DORA Artykuł 28 – ryzyko stron trzecich ICT: audyt dostawcy hostingu i WAF dla WordPress
Artykuł 28 Rozporządzenia 2022/2554 to ta część DORA, która rozstrzyga, czy klient z sektora finansowego w ogóle może podpisać umowę hostingową lub subskrypcję WAF. Stosuje się do instytucji kredytowych, instytucji płatniczych, ubezpieczycieli, firm inwestycyjnych, dostawców usług w zakresie kryptoaktywów i około piętnastu kolejnych kategorii z artykułu 2. Od 17 stycznia 2025 stosuje się bezpośrednio, bez transpozycji.
To artykuł wspierający w filarze NIS2 i DORA na WordPress, z odesłaniami do ścieżki dowodowej Załącznika II NIS2 i do przeglądu stosu CRA + NIS2 + DORA.
TL;DR
- DORA artykuł 28 = ogólne zasady zarządzania ryzykiem stron trzecich ICT.
- Artykuł 30 = obowiązkowe klauzule umowne.
- Artykuł 31 = reżim wyznaczania CTPP, prowadzony przez Europejskie Urzędy Nadzoru.
- Mandat WordPress dla banku lub ubezpieczyciela uruchamia wpis do rejestru, due diligence, klauzule i plan wyjścia.
- W rejestrze ląduje hosting, CDN, WAF, wtyczka płatności i wtyczka wysyłki e-maili.
Kogo DORA obejmuje
Artykuł 2 ust. 1 wymienia podmioty finansowe. Najczęstsze w mandatach WordPress:
- Instytucje kredytowe i ich grupy.
- Instytucje płatnicze i instytucje pieniądza elektronicznego.
- Firmy inwestycyjne, w tym prowadzące MTF lub OTF.
- Dostawcy usług w zakresie kryptoaktywów pod MiCA.
- Zakłady ubezpieczeń i reasekuracji.
- Pośrednicy ubezpieczeniowi powyżej progu wielkościowego.
- Dostawcy usług finansowania społecznościowego.
- Fundusze inwestycyjne (zarządzający UCITS, AIFM).
Plus krytyczni dostawcy stron trzecich ICT (CTPP) wyznaczani na podstawie artykułu 31 wspólnie przez EBA, ESMA i EIOPA. Pierwsza tura wyznaczeń przebiegła w 2025 i jest zdominowana przez hyperscalerów (lista publiczna żyje w portalu Europejskich Urzędów Nadzoru). Agencja WordPress raczej nie zostanie CTPP. Platforma managed WordPress hosting z dużym portfelem klientów finansowych może.
Czego artykuł 28 faktycznie wymaga
Artykuł 28 ma osiem ustępów. Operacyjne dla mandatu WordPress:
Artykuł 28 ust. 1. Podmiot finansowy zarządza ryzykiem stron trzecich ICT jako integralną częścią całego ramowego systemu zarządzania ryzykiem ICT. Ramowy system, polityki i nadzór są po stronie podmiotu, nie dostawcy. Dostawca dostarcza dowody, które ten ramowy system wspierają.
Artykuł 28 ust. 2. Solidna, kompleksowa i dobrze udokumentowana strategia w zakresie ryzyka stron trzecich ICT. Podmiot prowadzi dokumentację. Dostawca musi być gotów ją zasilić.
Artykuł 28 ust. 3. Rejestr wszystkich umów z dostawcami stron trzecich ICT, z wyróżnieniem tych wspierających funkcje krytyczne lub ważne. Rejestr musi być raportowalny do regulatora. Dla WordPress: hosting, CDN, WAF, gateway płatności, e-mail transakcyjny, dostawca AI, narzędzie monitoringu, miejsce backupu.
Artykuł 28 ust. 4. Due diligence przedumowne. Identyfikacja i ocena wszystkich istotnych ryzyk. Analiza ryzyka koncentracji przy dodawaniu kolejnej umowy z tym samym dostawcą lub dostawcą z tej samej grupy.
Artykuł 28 ust. 5. Ocena konfliktów interesów. Zarząd zatwierdza politykę korzystania z usług ICT wspierających funkcje krytyczne lub ważne.
Artykuł 28 ust. 7. Okresowa ponowna ocena umowy.
Artykuł 28 ust. 8. Strategia wyjścia dla usług ICT wspierających funkcje krytyczne lub ważne. Udokumentowana, przetestowana, z planem przejścia.
