V lednu tohoto roku nabylo účinnosti nařízení Digital Operational Resilience Act, které je známé jako DORA. Velmi zjednodušeně a zkratkovitě jej lze nazvat jako takovou NIS 2 v oblasti finančních trhů a bankovnictví. Na rozdíl od NIS 2 však tento předpis je nařízením, nikoliv směrnicí. Takže finanční subjekty nemusejí čekat na žádné schvalování zákona o kybernetické bezpečnosti nebo čehokoliv jiného.
DORA se vztahuje na tzv. finanční subjekty. Mezi ně se řadí banky, investiční podniky, úvěrové instituce, platební instituce, subjekty v oblasti kapitálových trhů, pojišťovnictví, krypto. Možná si teď říkáte, že to jsou všechno subjekty, které svou povahou tvoří zejména velké podniky, korporace, nadnárodní struktury, takže určitě se na celou regulaci chystali s dostatečným předstihem. Akorát, že vůbec (alespoň v některých případech).
Tak jak to bývá zvykem, i v této oblasti se finanční subjekty připravovaly „na poslední chvíli“. Možná nemám přehled o celém trhu, ovšem minimálně z pohledu dodavatelů finančním subjektům toto bylo patrné.
Celkově DORA rozděluje subjekty do přibližně dvaceti kategorií. K tomu však přidává ještě jednu speciální, a tou jsou tzv. poskytovatelé služeb IKT z řad třetích stran, tedy zmínění dodavatelé. Tito poskytovatelé zajišťují pro finanční subjekty digitální a datové služby, včetně případných dodávek hardware, technické podpory a jiné digitální služby. Ať už tak jde o vývojáře software pro banky, dodavatele datových center, nebo prostě dodavatele jakýchkoliv nástrojů do bankovního odvětví, mohou být považováni za tyto poskytovatele služeb IKT.
Požadavky na smlouvy
Mimo jiné musí tito poskytovatelé IKT služeb uzavírat s finančními subjekty písemné smlouvy, respektive si písemně nastavit práva a povinnosti. Tak jako to známe s notoricky známým článkem 28 GDPR, i zde se v průběhu účinnosti DORA začaly objevovat nové dodatky a smlouvy, které jsou často doprovázeny průvodním e-mailem: „Z důvodu DORA musíme podepsat tento dodatek.“
Náležitosti těchto dodatků jsou poté upraveny v čl. 30 DORA, případně v doplňkových předpisech a standardech. Co je ovšem důležité zmínit, je fakt, že i zde jsou jednotlivé náležitosti na úpravu poměrně obecné a nechávají velkou míru pro kreativitu smluvním stranám. To ovšem nemusí platit absolutně a, tak jako je známo už právě z GDPR a zpracovatelských smluv, mnohdy se finanční subjekty vydají cestou pouhého „vykopírování“ dané povinnosti z čl. 30 DORA. A přesně poté nám vznikají dodatky pro dodatky. Protože dané ustanovení vůbec nic nevyřeší a nic nenastaví. A pokud by mělo dojít na aplikaci takového ustanovení, nakonec z něj bude více otazníků než odpovědí.
Navíc mnohdy platí, že požadovaná ustanovení se již kryjí s existujícími ustanoveními uzavřenými ať už v hlavní smlouvě, zpracovatelské smlouvě, SLA, nebo jiných smlouvách, které jsou s finančním subjektem již uzavřeny. A co víc, občas se stává, že ani v jednom z dodatků či hlavní smlouvě nejsou nastavena pravidla výkladu a rozporů, takže často se může stát, že poslední bere vše. Ne jednou jsem se tak setkal s tím, že v hlavní smlouvě byli subdodavatelé povoleni, ve zpracovatelské smlouvě byli navázáni na opt-out a v DORA dodatku byli zakázáni úplně.
Pojďme se prakticky podívat na některá ustanovení
Ustanovení č. 1: Rozlišování poskytovatelů IKT služeb
Alfou a omegou citovaného čl. 30 DORA je, že obsahuje dvoustupňový režim smluvních ustanovení. Zjednodušeně se dá říct, že záleží, zda dodavatel IKT služeb dodává do takových částí finančního subjektu, které jsou zásadní a důležité (tzv. podporují zásadní nebo důležité funkce). Obrazně se dá říct, že je rozdíl, pokud jako dodavatel dodávám na marketingové oddělení finančního subjektu nějaký analytický software, nebo vyvíjím software pro správu internetového bankovnictví. V tom prvním případě se může stát, že nepodporuji zásadní nebo důležité funkce, takže smlouva nemusí být tolik „přísná“, v tom druhém případě je jasné, že jakékoliv otázky spojené s ukončením spolupráce, testováním a bezpečností musí být na diametrálně jiné úrovni.
