8 kwietnia 2025

DORA rozporządzenie a podwykonawcy: Czy dostawca usług telekomunikacyjnych w umowie z podmiotem finansowym musi wskazywać swoich podwykonawców?

Spis treści

Aneks do umowy od podmiotów finansowych.
Czy obowiązki wynikające z DORA są nałożone na przedsiębiorców telekomunikacyjnych?
Czy przedsiębiorcy telekomunikacyjni będąc zewnętrznymi dostawcami usług ICT dla podmiotu finansowego, wspierają krytyczne lub istotne funkcje podmiotów finansowych?
Dlaczego, z punktu widzenia przedsiębiorcy telekomunikacyjnego, ważne jest, czy jego usługi telekomunikacyjne zostaną zakwalifikowane jako usługi wspierające (lub niewspierające) krytyczne lub istotne funkcje podmiotu finansowego?
Czy podmiot finansowy powinien wymagać od dostawcy usług telekomunikacyjnych wskazania swoich podwykonawców?
Podsumowanie

Aneks do umowy od podmiotów finansowych.

Od jesieni 2024 r. przedsiębiorcy telekomunikacyjni, podobnie jak inni dostawcy usług ICT, otrzymują od podmiotów finansowych do podpisania aneksy do umów. Jako powód aneksowania umów wskazywana jest konieczność dostosowania umów do przepisów prawa, tj. do tzw. rozporządzenia DORA.

Wymagania stawiane przedsiębiorcom telekomunikacyjnym są niemałe. Często również stanowią nowe, dodatkowe zobowiązania przedsiębiorcy telekomunikacyjnego, za które nie przewiduje się odpłatności.

Warto rozwiać kilka mitów na ten temat.

Czy obowiązki wynikające z DORA są nałożone na przedsiębiorców telekomunikacyjnych?

Nie. Adresatami obowiązków są podmioty finansowe i to podmioty finansowe mają obowiązek dostosować umowę do wymogów DORA. Przedsiębiorcy telekomunikacyjni negocjują umowę jak każdą inną, przy czym warto mieć świadomość, że z niektórych wymogów podmioty finansowe nie mogą zrezygnować.

Czy przedsiębiorcy telekomunikacyjni będąc zewnętrznymi dostawcami usług ICT dla podmiotu finansowego, wspierają krytyczne lub istotne funkcje podmiotów finansowych?

Klasyfikacja dostawcy usług ICT jako wspierającego krytyczne lub istotne funkcje podmiotu finansowego, należy do podmiotu finansowego. Decyzja taka jest podejmowana indywidualnie i ad casum przez podmiot finansowy po dokonaniu stosownej analizy, przez pryzmat ustanowionej wewnętrznie taksonomii funkcji.

Dotychczasowa praktyka wskazuje, że w przypadku standardowych usług telekomunikacyjnych, usługi te najczęściej nie są klasyfikowane jako usługi ICT wspierające krytyczne lub istotne funkcje podmiotu finansowego. Może to jednak zależeć od wielu czynników, w szczególności od tego jakie procesy w podmiocie finansowym są realizowane z wykorzystaniem dostarczanej przez przedsiębiorcę telekomunikacyjnego usługi.

Dlaczego, z punktu widzenia przedsiębiorcy telekomunikacyjnego, ważne jest, czy jego usługi telekomunikacyjne zostaną zakwalifikowane jako usługi wspierające (lub niewspierające) krytyczne lub istotne funkcje podmiotu finansowego?

Klasyfikacja zewnętrznego dostawcy usług ICT (np. przedsiębiorcy telekomunikacyjnego) jako wspierającego (lub nie wspierającego) krytyczne lub istotne funkcje podmiotu finansowego ma wpływ na zakres umowy, jaką podmiot finansowy ma obowiązek zawrzeć z zewnętrznym dostawcą usług ICT.

