Banki spółdzielcze coraz częściej korzystają z zewnętrznych usług ICT – od outsourcingu administracji IT po rozwiązania chmurowe. O ile zwiększa to elastyczność i dostępność usług, to znacząco podnosi ryzyko operacyjne i nadzorcze.
Rozporządzenie DORA, wytyczne EBA, wymagania KNF i praktyki SSOZ wskazują jasno: bank musi zachować pełną odpowiedzialność za bezpieczeństwo danych i ciągłość działania, niezależnie od tego, kto świadczy usługę.
W tym artykule pokażemy:
jakie są minimalne wymagania umów ICT według DORA i EBA,
jak monitorować usługodawców zgodnie z checklistą zgodności,
przykładowe klauzule dotyczące incydentów, dostępności, przerw i audytów,
jakie wymagania stawia KNF i SSOZ względem dostawców usług ICT.
Outsourcing ICT i chmura – co musisz wiedzieć?
Co obejmuje zewnętrzna usługa ICT?
Usługi administracyjne – zdalna obsługa serwerów, backupów, zabezpieczeń.
Systemy aplikacyjne – core banking, CRM, e-mail w chmurze, MFA.
Chmura publiczna/prywatna/hybrydowa – przechowywanie danych, przetwarzanie usług bankowych.
Usługi cyberbezpieczeństwa – SOC, EDR, skanery podatności, WAF, SIEM.
Każda z tych usług podlega nadzorowi i musi być odpowiednio uregulowana w umowie.
Minimalne wymagania umów ICT według DORA i EBA
Rozporządzenie DORA (art. 28–30) oraz Wytyczne EBA dot. outsourcingu ICT wskazują, że każda umowa z dostawcą musi zawierać:
Obowiązkowe elementy umowy:
Zakres usług i odpowiedzialności – precyzyjnie określone.
Parametry dostępności usług (SLA) – czasy reakcji, naprawy, dostępność 24/7.
Obowiązki zgłaszania incydentów – zdefiniowane terminy, forma, kanały.
Prawo do audytu i inspekcji – zarówno przez bank, jak i organy nadzorcze.
Wymogi dot. lokalizacji danych – zgodność z RODO i polityką lokalizacji.
Warunki rozwiązania i migracji danych (exit plan) – sposób odejścia od dostawcy.
Podwykonawcy i łańcuch dostawców – obowiązek zgłoszenia i akceptacji zmian.
Umowa powinna być dostosowana do rodzaju i krytyczności usługi, a także okresowo przeglądana.
Monitorowanie usługodawców – checklisty i nadzór
Jak bank spółdzielczy powinien nadzorować dostawcę ICT?
Odpowiedzialność za outsourcingu ICT nie kończy się na podpisaniu umowy – bank ma ciągły obowiązek monitorowania realizacji usług i zgodności z wymogami regulacyjnymi.
Czeklista nadzoru nad dostawcą ICT:
Czy dostawca spełnia warunki SLA i reaguje w ustalonym czasie?
Czy przekazuje wymagane raporty operacyjne i incydentalne?
Czy udostępnia logi, dane i dokumentację na żądanie?
Czy umożliwia przeprowadzenie audytu zewnętrznego?
Czy testy BCP/DRP obejmują jego infrastrukturę?
Czy korzysta z podwykonawców, a jeśli tak – czy ich zgłasza?
Czy spełnia wymagania dot. przetwarzania danych osobowych (RODO)?
Dobrą praktyką jest prowadzenie rejestru umów ICT i ich poziomu krytyczności, który zawiera również oceny ryzyka i wyniki przeglądów dostawcy.
Wzory klauzul – co powinno znaleźć się w każdej umowie?
Aby zapewnić zgodność z DORA, EBA i wymogami nadzorczymi, umowy powinny zawierać precyzyjne zapisy. Oto przykładowe klauzule:
Klauzule do umów outsourcingowych:
1. Klauzula o incydentach ICT:
„Dostawca zobowiązuje się do zgłaszania wszelkich incydentów ICT w terminie nie dłuższym niż 4 godziny od ich wykrycia, zgodnie z formatem określonym przez Zamawiającego.”
2. Klauzula o dostępności:
„Minimalny poziom dostępności usługi wynosi 99,5% w skali miesiąca, mierzony w godzinach roboczych. W przypadku przekroczenia progów dopuszczalnych stosowane będą kary umowne.”
3. Klauzula o audycie:
„Zamawiający oraz jego przedstawiciele (w tym audytorzy zewnętrzni, KNF, NBP) mają prawo do przeprowadzenia audytu w lokalizacjach usługodawcy w zakresie świadczonej usługi ICT.”
4. Klauzula o rozwiązaniu umowy i migracji danych:
„W przypadku wypowiedzenia umowy, dostawca zapewnia bezpieczne przekazanie danych i dokumentacji w terminie 14 dni, zgodnie z ustalonym planem migracji danych (exit plan).”
Wymagania KNF i SSOZ wobec relacji z dostawcami ICT
KNF oraz SSOZ kładą szczególny nacisk na następujące obszary:
Transparentność umów i relacji z dostawcami – audytowalność każdego etapu.
Zarządzanie ryzykiem dostawcy – np. lokalizacja, wielkość, łańcuch podwykonawców.
Dowody testów odporności (BCP/DRP) obejmujące zasoby dostawcy.
Zdolność do natychmiastowej reakcji na incydenty – nawet jeśli są po stronie usługodawcy.
Ocena alternatyw i exit strategy – bank nie może być zależny od jednego krytycznego usługodawcy bez planu wyjścia.
Potrzebujesz wsparcia? Pomożemy!
Jeżeli Twój bank spółdzielczy korzysta z zewnętrznych usług ICT lub planuje migrację do chmury, pamiętaj – odpowiedzialność zawsze zostaje po stronie banku.
Zespół Servus Comp Kraków wspiera instytucje finansowe w:
audycie umów ICT i klauzul zgodnych z DORA/EBA/KNF,
przygotowaniu checklisty zgodności i wzorów dokumentów,
wsparcie w ocenie krytyczności usług i tworzeniu rejestru outsourcingu ICT,
wsparcie we wdrożeniu procedur monitorowania i exit strategy.
Zapraszamy Państwa do zapoznania się z naszą ofertą:
PLATFORMA KRÓTKICH SZKOLEŃ – kompleksowe wsparcie dla banków spółdzielczych zgodne z wytycznymi DORA i RTS
https://premiumbank.zadbajobezpieczenstwo.pl/platforma-krotkich-szkolen-kompleksowe-wsparcie-dla-bankow-spoldzielczych-zgodne-z-wytycznymi-dora-i-rts/
AUDYT ZGODNOŚCI Z DORA JAK UZYSKAĆ PEŁNY OBRAZ BEZPIECZEŃSTWA ICT BANKU SPÓŁDZIELCZEGO
ANALIZA UMÓW OUTSOURCINGOWYCH WAŻNY ELEMENT CYBERBEZPIECZEŃSTWA W ŚRODOWISKU ICT BANKU SPÓŁDZIELCZEGO
NOWA ERA AUDYTÓW BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH: DLACZEGO WARTO DZIAŁAĆ JUŻ TERAZ?
https://premiumbank.zadbajobezpieczenstwo.pl
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.