Outsourcing ICT: czy DORA ułatwi zarządzanie ryzykami stron trzecich?
DORA ma wprowadzić bardziej ujednolicone zasady zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT, a więc usprawnić procesy związane z outsourcingiem wielu usług, z których korzystają podmioty sektora finansowego.
W jednym z raportów Europejskiego Urzędu Nadzoru Bankowego nt. zastosowania rozwiązań typu #regtech, zwrócono uwagę na już istniejące wyzwania i trudności w zakresie współpracy pomiędzy instytucjami regulowanymi, a dostawcami rozwiązań technologicznych, które wynikają m.in. z niejasnych przepisów i regulacji, a także pewnej obawy ze strony instytucji finansowych co do bezpieczeństwa w zakresie powierzenia czynności, w szczególności związanych z danymi o wrażliwym charakterze.
Czytaj także: DORA: bez permanentnej edukacji cyfrowej pracowników i klientów trudno zapewnić bezpieczeństwo danych sektora finansowego
DORA ‒ i pomoże, i utrudni?
DORA, przynajmniej w założeniu, ma na celu poprawę bezpieczeństwa świadczenia usług ze wsparciem zewnętrznych dostawców, co ma być rezultatem m.in. większych wymagań stawianych samym dostawcom, ale także instytucjom finansowym w zakresie zarządzania ryzykami strony trzeciej.
Na pierwszy rzut oka wydaje się, że takie podejście jest całkowicie słuszne i zapewni wysoki poziom bezpieczeństwa, tym bardziej, że wśród ogólnych zasad jest także mitygacja ryzyk związanych z konfliktami interesów czy ryzykiem koncentracji szczególnie widocznym w przypadku dostawców rozwiązań chmurowych. W praktyce jednak może okazać się, że będzie to także swoisty „bloker” lub przynajmniej utrudnienie w zakresie rozwoju innowacyjnych usług finansowych o podłożu technologicznym.
Dlaczego tak uważam? Sektor bankowy jest uważany za jeden z najbardziej (prze)regulowanych sektorów, w którym zawarcie umowy outsourcingu bankowego jest związane zazwyczaj z długotrwałymi analizami, setką pytań, audytami rozwiązań czy nierzadko nieefektywnymi procesami zakupowymi. Powoduje to, że niekiedy nawet stosunkowo proste rozwiązania z obszaru ICT są wdrażane znacznie później niż wynikałoby to z samego charakteru usługi czy rozwiązania.
Nierzadko jest to związane z faktem, że instytucje (czy osoby odpowiedzialne za dany obszar) nie do końca rozumieją specyfikę tych rozwiązań, w szczególności w kontekście aspektów technologicznych, ale także samego przetwarzania danych i ich klasyfikacji.
DORA, przynajmniej w założeniu, ma na celu poprawę bezpieczeństwa świadczenia usług ze wsparciem zewnętrznych dostawców
Wiele wątpliwości budzi często stosowanie określonych rozwiązań w zakresie bezpieczeństwa (w tym stosownych norm ISO) czy technik kryptograficznych, których zrozumienie może być prawdziwą drogą przez mękę. Niewątpliwie także na przeszkodzie stoją regulacje, w tym te dotyczące coraz bardziej popularnych rozwiązań chmurowych. Pewną barierą jest też kultura organizacji i korporacyjny charakter, ale nie będę się tym dzisiaj zajmował, bo to temat na zupełnie inny felieton.
Sektor bankowy musi więc borykać się z wieloma wyzwaniami o charakterze prawno-regulacyjnym, operacyjnym czy infrastrukturalnym, a wymogi w zakresie zarządzania ryzykami tylko pogłębiają trudności w bardziej elastycznym (i efektywnym) wdrażaniu nowych rozwiązań, które mogłyby znacznie przyśpieszyć prawdziwą transformację do bardziej cyfrowych instytucji.
Czytaj także: BankTech 2022: banki wobec regulacyjnych zmian w obszarze nowych technologii
Regulacje ICT dotyczą nie tylko banków
Banki to jednak jedynie część sektora finansowego, a spora część podmiotów będących adresatami DORA, to przecież dostawcy usług płatniczych, firmy inwestycyjne, ubezpieczyciele i podmioty, które dopiero będą regulowane, jak dostawcy w obszarze kryptoaktywów czy platformy crowdfundingowe.
Podmioty te podlegają oczywiście pewnym ograniczeniom w zakresie outsourcingu, jak również w zakresie przetwarzania danych (samo RODO stanowić może istotną barierę lub przynajmniej „straszak”), jednak trudno tutaj mówić o standardzie równoważnym temu dla sektora bankowego.
