2023.10.27.

DORA Rendelet (3. rész): Az IKT szolgáltatási szerződések kötelező elemei

Szerző:

A DORA Rendelet hatályba lépése szinte minden pénzügyi szereplőt érint. Cikksorozatunkban dr. Horváth Katalinnal, a CMS Budapest senior szakértőjével járjuk körbe a rendelet várható részleteit. Ebben a cikkben az IKT szolgáltatási szerződések kötelező elemeit ismerhetik meg az olvasók.

A DORA Rendelet (az Európai Parlament és a Tanács (EU) 2022/2554 rendelete (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról) a pénzügyi intézmények mellett az információs és kommunikációs (IKT) technológiai szolgáltatókra is kiterjed, amelyek ilyen IKT szolgáltatásokat nyújtanak a pénzügyi intézményeknek (arról, hogy mi minősül IKT szolgáltatásnak, korábbi cikkünkben olvashat itt az alábbi linken).

 A DORA Rendelet részletes előírásokat tartalmaz arra, hogy az IKT szolgáltatók és pénzügyi intézmények közötti szerződéseknek milyen kötelező rendelkezéseket kell tartalmazniuk. Ezeket a rendelkezéseket attól függetlenül be kell építeni az IKT szerződésekbe, hogy az adott IKT szolgáltatás kiszervezésnek minősül-e, vagy felhőszolgáltatást foglal-e magában. A kiszervezési szerződésekből már ismerős elemek tehát kötelezőek lesznek a kiszervezésnek nem minősülő IKT szolgáltatási szerződésekben is.

Katalin Horvath

Előadás: DORA IKT szemszögből

dr. Horváth Katalin, CMS CEE, a technológiai jogi csapat szenior tanácsadója

BankTechShow 1.0: Hogyan épül a jövő digitális bankja? | 2023. november 23.

Egyetlen szerződés

Újdonságot jelent a korábbi EBA és egyéb iránymutatásokhoz képest az, hogy mostantól az IKT szolgáltatókkal kötött szerződéseket írásban kell megkötni és a szerződést a mellékleteivel együtt egyetlen dokumentumban kell rögzíteni.

Praktikusan ez azt jelenti, hogy az eddig általában külön szerződésként kezelt IKT szolgáltatásra vonatkozó master software licence (MSLA) szerződést, master professzionális szolgáltatási szerződést (MPSA), szolgáltatásiszint megállapodást (SLA), adatkezelési szerződést (DPA), határon átnyúló projektek esetében az országspecifikus megállapodásokat (country specific addendum) és ezek mellékleteit egyetlen szerződéses dokumentummá kell összegyúrni és aláírni.

Kérdés, hogy a master szolgáltatási szerződés alá tartozó munkamegrendelésekre (work order) ez vonatkozik-e, mivel azok szükségszerűen később merülnek fel. A szerződésben az IKT szolgáltató jogait és kötelezettségeit meg kell határozni, ugyanígy az igénybe venni kívánt IKT szolgáltatást, funkciókat külön megjelölve azokat, amik kritikus vagy fontos funkciót támogatnak.

Visszaköszön a GDPR

Az IKT szerződésekben az eddig megszokott módon részletesen szabályozni kell az adatkezelésre vonatkozó előírásokat, így az adatkezelés és tárolás országát (régióját), az adatbiztonsági előírásokat.

Javasolt ezeket a rendelkezéseket egy egységes, mellékletben lévő adatkezelési/adatfeldolgozói megállapodásban rögzíteni a GDPR szerinti többi rendelkezéssel együtt.

SLA-k, incidensek, hibák, események

Ahogy eddig is, úgy ezután is az IKT szerződések kötelező tartalmi eleme lesz az SLA, IKT biztonsági esemény esetén követendő eljárásrend, jelentési és együttműködési kötelezettségek előírása. SLA keretében szükséges lesz a szolgáltatási szintek leírása is.

Célkeresztben az átláthatóság

A Rendelet nagy hangsúlyt fektet az IKT szolgáltatók szerződéskötést megelőző teljeskörű átvilágítására, és ennek keretében elvárja, hogy a felek a szerződésben rögzítsék, hogy mely információbiztonsági szabványoknak felel meg az igénybe venni kívánt IKT szolgáltatás.
A szerződésben részletesen meg kell határozni az IKT szolgáltató feletti audit jogokat is, külön kitérve azok gyakoriságára, és azokat a területeket, amelyeket külső auditorral szükséges auditáltatni. A szerződésnek tartalmaznia kell az IKT szolgáltató kötelezettségeként a hatóságokkal való együttműködést, beleértve a hatósági ellenőrzéskor követendő eljárásrendet és szolgáltatói kötelezettségeket is.

