Dodavatelé pod tlakem

Když bankovní systém v Itálii v roce 2023 na několik hodin ochromil výpadek cloudového poskytovatele, škody se odhadovaly na desítky milionů eur. Klienti se nedostali ke svým účtům, obchodníci nemohli přijímat platby, reputace bank se otřásla. Právě takové příběhy stály u zrodu evropského nařízení DORA, které má od ledna 2025 zajistit, že ICT dodavatel nebude „slabým článkem“ finančního trhu. Jenže otázka zní: co s ostatními outsourcingy, které s technologiemi nesouvisí?

Nařízení DORA přineslo povinnosti pro kontrolu ICT dodavatelů ve finančním sektoru, ale nezodpovědělo, jak pracovat s ostatními formami outsourcingu – právními službami, zákaznickými centry nebo třeba správou dokumentace. Právě tuto mezeru míří zaplnit nová metodika Evropského orgánu pro bankovnictví (EBA), která od června 2025 prochází veřejnou konzultací. Klíčové je, že se má odstranit dvojkolejnost, kdy jedna služba podléhala současně pravidlům DORA i starším požadavkům na outsourcing. Nově má být dělítkem jednoduchá otázka: je služba ICT, nebo není?

Pro malé a střední finanční instituce jde o zásadní změnu. Doteď se totiž v praxi potýkaly s duplicitní administrativou. Typickým příkladem je využití externího poskytovatele softwaru, který zároveň zajišťuje zákaznickou podporu. Banka musela plnit povinnosti jak podle DORA, tak podle metodik ČNB a starších pravidel EBA. Výsledkem byly složité tabulky, dvojnásobná evidence a smlouvy plné odkazů na dvě různá nařízení. Nový návrh EBA má tento chaos ukončit: ICT služby plně pod DORA, ne-ICT služby pod metodikou EBA.

Co si pod „ne-ICT“ službami představit? Jde o outsourcing interního auditu, právního poradenství, fyzické archivace, zákaznických linek, správy hotovosti nebo distribuce finančních produktů. Tedy činnosti, které jsou pro fungování finanční instituce zásadní, ale technologicky neutrální. Metodika k nim přistupuje podobně přísně jako DORA – vyžaduje strategii, kontrolní procesy, monitoring, exit plány i zapojení interního auditu – jen s tím rozdílem, že už nebude hrozit překrývání s ICT regulací.

Z pohledu středních bank a platebních institucí jde o praktickou úlevu. Podle údajů Evropské centrální banky připadá v průměru na jednu střední banku více než 120 aktivních smluv s externími dodavateli, z toho jen asi třetina je čistě ICT. Zbytek tvoří služby právníků, auditorů, call center nebo marketingových partnerů. Pokud by měly být všechny posuzovány stejnou optikou jako poskytovatelé cloudu, náklady na compliance by dramaticky narostly. Nový rámec umožní rozdělit dodavatele do dvou jasných kategorií a nastavit interní procesy efektivněji.

Pro klienta malé nebo střední instituce to znamená větší jistotu, že ani méně viditelný dodavatel nebude zdrojem problému. Představme si situaci, kdy banka outsourcuje zákaznickou linku do externího call centra. Pokud by toto centrum selhalo – například by přestalo fungovat kvůli výpadku dodavatele – klienti by se nemohli dovolat k řešení urgentních problémů, třeba blokace karty. Podle nové metodiky EBA bude muset banka nastavit kontrolní mechanismy, aby se podobný scénář nestal, a zároveň mít připravenou exit strategii, tedy možnost rychle přejít na jiného dodavatele.

Významná je i souvislost s kybernetickou regulací NIS2. Ta sice primárně cílí na bezpečnost sítí a informačních systémů, ale v praxi se prolíná s DORA i s novou EBA metodikou. Management finančních institucí tak bude čelit odpovědnosti nejen za ICT bezpečnost, ale i za celkovou odolnost služeb. Tlak regulátorů se tak přenáší na smluvní vztahy – smlouva s dodavatelem už není jen formální dokument, ale klíčový nástroj pro řízení rizik.

Co z toho plyne pro SME v sektoru finančních služeb? V první řadě je třeba provést inventuru všech externích služeb a rozdělit je na ICT a ne-ICT. To určí, podle kterého rámce se budou řídit. Následně musí být nastaven proces výběru, kontroly a hodnocení dodavatelů – včetně těch menších, na které se dříve tolik nepohlíželo. A konečně je nutné posílit dokumentaci: od strategických dokumentů přes smluvní ujednání až po interní audity a plány náhradních řešení.

Praktická rada zní: nezůstávat jen u „odškrtnutí“ regulatorní povinnosti. Případy z praxe ukazují, že největší škody nezpůsobují velké výpadky cloudu, ale selhání drobných dodavatelů, kteří se na první pohled zdají nenápadní. A právě jim se nová metodika EBA věnuje.