DORA και Συμβατικές Σχέσεις με Παρόχους ΤΠΕ

Των Νίκου Κοντιζά και Γιάννη Κουτσουμπίνα*

Ο Κανονισμός 2022/2554/ΕΕ σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (Digital Operational Resilience Act - "DORA") επιβάλλει ορισμένες υποχρεώσεις στις χρηματοοικονομικές οντότητες ("Χ.Ο."), καλύπτοντας και τις συμβατικές τους σχέσεις με τους τρίτους παρόχους υπηρεσιών τεχνολογιών των πληροφοριών και των επικοινωνιών ("Πάροχοι ΤΠΕ"). Οι υποχρεώσεις αυτές διαρθρώνονται σε 4 επίπεδα: α) προσυμβατικές υποχρεώσεις της Χ.Ο., β) περιεχόμενο των συμβάσεων, γ) υποχρεώσεις παρακολούθησης και αναφορών, και δ) υιοθέτηση μιας συγκεκριμένης πολιτικής, η οποία αναφέρεται σε συμβατικές ρυθμίσεις σχετικά με την χρήση υπηρεσιών ΤΠΕ, οι οποίες υποστηρίζουν "κρίσιμες ή σημαντικές λειτουργίες".

"Κρίσιμη ή σημαντική λειτουργία" αποτελεί μια λειτουργία, η διαταραχή της οποίας θα έβλαπτε ουσιωδώς τις οικονομικές επιδόσεις της Χ.Ο., ή την ορθότητα ή τη συνέχεια των υπηρεσιών και δραστηριοτήτων της, ή τη συμμόρφωση της  Χ.Ο. με τις υποχρεώσεις της άδειας λειτουργίας της ή με τις λοιπές υποχρεώσεις τις οποίες υπέχει βάσει του ισχύοντος δικαίου για τις χρηματοοικονομικές υπηρεσίες.

Το άρθρο 28 της DORA προσδιορίζει τις γενικές αρχές για την διαχείριση κινδύνων  Παρόχων ΤΠΕ, και το άρθρο 30 καθορίζει τις βασικές συμβατικές διατάξεις, οι οποίες πρέπει να συμπεριλαμβάνονται στις συμβάσεις μεταξύ των Χ.Ο. και των Παρόχων ΤΠΕ.

Α. Προσυμβατικές Υποχρεώσεις 

1. Πριν από τη σύναψη μιας συμβατικής ρύθμισης σχετικά με υπηρεσίες ΤΠΕ, οι Χ.Ο. θα πρέπει να:

• Αξιολογούν αν η συμβατική ρύθμιση καλύπτει τη χρήση υπηρεσιών ΤΠΕ, οι οποίες υποστηρίζουν κρίσιμη ή σημαντική λειτουργία,

• Αξιολογούν αν πληρούνται οι όροι εποπτείας της σύμβασης,

• Προσδιορίζουν και να αξιολογούν όλους τους συναφείς κινδύνους (π.χ. κίνδυνος συγκέντρωσης),

• Αναλαμβάνουν κάθε δέουσα επιμέλεια,

• Προσδιορίζουν και αξιολογούν συγκρούσεις συμφερόντων που δύναται να προκαλέσει η συμβατική ρύθμιση.

ΙΙ. Οι Χ.Ο. πρέπει να ενημερώνουν άμεσα την αρμόδια αρχή σχετικά με τις προγραμματισμένες συμβατικές ρυθμίσεις που αφορούν σε υπηρεσίες ΤΠΕ, οι οποίες υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, καθώς και όταν μια λειτουργία καθίσταται κρίσιμη ή σημαντική.

