Določanje kritičnih ali pomembnih funkcij je z Uredbo (EU) 2022/2554 evropskega parlamenta in sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor (v nadaljevanju tudi DORA) postala obveznost predvsem v povezavi z zunanjim izvajanjem IKT storitev.
Kritična ali pomembna funkcija – definicija (EU) 2022/2554:
„kritična ali pomembna funkcija“ pomeni funkcijo, katere motnja bi bistveno škodovala finančni uspešnosti finančnega subjekta ali trdnosti ali neprekinjenosti njegovih storitev in dejavnosti, oziroma katere prekinjeno, pomanjkljivo ali neuspešno izvajanje bi bistveno oviralo finančni subjekt, da neprekinjeno izpolnjuje pogoje in obveznosti iz njegovega pooblastila ali druge obveznosti v skladu z veljavnim pravom o finančnih storitvah; (Vir: DORA, Člen 3 (22))
Uredba zapolnjuje vrzeli ali odpravlja nedoslednosti v nekaterih prejšnjih pravnih aktih, tudi v zvezi s terminologijo, ki se v njih uporablja, in se izrecno sklicuje na tveganje na področju IKT prek ciljno usmerjenih pravil o zmožnostih obvladovanja tveganj na področju IKT, poročanju o incidentih, testiranju operativne odpornosti in spremljanju tveganja tretjih strani na področju IKT. Njen namen je okrepiti tudi ozaveščenost o tveganju na področju IKT in potrditi, da incidenti na področju IKT in pomanjkanje operativne odpornosti lahko ogrozijo trdnost finančnih subjektov.
DORA z uvedbo zahtev glede obvladovanja tveganja na področju IKT in poročanja o incidentih, povezanih z IKT, ki so strožje v primerjavi s tistimi, ki jih določa veljavno pravo Unije o finančnih storitvah, viša raven harmonizacije različnih elementov digitalne odpornosti, ta višja raven pomeni večjo harmonizacijo tudi v primerjavi z zahtevami iz Direktive (EU) 2022/2555. Posledično je DORA lex specialis glede na Direktivo (EU) 2022/2555. Kjučno je, da se ohrani močna povezava med finančnim sektorjem in horizontalnim okvirom Unije za kibernetsko varnost, kot je trenutno določen v Direktivi (EU) 2022/2555, da bi se zagotovila skladnost s strategijami kibernetske varnosti, ki so jih sprejele države članice, in da bi se finančnim nadzornikom omogočilo, da se seznanijo s kibernetskimi incidenti, ki prizadenejo druge sektorje, zajete v navedeni direktivi.
Kriteriji za določanje kritične ali pomembne funkcije finančne inštitucije – kontekst zunanje izvajanje
Uredba (EU) 2022/2554 uvodoma določa:
(70) | Opredelitev „kritične ali pomembne funkcije“ iz te uredbe zajema opredelitev „kritičnih funkcij“ iz člena 2(1), točka (35), Direktive 2014/59/EU Evropskega parlamenta in Sveta (20). Tako so funkcije, ki veljajo za kritične na podlagi Direktive 2014/59/EU, vključene v opredelitev kritičnih funkcij v smislu te uredbe.
Kriterije za določanje kritične ali pomembne funkcije je mogoče najti v Smernicah o zunanjem izvajanju EBA/GL/2019/02 z dne 25.02.2019.
Uvodoma smernice o zunanjem izvajanju navajajo:
Funkcija odločilnega pomena ali pomembna funkcija pomeni vsako funkcijo, ki se šteje za odločilno ali pomembno v skladu z oddelkom 4 teh smernic.
Podano je pojasnilo:
Pojem „funkcija odločilnega pomena ali pomembna funkcija“ temelji na izrazju iz Direktive 2014/65/EU (MiFID II) in Delegirane uredbe Komisije (EU) 2017/565 o dopolnitvi direktive MiFID II, uporablja pa se le za namen zunanjega izvajanja in ni povezan z opredelitvijo „kritičnih funkcij“ za namen okvira za sanacijo in reševanje, kot so opredeljene v členu 2(1)(35) Direktive 2014/59/EU (direktive o sanaciji in reševanju bank).
Oddelek 4 smernic pa opredeljuje kriterije:
4 Funkcije odločilnega pomena ali pomembne funkcije
29. Institucije in plačilne institucije bi morale funkcijo vedno obravnavati kot funkcijo odločilnega pomena ali pomembno v naslednjih primerih:
a. če bi napaka v njenem izvajanju ali njeno neizvajanje pomembno ogrozila:
i. neprekinjeno izpolnjevanje pogojev njihovega dovoljenja ali njihovih drugih obveznosti na podlagi Direktive 2013/36/EU, Uredbe (EU) št. 575/2013, Direktive 2014/65/EU, Direktive (EU) 2015/2366 in Direktive 2009/110/ES ter njihovih regulativnih obveznosti;
ii. njihovo finančno uspešnost, ali
iii. zanesljivost ali neprekinjeno izvajanje njihovih bančnih in plačilnih storitev ter dejavnosti;
b. če se v zunanje izvajanje oddajo operativne naloge funkcij notranjih kontrol, razen če je v oceni ugotovljeno, da neizvajanje ali neustrezno izvajanje funkcije, oddane v zunanje izvajanje, ne bi negativno vplivalo na učinkovitost funkcije notranjih kontrol;
c. če nameravajo funkcije bančnih ali plačilnih storitev v zunanje izvajanje oddati v obsegu, za katerega bi bilo potrebno dovoljenje pristojnega organa, kot je navedeno v oddelku 12.1.
30. V primeru institucij bi bilo treba posebno pozornost posvetiti oceni odločilnega pomena ali pomembnosti funkcij, če se v zunanje izvajanje oddajo funkcije, ki so povezane z glavnimi poslovnimi področji in kritičnimi funkcijami, kot so opredeljene v členu 2(1)(35) in 2(1)(36) Direktive 2014/59/EU ter kot jih določijo institucije z merili, določenimi v členih 6 in 7 Delegirane uredbe Komisije (EU) 2016/778. Funkcije, ki so potrebne za izvajanje dejavnosti glavnih poslovnih področij ali kritičnih funkcij, bi morale za namen teh smernic veljati za funkcije odločilnega pomena ali pomembne funkcije, razen če je v oceni institucije ugotovljeno, da neizvajanje ali neustrezno izvajanje funkcije, oddane v zunanje izvajanje, ne bi negativno vplivalo na neprekinjeno delovanje glavnega poslovnega področja ali kritične funkcije.
Iz navedenega je mogoče sklepati, da bodo v registru kritičnih in pomembnih funkcij vse tiste, ki so določene po SRB – Direktive 2014/59/EU in dodatne, ki si jih opredeli banka sama.