Od 17 stycznia 2025 r. sektor finansowy zobowiązany jest do stosowania rozporządzenia DORA. Choć minęło już pół roku, kwalifikacja usług ICT nadal rodzi wiele trudności.
| Zgodnie z DORA usługami ICT są usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej. |
Sama DORA w swoich motywach nakazuje rozumieć pojęcie usługi ICT szeroko, tj. jako usługę obejmującą usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego. Uzasadnieniem dla takiego podejścia jest utrzymanie wysokiego poziomu operacyjnej odporności cyfrowej całego sektora finansowego, przy jednoczesnym zapewnieniu rozwoju technologicznego.
Pomocnym przy kwalifikacji usług ICT jest także rozporządzenie wykonawcze do DORA. Zostały tam bowiem wskazane rodzaje usług ICT:
| Identyfikator | Rodzaj usług ICT | Opis |
|---|---|---|
| S01 | 1. Zarządzanie projektami ICT | Świadczenie usług związanych z funkcją kierownika projektu |
| S02 | 2. Rozwój ICT | Świadczenie usług związanych z analizą biznesową, projektowaniem i tworzeniem programów komputerowych, testowaniem. |
| S03 | 3. Dział pomocy technicznej ICT i wsparcie pierwszej linii | Świadczenie usług związanych z: wsparciem ze strony działu pomocy technicznej i udzielaniem wsparcia pierwszej linii w przypadku incydentów związanych z ICT |
| S04 | 4. Usługi zarządzania bezpieczeństwem ICT | Świadczenie usług związanych z: bezpieczeństwem ICT (ochrona, wykrywanie, reagowanie i przywracanie pracy systemów), w tym reagowanie na incydenty związane z bezpieczeństwem i informatyka śledcza |
| S05 | 5. Przekazywanie danych | Subskrypcja usług dostawców danych (usługa w zakresie danych cyfrowych) |
| S06 | 6. Analiza danych | Świadczenie usług związanych ze wspieraniem analizy danych (usługa w zakresie danych cyfrowych) |
| S07 | 7. ICT, infrastruktura i usługi hostingowe (z wyłączeniem usług w chmurze) | Udostępnianie infrastruktury ICT, obiektów i usług hostingu, w tym dostawa mediów (energia, zarządzanie cieplne itp.), dostęp telekomunikacyjny i bezpieczeństwo fizyczne (z wyłączeniem usług w chmurze), działalność w zakresie przetwarzania płatności lub eksploatacja infrastruktury płatniczej |
| S08 | 8. Zasoby obliczeniowe ICT | Zapewnienie zdolności przetwarzania cyfrowego (w tym obliczania danych), z wyłączeniem usług obliczeniowych świadczonych w kontekście środowiska usług przetwarzania w chmurze |
| S09 | 9. Przechowywanie danych poza chmurą | Udostępnienie platformy przechowywania danych (z wyłączeniem usług w chmurze) |
| S10 | 10. Usługi telekomunikacyjne | Operacje w zakresie systemów telekomunikacyjnych i zarządzania przepływem. Tradycyjne usługi telefonii analogowej są wyraźnie wyłączone na podstawie art. 3 pkt 21 rozporządzenia (UE) 2022/2554 |
| S11 | 11. Infrastruktura sieciowa | Udostępnianie infrastruktury sieciowej |
| S12 | 12. Sprzęt i urządzenia fizyczne | Udostępnianie stacji roboczych, telefonów, serwerów, urządzeń do przechowywania danych, sprzętu itp. w formie usługi |
| S13 | 13. Licencjonowanie oprogramowania (z wyłączeniem SaaS) | Dostarczanie oprogramowania użytkowanego stacjonarnie |
| S14 | 14. Zatrzymanie operacjami ICT (w tym utrzymanie) | Świadczenie usług związanych z: konfiguracją infrastruktury ICT (systemów i sprzętu z wyjątkiem sieci), utrzymaniem, instalowaniem, zarządzaniem zdolnością przepustową, zarządzaniem ciągłością działania itp. W tym dostawcy usług zarządzanych |
| S15 | 15. Doradztwo w zakresie ICT | Świadczenie eksperckich usług intelektualnych / w dziedzinie ICT |
| S16 | 16. Zarządzanie ryzykiem związanym z ICT | Weryfikacja zgodności z wymogami w zakresie zarządzania ryzykiem związanym z ICT zgodnie z art. 6 ust. 10 rozporządzenia (UE) 2022/2554 |
| S17 | 17. Usługi w chmurze: IaaS | Infrastruktura jako usługa |
| S18 | 18. Usługi w chmurze: PaaS | Platforma jako usługa |
| S19 | 19. Usługi w chmurze: SaaS | Oprogramowanie jako usługa |
Choć DORA narzuca szerokie podejście, dokonując kwalifikacji nie można tracić z oczu jej celu, tj. osiągnięcie wysokiego poziomu operacyjnej odporności cyfrowej dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych . Kwalifikując usługi pod kątem ICT należy wyjść w pierwszej kolejności od ustalenia, co jest przedmiotem umowy z zewnętrznym dostawcą. Samo bowiem wystąpienie elementu technologii ICT (np. e-mail, czy dostęp do systemu np. do komunikacji między stronami), czy operacji na danych (np. zbieranie, czy analiza dokumentacji lub danych) nie oznacza jeszcze, że mamy do czynienia z usługą ICT. Kolejnym kryterium jest element ciągłości. DORA wyklucza bowiem z definicji usługi ICT usługi o charakterze jednorazowym – nawet jeśli polegają na dostarczeniu ICT (np. wdrożenie systemu). Usługa ICT bezwzględnie musi być także świadczona za pośrednictwem technologii ICT oraz wspierać działalność biznesową i regulowaną podmiotu finansowego.
Podmiot finansowy powinien ustalić każdorazowo indywidualnie, czy usługa, dostarczana mu przez zewnętrznego dostawcę będzie usługą ICT, czy nie. Kwalifikacji tej należy dokonać uwzględniając jej cel, zakres i sposób świadczenia usługi.
Podstawa prawna:
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011.