pružateljima IKT usluga ili kroz aneksiranje ili kroz sklapanje novih ugovora. Također, vrlo je izvjesno da će određeni pružatelji IKT usluga morati bitno mijenjati svoje „šprancirane“ verzije ugovora o pružanju IKT usluga na koje smo do sada više-manje „navikli“.
Da se pojednostavljeno izrazimo, 5 je područja koja imaju najveći naglasak na financijski sektor i koja financijski sektor mora implementirati u svoje poslovanje:
IKT rizici | IKT incidenti i kiberprijetnje | Testiranje digitalne operativne otpornosti | Rizik trećih ugovornih strana | Razmjene informacija |
Člankom 30. Dore propisane su ključne ugovorne odredbe kao dio upravljanja rizikom trećih ugovornih strana koje se primjenjuju na sve pružatelje IKT usluga, a ne samo na one kojima se podupiru ključne ili važne funkcije.
Naime, IKT usluge definirane su Dorom kao „ digitalne i podatkovne usluge koje se putem IKT sustavâ kontinuirano pružaju jednom ili više unutarnjih ili vanjskih korisnika, uključujući usluge najma informatičke opreme (engl. hardware as a service) i hardverske usluge koje uključuju pružanje tehničke podrške od strane pružatelja hardvera putem ažuriranja softvera ili ugrađenog softvera, uz iznimku tradicionalnih analognih telefonskih usluga“, dok je ključna ili važna funkcija definirana kao „funkcija čiji bi poremećaj bitno narušio financijske rezultate financijskog subjekta ili pouzdanost ili kontinuitet njegovih usluga i aktivnosti, odnosno funkcija čiji bi prestanak, neispravnost ili neizvršenje bitno narušili sposobnost financijskog subjekta da kontinuirano ispunjava uvjete i obveze iz svojeg odobrenja za rad ili druge obveze na temelju primjenjivog prava o financijskim uslugama“.
To u praksi znači da se financijski sektor morati brzo početi pripremati kako bi se uskladili s člankom 30. Dore, odnosno kako bi se počeli pripremati, da se tako izrazimo, „obrasci“ ugovora s pružateljima IKT usluga čije usluge više-manje svi koriste, poput FINA-e i telekoma. Naravno, svaki financijski subjekt još ima svoj specifičan lanac pružatelja IKT usluga koji je potpuno drugačiji od nekog drugog financijskog subjekta.
Na održanim predavanjima krajem siječnja 2024. u HGK vezano uz prezentaciju II. paketa podzakonskih akata Dore, predstavnici HNB-a i HANFA-e potaknuli su financijski sektor da se organiziraju preko svojih udruženja (HUB, HUO, HGK i dr.) kako bi se na jedinstven način pristupilo tržištu i vrlo brzo uskladilo s primjenom članka 30. Dora-e. Također, za očekivati je da će i pružatelji IKT usluga imati i svoje komentare i potrebe za usuglašavanjem što sve iziskuje stanovito vrijeme koje vrlo brzo prolazi. Jedno od pitanja bilo je i vezano uz Microsoft od kojeg se očekuje da bi se uskladio s odredbama Dora Uredbe.
Osim članka 30. Dore, dodatno treba usuglasiti i pitanje podizvršitelja pružatelja IKT usluga kao i razmotriti i uskladiti zahtjeve koji su navedeni u prijedlogu RTS-a kojim se pobliže opisuju zahtjevi za ugovorne odredbe vezano uz korištenje IKT usluga kojima se odupiru ključne ili važne funkcije (prijedlog RTS-a je javno objavljen, a može se pronaći na poveznici).
Zaključno, za financijski sektor nije nepoznanica sjesti za stol i započeti sa stručnom pripremom radnji i aktivnostima koje se stavljaju pred njih. Kad je riječ o Dora Uredbi potrebna je priprema, ne samo u dijelu gore navedenih ugovornih odredbi, već i druga stručna priprema vezana uz IKT usluge, testiranja, upravljanje rizicima i sl., potom razmjena znanja i iskustava što u bitnome doprinosi i boljem sustavu, jer u konačnici, hrvatsko tržište je vrlo malo i stručna znanja na okupu su od bitnog značenja.
