ESA: Nowe zasady raportowania dostawców ICT w ramach DORA
Ważne daty i nowe obowiązki
15 listopada 2024 roku Europejskie Organy Nadzoru (EBA, EIOPA i ESMA – ESA) opublikowały Decyzję dotyczącą zakresu informacji, które muszą być przekazywane przez właściwe organy. Dane te posłużą do wyznaczenia istotnych zewnętrznych dostawców usług ICT zgodnie z rozporządzeniem w sprawie odporności operacyjnej cyfrowej (DORA)
Do 30 kwietnia 2025 r. właściwe organy muszą przekazać ESA rejestry informacji o umowach pomiędzy podmiotami finansowymi a zewnętrznymi dostawcami ICT. Zgodnie z DORA, ESA rozpoczną nadzór nad kluczowymi dostawcami ICT po jej wejściu w życie 17 stycznia 2025 r. Pierwszym etapem tego procesu będzie identyfikacja dostawców uznawanych za kluczowych.
DORA w praktyce: jak identyfikowani będą kluczowi dostawcy ICT?
Od stycznia 2025 r., po wejściu w życie DORA, ESA we współpracy z właściwymi organami rozpoczną nadzór nad dostawcami ICT oferującymi kluczowe usługi dla podmiotów finansowych w UE. Proces identyfikacji CTPP (Critical ICT Third Party Providers) będzie oparty na zgromadzonych i przeanalizowanych rejestrach informacji dostarczonych przez podmioty finansowe oraz organy nadzoru.
Nowe wymogi
Decyzja ESA określa szczegółowe wytyczne dotyczące raportowania:
- harmonogramy,
- częstotliwości raportowania,
- procedury przesyłania danych,
- zapewnienie jakości danych,
- kwestie poufności i zasady dostępu do informacji.
Chociaż standardy techniczne (ITS) dotyczące rejestrów nie zostały jeszcze formalnie przyjęte przez Komisję Europejską, większość wymogów jest publicznie znana od stycznia 2024 r. ESA zalecają podmiotom finansowym wcześniejsze przygotowanie rejestrów, szczególnie w zakresie trudno dostępnych informacji, takich jak identyfikatory dostawców ICT.
Wsparcie dla sektora finansowego
Aby ułatwić przygotowania, ESA już w maju 2024 r. udostępniły:
- projekty szablonów,
- modele punktów danych,
- pakiet techniczny dotyczący raportowania. ,
- Zasady walidacji oraz wizualny model danych, które zostaną zaktualizowane w grudniu 2024 r.
Dodatkowo przeprowadzono dobrowolny warsztat z udziałem około 1000 podmiotów finansowych z całego sektora w UE.
Kiedy odbędzie się kolejny warsztat informacyjny?
Podmioty finansowe które chcą przećwiczyć proces raportowania mogą wziąć udział w warsztacie informacyjnym organizowanym przez ESA. Spotkanie odbędzie się w formie wirtualnej 18 grudnia 2024 r. w godzinach 10:00–13:00. Rejestracja jest otwarta do 16 grudnia 2024 r.
Poprzez udostępnione materiały i warsztaty ESA zachęcają wszystkie instytucje finansowe do proaktywnego przygotowania, aby proces raportowania przebiegał sprawnie i zgodnie z wymogami.
Chcesz być na bieżąco z najważniejszymi zmianami w prawie? Zapisz się do naszego newslettera, aby otrzymywać najnowsze informacje o regulacjach prawnych i powiadomienia o ważnych terminach i wydarzeniach.
Link do materiału źródłowego: https://www.esma.europa.eu/press-news/esma-news/esas-announce-timeline-collect-information-designation-critical-ict-third