Europa wyznacza kluczowych dostawców usług ICT. Nowy etap nadzoru nad cyfrową infrastrukturą finansową.

Trwa proces wyłaniania dostawców usług teleinformatycznych dla sektora finansowego, którzy już wkrótce znajdą się pod bezpośrednim nadzorem unijnych organów. To efekt wejścia w życie na początku tego roku rozporządzenia o cyfrowej odporności operacyjnej – DORA, które ma wzmocnić bezpieczeństwo i stabilność europejskiego rynku finansowego.

Pod koniec lipca najwięksi dostawcy otrzymali pierwsze pisma zawierające ich wstępną kwalifikację. Ocena organów opiera się przede wszystkim na danych zgromadzonych przez ponad 11 tys. podmiotów finansowych we wszystkich państwach członkowskich. Firmy, które znalazły się w gronie kluczowych dostawców usług ICT mogą do 19 września przedstawić swoje stanowisko w zakresie wyników klasyfikacji. Cała procedura wyznaczania kluczowych dostawców powinna zakończyć się do końca tego roku.

Otrzymanie statusu kluczowego dostawcy to dla spółek teleinformatycznych potwierdzenie znaczenia i wiarygodności rynkowej. Dostawca objęty nadzorem może być postrzegany jako stabilny partner, co zwiększa atrakcyjność jego usług dla banków, ubezpieczycieli i innych podmiotów finansowych. Wybór takiego dostawcy daje bowiem większą pewność, że współpraca odbywa się zgodnie z wymogami DORA i najwyższymi standardami cyberbezpieczeństwa.

W parze z silną marką muszą iść także odpowiednie standardy. Nadzór unijnych instytucji oznacza konieczność spełniania wygórowanych wymagań w zakresie zarządzania ryzykiem ICT i utrzymywania solidnych procedur bezpieczeństwa. Organy będą mogły żądać dostępu do pełnej dokumentacji, prowadzić kontrole, żądać dostępu do nieruchomości, w tym siedzib i centrów operacyjnych, a nawet zakazać dostawcom zawierania umów z podwykonawcami, którzy nie spełniają odpowiednich wymogów bezpieczeństwa.

Szczególną uwagę nadzorcy zwrócą na łańcuch dostaw usług ICT. Kluczowi dostawcy będą musieli monitorować nie tylko własne systemy, ale i działania swoich podwykonawców – od przestrzegania standardów cyberbezpieczeństwa po posiadanie odpowiednich planów awaryjnych. To oznacza, że odpowiedzialność kluczowych dostawców za ciągłość usług obejmie cały łańcuch dostaw usług teleinformatycznych.

Nowe obowiązki obejmują także sprawozdawczość. Każdy kluczowy dostawca otrzyma indywidualny plan nadzoru, określający roczne cele. Kluczowi dostawcy powinni też informować organ nadzorczy m. in. o zmianach w strukturze zarządzania spółkami zależnymi, które mają siedzibę w Unii Europejskiej.

Koszty nadzoru będą pokrywane przede wszystkim z opłat ponoszonych przez kluczowych dostawców. Wysokość opłaty uzależniono od obrotu danego dostawcy, przy czym nie będzie ona niższa niż 50 tys. euro rocznie.

Nowe regulacje to z jednej strony ogromna szansa dla największych firm technologicznych na umocnienie pozycji rynkowej, a z drugiej – początek ery intensywnego i kosztownego nadzoru. Europejski sektor finansowy wkracza tym samym w etap, w którym cyberbezpieczeństwo i odporność cyfrowa staną się równie istotne jak stabilność kapitałowa.