I za kraj navodimo članak 30. Dore raščlanjeno na pružatelje IKT usluga i one kojima se podupiru ključne i važne funkcije:
Članak 30. Ključne ugovorne odredbe
- Prava i obveze financijskog subjekta i treće strane pružatelja IKT usluga jasno se dodjeljuju i utvrđuju u pisanom obliku. Cjeloviti ugovor uključuje sporazume o razini usluga te se navodi u jednom pisanom dokumentu koji je stranama dostupan u papirnatom obliku ili u dokumentu u nekom drugom trajnom i pristupačnom formatu koji se može preuzeti.
2. Ugovorni aranžmani o upotrebi IKT usluga sadržavaju barem sljedeće elemente:
- jasan i cjelovit opis svih funkcija i IKT usluga koje će pružati treća strana pružatelj IKT usluga, pri čemu se navodi je li dopušteno podugovaranje IKT usluge kojom se podupiru ključne ili važne funkcije ili njezinih bitnih dijelova te, ako jest, navode se i uvjeti koji se primjenjuju na takvo podugovaranje;
- lokacije, posebno regije ili zemlje, na kojima će se pružati ugovorene ili podugovorene funkcije i IKT usluge te na kojima će se obrađivati podatci, uključujući lokaciju pohrane, kao i zahtjev da treća strana pružatelj IKT usluga unaprijed obavijesti financijski subjekt ako namjerava promijeniti takve lokacije;
- odredbe o dostupnosti, vjerodostojnosti, cjelovitosti i povjerljivosti u vezi sa zaštitom podataka, među ostalim i osobnih podataka;
- odredbe o osiguravanju pristupa osobnim i neosobnim podatcima koje obrađuje financijski subjekt te o osiguravanju njihova oporavka i vraćanja u lako dostupnom formatu u slučaju nesolventnosti, sanacije ili prestanka poslovanja treće strane pružatelja IKT usluga ili u slučaju raskida ugovornih aranžmana;
- opise razina usluga, uključujući ažuriranja i revizije tog opisa;
- obvezu treće strane pružatelja IKT usluga da pruži pomoć financijskom subjektu bez dodatnih troškova ili uz unaprijed utvrđene troškove u slučaju IKT incidenta koji je povezan s IKT uslugom koju ta treća strana pruža financijskom subjektu;
- obveza treće strane pružatelja IKT usluga da u potpunosti surađuje s nadležnim tijelima i sanacijskim tijelima financijskog subjekta, među ostalim i s osobama koje su ona imenovala;
- prava raskida i povezane minimalne rokove za prethodne obavijesti o raskidu ugovornih aranžmana u skladu s očekivanjima nadležnih tijela i sanacijskih tijela;
- uvjete za sudjelovanje trećih strana pružatelja IKT usluga u programima za podizanje svijesti o sigurnosti u području IKT-a i osposobljavanjima o digitalnoj operativnoj otpornosti koje provode financijski subjekti u skladu s člankom 13. stavkom 6. (programi za podizanje svijesti o sigurnosti u području IKT-a i osposobljavanja).
