DORA to rewolucja na rynku finansowym? Być może, ale z innych powodów niż myślicie

Niezależnie od źródeł, wróble na europejskim dachu ćwierkają, że do końca października 2022 r. Digital Operational Resilience Act („DORA”) zostanie przyjęty(a) i stanie się prawem, a tym samym zacznie obowiązywać w czwartej ćwiartce 2024 r.

Czy DORA dużo zmieni? Wydaje się, że to zależy, dla kogo. W mojej ocenie nie będą zaskoczone duże polskie instytucje finansowe (banki, ubezpieczyciele, towarzystwa funduszy inwestycyjnych), które od lat poruszają się w ramach ścisłych regulacji i wytycznych nadzoru obejmujących m.in.:

• przepisy sektorowe dotyczące outsourcingu regulowanego,
• wytyczne Komisji Nadzoru Finansowego („KNF”): Rekomendacja D (IT) oraz M (ryzyko operacyjne) w sektorze bankowym i ich odpowiedniki w innych sektorach,
  Komunikat Chmurowy UKNF,
• rekomendacje europejskich organów nadzoru takich jak EBA i EIOPA.

Ich proces dostosowania się do konkretnych wymogów DORA, w tym RTSów (Regulatory Technical Standards, które zostaną przygotowane dopiero po uchwaleniu DORA) może polegać na dołożeniu dodatkowej linii raportowania, organizacji szkoleń dla części wyższej kadry zarządczej, być może modyfikacji jakiegoś procesu analizy ryzyka operacyjnego związanego z nowymi technologiami.

Więcej pracy będą miały mniejsze instytucje finansowe (dostawcy usług crowdfundingowych, centralni depozytariusze papierów wartościowych, dostawcy danych rynkowych, itp.), które przemykały się pod radarem nadzoru lub dla których brak było szczególnych regulacji.

Największą zmianę DORA przyniesie dla dużych dostawców technologicznych, którzy zostaną uznani za dostawców krytycznych (critical ICT third-party service providers). Najwięksi gracze rynku ICT w sektorze finansowym nie tylko będą musieli się bezpośrednio dostosować do wymogów DORA, ale dodatkowo oswoić się z tym, że organy nadzoru finansowego zaczną sprawować nad nimi nadzór, łącznie z możliwością nakładania kar finansowych – oczywiście „tylko” w zakresie usług świadczonych dla sektora finansowego.

Jest jednak jeszcze jeden aspekt rynku finansowego, który może ulec zasadniczej zmianie. Mam na myśli rozumienie pojęcia outsourcingu regulowanego. Pojęcie to jest nieostre, a z ostrożnościowego punktu widzenia szereg instytucji finansowych traktuje je rozszerzająco.

Szereg regulacji prawnych sektora finansowego zawiera przepisy wyraźnie regulujące wymogi dotyczące outsourcingu regulowanego[1], ale niekoniecznie definiujące, co takim regulowanym outsourcingiem będzie, a co nie. Zagadnienie to jest szczególnie nieuchwytne w przypadku procesów i usług w zakresie nowych technologii.

Wdrażając w Polsce wytyczne EBA w sprawie outsourcingu[2] („Wytyczne EBA”), UKNF wydał stanowisko[3], w którym odwołał się do klasycznej już, ale pochodzącej z technologicznie odległej epoki[4], Opinii Generalnego Inspektoratu Nadzoru Bankowego z 21 grudnia 2004 r. (Narodowy Bank Polski NBBPN-I-022-70/04)[5] („Opinia GINB”).

Zgodnie z Opinią GINB outsourcing czynności faktycznych związanych z działalnością banku (analogiczny model można zastosować w innych sektorach finansowych nadzorowanych przez KNF) definiuje się przez dwie zmienne: dostęp usługodawcy do tajemnicy bankowej (tajemnicy prawnie chronionej) oraz cel powierzenia czynności polegający na zapewnieniu ciągłego i niezakłóconego działania systemów informatycznych służących bezpośrednio do wykonywania działalności bankowej (regulowanej).

Outsourcing czy nie outsourcing? Oto jest pytanie

Na wysokim poziomie ogólności Opinia GINB jest nadal aktualna. Wydaje się jednak, że wymyka się jej jeden zasadniczy aspekt dzisiejszego rynku finansowego. A mianowicie to, że dziś rynek finansowy w całości oparty jest o nowe technologie, w tym coraz bardziej o technologie i rozwiązania dostarczane w modelu chmury obliczeniowej. Rozwiązania te mają charakter zautomatyzowany, narzędziowy i oderwany od specyfiki danego podmiotu regulowanego, który z nich korzysta. 

Powstaje więc pytanie - czy każdy dostawca istotnych rozwiązań technologicznych dostarczanych w modelu chmury obliczeniowej, w której przetwarzane będą informacje prawnie chronione, jest faktycznie outsourcerem czynności regulowanych? Dlaczego podmiot, który udostępnia techniczną funkcjonalność o pewnych zmiennych, ale który w żaden sposób nie decyduje o tym, jak ta funkcjonalność będzie wykorzystana (a nawet wręcz może o tym nie wiedzieć), ma zostać poddany reżimowi outsourcingowemu danego sektora finansowego?

Co więcej, dla tej samej instytucji finansowej, która korzysta z tego samego rozwiązania technologicznego reżimy ustawowe mogą się nakładać i zawierać odmienne wymagania, vide ograniczony łańcuch podoutsourcingu w prawie bankowym i zakaz podoutsourcingu w reżimie ustawy o obrocie instrumentami finansowymi. 

Do tej pory główną zmienną badaną przy analizie outsourcingowego charakteru danej usługi była jej krytyczność dla ciągłości działania, a w drugim kroku dostęp dostawcy do danych prawnie chronionych.

