Europejskie Urzędy Nadzoru – EUNB, EIOPA i ESMA – opublikowały wykaz kluczowych zewnętrznych dostawców usług ICT (CTPP). To pierwsze zestawienie o takim znaczeniu w ramach nowych wymogów Rozporządzenia DORA. Lista została ogłoszona 18 listopada 2025 roku i obejmuje dostawców, którzy mają realny wpływ na stabilność i bezpieczeństwo usług finansowych w całej Unii.
Dlaczego to takie ważne? W praktyce CTPP to podmioty, od których zależy ciągłość działania wielu instytucji finansowych, w tym również operatorów prowadzących usługi płatnicze. Ich systemy, infrastruktura i rozwiązania są wykorzystywane na masową skalę, co sprawia, że jakakolwiek ich awaria może odbić się szerokim echem w sektorze.
DORA przewiduje, że kluczowi dostawcy znajdą się pod bezpośrednim nadzorem Europejskich Urzędów Nadzoru. Dzięki temu możliwe jest regularne sprawdzanie, czy posiadają oni odpowiednie ramy zarządzania ryzykiem, a także czy są przygotowani na incydenty, które mogłyby zagrozić ciągłości usług świadczonych instytucjom finansowym. Celem jest podniesienie odporności cyfrowej całego sektora i ograniczenie skutków ewentualnych zakłóceń po stronie dostawców.
Aby utworzyć wykaz, EUN przeanalizowały dane przesyłane przez instytucje finansowe w rejestrach usług ICT – składane jako sprawozdanie SPR-PF-18 wiosną br. Oparte były one na art. 28 Rozporządzenia DORA i obejmowały szczegółowe informacje o umowach z dostawcami. Następnie przeprowadzono ocenę krytyczności. Pod uwagę brano między innymi skalę działania dostawcy, znaczenie jego usług dla kluczowych funkcji instytucji finansowych oraz możliwość ich zastąpienia przez inne rozwiązania.
Rozporządzenie wymaga, aby lista była aktualizowana co roku. Dzięki temu sektor będzie mógł stale monitorować, którzy dostawcy odgrywają największą rolę w zapewnianiu stabilności cyfrowej usług finansowych.
Publikacja wykazu oznacza, że wchodzi w życie kolejny istotny element DORA. Dla biur usług płatniczych to sygnał, że rośnie znaczenie świadomego zarządzania ryzykiem związanym z usługami ICT. To także dobry moment, aby przejrzeć własne umowy, ocenić zależność od dostawców i upewnić się, że dokumentacja jest kompletna i zgodna z nowymi wymogami.
Link na listę kluczowych dostawców ICT w EU.
Na koniec roku dobrze zrobić krok w tył i sprawdzić, czy procedury w BUP nadal trzymają standard. Audyt i szybka aktualizacja uproszczonych ram zarządzania ryzykiem pozwolą wejść w nowy rok bez zaległości i z pełną zgodnością. Jeśli potrzebujesz wsparcia, pomożemy przejść przez cały proces sprawnie i bez chaosu.
Napisz do nas lub zadzwoń, mamy gotowe materiały, prowadzimy krok po kroku