3. Ugovorni aranžmani o upotrebi IKT usluga kojima se podupiru ključne ili važne funkcije, uz elemente iz stavka 2., sadržavaju barem sljedeće:
- potpune opise razina usluga, uključujući ažuriranja i revizije tog opisa, uz precizne kvantitativne i kvalitativne ciljeve uspješnosti u okviru dogovorenih razina usluga kako bi se financijskom subjektu omogućilo djelotvorno praćenje IKT usluga i poduzimanje, bez nepotrebne odgode, odgovarajućih korektivnih mjera ako se ne postignu dogovorene razine usluga;
- rokove za prethodne obavijesti i obveze izvješćivanja koje ima treća strana pružatelj IKT usluga u odnosu na financijski subjekt, uključujući obavijesti o svim događajima koji bi mogli bitno utjecati na sposobnost treće strane pružatelja IKT usluga za djelotvorno pružanje IKT usluga kojima se podupiru ključne ili važne funkcije u skladu s dogovorenim razinama usluga;
- zahtjeve da treća strana pružatelj IKT usluga uvede i testira planove za nepredvidive situacije u poslovanju te da uvede mjere, alate i politike za sigurnost IKT-a kojima se financijskom subjektu osigurava odgovarajuća razina sigurnosti za pružanje usluga, u skladu s njegovim regulatornim okvirom;
- obvezu treće strane pružatelja IKT usluga da sudjeluje u TLPT-u financijskog subjekta kako je navedeno u člancima 26. (napredno testiranje) i 27. (zahtjevi za provoditelje testiranja) i da pritom bude u potpunosti kooperativna;
- pravo kontinuiranog praćenja rada treće strane pružatelja IKT usluga, što podrazumijeva sljedeće:
- neograničena prava financijskog subjekta ili imenovane treće strane te nadležnog tijela na pristup, inspekcijski nadzor i reviziju te pravo na izradu preslika relevantne dokumentacije na licu mjesta ako je ključna za poslovanje treće strane pružatelja IKT usluga, pri čemu drugi ugovorni aranžmani ili provedbene politike ne sprečavaju i ne ograničavaju djelotvorno ostvarivanje tih prava;
- pravo ugovaranja alternativnih razina osiguranja ako su zahvaćena prava drugih klijenata;
- obvezu treće strane pružatelja IKT usluga da u potpunosti surađuje tijekom izravnih inspekcijskih nadzora i revizija koje provode nadležna tijela, glavno nadzorno tijelo, financijski subjekt ili imenovana treća strana;
- obvezu dostavljanja pojedinosti o opsegu, postupcima kojih se treba pridržavati i učestalosti takvih inspekcijskih nadzora i revizija;
- izlazne strategije, osobito određivanje obveznog primjerenog prijelaznog razdoblja:
- tijekom kojega će treća strana pružatelj IKT usluga nastaviti pružati dotične funkcije ili IKT usluge kako bi se smanjio rizik od poremećaja u radu financijskog subjekta ili kako bi se osigurali njegova djelotvorna sanacija i restrukturiranje;
- u kojem financijski subjekt može prijeći na usluge druge treće strane pružatelja IKT usluga ili se prebaciti na interna rješenja, u skladu sa složenošću usluge koja se pruža.
Odstupajući od točke (e), treća strana pružatelj IKT usluga i financijski subjekt koji je mikropoduzeće mogu se dogovoriti da se prava financijskog subjekta u pogledu pristupa, inspekcijskog nadzora i revizije mogu delegirati neovisnoj trećoj strani, koju imenuje treća strana pružatelj IKT usluga, te da financijski subjekt može od te treće strane u bilo kojem trenutku zatražiti informacije i jamstvo o radu treće strane pružatelja IKT usluga.
4. Tijekom pregovora o ugovornim aranžmanima financijski subjekti i treće strane pružatelji IKT usluga dužni su razmotriti primjenu standardnih ugovornih klauzula koje su tijela javne vlasti sastavila za konkretne usluge.
5. Europska nadzorna tijela u okviru Zajedničkog odbora izrađuju nacrt regulatornih tehničkih standarda kojima se preciznije utvrđuju elementi iz stavka 2. točke (a) koje financijski subjekt treba utvrditi i procijeniti pri podugovaranju IKT usluga kojima se podupiru ključne ili važne funkcije.
Pri izradi tog nacrta regulatornih tehničkih standarda europska nadzorna tijela uzimaju u obzir veličinu i ukupni profil rizičnosti financijskog subjekta te prirodu, opseg i složenost njegovih usluga, aktivnosti i poslovanja.
Europska nadzorna tijela taj nacrt regulatornih tehničkih standarda dostavljaju Komisiji do 17. srpnja 2024.
Komisiji se dodjeljuje ovlast za dopunjavanje ove Uredbe donošenjem regulatornih tehničkih standarda iz prvog podstavka u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2010, Uredbe (EU) br. 1094/2010 i Uredbe (EU) br. 1095/2010.
Autor: Melita Markovinović