MMC Polska
W dniu 22 sierpnia 2023 r. Prezydent podpisał ustawę z dnia 16 sierpnia 2023 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku. Tydzień później, 29 sierpnia 2023 r., Ustawa została opublikowana w Dzienniku Ustaw. Jej zapisy w 73 artykułach, na 124 stronach nowelizują łącznie 42 inne akty prawne. Większość z tych zmian weszła w życie już 28 września 2023 r. Zgodnie z założeniami Ustawa ma na celu uporządkowanie funkcjonowania instytucji rynku finansowego i usprawnienie nad nim nadzoru m.in. przez zwiększenie poziomu cyfryzacji. Wśród wprowadzonych zmian na szczególną uwagę zasługuje aktualizacja zasad odnoszących się do outsourcingu bankowego.
Co zmieniło się w outsourcingu regulowanym w świetle tzw. „Warzywniaka”?
Wracając do tematu “Warzywniaka”, można zauważyć, że w zakresie outsourcingu ustawa wprowadza udogodnienia, które powinny ułatwić wykorzystanie narzędzi IT w sektorze bankowym.
Pierwszą kluczową zmianą jest zniesienie zakazu podoutsourcingu na rzecz wydłużenia łańcucha outsourcingowego, które może odbywać się na podstawie ogólnej zgody banku.
Kolejnym ułatwieniem jest zmiana zasad w zakresie ograniczenia odpowiedzialności insourcera wobec banku za szkody powstałe po stronie klientów, które powstały na skutek niewykonania umowy bądź jej nienależytego wykonania. Aktualnie odpowiedzialności insourcera nie można wyłączyć, a bank jest obowiązany wprowadzić adekwatne i skuteczne rozwiązania zabezpieczające pokrycie ewentualnych kosztów na wypłatę odszkodowania. Za wystarczające gwarancje uważa się:
- umowę ubezpieczenia od odpowiedzialności cywilnej,
- gwarancję bankową,
- gwarancję ubezpieczeniową,
- wykazanie przez przedsiębiorcę, że posiada odpowiednie środki na pokrycie ewentualnych kosztów związanych z wypłatą odszkodowania.
W zakresie outsourcingu zmianie uległ również stosunek do podmiotów zagranicznych, które aktualnie nie muszą uzyskiwać zgody Komisji Nadzoru Finansowego, jednak koniecznie jest zgłoszenie KNF zamiaru zawarcia takiej umowy.
Jakie przepisy regulują korzystanie z outsourcingu w branży finansowej?
Korzyści płynące z outsourcingu w branży finansowej są dość oczywiste – jest taniej i efektywniej. Jednak powierzenie tak kluczowego aspektu firmie zewnętrznej niesie za sobą spore ryzyko, zwłaszcza jeżeli chodzi o wrażliwe dane klientów znajdujące się w chmurze. I jest to jeden z głównych powodów, dla których temat outsourcingu doczekał się wielu regulacji prawnych.
Wśród najważniejszych ustaw zajmujących się tym tematem należy wymienić takie dokumenty jak Prawo bankowe, Rozporządzenie Wypłacalność II, Ustawa o działalności ubezpieczeniowej i reasekuracyjnej, Ustawa o usługach płatniczych, RODO, UKSC, czy Ustawa o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi. Do tego dochodzą dodatkowo polskie dokumenty, takie jak Rekomendacja D i M, Komunikat Chmurowy UKNF i Q&A Chmurowe UKNF, a także wytyczne EBA, ESMA, EIOPA sporządzone przez Unię Europejską.
Na co jeszcze trzeba się przygotować? Wdrażanie DORA i NIS 2
Digital Operational Resilience Act (w skrócie DORA) to unijna rozporządzenie, które ma poprawić bezpieczeństwo świadczenia usług finansowych w zakresie z korzystania z szeroko rozumianych nowych technologii informacyjno-komunikacyjnych (ICT). Rozporządzenie weszło w życie 16 stycznia 2023 r., ale podmioty objęte tymi regulacjami mają czas na dostosowanie się do nowych wymogów do 17 stycznia 2025 roku.
Oprócz sztandarowych instytucji finansowych jak banki, do wymogów DORA muszą dostosować się podmioty z obszaru finansów cyfrowych, jak np. dostawcy usług dla kryptoaktywów, instytucje pieniądza elektronicznego oraz dostawcy technologii, w tym dostawcy usług ITC oraz chmury obliczeniowej.
W ramach DORA zmienia się m.in. podejście do zarządzania, klasyfikacji i zgłaszania incydentów, wprowadzone są testy odporności operacyjnej i powstają nowe regulacje dot. wymiany informacji. Szerzej o tym temacie pisaliśmy już w artykule Czym jest rozporządzenie DORA? Praktyczne wyjaśnienie”.
Kolejną dyrektywą, którą należy mieć na uwadze rozpatrując kwestie outsourcingu w branży finansowej, jest Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, która została opublikowana 14 grudnia 2022 r. znana szerzej jako NIS2 (Network and Information Systems Directive 2).