Β. Βασικές Συμβατικές Διατάξεις

Ι.  Οι συμβατικές ρυθμίσεις σχετικά με τη χρήση υπηρεσιών ΤΠΕ πρέπει να περιλαμβάνουν κατ’ ελάχιστον τα ακόλουθα στοιχεία:

• Περιγραφή όλων των λειτουργιών και των παρεχόμενων υπηρεσιών ΤΠΕ, αναφέροντας εάν επιτρέπεται η υπεργολαβική ανάθεση υπηρεσίας ΤΠΕ, η οποία υποστηρίζει κρίσιμη ή σημαντική λειτουργία και υπό ποιους όρους,

• Τις περιοχές και τις χώρες στις οποίες πρέπει να παρέχονται οι λειτουργίες και οι υπηρεσίες ΤΠΕ που αποτελούν αντικείμενο ανάθεσης ή υπεργολαβίας, και στις οποίες πραγματοποιείται η επεξεργασία δεδομένων,

• Διατάξεις σχετικά με τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα των δεδομένων, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, καθώς και για τη διασφάλιση της πρόσβασης στα δεδομένα, την ανάκτηση και την επιστροφή τους σε περιπτώσεις αφερεγγυότητας, εξυγίανσης, διακοπής της επιχειρηματικής δραστηριότητας του Παρόχου ΤΠΕ, ή καταγγελίας της σύμβασης,

• Περιγραφές των επιπέδων εξυπηρέτησης (Service Level Agreements),

• Υποχρέωση παροχής συνδρομής σε περίπτωση συμβάντος ΤΠΕ, το οποίο σχετίζεται με τις παρεχόμενες υπηρεσίες,

• Υποχρέωση για πλήρη συνεργασία με τις αρμόδιες αρχές,

• Δικαιώματα καταγγελίας,

• Τους όρους συμμετοχής των Παρόχων ΤΠΕ στα προγράμματα ευαισθητοποίησης για την ασφάλεια ΤΠΕ των Χ.Ο.

ΙΙ. Οι συμβατικές ρυθμίσεις σχετικά με τη χρήση υπηρεσιών ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες πρέπει επίσης να περιλαμβάνουν: 

• Πλήρεις περιγραφές των επιπέδων εξυπηρέτησης, συμπεριλαμβανομένων των επικαιροποιήσεων και των αναθεωρήσεών τους,

• Προθεσμίες προειδοποίησης και υποχρεώσεις υποβολής εκθέσεων εκ μέρους του Παρόχου ΤΠΕ,

• Απαιτήσεις για σχέδια έκτακτης ανάγκης, μέτρα ασφαλείας, εργαλεία και πολιτικές ΤΠΕ , 

• Δικαίωμα παρακολούθησης των επιδόσεων του Παρόχου ΤΠΕ, συμπεριλαμβανομένων και των δικαιωμάτων απεριόριστης πρόσβασης, επιθεώρησης και ελέγχου,

• Στρατηγικές εξόδου, ιδίως όσον αφορά στον καθορισμό υποχρεωτικής επαρκούς μεταβατικής περιόδου.

Γ. Υποχρεώσεις Παρακολούθησης και Υποβολής Αναφορών

Οι Χ.Ο. πρέπει να τηρούν και να ενημερώνουν ένα Μητρώο Πληροφοριών για όλες τις συμβάσεις υπηρεσιών ΤΠΕ. Πρέπει να παρέχουν το Μητρώο Πληροφοριών ή συγκεκριμένα τμήματα του στις αρμόδιες αρχές κατόπιν αιτήματος, μαζί με κάθε αναγκαία πληροφορία. Οι Χ.Ο. πρέπει να παρακολουθούν όχι μόνο τους Παρόχους ΤΠΕ, αλλά και ολόκληρη την αλυσίδα υπεργολαβιών, η οποία υποστηρίζει κρίσιμες ή σημαντικές λειτουργίες.

Οι ευρωπαϊκές αρχές έχουν δημοσιεύσει τα τελικά σχέδια των Εκτελεστικών Τεχνικών Προτύπων (ITS) για το Μητρώο Πληροφοριών, τα οποία θα τεθούν σε ισχύ μετά την έγκρισή τους από την Επιτροπή της Ε.Ε. μέσω κατ' εξουσιοδότηση Κανονισμού.

