EU-förordningen för digital operativ motståndskraft (DORA) innehåller omfattade regler om hantering av IT-relaterade risker och påverkar majoriteten av alla företag inom den finansiella sektorn. En central aspekt av förordningen är de krav som ställs på innehållet i avtal mellan finansiella entiteter och deras IT-leverantörer. Trots att DORA träder i kraft redan i januari 2025 har många företag ännu inte påbörjat arbetet med att se över och omförhandla sina avtal för att efterleva kraven i förordningen. I detta inlägg delar vi på Advokatfirman Delphi med oss av våra bästa tips utifrån våra erfarenheter av DORA-avtalsförhandlingar mellan finansiella entiteter och IT-leverantörer.
Kraven på avtalsinnehåll mellan finansiella entiteter som omfattas av DORA och deras IT-leverantörer återfinns fram för allt i förordningens artikel 30. Av artikeln framgår bland annat att avtalen ska innehålla bestämmelser om när och hur IT-leverantören får anlita egna underleverantörer, vilka servicenivåer som IT-leverantören ska uppfylla och skyldigheter för IT-leverantören att tillhandahålla assistans till den finansiella entiteten vid IT-incidenter. För leverantörer som levererar IT-tjänster som stödjer den finansiella enhetens kritiska eller viktiga funktioner ställs ytterligare krav på vad avtalet måste innehålla, till exempel en skyldighet för IT-leverantören att delta i den finansiella entitetens penetrationstestning, krav på leverantören att genomföra och testa beredskaps- och kontinuitetsplaner, samt skyldigheter att tillåta och samarbeta vid revisioner. Vissa av avtalskraven i DORA kommer sannolikt innebära en nyhet för många berörda verksamheter, medan andra avtalskrav återfinns i bekanta regelverk såsom EBA:s och EIOPA:s vägledningar om utkontraktering för banker och andra finansiella institut. Ett första steg är därför att inventera befintliga avtal och kartlägga vilka avtalsvillkor som redan är inkluderade, vilka som behöver adderas och vilka som redan finns med men som behöver justeras eller utökas till följd av nya DORA-krav.
Ett andra viktigt medskick inför en DORA-avtalsförhandling är att DORA:s krav på avtalsinnehåll lämnar viktiga frågor därhän som parterna behöver komma överens om och hantera i avtalet. Det gäller därför att se de tvingande avtalsbestämmelserna i artikel 30 ur ett större perspektiv och fundera på vilka konsekvenser dessa kan få i praktiken, och sedan komplettera avtalen med nödvändiga regleringar. Sådana centrala regleringar är till exempel vilken part som ska stå kostnaderna för diverse åtgärder och inom vilka tidsfrister olika åtgärder ska ske.
I en avtalsförhandling där förslag och motförslag skriftväxlas mellan parterna är det av högsta vikt att hålla detaljkoll på motpartens ändringsmarkeringar. Detta gäller givetvis för alla typer av avtalsförhandlingar, men detaljerna blir extra viktiga i ljuset av DORA. Ett ord kan vara skillnaden mellan regelefterlevnad och inte. Ett exempel på detta är punkt 2 g) i artikel 30 som stadgar att avtalet ska innehålla en skyldighet för IT-leverantören att ”samarbeta fullt ut med de behöriga myndigheterna”. Om IT-leverantören i ett förslag eller motförslag i stället skriver att leverantören är skyldig att endast ”i skälig utsträckning samarbeta” uppfyller avtalsvillkoret inte DORA:s minimikrav, trots att det är ett förslag eller en ändring som den finansiella entiteten i en icke-regulatorisk kontext kanske hade kunnat acceptera. Konsekvensen av att inte vara noggrann och uppmärksam på detaljer leder alltså eventuellt inte bara till ett oförmånligt avtal, utan det kan också innebära att den finansiella entiteten inte uppfyller sina skyldigheter enligt DORA. En finansiell entitet som omfattas av DORA måste komma ihåg att leverantören i många fall själv inte omfattas av regelverket, vilket innebär att leverantören kanske varken har kunskap om regelverket eller incitament att säkerställa att avtalet inkluderar de nödvändiga bestämmelserna. Innan godkännande av motpartens förslag är det därför lika viktigt att stämma av språkliga detaljer som att stämma av att alla obligatoriska avtalsvillkor finns med i förslaget.
Beroende på hur stark förhandlingsposition en part har bör olika överväganden göras inför en avtalsförhandling. För en part med en svagare förhandlingsposition kan en bra utgångspunkt vara att hålla sig relativt nära ordalydelsen i DORA. Det kan i många fall göra det svårare för motparten att argumentera emot ett avtalsvillkor om tydligt framgår av förordningen att villkoret måste inkluderas. Argumentet kan dock användas åt båda håll. Å ena sidan kan det styrka att ett villkor bör inkluderas, men det kan också användas som skäl för att mer långtgående villkor inte bör tas med för det fall motparten använder DORA som argument för att inkludera villkor som inte är obligatoriska enligt förordningen.