A teď k těm častým problémům. Ty dodatky to často neřeší. Prostě jsou v dodatcích nasypány všechny ustanovení, které čl. 30 DORA předpovídá. A někdy i něco navíc. Vůbec tak není od věci začít jakékoliv vyjednávání s finančním subjektem právě otázkou: „Identifikovali jste si nás jako poskytovatele IKT služeb podporující zásadní nebo důležité funkce?“ Tohle je totiž zásadní vyjednávací bod, od kterého se bude určovat obsah celé smlouvy. Pro přehlednost dodávám, že smluvní povinnosti pro tyhle významnější poskytovatele jsou uvedeny v čl. 30 odst. 3 DORA.
Ideálně by tak dodatek měl v úvodu obsahovat vymezení postavení dodavatele, respektive vymezení služeb, které jsou zásadní nebo důležité, a těch ostatních. S tímto vymezením by následně měl pracovat také v souvislosti s jednotlivými povinnostmi a rozsahem jejich aplikace. Zároveň je potřeba říct, že takové ustanovení je jedno z povinných ustanovení, které by smlouva s dodavatelem měla obsahovat, konkrétně DORA vyžaduje, aby smlouva obsahovala: „Srozumitelný a úplný popis všech funkcí a služeb IKT dodávaných poskytovatelem služeb IKT z řad třetích stran.“
Ustanovení č. 2: ustanovení týkající se dostupnosti, hodnověrnosti, integrity a důvěrnosti, pokud jde o ochranu údajů, včetně osobních údajů
Všemi velmi oblíbené bezpečnostní ustanovení ve smlouvách bývá (jako vždy) dost podceňováno.
Buďto je předložen návrh dodatku, který odkazuje pouze na zpracovatelskou smlouvu, respektive často na její přílohu, kde jsou bezpečnostní opatření stanovena. K tomu je vhodné poznamenat, že zpracovatelská smlouva se vztahuje pouze na osobní údaje, přičemž zde jde rozsah širší a řeší se ochrana údajů jako takových.
Je trošku nešťastné, že byl zvolen pojem údaj a s klienty mnohdy tápeme, jaký set dat pod tento pojem podřadit. Sečteno a podtrženo, při kontraktaci by se dodavatelé měli zaměřit nejen na osobní údaje, ale celkově na data, která sbírají, pracují s nimi, jsou výstupem v rámci služby, a k těmto datům nastavovat opatření.
Dalším příkladem v dodatcích je prostá věta okopírovaná z čl. 30 odst. 2 písm. c) DORA (viz nadpis této kapitoly). Z takového ustanovení mohou vstávat vlasy hrůzou. A to jak na straně dodavatele, tak na straně finančního subjektu. Představa, že se dodavatel zaváže k tomu, že zajistí dostupnost, hodnověrnost, integritu a důvěrnost údajů, včetně osobních údajů, bez dalšího upřesnění, jej musí budit v noci hrůzou, protože následná svévole, kterou může finanční subjekt využít, je obrovská.
Vymezení by mělo být konkrétní, a hlavně navázané na typ služeb/zboží dodávaných dodavatelem (abychom pak nechtěli komplexní plány záloh po dodavatelích).
Ustanovení č. 3: Povinnost poskytovatele služeb IKT poskytnout finančnímu subjektu pomoc bez dodatečných nákladů nebo za náklady, které jsou stanoveny ex ante
Vzpomínáte na diskuzi kolem zpracovatelských smluv a otázek, zda může chtít zpracovatel náklady za poskytování součinnosti při plnění jednotlivých povinností? GDPR nic explicitně nestanovovalo, tak si EU pomohla výkladovým stanoviskem EDPB. DORA jde dále a definuje, že smlouva by měla obsahovat toto vymezení nákladů, pokud dojde k incidentu v oblasti IKT. Důležité ovšem je poznamenat, že takové náklady musí být dohodnuty předem.
A vyjednávací proces při uzavírání DORA dodatků pak vypadá třeba nějak takto:
Finanční subjekt předloží návrh smlouvy, ve kterém vymezí, že žádné dodatečné náklady nebudou hrazeny.
Poskytovatel služeb IKT kontruje, že DORA počítá s tím, že lze náklady stanovit ex ante, přičemž je to žádané s ohledem na vícenáklady, které to může způsobit.
