Evropské nařízení o digitální provozní odolnosti, tzv. DORA zavádí nová pravidla pro digitální provozní odolnost vybraných účastníků finančního trhu, včetně komplexních požadavků na výběr externích poskytovatelů služeb IKT a spolupráce s nimi[1].
Co jsou služby IKT?
Službami IKT jsou jakékoli digitální nebo datové služby průběžně poskytované prostřednictvím informačních nebo jiných IT systémů, včetně pronájmu hardwarových zařízení nebo jiných hardwarových služeb, které zahrnují poskytování technické podpory prostřednictvím aktualizací softwaru nebo firmwaru poskytovateli hardwaru.
Nejčastějšími IKT službami jsou například pravidelné licencování softwarových řešení, pronájem cloudových úložišť, pronájem serverů či počítačů nebo správa IT systémů.
Kdo je externím poskytovatelem služeb IKT?
Externím poskytovatelem je kdokoli, kdo poskytuje IKT služby finančnímu subjektu spadajícího do režimu DORA. Za externího poskytovatele IKT služeb se rovněž považuje takový poskytovatel, který je členem stejné skupiny společností jako příjemce takových služeb.
Požadavky na výběr externích poskytovatelů služeb IKT
DORA specifikuje požadavky na externí poskytovatele služeb IKT v pomyslných třech rovinách. První rovinou je řízení rizik spojených s jejich využíváním, druhou rovinou jsou požadavky pro jejich výběr a třetí rovinou jsou požadavky na obsah smluv uzavřených mezi poskytovatelem služeb IKT a finančním subjektem.
V rámci první roviny je třeba identifikovat a posoudit všechna rizika, která mohou vyvstat ze zajišťování určité činnosti nebo služby externím poskytovatelem. Jmenovitě se může například jednat o riziko koncentrace, tedy riziko zajištění vícero služeb u jednoho externího poskytovatele, jenž může při materializaci způsobit široký negativní dopad, riziko snížení schopnosti ČNB nebo vaší společnosti dohlížet na výkon služeb zajištěných externím poskytovatelem nebo riziko přílišné závislosti na externím poskytovateli.
V rámci druhé roviny je třeba nastavit požadavky a očekávání, jenž by měl externí poskytovatel splnit, aby mohl být vybrán. Jmenovitě se jedná například o požadavky na udržování nejaktuálnějších a nejlepších standardů a best practices pro ochranu svěřených dat, požadavky na implementaci opatření pro zajištění kontinuity dodávaných služeb externím poskytovatelem, požadavky na implementaci procesů a politik pro zajištění digitální provozní odolnosti dodávaných služeb ze strany externího poskytovatele.
V rámci třetí roviny je třeba s vybraným externím poskytovatelem uzavřít smlouvu s obsahovými náležitostmi danými DORA. Úroveň požadavků na obsah smlouvy se odvíjí od kritičnosti dodávané služby pro váš business. Pokud se jedná o kritickou službu, jsou požadavky detailnější. Jmenovitě je do smlouvy s externím poskytovatelem zanést například konkrétní měřitelné ukazatele a požadavky, kterými se má externě dodávaná služba řídit, detailní popis dodávaných služeb, ustanovení vyžadující zajištění dostupnosti, integrity, důvěrnosti a hodnověrnosti svěřených dat externímu poskytovateli, ustanovení zajišťující, že budete oprávněni externího poskytovatele kdykoli auditovat, kontrolovat a vyžadovat od něj všechny informace relevantní pro dohled nad dodávanou službou (rovněž musí být zajištěna případná spolupráce externího poskytovatele s orgány veřejné moci, jako je ČNB), ustanovení vymezující výpovědní doby nebo ustanovení zajišťující předání dat jinému poskytovateli nebo zpět vám, pokud bude s externím poskytovatelem ukončena spolupráce.
[1] O všech obecných požadavcích DORA se dočtete v našem článku zde.