Önmagában nem kizárt továbbra sem alvállalkozó igénybevétele, a szerződésnek azonabn tartalmaznia kell az erre vonatkozó szabályokat.

Extra felmondási jogok

Az IKT szolgáltatásokra vonatkozó szerződésekben az általános szerződés megszüntetési jogok és lehetőségek mellett a pénzügyi intézményeket megillető külön felmondási jogokat is rögzíteni szükséges. Így például a pénzügyi intézmény felmondhatja a szerződést, ha az IKT szolgáltató jogszabályt sért, szerződésszegést követ el, megsérti a hatósági előírásokat, vagy ha a hatóság már nem tudja eredményesen felügyelni a pénzügyi szervezetet az IKT szerződés miatt.

Nem szükséges azonban szerződésszegés, jogsértés a felmondáshoz, ha a pénzügyi szervezet azt észleli, hogy olyan körülmények léptek fel, amelyek negatívan hatnak az IKT funkciók teljesítményére, vagy ha az IKT szolgáltató adatkezelésében, adatbiztonsági intézkedéseiben gyengeségeket észlel.

Üzletmenet folytonosság mindenekfelett

A pénzügyi szolgáltatások folytonossága érdekében a szerződésben speciális rendelkezéseket kell elhelyezni, amelyek biztosítják a szolgáltatások zökkenőmentes nyújtását a szerződés megszüntetése esetén is. Ehhez a pénzügyi intézményeknek hosszú felmondási időt kell kikötniük, a szerződés megszűnését követő továbbszolgáltatási kötelezettséget célszerű, kritikus/fontos funkciók esetén kötelező előírniuk a szolgáltató számára, más szolgáltatóhoz való adathordozásra vonatkozó szabályokban kell megállapodniuk a szolgáltatókkal.

Külön szabályok szükségesek a szerződés megszűnésekor, IKT szolgáltató megszűnésekor, fizetésképtelenségekor irányadó adathozzáférési, helyreállítási és átadási eljárásrendre is.

Fontos szabály az is, hogy a pénzügyi szervezet szerkezetátalakításának vagy szanálásának indokával a szerződés nem szüntethető meg, nem függeszthető fel, és nem módosítható.

Oktatás

Mivel az IKT szolgáltatók a Rendelet alapján a pénzügyi szervezet biztonsági és DORA rendelettel kapcsolatos képzésein kötelesek résztvenni, ezért az ezen oktatásokon való részvételre vonatkozó rendelkezéseket is rögzíteni kell a szerződésben.

Többletszabályok a kritikus/fontos IKT szolgáltatásokra

Ha a szolgáltató kritikus/fontos IKT szolgáltatást nyújt a pénzügyi szervezetnek, a szerződésben további részletszabályokat kell rögzíteni:

a) SLA KPI-ok a nyomonkövetésre és a monitorozásra
b) Felmondási idők
c) Bejelentési kötelezettségek
d) DRP elfogadása, tesztelése
e) Kötelező szabályzatok felsorolása (BCP, DRP, Információbiztonsági, incidenskezelési, IKT kockázatkezelési, stb.)
f) Pénzügyi szervezet által végzett penetrációs tesztekben való részvétel előírása és szabályai
g) Speciális audit jogok a pénzügyi szervezetnek és a hatóságnak is, helyszíni ellenőrzéssel
h) Kötelező átmeneti időszak előírása szerződés megszűnése utáni továbbszolgáltatási kötelezettséggel, amíg a pénzügyi szervezet átáll a saját rendszerére vagy egy harmadik személy rendszerére.

Mi a teendő a DORA előtt kötött szerződésekkel?

A Rendelet alkalmazása előtt kötött IKT szolgáltatásokra vonatkozó szerződéseket módosítani szükséges a DORA-nak való megfelelés biztosításához, amelyhez a szerződések újratárgyalására, több szerződésből álló szerződéscsomagok átstrukturálására lehet szükség.

Címlapfotó: stock.adobe.com – Editorial | Licenc: FinTech Group

Címkék: