W ostatnich tygodniach jednym z tematów zajmujących zarządy i prawników u przedsiębiorców telekomunikacyjnych są negocjacje aneksów z podmiotami świadczącymi usługi finansowe. Najczęściej z bankami, ale nie tylko. Jest to związane z rozporządzeniem DORA.
DORA to rozporządzenie unijne w sprawie operacyjnej odporności cyfrowej sektora finansowego. Nie nakłada obowiązków bezpośrednio na przedsiębiorców telekomunikacyjnych, lecz na tzw. podmioty finansowe. Przepisy będą obowiązywały już niedługo, bo od 17 stycznia 2025 r.
Skoro nie ma obowiązków, dlaczego należy się interesować DORĄ?
W związku z DORĄ podmioty finansowe muszą wprowadzić odpowiednie regulacje obejmujące współpracę w zakresie cyberbezpieczeństwa do umów z tzw. zewnętrznymi dostawcami usług ICT, w tym z dostawcami usług telekomunikacyjnych. Czego oczekują podmioty finansowe w związku z tą nową regulacją?
Przedsiębiorcy telekomunikacyjni świadczący usługi ICT wspierające krytyczne lub istotne funkcje podmiotu finansowego, co do zasady, będą obowiązani (umownie) do przedstawienia w umowie dokładnego opisu świadczonych usług, przedstawienia podwykonawców, jak również np. opisania strategii wyjścia. W związku zobowiązaniami dotyczącymi współpracy, przedsiębiorcy telekomunikacyjni będą negocjować z podmiotami finansowymi formy audytu oraz dostępu i kontroli, formę przeprowadzania testów penetracyjnych, a nawet obowiązki sprawozdawcze.
Podwykonawcy pod lupą
Ważne w umowie z podmiotem finansowym będą opisy usług świadczonych podwykonawców. Z jednej strony, należy wprowadzić zgody podmiotów finansowych na podwykonawców, z drugiej wymogi umowy podmiot finansowy – przedsiębiorca telekomunikacyjny, mogą nakładać zobowiązanie dla przedsiębiorców telekomunikacyjnych do odpowiedniego uregulowania współpracy z podwykonawcą, uwzględniającego interesy podmiotu finansowego. Stąd, niezależnie od przygotowania w zakresie cyberbezpieczeństwa, ważna będzie odpowiednia identyfikacja podwykonawców oraz usług przez nich świadczonych.
Tym samym, aneksowanie umowy z podmiotem finansowym (np. bankiem) nie kończy przygotowań do DORA! Trzeba również odpowiednio uregulować współpracę z podmiotami będącymi dostawcami usług dalej w łańcuchu dostaw.
Przygotowanie przedsiębiorców telekomunikacyjnych DORA w pewnym stopniu pokrywa się z przygotowaniem do stosowania nowych przepisów o cyberbezpieczeństwie, wynikających z NIS2. Warto przygotowywać się równolegle do tych dwóch regulacji.
Więcej aktualnych informacji ze świata telekomunikacji dostępne jest także w Biuletynie kancelarii Prawnej Media. Zapisz się, by być na bieżąco! https://kancelaria.media.pl/biuletyn/ oraz na stronie prawokomunikacjielektronicznej.pl.