Upraszając, jeżeli dostawca usług ICT wspiera krytyczne lub istotne funkcje podmiotu finansowego, umowa musi spełniać szereg dodatkowych wymogów wynikających z samego DORA oraz rozporządzeń wykonawczych. Będzie zatem bardziej skomplikowana oraz będzie zawierać więcej obostrzeń, niż w przypadku usług ICT nie wspierających krytycznych lub istotnych funkcji podmiotu finansowego.

Czy podmiot finansowy powinien wymagać od dostawcy usług telekomunikacyjnych wskazania swoich podwykonawców?

Z samego rozporządzenia DORA nie wynika, jakoby w sytuacji, w której usługi danego przedsiębiorcy telekomunikacyjnego nie zostały zaklasyfikowane jako usługi wspierające krytyczne lub istotne funkcje podmiotu finansowego, to podmiot finansowy miał potrzebę zbierania informacji o konkretnych podwykonawcach przedsiębiorcy telekomunikacyjnego. W umowie powinny zostać wskazane m.in. miejsca, czyli regiony lub kraje, w których mają być świadczone funkcje i usługi ICT objęte umową lub podwykonawstwem. Usługi telekomunikacyjne nie kwalifikowane jako usługi wspierające krytyczne lub istotne funkcje podmiotu finansowego to najczęstszy przypadek w tzw. „umowach DORA” zawieranych przez przedsiębiorców telekomunikacyjnych z podmiotami finansowymi (ale nie jedyny możliwy!).

Inaczej sprawa się ma w przypadku, gdy podmiot finansowy uznał, że usługi telekomunikacyjne wspierają krytyczne lub kluczowe podmiotu finansowego. Wówczas, zgodnie z rozporządzeniem DORA oraz z aktami wykonawczymi do tego aktu prawnego, podmiot finansowy musi znać wszystkich podwykonawców, którzy faktycznie wspierają świadczenie usług ICT wspierających krytyczną lub istotną funkcję lub jej istotną część (tj. wszystkich podwykonawców świadczących usługi ICT, których zakłócenie mogłoby zagrozić bezpieczeństwu lub ciągłości świadczenia usługi).

Nie można także wykluczać nakładania się regulacji DORA z innymi normami prawnymi sektora finansowego (np. wynikającymi z Prawa bankowego). Wówczas podmioty finansowe powinny przewidzieć w umowach takie dalej idące wymogi.

Podsumowanie

Podsumowując, praktyka wskazuje, że podmioty finansowe często zwracają się do przedsiębiorców telekomunikacyjnych z nadmiarowymi żądaniami, próbując przerzucić własne regulacje, i ich koszt, na sektor telco. Co więcej, często żądają od przedsiębiorców telekomunikacyjnych więcej, niż same są obowiązane zawrzeć w umowie w związku z przepisami DORA.

Tzw. Umowy DORA stały się już stałym elementem funkcjonowania przedsiębiorców telekomunikacyjnych. W razie wątpliwości co do treści negocjowanej umowy, zapraszamy do kontaktu.

← poprzedni wpis następny wpis →

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-advertisement	1 rok	Ten plik „cookie”, ustawiony przez wtyczkę RODO Cookie Consent, służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Reklama”.
CookieLawInfoConsent	1 rok	Ten plik „cookie” służy do przechowywania informacji o ustawieniach wyrażonej zgody na wykorzystywanie plików „cookies”.
cookielawinfo-checkbox-others	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Inne”.
cookielawinfo-checkbox-analytics	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Analityka”.
cookielawinfo-checkbox-performance	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Wydajnościowe”.
cookielawinfo-checkbox-functional	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Niezbędne”.
viewed_cookie_policy	12 miesięcy	Niezbędne pliki „cookies” są konieczne do prawidłowego funkcjonowania strony internetowej. Te pliki „cookies” zapewniają anonimowe działanie podstawowych funkcji i zabezpieczeń strony internetowej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Ten plik „cookie” instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_gat_gtag_UA_221281335_1	1 minuta	Ten plik „cookie” instalowany przez Google Analytics, pozwala na rozróżnienie użytkowników.
_gid	1 dzień	Ten plik „cookie” instalowany przez Google Analytics przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej.