DORA: Rejestr informacji o umowach ICT – wkrótce KNF powie „sprawdzam”
14 marca 2025 / Aktualności
Jednym z istotnych obowiązków, jakie rozporządzenie DORA nakłada na podmioty finansowe, jest prowadzenie i przedkładanie do KNF rejestru informacji o umowach ICT (ROI).
Rejestr ten to więcej niż zestawienie umów z dostawcami ICT. Jego celem jest stworzenie bazy danych kluczowej z perspektywy zarządzania ryzykiem ICT. ROI ma mapować zależności między podmiotem finansowym a jego dostawcami, zapewniając organom nadzoru pełny wgląd i kontrolę nad tymi relacjami.
Termin na przygotowanie i złożenie pierwszego ROI do KNF zbliża się. Zgodnie z informacjami KNF, pierwsze sprawozdania ROI będą składane w kwietniu 2025 roku (dokładna data zostanie podana na początku kwietnia).
Zakres obowiązków i kluczowe wyzwania
Aby przygotować ROI, podmioty finansowe będą musiały zebrać szereg informacji, obejmujących m.in.:
- informacje o konkretnych umowach ICT – zarówno tak podstawowe jako strony, rodzaj usług, daty zawarcia i obowiązywania, jak i bardziej szczegółowe, dotyczące wartości umowy, terminów wypowiedzenia, miejsca świadczenia usług czy przechowywania danych;
- numery LEI dostawców ICT oraz podwykonawców;
- w przypadku umów wspierających krytyczne lub istotne funkcje konieczne – kompleksowe informacje o łańcuchu dostaw.
Dla wielu instytucji finansowych kluczowym wyzwaniem jest pozyskanie danych do rejestru ROI. Informacje te często nie są centralnie gromadzone, co wymaga zaangażowania różnych jednostek organizacyjnych oraz zewnętrznych dostawców ICT, co może opóźnić proces.
Wymogi formalne, walidacja i zmieniające się wytyczne
Samo zebranie danych to dopiero pierwszy krok. Kolejnym wyzwaniem jest poprawne wypełnienie rejestru ROI zgodnie z wymaganiami KNF.
Obowiązek sprawozdawczy będzie realizowany za pośrednictwem systemu sprawozdawczości KNF, z wykorzystaniem dedykowanych formularzy ROI. Rejestr musi spełniać określone standardy – błędny format danych, brak wymaganych pól czy niewłaściwa nazwa pliku mogą skutkować jego odrzuceniem, co oznacza konieczność pilnej korekty i ponownego złożenia.
Dodatkowym wyzwaniem jest zmieniające się otoczenie regulacyjne. Taksonomia, formularze i instrukcje podlegają ciągłym aktualizacjom, dlatego podmioty finansowe muszą śledzić wytyczne KNF oraz EBA, aby działać zgodnie z najnowszymi wymaganiami i uniknąć problemów przy składaniu rejestru.
Konsolidacja danych w grupach kapitałowych
W przypadku grup kapitałowych dodatkowym wyzwaniem jest konsolidacja rejestru ROI. Podmiot finansowy zobowiązany do prowadzenia skonsolidowanego ROI musi uwzględnić nie tylko własne umowy z dostawcami ICT, ale także analogiczne informacje od swoich podmiotów zależnych (o ile podlegają DORA).
Dla podmiotów finansowych oznacza to konieczność:
✔ Weryfikacji, czy i w jakim zakresie ich ROI podlega konsolidacji,
✔ Jeśli są zobowiązane do konsolidacji – pozyskania danych od podmiotów zależnych w terminie umożliwiającym ich weryfikację i wprowadzenie do rejestru.
Ujednolicenie sposobu raportowania danych przez poszczególne podmioty jest kluczowe, aby uniknąć niezgodności w skonsolidowanym rejestrze ROI.
Jak się przygotować?
Z uwagi na złożoność procesu, jakim jest przygotowanie prawidłowego ROI, w mojej ocenie kluczowe dla zapewnienia powodzenia całego przedsięwzięcia jest wdrożenie wewnętrznego procesu przygotowania rejestru, który powinien obejmować:
- dokładne zapoznanie się z definicjami w DORA i aktach wykonawczych oraz interpretacją wytycznych KNF;
- w przypadku grup kapitałowych: identyfikację podmiotów objętych rejestrem – określenie, które podmioty w ramach grupy finansowej podlegają obowiązkowi raportowania;
- zebranie i uzupełnienie danych we właściwych formularzach – zidentyfikowanie brakujących informacji i skontaktowanie się z dostawcami w celu ich pozyskania.
- zachowanie zgodności z formatami i taksonomią
- regularne monitorowanie zmian regulacyjnych – śledzenie aktualizacji KNF i EBA, aby mieć pewność, że organizacja działa na właściwych formularzach i zgodnie z aktualnymi wytycznymi.
Podsumowując…
Rejestr informacji o umowach ICT to kluczowy obowiązek dla podmiotów finansowych objętych DORA, a jego przygotowanie wymaga czasu, szczególnej staranności i precyzji. Brak zgodności z wymaganiami KNF może skutkować odrzuceniem raportu i – w skrajnych przypadkach – poważnymi sankcjami.
Instytucje finansowe powinny intensywnie pracować nad swoimi rejestrami, a także monitorować aktualizacje przekazywane przez KNF i EBA, ponieważ zmieniające się wytyczne mogą wymusić dodatkowe korekty w raportowaniu.
Przydatne materiały
- EBA:Wytyczne i materiały dot. DORA
- KNF: Portal sprawozdawczości DORA (formularze na potrzeby sprawozdawczości, szczegółowe instrukcje i wytyczne KNF, wymaga zalogowania)
Potrzebujesz pomocy w tym temacie?
Napisz do naszego eksperta
Artykuły z tej kategorii
Rodzaje kryptoaktywów regulowanych przez MiCA
Rodzaje kryptoaktywów regulowanych przez MiCAPlatforma STEP – nowa era dla AI w Unii Europejskiej
Platforma STEP – nowa era dla AI w Unii EuropejskiejUzyskanie zezwolenia CASP – kluczowe informacje dla firm kryptowalutowych
Uzyskanie zezwolenia CASP – kluczowe informacje dla firm kryptowalutowychOdtajnienie dokumentów w sprawie zamachu na Kennedy’ego – nowe światło na historyczne wydarzenia i wpływ technologii na badania historyczne
Odtajnienie dokumentów w sprawie zamachu na Kennedy’ego – nowe światło na historyczne wydarzenia i wpływ technologii na badania historyczneZmiana czasu a prawo pracy – wpływ na czas pracy i wynagrodzenie
Zmiana czasu a prawo pracy – wpływ na czas pracy i wynagrodzenie