Bez wdrożenia ESG dostawca ICT nie będzie zgodny z DORA

285

Trwa okres dostosowania podmiotów finansowych i zewnętrznych dostawców ICT do wymogów unijnego rozporządzenia DORA, dotyczącego odporności cyfrowej sektora finansowego. Do 17 stycznia 2025 r. podmioty objęte obowiązkiem stosowania nowego aktu muszą wdrożyć w swojej organizacji wynikające z niego regulacje. W tym samym czasie trwają prace nad regulacyjnymi standardami technicznymi uzupełniającymi wytyczne wynikające z DORA. Finalne wersje pierwszych standardów pokazują, że unijne organy nadzorcze szeroko interpretują zarządzanie bezpieczeństwem ICT w obszarze dostawców zewnętrznych, włączając do wymogów konieczność spełniania także norm społecznych i środowiskowych (ESG).

Kiedy ESG krzyżuje się z DORA?

Zgodnie z DORA podmioty finansowe powinny posiadać politykę korzystania z usług ICT, wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT. Polityka ta, zgodnie z DORA, powinna określać odpowiedni i proporcjonalny proces wyboru i oceny potencjalnych zewnętrznych dostawców usług ICT.

Szczegóły dotyczące oceny dostawców zostały opisane w regulacyjnych standardach technicznych (RTS) do rozporządzenia DORA, sporządzonych przez Europejskie Urzędy Nadzoru (EUN).

Zgodnie z RTS, ocena dokonywana przez podmiot finansowy powinna, co oczywiste, wziąć pod uwagę m. in. czy zewnętrzny dostawca usług ICT posiada wystarczające umiejętności dla bezpiecznej realizacji usług, specjalistyczną wiedzę oraz odpowiednie zasoby finansowe, ludzkie i techniczne, a także czy zapewnia niezbędne standardy bezpieczeństwa informacji.

Proces due diligence obejmuje jednak także, zgodnie z RTS, weryfikację czy zewnętrzny dostawca ICT:

  • postępuje etycznie i społecznie odpowiedzialnie,
  • przestrzega praw człowieka, w tym praw dziecka,
  • przestrzega obowiązujących zasad ochrony środowiska,
  • zapewnia odpowiednie warunki pracy, w tym przestrzega zakazu pracy dzieci.

Konkretne wymogi dotyczące weryfikacji dostawcy ICT pod kątem ESG pojawiają się zatem dopiero na poziomie regulacyjnych standardów technicznych do DORA. Standardy posiadają jednak swoje umocowanie w rozporządzeniu unijnym i są wiążące dla adresatów tego aktu.

Co istotne, wymogi te dotyczą wprost wyłącznie weryfikacji zewnętrznych dostawców ICT, świadczących usługi wspierające funkcje krytyczne lub istotne.

Kontrowersje wokół włączenia wymogów ESG do DORA

Postawienie w RTS wymogu weryfikacji zgodności dostawcy z ESG wywołało kontrowersje w toku konsultacji publicznych dotyczących standardów technicznych. Zdaniem uczestników konsultacji, w ten sposób twórcy RTS wykroczyli poza dopuszczalny zakres regulacji jaki, zgodnie z DORA, może się znaleźć w wypracowanych standardach.

Zgłaszano również niezasadność regulowania wymogu weryfikacji zgodności z ESG w RTS do DORA w sytuacji, gdy obowiązki w tym zakresie zostaną szczegółowo uregulowane w innym unijnym akcie prawnym – dyrektywie w sprawie należytej staranności przedsiębiorstw w zakresie zrównoważonego rozwoju.

W toku konsultacji pojawiły się także zarzuty, że wymóg dotyczący ESG nie adresuje i nie uwzględnia celów DORA w zakresie odporności cyfrowej.

EUN stanęły jednak na stanowisku, że zarządzanie ryzykiem ESG to kluczowy obowiązek, który powinien być realizowany w całym łańcuchu dostaw a zarządzanie ryzykiem związanym z zewnętrznymi dostawcami ICT powinno obejmować ryzyko społeczne. EUN zwróciły uwagę, że już Europejska Karta Praw Podstawowych ustanawia wartości, których należy przestrzegać w UE. Zdaniem EUN ważne jest, aby takie zasady były przestrzegane przez podmioty finansowe także wtedy, gdy powierzają wykonywanie zadań zewnętrznym dostawcom.