Innymi słowy celem przepisów dotyczących outsourcingu regulowanego była ochrona ciągłości świadczenia nabywanych usług i bezpieczeństwo danych przetwarzanych w ramach tych usług. Ponieważ dotychczas brak było jednej, spójnej regulacji, która taką ciągłość i bezpieczeństwo by zapewniała, podmioty regulowane wsparte wytycznymi organów nadzoru rozciągały definicję outsourcingu regulowanego na usługi technologiczne, w tym usługi ICT.

Im bardziej sektor finansowy był zależny od technologii w każdym aspekcie swojego funkcjonowania, żeby nie powiedzieć istnienia, tym częściej dochodziło do absurdalnych sytuacji, w których nie tylko dostawcy krytycznych rozwiązań musieli się dostosować do obowiązującego w danym państwie reżimu outsourcingu regulowanego, ale musieli to również zrobić ich poddostawcy, o ile w ogóle mogli w danym reżimie występować.

Powyższe prowadziło i prowadzi nadal do kuriozalnych sytuacji, w których dostawcy rozwiązań technologicznych, w tym często ustandaryzowanych rozwiązań o czysto narzędziowym charakterze, w różnych krajach Europy muszą w różny sposób oferować swoje produkty lub usługi i postanowienia zawieranych umów, żeby dostarczać je na różnych zasadach podmiotom z różnych krajów (choćby należącym do jednej grupy kapitałowej) lub działającym na styku dwóch obszarów rynku finansowego.

DORA - remedium na chaos regulacyjny? 

DORA może zmienić to podejście. Jest bowiem regulacją przygotowaną właśnie po to, żeby chronić ciągłość usług ICT (bardzo szeroko rozumianych usług technologicznych) i ich bezpieczeństwo – wszystko w kontekście bezpieczeństwa operacyjnego podmiotów nadzorowanych na rynku finansowym. Co ważniejsze, DORA będzie bezwzględnie obowiązującym prawem skutecznym wobec szerokiego grona instytucji finansowych oraz dostawców usług ICT.

Po wejściu w życie tej regulacji, która w dużej mierze pokrywa się zakresowo z obecnie obowiązującymi wytycznymi organów nadzoru i regulacjami dotyczącymi outsourcingu, odpadnie potrzeba dodatkowego chronienia operacyjnej ciągłości działania i bezpieczeństwa informacji związanych z korzystaniem z usług ICT. Innymi słowy, będzie można zrezygnować ze sztucznego kwalifikowania krytycznych usług ICT jako outsourcingu regulowanego, bo ich bezpieczeństwo operacyjne zapewni DORA.  

W połączeniu z dyrektywą NIS[6] (w Polsce implementowaną w ramach Krajowego Systemu Cyberbezpieczeństwa[7]) i jej planowaną nowelizacją NIS2[8] oraz RODO[9], DORA daje kompleksową, analogiczną w całej Unii Europejskiej, ochronę podmiotów regulowanych rynku finansowego, a tym samym ich klientów, w zakresie korzystania przez te podmioty z usług ICT.

Po wejściu w życie DORA dotychczasowe regulacje dotyczące outsourcingu regulowanego w zakresie usług ICT staną się zatem niepotrzebne. Co więcej, jeśli po wejściu w użycie DORY dotychczasowe przepisy i wytyczne zostaną utrzymane, staną się one przysłowiową kulą u nogi sektora finansowego, w istotny sposób hamując jego dalszy rozwój.

Konkluzją tego tekstu powinno być wezwanie organów nadzoru, w tym przede wszystkim Komisji Nadzoru Finansowego, ale również regulatora (tu szczególnie Ministerstwa Finansów) oraz przedstawicieli całego sektora finansowego, do dyskusji i wypracowania nowego podejścia do outsourcingu regulowanego. Być może przez proste wyłączenie jego zastosowania do usług ICT objętych regulacją DORY i NIS2.

Nadszedł już czas, aby obchodząca w tym roku osiemnaste urodziny Opinia GINB została zastąpiona nowymi wytycznymi uwzględniającymi postęp technologiczny, jaki dokonał się w ciągu tych osiemnastu lat, oraz zmieniające się otoczenie regulacyjne, w tym uchwalaną właśnie DORA.

 
[1] Prawo bankowe, Ustawa o działalności ubezpieczeniowej i reasekuracyjnej, Ustawa o usługach płatniczych, Ustawa o obrocie instrumentami finansowymi, Ustawa o Funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi.

[2] EBA/GL/2019/02 z 25 lutego 2019 r.

[3] https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf

[4] Dwa lata przed uruchomieniem AWS (2006), niecałe trzy lata przed zaprezentowaniem pierwszego iPhona (2007), kilka miesięcy po wstąpieniu Polski do UE.

[5] [par. 48] Wytyczne EBA przedstawiają w ust. 28 tzw. „white list” zawierającą szereg czynności, których co do zasady instytucje i instytucje płatnicze nie powinny traktować jako outsourcingu. Organ nadzoru wskazuje, że w tym kontekście aktualna pozostaje Opinia Generalnego Inspektoratu Nadzoru Bankowego z dnia 21 grudnia 2004 r., w takiej części w jakiej nie jest ona sprzeczna z postanowieniami ust. 28 Wytycznych EBA.

[6] DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów  informatycznych na terytorium Unii

[7] USTAWA z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

[8] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2020%3A823%3AFIN

[9] https://uodo.gov.pl/404

Artykuł "DORA to rewolucja na rynku finansowym? Być może, ale z innych powodów niż myślicie" autorstwa Kuby Ruiza ukazał się 3 października 2022 r. na portalu Prawo.pl