Finanční subjekt kontruje tím, že služba je pro něj natolik významná, že nemůže být postaven před rozhodovací paralýzu, zda náklady uhradí nebo se obejde bez pomoci.
Poskytovatel služeb IKT reaguje, že pokud je služba natolik významná, měli by opětovně otevřít téma ceny a odměny za poskytované služby…
Sečteno a podtrženo, alternativní vymezení v DORA má úplně stejný dopad, jako vyjednávání nákladu podle GDPR. Jen otáčí kormidlo vyjednávání na poskytovatele služeb IKT, který má trošku lepší vyjednávací pozici.
Ustanovení č. 4: Podmínky pro účast poskytovatele služeb IKT z řad třetích stran na programech zvyšování povědomí o bezpečnosti v oblasti IKT a školeních o digitální provozní odolnosti finančních subjektů
DORA předpokládá, že se poskytovatel služeb IKT bude účastnit také zvyšování povědomí v oblasti bezpečnosti. Bohužel, dodatky často končí u této obecné proklamace. Tedy, že se bude dodavatel účastnit, případně, že bude dodržovat interní předpisy a směrnice v oblasti bezpečnosti.
Bohužel i takové ustanovení může napáchat více škody než užitku. Bez jasně definovaných pravidel, čeho se má účastnit, jak často, v jakém rozsahu, kdo všechno se má účastnit, jaké jsou konkrétní plány, to může znamenat, že si dodavatel zadělá na pořádný problém. Aby pak dodavatel a jeho pracovníci nemuseli každé pondělí ráno nastoupit na stand-up poradu security týmu finančního subjektu.
Ustanovení č. 5: Povinnosti pro poskytovatele podporující zásadní nebo důležité funkce
Když pominu fakt, že často jsou součástí smluvních DORA dodatků povinnosti pro tyto „významné“ poskytovatele vloženy „by-default“, tedy vůbec neřeší, zda poskytovatel takové funkce podporuje nebo ne, vzniká kolem podobných ustanovení spousta nepřesností a absurdit.
Krásnou ukázkou je povinnost stanovená v DORA, že by smlouva u těchto poskytovatelů měla obsahovat oznámení jakéhokoli vývoje, který by mohl mít významný dopad na schopnost poskytovatele služeb IKT z řad třetích stran účinně poskytovat služby IKT podporující zásadní nebo důležité funkce v souladu se sjednanými úrovněmi služeb.
A pak nastávají ty absurdní situace. Třeba tato: Poskytovatel SaaS nástroje, který jej poskytuje jako službu stovkám klientů as-is. Žádná customizace, žádný vývoj na míru, žádné přizpůsobení. Prostě ber nebo neber. V DORA dodatku se následně objeví ustanovení, které nastavuje zákaz změnit službu/nástroj/funkcionalitu bez souhlasu finančního subjektu. Umíte si to představit?
CTO: „Jirko, tady jsme vymysleli skvělou AI featuru, která by nás mohla dostat k dalším tisícům klientů.“
CEO: „Skvělé! Zeptám se našeho zákazníka – finančního subjektu, zda můžeme tuhle featuru implementovat a dají nám k tomu souhlas.“
Obdobně se dá pokračovat u povinností pro tyto „významné“ dodavatele. Finanční subjekty často požadují přestřelené požadavky po naprosto drobných dodavatelích. Chtějí po nich penetrační testy, pojištění v řádech vyšších stovek miliónů, komplexní exit strategie.
Co říct závěrem?
Opět se dostáváme k ustanovení č. 1 DORA dodatků, které jsem ve článku zmínil. Základem všeho je dobře specifikovaná služba a její kategorizace. Protože DORA nastavuje v maximálním režimu natolik přísné povinnosti, že některé dodavatele by závazek dodržování mohl stát byznys.
Samozřejmě jsem zastáncem standardizace a určitě nemá smysl vytvářet pro každého dodavatele samostatný dodatek. To by finanční subjekt nezvládl uřídit. Ale vymezit alespoň základní kategorizace dodavatelů a jím přizpůsobit takové dodatky, to je základem.
Snad jen na závěr se sluší podotknout, že ač může můj komentář mít trošku pichlavý podtón, finanční subjekty jsou v rámci vyjednávání dodatků velmi otevření. Pro všechny strany je DORA velmi komplexní záležitost a prostor na dialog prostě je. Proto je vhodné se toho nebát a jako dodavatel do dodatku, jak se říká, říznout a upravit jej na konkrétní use-case. Není totiž nic horšího, než se zavázat k něčemu, co nejste schopni splnit.
