2024. október 15.
FinTechShow

KEDVEZMÉNYES JEGYEK 2024.07.31-IG!

Megnézem

2024. november 26.
BankTechShow

KEDVEZMÉNYES JEGYEK 2024.07.31-IG!

Megnézem

2023.10.27.

DORA Rendelet (3. rész): Az IKT szolgáltatási szerződések kötelező elemei

Szerző: DR. HORVÁTH KATALIN

Kategóriák:

BankTech | BankTechShow | DORA-rendelet | Összes hír | Szabályozás

A DORA Rendelet hatályba lépése szinte minden pénzügyi szereplőt érint. Cikksorozatunkban dr. Horváth Katalinnal, a CMS Budapest senior szakértőjével járjuk körbe a rendelet várható részleteit. Ebben a cikkben az IKT szolgáltatási szerződések kötelező elemeit ismerhetik meg az olvasók.

A DORA Rendelet (az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról) a pénzügyi intézmények mellett az információs és kommunikációs (IKT) technológiai szolgáltatókra is kiterjed, amelyek ilyen IKT szolgáltatásokat nyújtanak a pénzügyi intézményeknek (arról, hogy mi minősül IKT szolgáltatásnak, korábbi cikkünkben olvashat itt az alábbi linken).

A DORA Rendelet részletes előírásokat tartalmaz arra, hogy az IKT szolgáltatók és pénzügyi intézmények közötti szerződéseknek milyen kötelező rendelkezéseket kell tartalmazniuk. Ezeket a rendelkezéseket attól függetlenül be kell építeni az IKT szerződésekbe, hogy az adott IKT szolgáltatás kiszervezésnek minősül-e, vagy felhőszolgáltatást foglal-e magában. A kiszervezési szerződésekből már ismerős elemek tehát kötelezőek lesznek a kiszervezésnek nem minősülő IKT szolgáltatási szerződésekben is.

Előadás: DORA IKT szemszögből

dr. Horváth Katalin, CMS CEE, a technológiai jogi csapat szenior tanácsadója

BankTechShow 1.0: Hogyan épül a jövő digitális bankja? | 2023. november 23.

Részletek

Egyetlen szerződés

Újdonságot jelent a korábbi EBA és egyéb iránymutatásokhoz képest az, hogy mostantól az IKT szolgáltatókkal kötött szerződéseket írásban kell megkötni és a szerződést a mellékleteivel együtt egyetlen dokumentumban kell rögzíteni.

Praktikusan ez azt jelenti, hogy az eddig általában külön szerződésként kezelt IKT szolgáltatásra vonatkozó master software licence (MSLA) szerződést, master professzionális szolgáltatási szerződést (MPSA), szolgáltatásiszint megállapodást (SLA), adatkezelési szerződést (DPA), határon átnyúló projektek esetében az országspecifikus megállapodásokat (country specific addendum) és ezek mellékleteit egyetlen szerződéses dokumentummá kell összegyúrni és aláírni.

Kérdés, hogy a master szolgáltatási szerződés alá tartozó munkamegrendelésekre (work order) ez vonatkozik-e, mivel azok szükségszerűen később merülnek fel. A szerződésben az IKT szolgáltató jogait és kötelezettségeit meg kell határozni, ugyanígy az igénybe venni kívánt IKT szolgáltatást, funkciókat külön megjelölve azokat, amik kritikus vagy fontos funkciót támogatnak.

Visszaköszön a GDPR

Az IKT szerződésekben az eddig megszokott módon részletesen szabályozni kell az adatkezelésre vonatkozó előírásokat, így az adatkezelés és tárolás országát (régióját), az adatbiztonsági előírásokat.

Javasolt ezeket a rendelkezéseket egy egységes, mellékletben lévő adatkezelési/adatfeldolgozói megállapodásban rögzíteni a GDPR szerinti többi rendelkezéssel együtt.

SLA-k, incidensek, hibák, események

Ahogy eddig is, úgy ezután is az IKT szerződések kötelező tartalmi eleme lesz az SLA, IKT biztonsági esemény esetén követendő eljárásrend, jelentési és együttműködési kötelezettségek előírása. SLA keretében szükséges lesz a szolgáltatási szintek leírása is.

Célkeresztben az átláthatóság

A Rendelet nagy hangsúlyt fektet az IKT szolgáltatók szerződéskötést megelőző teljeskörű átvilágítására, és ennek keretében elvárja, hogy a felek a szerződésben rögzítsék, hogy mely információbiztonsági szabványoknak felel meg az igénybe venni kívánt IKT szolgáltatás.
A szerződésben részletesen meg kell határozni az IKT szolgáltató feletti audit jogokat is, külön kitérve azok gyakoriságára, és azokat a területeket, amelyeket külső auditorral szükséges auditáltatni. A szerződésnek tartalmaznia kell az IKT szolgáltató kötelezettségeként a hatóságokkal való együttműködést, beleértve a hatósági ellenőrzéskor követendő eljárásrendet és szolgáltatói kötelezettségeket is.