ESG zostało więc w ten sposób włączone w krajobraz wymogów, jakie dostawca ICT musi spełnić, aby być zgodnym z DORA. Podmiot finansowy obowiązkowo natomiast musi zweryfikować taką zgodność przed zaangażowaniem dostawcy ICT, a następnie okresowo sprawdzać ten obszar w trakcie współpracy z nim.

Czy normy społeczno-środowiskowe mają coś wspólnego z cyberbezpieczeństwem?

Zgodność z wymogami ESG i cyberbezpieczeństwo sektora finansowego to z pozoru dwa odrębne segmenty compliance  podmiotu finansowego. Wśród unijnych organów regulacyjnych pojawiają się jednak wyraźne głosy mówiące o tym, że obszary te są ze sobą nierozerwalnie związane. Patrząc na pojawiające się w ostatnim czasie oraz planowane w najbliższym okresie unijne regulacje można również zauważyć wyraźne dążenie unijnego ustawodawcy do stworzenia spójnych ram zarządzania zgodnością w krytycznych dla bezpieczeństwa UE sektorach gospodarki. Interpretacja DORA i wymogów ESG w tym duchu prowadzi natomiast do wniosku, że nie można odpowiednio zarządzać ryzykiem związanym z cyberbezpieczeństwem bez uwzględnienia czynników społeczno-środowiskowych. Dlaczego?

Prawidłowe adresowanie przez zewnętrznego dostawcę ICT wymogów ESG obniża poziom ryzyka związany chociażby z koniecznością zapewnienia ciągłości działania w obszarze usług wspierających funkcje krytyczne lub istotne. Naruszanie przez zewnętrznego dostawcę norm etycznych lub praw człowieka naraża z kolei podmiot finansowy na ryzyka reputacyjne, które mogą mieć wpływ na stabilne i ostrożne zarządzanie podmiotem finansowym. Naruszenie takich wymogów powinno natomiast umożliwiać wyjście z kontraktu z danym dostawcą ICT w sposób bezpieczny dla ciągłości powierzonych funkcji, a zatem powinno być uwzględnione w ramach strategii i planów wyjścia.

Jako przykład wyzwania, które będzie się pojawiać w tym obszarze, można wskazać zarządzanie ryzykiem związanym z angażowaniem zewnętrznych dostawców ICT dostarczających podmiotom finansowym usługi oparte na sztucznej inteligencji. Tego typu systemy, ze względu na sposób ich działania, w tym sposób zasilania danymi oraz ich jakość, mogą potencjalnie naruszać standardy etyczne i prawa człowieka. Jednocześnie systemy te, w zależności od sposobu ich wykorzystania, mogą pełnić krytyczną rolę pod kątem bezpieczeństwa informacji z uwagi na masowość ich przetwarzania.

Właściwy, zgodny z wymogami ESG, dobór dostawców zewnętrznych ICT pozwala ponadto na wykorzystywanie w ramach organizacji takich narzędzi i usług technologicznych, które zapewniają realizację celów środowiskowych podmiotów finansowych.

Z drugiej strony nie można również odmówić zasadności tezie, że do działania organizacji w zgodzie z wymogami ESG konieczne jest wdrożenie odpowiedniego poziomu bezpieczeństwa cybernetycznego, w tym właściwe weryfikowanie zewnętrznych dostawców ICT czy też odpowiednie zarządzanie incydentami bezpieczeństwa. Brak odpowiedniego zarządzania bezpieczeństwem ICT, w tym także bezpieczeństwem w obszarze zewnętrznych dostawców, naraża podmiot finansowy chociażby na pojawienie się konfliktów interesów czy też godzi w transparentność organizacji.

Dostawcy ICT będą audytowani pod kątem ESG

DORA wymaga od podmiotów finansowych dołożenia należytej staranności w toku przeprowadzania due diligence zewnętrznego dostawcy ICT. Elementem takiego due diligence jest sprawdzenie zgodności dostawcy z wymogami ESG.

Dostawcy ICT powinni więc przygotować się na to, że ten obszar również będzie podlegał sprawdzeniu przed nawiązaniem współpracy oraz w trakcie jej trwania.

Gabriela Kocurek

Autorka jest radcą prawnym, ekspertem ds. regulacji FinTech, zajmuje stanowisko senior associate w kancelarii KWKR Konieczny Wierzbicki i Partnerzy

 

Materiał kancelarii KWKR Konieczny Wierzbicki i Partnerzy