NIS2 również ma na celu zwiększenie odporności cyfrowej w kluczowych sektorach gospodarki, jednak jej zakres jest szerszy niż DORA. W tym wypadku duża część odpowiedzialności została scedowana na zarządy organizacji, które powinny odpowiednio zarządzać ryzykiem, a także sporządzić i zatwierdzić politykę bezpieczeństwa oraz monitorować jej przestrzeganie. Dyrektywa obowiązuje od 16 stycznia 2023 roku, a jej wprowadzenie do krajowych regulacji powinno nastąpić do 27 września 2024 roku.
Komunikat Chmurowy UKNF
Do tego wszystkiego w dalszym ciągu jednostki nadzorowane przez Komisję Nadzoru Finansowego są zobowiązane do stosowania Komunikatu Chmurowego UKNF. Choć większość instytucji finansowych zdążyła się już do niego przyzwyczaić, to w dalszym ciągu warto o nim przypominać. Zwłaszcza KNF w zakresie swojej działalności może przeprowadzić audyty powdrożeniowe i kontrole związane z outsourcingiem chmurowym. W trakcie tego typu inspekcji sprawdzane jest spełnienie wymogów organizacyjnych i technicznych w projektach chmurowych.
Wdrożenie i korzystanie z chmury obliczeniowej w sektorze finansowym to spore wyzwanie. Liczne regulacje, nieostro zdefiniowane pojęcia i zmieniające się wytyczne sprawiają, że temat outsourcingu nie należy do łatwych. Dlatego niezwykle istotne jest, aby wszystkie podmioty biorące udział w tym procesie były na bieżąco z najnowszymi regulacjami i planowanymi zmianami legislacyjnymi. Najprostszą metodą na zdobycie i ugruntowanie tej wiedzy jest udział w warsztatach prowadzonych przez specjalistów.
Czy uważa Pani, że obecne regulacje prawne odpowiadają na aktualne zapotrzebowanie branży finansowej i nadążają za rozwojem technologii?
“Celem wprowadzenia do porządku prawnego kolejnych regulacji, takich jak rozporządzenie DORA, czy dyrektywa NIS2, jest zwiększenie poziomu bezpieczeństwa w cyfrowym sektorze finansowym. Sama idea, którą z całą pewnością należy uznać za słuszną, nie jest jednak łatwa do wprowadzenia w praktyce.
Z jednej strony, problematyczne okazuje się stworzenie wymogów, które mają mieć charakter uniwersalny i obejmować różne rodzaje technologii. Świat nowych technologii nie stoi przecież w miejscu i stale się rozwija. Często jedynym wspólnym mianownikiem dla wielu rozwiązań IT jest jedynie ich ogólna klasyfikacja, jako rozwiązania technologiczne.
Wyzwaniem jest też wprowadzenie wymogów, które będą proporcjonalne i dostosowane do każdej sytuacji – rozwiązań, potrzeb podmiotów finansowych i użytkowników, realiów rynku, etc.
Z drugiej strony, mnogość i poziom skomplikowania różnego rodzaju wymagań zawartych w przepisach prawa unijnego, krajowego oraz wytycznych europejskich i polskich organów nadzoru, również nie sprzyja inwestycjom rynku finansowego w rozwiązania technologiczne. Regulacje bywają niejasne, nieprecyzyjne, a czasem i wewnętrznie sprzeczne. Pojawiają się też często wątpliwości w zakresie ich wzajemnej relacji.
Analiza tych warunków, implementacja wewnątrz podmiotu finansowego, a w kolejnym kroku – zapewnienie łańcucha dostaw zgodnego z tymi warunkami, może wymagać większych nakładów po stronie podmiotu finansowego – zarówno ekonomicznych, jak i organizacyjnych.
Mimo tych trudności rynek finansowy pokazuje, że pozostaje otwarty na innowacje. Rynek ten jest zresztą wspierany przez dostawców rozwiązań technologicznych, którzy starają się odpowiadać na kolejne wątpliwości, aktywnie wspierać podmioty finansowe w wyborze właściwych technologii i tworzyć rozwiązania zgodne z ich potrzebami i wymogami prawodawców.” – mówi Karolina Zielińska, Radca Prawny, Atende.
Powyższy temat zostanie szczegółowo omówiony przez ekspertów podczas warsztatów „Cloud computing i outsourcing w sektorze finansowym w świetle najnowszych wyzwań i problemów praktycznych”, które odbędą się w dniach 06-07.12.2023 r. Podczas wydarzenia specjaliści poruszą najważniejsze zagadnienia dotyczące przetwarzania danych w chmurze, opowiedzą o regulacjach prawnych outsourcingu i o wyzwaniach, jakie czekają biorące udział w łańcuchu outsourcingowym podmioty, a także postarają się odpowiedzieć na wszelkie pojawiające się w tym zakresie pytania.