Önmagában nem kizárt továbbra sem alvállalkozó igénybevétele, a szerződésnek azonabn tartalmaznia kell az erre vonatkozó szabályokat.

Extra felmondási jogok

Az IKT szolgáltatásokra vonatkozó szerződésekben az általános szerződés megszüntetési jogok és lehetőségek mellett a pénzügyi intézményeket megillető külön felmondási jogokat is rögzíteni szükséges. Így például a pénzügyi intézmény felmondhatja a szerződést, ha az IKT szolgáltató jogszabályt sért, szerződésszegést követ el, megsérti a hatósági előírásokat, vagy ha a hatóság már nem tudja eredményesen felügyelni a pénzügyi szervezetet az IKT szerződés miatt.

Nem szükséges azonban szerződésszegés, jogsértés a felmondáshoz, ha a pénzügyi szervezet azt észleli, hogy olyan körülmények léptek fel, amelyek negatívan hatnak az IKT funkciók teljesítményére, vagy ha az IKT szolgáltató adatkezelésében, adatbiztonsági intézkedéseiben gyengeségeket észlel.

Üzletmenet folytonosság mindenekfelett

A pénzügyi szolgáltatások folytonossága érdekében a szerződésben speciális rendelkezéseket kell elhelyezni, amelyek biztosítják a szolgáltatások zökkenőmentes nyújtását a szerződés megszüntetése esetén is. Ehhez a pénzügyi intézményeknek hosszú felmondási időt kell kikötniük, a szerződés megszűnését követő továbbszolgáltatási kötelezettséget célszerű, kritikus/fontos funkciók esetén kötelező előírniuk a szolgáltató számára, más szolgáltatóhoz való adathordozásra vonatkozó szabályokban kell megállapodniuk a szolgáltatókkal.

Külön szabályok szükségesek a szerződés megszűnésekor, IKT szolgáltató megszűnésekor, fizetésképtelenségekor irányadó adathozzáférési, helyreállítási és átadási eljárásrendre is.

Fontos szabály az is, hogy a pénzügyi szervezet szerkezetátalakításának vagy szanálásának indokával a szerződés nem szüntethető meg, nem függeszthető fel, és nem módosítható.

Oktatás

Mivel az IKT szolgáltatók a Rendelet alapján a pénzügyi szervezet biztonsági és DORA rendelettel kapcsolatos képzésein kötelesek résztvenni, ezért az ezen oktatásokon való részvételre vonatkozó rendelkezéseket is rögzíteni kell a szerződésben.

Többletszabályok a kritikus/fontos IKT szolgáltatásokra

Ha a szolgáltató kritikus/fontos IKT szolgáltatást nyújt a pénzügyi szervezetnek, a szerződésben további részletszabályokat kell rögzíteni:

a) SLA KPI-ok a nyomonkövetésre és a monitorozásra
b) Felmondási idők
c) Bejelentési kötelezettségek
d) DRP elfogadása, tesztelése
e) Kötelező szabályzatok felsorolása (BCP, DRP, Információbiztonsági, incidenskezelési, IKT kockázatkezelési, stb.)
f) Pénzügyi szervezet által végzett penetrációs tesztekben való részvétel előírása és szabályai
g) Speciális audit jogok a pénzügyi szervezetnek és a hatóságnak is, helyszíni ellenőrzéssel
h) Kötelező átmeneti időszak előírása szerződés megszűnése utáni továbbszolgáltatási kötelezettséggel, amíg a pénzügyi szervezet átáll a saját rendszerére vagy egy harmadik személy rendszerére.

Mi a teendő a DORA előtt kötött szerződésekkel?

A Rendelet alkalmazása előtt kötött IKT szolgáltatásokra vonatkozó szerződéseket módosítani szükséges a DORA-nak való megfelelés biztosításához, amelyhez a szerződések újratárgyalására, több szerződésből álló szerződéscsomagok átstrukturálására lehet szükség.

A cikksorozat további részei:

DORA Rendelet (2. rész): A külső IKT szolgáltatók fő kötelezettségei, 2023.10.19.
DORA Rendelet: milyen IKT szolgáltatásokra kell alkalmazni?, 2023.10.05.

Címlapfotó: stock.adobe.com – Editorial | Licenc: FinTech Group

Címkék:

DORA | DORA-rendelet | szabályozás

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

2024. október 15. FinTechShow

2024. november 26. BankTechShow