Oczywiście, sama DORA zawiera w sobie postanowienia dotyczące zasady proporcjonalności czy podejścia opartego na ryzyku, także w odniesieniu do samych dostawców ICT, jednak patrząc na zapisy projektowanego aktu można odnieść – wcale nie mylne – wrażenie, że wymogi w zakresie zarządzania ryzykami ICT zbliżone są właśnie do „referencyjnego” sektora bankowego.
Już dzisiaj podmioty niebankowe są zobowiązane do stosowania m.in. zasad zarządzania ryzykiem (w tym operacyjnymi, ICT, bezpieczeństwa), wymogi te zaczynają rozciągać się na coraz więcej podmiotów, a także będą podlegać jeszcze większej kontroli i nadzorowi ze strony organów regulacyjnych (zachęcam do przeczytania ostatniego artykułu na temat zmian do ustawy o usługach płatniczych), jednak zarówno poziom wykorzystania zewnętrznych dostawców, jak i złożoność procesów w tym zakresie jest bardzo zróżnicowana.
Faktem jednak jest, że powoli zmierzamy ku erze danych i zastosowania różnych technik przetwarzania danych (w tym uczenia maszynowego i głębokiego), a także chmury obliczeniowej, a efektywne wdrażanie takich rozwiązań będzie wymagało ścisłej współpracy z podmiotami zewnętrznymi, które są po prostu w tych obszarach ekspertami i są w stanie dostarczyć gotowy produkt w kilka tygodni po znacznie niższej cenie, niż gdyby podmiot sam – w ramach działu R&D – tworzył rozwiązanie od zupełnych podstaw.
Wejście w życie DORA będzie wymagało też wprowadzenia istotnych zmian w zakresie struktury organizacyjnej, polityk, procedur czy rozwiązań technicznych, które mają usprawnić proces zarządzania ryzykami ICT
Wyzwaniem będzie też sam dostęp do danych, który także będzie wymagał korzystania z zewnętrznych źródeł (tutaj Data Governance Act wprowadzi nową kategorię pośredników w tym zakresie).
Oznaczać to będzie konieczność wzmacniania ram w zakresie zarządzania ryzykami ICT, a te będzie wyznaczać DORA, która wprowadza bardzo wysoki standard w tym zakresie. Może to w efekcie spowodować, że „nabywanie” wsparcia zewnętrznego w zakresie, co najmniej krytycznych lub istotnych procesów, będzie wymagało znacznie większego zaangażowania ze strony instytucji finansowej i samego dostawcy lub dostawców, a także może być źródłem frustracji, na którą wskazywał wspomniany już przeze mnie raport EBA.
Frustracji, która może być wynikiem nie tylko wprowadzenia nowych (niezrozumiałych?) wymogów w zakresie zarządzania cyfrową odpornością operacyjną, ale także niewłaściwym zrozumieniem specyfiki, oczekiwań i możliwości poszczególnych podmiotów.
Kontrola i analiza dostawców ICT coraz bardziej szczegółowa
Dostawca ICT będzie – dzisiaj też ma to miejsce – podlegał jeszcze bardziej drobiazgowej analizie, a dodatkowo – w pewnych przypadkach – kontroli ze strony organów regulacyjnych, które będą mogły prowadzić dochodzenia i inspekcje on-site. Dla niektórych podmiotów nie będzie to zupełna nowość, ale dla innych może to być prawdziwe zaskoczenie.
Samo wejście w życie DORA będzie wymagało też wprowadzenia istotnych zmian w zakresie struktury organizacyjnej, polityk, procedur czy rozwiązań technicznych, które mają usprawnić proces zarządzania ryzykami ICT. Oczywiście z poszanowaniem zasady proporcjonalności i risk-based approach. Niemniej jednak nie będzie to zadanie łatwe, a nadto będzie wymagało pozyskania dodatkowych kompetencji i umiejętności.
Dlatego tak istotne jest zrozumienie specyfiki zarówno instytucji finansowych, jak i dostawców ICT, w tym także zrozumienie ryzyk charakterystycznych dla tych obszarów. Zachęcam więc do przeczytania jednego z moich ostatnich artykułów na temat zadawania właściwych pytań w procesie zakupowym, a także rozmowy na temat wyzwań.
PS. Mam świadomość, że wiele z rozwiązań zawartych w DORA nie będzie absolutnym novum, natomiast nowością niewątpliwie będzie krąg adresatów, do których DORA „apeluje”.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.