Globalny układ sił politycznych zmienia się bardzo dynamicznie, a kierunki tych zmian mogą niejednokrotnie zaskakiwać. Widać to wyraźnie na przykładzie ostatnich, trudnych do zrozumienia decyzji amerykańskiej administracji. M.in. z tego powodu kwestia współpracy z dostawcami usług IT spoza Europejskiego Obszaru Gospodarczego staje się zagadnieniem o strategicznym znaczeniu. Warto przyjrzeć się bliżej konsekwencjom takiej współpracy, zwłaszcza w sektorach infrastruktury krytycznej, w tym bankowości.
Globalne wyzwania w łańcuchach dostaw IT
Niepokój na arenie międzynarodowej stawia pod znakiem zapytania stabilność globalnych łańcuchów dostaw, szczególnie w zakresie usług technologicznych. Analitycy Reuters Events (październik 2024 r.), wskazują przy tym, że choć procesom związanym z dostawami zawsze towarzyszyła niepewność, to w ostatnich latach wystąpiły zakłócenia o niespotykanej skali.
Dominującą pozycję na światowym rynku zajmują amerykańskie korporacje technologiczne, dostarczające kluczowe rozwiązania takie jak:
- infrastruktury chmurowe
- narzędzia analityczne
- systemy zarządzania danymi
- rozwiązania z zakresu cyberbezpieczeństwa
- inne niezbędne dla współczesnych instytucji finansowych technologie
Warto pamiętać, że działalność tych podmiotów podlega silnym wpływom politycznym, w szczególności decyzjom podejmowanym przez władze USA.
Regulacje prawne i ich implikacje
Przykładem regulacji oddziałującej na dostawców usług IT, jest amerykańska ustawa Cloud Act, która pozwala rządowi USA na uzyskanie dostępu do przechowywanych elektronicznie danych komunikacyjnych na podstawie nakazu sądowego.
Podmioty z Unii Europejskiej mogą podlegać jurysdykcji Cloud Act, gdy korzystają z usług związanych z USA lub świadczonych przez firmy mające siedzibę w Stanach – wskazuje Natalia Kotłowska-Wochna, szefowa Praktyki New Tech M&A.
Należy również przypomnieć, że transfer danych między UE a USA reguluje obecnie porozumienie Data Privacy Framework, stworzone w odpowiedzi na orzeczenie Trybunału Sprawiedliwości UE w sprawie Schrems II. Przyjmując to porozumienie, Stany Zjednoczone nie uchyliły jednak sekcji 702 FISA Amendments Act, która przyznaje służbom wywiadowczym uprawnienia wobec osób niebędących obywatelami USA i nieprzebywających na amerykańskim terytorium, co stwarza ryzyko zakwestionowania ważności Data Privacy Framework przez TSUE.
Kolejną regulacją mającą wpływ na branżę usług IT jest Data Act, który od 12 stycznia 2027 roku zabrania dostawcom usług chmurowych naliczania opłat za przenoszenie danych klientów do innego dostawcy – bez względu na siedzibę firmy. Przepis ten mógł przyczynić się do decyzji części globalnych dostawców o rezygnacji z pobierania opłat za transfer danych (tzw. egress fees).
Strategie minimalizacji ryzyka
W świetle narastających napięć geopolitycznych, podmioty stanowiące elementy infrastruktury krytycznej będą niewątpliwie koncentrowały się na ograniczaniu ryzyk związanych z wykorzystaniem usług IT od dostawców spoza EOG.
Jednym ze sposobów na osiągnięcie tego celu będzie dywersyfikacja dostawców, co pozwoli zminimalizować zagrożenia wynikające z potencjalnych decyzji politycznych czy zmian regulacyjnych. W ramach takiej strategii możliwe jest przenoszenie usług do europejskich dostawców, których rozwiązania nie tylko spełniają unijne normy, ale również są dostosowane do lokalnych zagrożeń i ich bieżących aktualizacji, co przekłada się na wyższy poziom bezpieczeństwa.
Dla banków istotnym wsparciem okazuje się Rozporządzenie DORA, wprowadzająca kompleksowe ramy zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT – przypomina Natalia Kotłowska-Wochna.
Zgodnie z przepisami DORA, instytucja finansowa zobowiązana jest opracować strategię zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT. Strategia ta powinna być wdrażana zgodnie z zasadą proporcjonalności, uwzględniając charakter, skalę i złożoność zależności technologicznych oraz krytyczność danej usługi dla zapewnienia ciągłości działalności finansowej.
Rozporządzenie wymaga również przeprowadzenia wstępnej oceny ryzyka koncentracji oraz cyklicznego przeglądu zagrożeń związanych z usługami ICT, przy uwzględnieniu profilu ryzyka organizacji oraz złożoności świadczonych usług.
Dostawcy IT spoza EOG – co rekomendujemy bankom
Podsumowując, w obliczu narastających napięć geopolitycznych, podmioty stanowiące elementy infrastruktury krytycznej powinny wdrożyć środki pozwalające na ograniczenie ryzyka, takie jak:
- Dywersyfikacja dostawców usług IT
- Inwestycje w rozwiązania lokalne
- Systematyczne audyty zgodności regulacyjnej
- Wzmocnienie zabezpieczeń cybernetycznych
- Opracowanie zaawansowanych planów ciągłości działania
- Implementacja rozwiązań backupowych
- Priorytetyzacja działań naprawczych
- Kompleksowe programy szkoleniowe
- Monitorowanie zagrożeń
- Systematyczna aktualizacja planów uwzględniająca zmieniające się uwarunkowania rynkowe i geopolityczne
Masz pytania? Skontaktuj się z nami
