Podmioty finansowe i zewnętrzni dostawcy ICT dostosowują się do wymagań, które nakłada na nie unijne rozporządzenia DORA, dotyczące odporności cyfrowej sektora finansowego. Objęci obowiązkiem stosowania nowego aktu muszą do 17 stycznia 2025 r. wdrożyć w swojej organizacji wynikające z niego regulacje. W tym samym czasie trwają prace nad regulacyjnymi standardami technicznymi uzupełniającymi wytyczne wynikające z DORA. Końcowe wersje pierwszych standardów dowodzą, że unijne organy nadzorcze szeroko interpretują zarządzanie bezpieczeństwem ICT w obszarze dostawców zewnętrznych, włączając także do wymogów konieczność spełniania norm społecznych i środowiskowych (ESG). Więcej na ten temat na łamach Rynku Prawniczego pisze ekspert KWKR ds. regulacji Fintech, radca prawny Gabriela Kocurek. Zapraszamy serdecznie do lektury!
Due Dilligence dostawcy ICT dokonywane przez podmiot finansowy powinno brać pod uwagę m. in. to czy zewnętrzny dostawca usług ICT ma wystarczające umiejętności dla bezpiecznej realizacji usług, wyspecjalizowaną wiedzę oraz odpowiednie zasoby finansowe, ludzkie i techniczne oraz czy jest w stanie zapewnić niezbędne standardy bezpieczeństwa informacji.
RTSy włączają w ten zakres również zgodność z ESG w związku z czym podmiot finansowy obowiązkowo musi zweryfikować taką zgodność przed zaangażowaniem dostawcy ICT, a następnie okresowo sprawdzać ten obszar w trakcie współpracy z nim.
Postawienie w regulacyjnych standardach technicznych wymogu weryfikacji zgodności dostawcy z ESG wywołało kontrowersje w toku konsultacji publicznych. Zdaniem uczestników, w ten sposób twórcy RTS wykroczyli poza dopuszczalny zakres regulacji jaki, zgodnie z DORA, może się znaleźć w wypracowanych standardach.
Uczestnicy konsultacji podnosili również niezasadność regulowania wymogu weryfikacji zgodności z ESG w RTS do DORA w sytuacji, gdy obowiązki w tym zakresie zostaną szczegółowo uregulowane w innym unijnym akcie prawnym – dyrektywie w sprawie należytej staranności przedsiębiorstw w zakresie zrównoważonego rozwoju.
Czy normy społeczno-środowiskowe mają coś wspólnego z cyberbezpieczeństwem? Kiedy i jak ESG krzyżować będzie się z rozporządzeniem DORA? Na co powinni przygotować się dostawcy ICT? Na te pytania na łamach Rynku Prawniczego odpowiada Gabriela Kocurek.