En annan fråga att fundera över är om ni som finansiell entitet eller IT-leverantör tjänar på att ha ett mer aktivt eller passivt förhållningssätt till DORA-avtalsförhandlingar. Är det bäst att invänta motpartens förslag på hur ert avtal ska efterleva DORA eller är det bäst att komma med ett eget förslag först? Även i denna fråga bör din parts förhandlingsposition gentemot motparten beaktas. Det finns en allmänt känd fördel med att vara först ut med att ta fram ett avtalsförslag – det sätter ramarna för förhandlingen. Om din part däremot har en svag förhandlingsposition kan det vara ett slöseri med tid och resurser att ta fram ett första förslag om det redan från början står klart att motparten oavsett kommer kräva att använda sitt avtalsförslag som utgångspunkt i förhandlingen. IT-leverantörer kan vidare fundera över om det är bättre att ligga lågt och inte väcka den björn som sover i syfte att undvika att dra på sig icke-förmånliga, betungande åtaganden, eller om leverantören aktivt bör lämna förslag till den finansiella entiteten om hur avtalet (och i förlängningen IT-leverantörens åtaganden) bör se ut. Vi har sett att många leverantörer kan utnyttja en stark förhandlingsposition och kräva särskild ersättning för att implementera de åtgärder som krävs för att säkerställa att avtalet uppfyller de DORA-krav som ställs på den finansiella entiteten.
Som komplement till DORA tillkommer även ett antal tekniska standarder för implementering av DORA som utfärdas av de europeiska tillsynsmyndigheterna. Den 26 juli publicerades det slutliga utkastet på tekniska standarder för underentreprenad av tjänster som stöder kritiska eller viktiga funktioner, vilket är det dokument som i dagsläget har störst påverkan på utformningen av avtalsvillkor i DORA-avtalsförhandlingar. Utkastet till tekniska standarder för underentreprenad innehåller drygt 20 kontraktuella krav som ska återspeglas i avtalen, vilket innebär att de avtalsvillkor som krävs enligt DORA nästan dubbleras. Utkastet är inte antaget ännu, men det kan förutsättas att den slutliga versionen kommer vara i huvudsak likalydande. De delar som rör avtal mellan finansiella entiteter och IT-leverantörer bör därför beaktas redan nu för att undvika ytterligare omförhandlingar av avtal när de tekniska standarderna slutligt antagits.
En avslutande fråga är hur finansiella entiteter och deras IT-leverantörer bör hantera DORA-avtalsförhandlingar rent organisatoriskt. Det är inte realistiskt att anta att möjligheten att anlita en jurist finns för varje avtal som ska förhandlas. Vårt tips är därför att upprätta en skriftlig intern vägledning för att ta fram egna DORA-tilläggsavtal och för granskning av avtalsförslag från motparter. Det bör underlätta det övergripande DORA-arbetet och möjliggöra att förhandlingar av enklare slag i många fall kan hanteras självständigt av den som får förslaget på sitt bord, utan att den nödvändigtvis behöver ha detaljkunskap om DORA. Avtalsförhandlingar av lite mer komplex karaktär eller som rör särskilt kritiska funktioner bör dock med fördel eskaleras till de som är mer kunniga inom IT och DORA.
En vägledning bör på ett pedagogiskt sätt räkna upp vad ett avtal ska innehålla för att efterleva DORA, vilka typer av icke-obligatoriska villkor er organisation generellt godtar och inte samt i vilka fall någon som kan mer eller har en annan kompetens behöver kopplas in i förhandlingen. Detta halvautomatiserar arbetet och gör att ni slipper uppfinna hjulet på nytt varje gång ett avtalsförslag kommer in. Vidare är det sårbart att förlita sig på att bara en eller några få personer inom organisationen har tillräcklig kompetens att hantera alla DORA-avtalsförhandlingar. En tydlig och lättläst vägledning kan därmed möjliggöra att fler personer kan inkluderas i det många fall tunga arbetet med att efterleva förordningen.
Detta är ett urval av några tips som vi vill dela med oss av med anledning av frågor vi på Delphi ofta stöter på i DORA-avtalsförhandlingar, såväl från kundperspektiv som leverantörsperspektiv. Har ni ytterligare frågor är ni varmt välkomna att höra av er till oss.
Advokatfirman Delphi
John Neway Herrman, Senior Associate/Advokat Olivia Svedmark, Associate Petri Dahlström, Associate
Comments