Οι Χ.Ο. πρέπει να υποβάλλουν ετήσια αναφορά στις αρμόδιες αρχές σχετικά με τον αριθμό των νέων συμφωνιών παροχής υπηρεσιών ΤΠΕ, τις κατηγορίες των Παρόχων ΤΠΕ, τους τύπους συμβάσεων και τις παρεχόμενες υπηρεσίες.

Δ. Πολιτική για τη Χρήση Υπηρεσιών ΤΠΕ οι Οποίες Υποστηρίζουν Κρίσιμες ή Σημαντικές λειτουργίες

Κάθε Χ.Ο. πρέπει να υιοθετεί και να εφαρμόζει μια πολιτική για τις συμβατικές ρυθμίσεις οι οποίες αφορούν σε υπηρεσίες ΤΠΕ, οι οποίες υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες στο πλαίσιο της στρατηγικής της για τη διαχείριση κινδύνων Παρόχων ΤΠΕ. Η πολιτική αυτή πρέπει να συμμορφώνεται με τον κατ' εξουσιοδότηση Κανονισμό 2024/1773/ΕΕ της Επιτροπής. Ειδικότερα θα πρέπει:

• Να ευθυγραμμίζεται με το μέγεθος, το προφίλ κινδύνου και την πολυπλοκότητα των δραστηριοτήτων της Χ.Ο.,

• Να διασφαλίζει τη δέουσα επιμέλεια σχετικά με τους Παρόχους ΤΠΕ,

• Να περιλαμβάνει σαφή ανάθεση εσωτερικών αρμοδιοτήτων και να υπόκειται σε τακτική επανεξέταση,

• Να περιλαμβάνει διατάξεις για ελέγχους, πρόσβαση σε δεδομένα και αναφορά περιστατικών,

• Να θεσπίζει μηχανισμούς για την παρακολούθηση των επιδόσεων των Παρόχων ΤΠΕ και να επιβάλλει τη συμμόρφωσή τους,

• Να καθορίζει και να προβλέπει δοκιμές στρατηγικών εξόδου για τη διασφάλιση της συνέχειας,

• Να εφαρμόζεται με συνέπεια σε όλες τις οντότητες του ομίλου, διασφαλίζοντας παράλληλα τη συμμόρφωση με τους Κανονισμούς της Ε.Ε. και τους εθνικούς νόμους.

Συμπέρασμα. Η DORA απαιτεί από τις Χ.Ο. να συνάπτουν συμβατικές συμφωνίες με τους Παρόχους ΤΠΕ με συγκεκριμένο περιεχόμενο. Τόσο οι Χ.Ο. όσο, και οι Πάροχοι ΤΠΕ πρέπει να προσαρμόσουν τις οργανωτικές και λειτουργικές πρακτικές τους, ώστε να ανταποκρίνονται στις απαιτήσεις της DORA. Ως πρώτο βήμα, οι Χ.Ο. πρέπει να καθορίσουν αν μια υπηρεσία υποστηρίζει μια κρίσιμη ή σημαντική λειτουργία. Οι συμβάσεις πρέπει να δίνουν έμφαση στα πρότυπα ασφάλειας, στα δικαιώματα ελέγχου, στις στρατηγικές εξόδου για τη διασφάλιση της συνέχειας και στις ισχυρές διατάξεις διαχείρισης δεδομένων. Επιπλέον, οι Χ.Ο. πρέπει να διατηρούν ένα Μητρώο Πληροφοριών, να παρακολουθούν τις σχέσεις με τους Παρόχους ΤΠΕ και να συμμορφώνονται με τις υποχρεώσεις υποβολής αναφορών.

*Ο Νίκος Κοντιζάς και ο Γιάννης Κουτσουμπίνας είναι δικηγόροι