FCA potwierdza nowe zasady dotyczące zgłaszania incydentów i zgłaszania przez osoby trzecie

Brytyjski Urząd Nadzoru Finansowego (FCA) zatwierdził nowe przepisy i wytyczne, które mają sprawić, że zgłaszanie incydentów operacyjnych oraz istotnych zdarzeń dotyczących podmiotów zewnętrznych stanie się bardziej przejrzyste, spójne i łatwiejsze do przestrzegania przez firmy. Celem tych działań jest: ułatwienie organom regulacyjnym i firmom szybszego reagowania na zakłócenia – od cyberataków po awarie – oraz wzmocnienie odporności całego sektora.

Link

Kontekst

Coraz częściej dochodzi do cyberataków i zakłóceń operacyjnych

➡️ FCA zauważa, że cyberataki stają się coraz częstsze i coraz bardziej wyrafinowane, a firmy w coraz większym stopniu polegają na podmiotach zewnętrznych.

➡️ W 2025 r. ponad 40% incydentów cybernetycznych zgłoszonych do FCA dotyczyło podmiotów zewnętrznych.

Niespójność w zgłaszaniu

Z opinii przedstawicieli branży wynikało, że zgłaszanie incydentów nie było spójne, a firmy domagały się jaśniejszych progów i wytycznych. FCA twierdzi, że nowy system ma na celu zmniejszenie niepewności co do tego, co i kiedy należy zgłaszać.

Zmiany

Jeden spójny system obejmujący FCA, PRA i Bank Anglii

W odniesieniu zarówno do incydentów, jak i istotnych podmiotów zewnętrznych, organy regulacyjne stworzyły:

➡️ jednolitą definicję / podejście,

➡️ jednolite szablony oraz

➡️ jeden portal zgłoszeniowy.

Zgłaszanie incydentów

Wytyczne FCA definiują „incydent operacyjny” jako pojedyncze zdarzenie lub szereg powiązanych zdarzeń, które zakłócają działalność w taki sposób, że:

➡️ zakłócają świadczenie usługi na rzecz zewnętrznego użytkownika końcowego lub

➡️ mają wpływ na dostępność/autentyczność/integralność/poufność danych dotyczących tego zewnętrznego użytkownika końcowego.

Progi zgłaszania są powiązane z celami FCA, w tym z ryzykiem:

➡️ niedopuszczalnej szkody dla konsumentów,

➡️ bezpieczeństwa i stabilności,

➡️ stabilności/integralności/zaufania rynku.

FCA rozróżnia zgłaszanie standardowe i rozszerzone.

Zgłaszanie istotnych umów z podmiotami zewnętrznymi

Wytyczne FCA wyraźnie obejmują istotne porozumienia z podmiotami zewnętrznymi, w tym zarówno:

➡️ umowy outsourcingowe, jak i

➡️ zależności niebędące outsourcingiem (np. produkty/usługi ICT).

FCA wprowadza również ustrukturyzowane podejście:

➡️ zgłaszanie nowych lub istotnych zmian dotyczących istotnych podmiotów zewnętrznych oraz

➡️ prowadzenie i przedkładanie corocznego rejestru istotnych porozumień z podmiotami zewnętrznymi.

Jest to inspirowane globalnymi wytycznymi (FSB / BCBS / DORA).

Harmonogram wdrożenia

Firmy mają 12 miesięcy na przygotowanie się, a nowe przepisy wchodzą w życie 18 marca 2027 r.

Autor: Sebastian Burgemejster