Obowiązkowe klauzule z artykułu 30
Artykuł 30 ust. 2 wymienia minimalne klauzule każdej umowy. Artykuł 30 ust. 3 dodaje klauzule dla umów wspierających funkcje krytyczne lub ważne. Wzorzec agencyjny, który dostarczam wraz z umowami hostingu i WAF, pokrywa je wszystkie:
| Klauzula | Ust. art. 30 | Co znajduje się w umowie WordPress |
|---|---|---|
| Jasny opis usługi | 30(2)(a) | Poziom hostingu, zestaw reguł WAF, wtyczki w cenie, czasy reakcji |
| Lokalizacja danych | 30(2)(b) | Centrum danych w UE/EOG, wsparcie z UE, brak podwykonawców spoza UE bez powiadomienia |
| Wymagania dostępności i bezpieczeństwa | 30(2)(c) | SLA dostępności, RPO, RTO, szyfrowanie w spoczynku i w tranzycie |
| Ochrona danych osobowych | 30(2)(d) | Umowa powierzenia z artykułu 28 RODO, rejestr czynności |
| Prawo dostępu, kontroli i audytu | 30(2)(e) | Audyt na miejscu lub zdalny, częstotliwość, terminy |
| Opisy poziomów usług | 30(2)(f) | Macierz SLA, mechanizm rabatów za naruszenie |
| Współpraca z organami nadzoru | 30(2)(g) | Dostawca współpracuje z regulatorem na żądanie |
| Prawa wypowiedzenia | 30(2)(h) | Istotne naruszenie, wypowiedzenie wymuszone przez regulatora, zmiana kontroli |
| Udział w świadomości i szkoleniach | 30(2)(i) | Doroczny briefing bezpieczeństwa, imienna osoba kontaktowa |
| Podpowierzanie | 30(3)(c) | Zgoda uprzednia na podpowierzanie funkcji krytycznych |
| Testy penetracyjne sterowane zagrożeniem | 30(3)(g) | Współpraca przy TLPT z artykułu 26 |
| Wsparcie strategii wyjścia | 30(3)(f) | Format eksportu danych, pomoc przejściowa, okres pracy równoległej |
Tę macierz prowadzę jako pojedynczy plik Markdown w folderze mandatu. Każda umowa jest weryfikowana wobec niej przed podpisaniem.
Rejestr dostawców, wypełniony dla WordPress
Mandat WordPress dla podmiotu finansowego dotyka większej liczby stron trzecich ICT, niż dział zakupów zwykle przewiduje. Rejestr, który stawiam pierwszego dnia mandatu:
- Dostawca hostingu. Faktyczny operator data center, panel zarządzania, zespół wsparcia. Krytyczny lub ważny, jeśli WordPress jest częścią dostarczania usług klientom.
- Dostawca CDN. Cloudflare, Fastly, Akamai. Przetwarza ruch, widzi treści żądań, kończy TLS. Często krytyczny lub ważny.
- Dostawca WAF. Czasem ten sam co CDN, czasem oddzielny (Sucuri, Imperva). Inspekcjonuje payloady. Krytyczny lub ważny.
- Wtyczka płatności. Stripe, Adyen, mollie, gatewaye lokalne. Autor wtyczki to jeden dostawca; operator gatewaya to drugi. Obaj do rejestru.
- E-mail transakcyjny. SES, Postmark, SendGrid. Przenosi resety hasła, powiadomienia KYC, alerty AML. Często krytyczny lub ważny.
- Monitoring i APM. New Relic, Datadog, Sentry. Odbiera stack trace’y i fragmenty payloadów.
- Cel kopii zapasowej. S3, Backblaze, Wasabi. Trzyma bazę i przesyły. Zawsze krytyczny lub ważny.
- Dostawca AI. Jeśli WordPress używa LLM do funkcji kontaktu z klientem (czat, podsumowania), dostawca LLM jest w zakresie.
- Marketplace wtyczek. WordPress.org, marketplace’y premium. Kanały aktualizacji są częścią łańcucha dostaw zgodnie z art. 28 ust. 2 lit. d.
Rejestr trzyma na każdego dostawcę: nazwę prawną, referencję umowy, opis usługi, przepływy danych, klasyfikację krytyczności, lokalizację przetwarzania, datę ostatniego due diligence, odesłanie do strategii wyjścia.
Ryzyko koncentracji i test grupy kapitałowej
Artykuł 28 ust. 4 wprowadza test, który łapie agencje WordPress częściej, niż się sądzi: brak koncentracji funkcji krytycznych u dostawców należących do tej samej grupy własnościowej. Bank, który używa Cloudflare do CDN, Cloudflare Workers do backendu, Cloudflare R2 do object storage i Cloudflare Stream do wideo, ma wysokie ryzyko koncentracji u jednego dostawcy. To nie jest ustalenie specyficzne dla Cloudflare; tak samo działa dla stosów AWS, Azure czy GCP.
W WordPress często wygląda to jak: hosting na AWS, backupy na S3, e-mail przez SES, monitoring przez CloudWatch. Cztery zależności AWS, jeden dostawca. Rejestr ryzyka musi to wyraźnie uznać i albo uzasadnić, albo zaplanować dywersyfikację.
Strategie wyjścia, które naprawdę działają
Artykuł 28 ust. 8 wymaga, by strategia wyjścia była udokumentowana i przetestowana. Dla hostingu i WAF WordPress prawdziwa strategia wyjścia obejmuje:
- Eksport bazy danych w formacie standardowym. Zrzut SQL kompatybilny ze stockowym MySQL lub MariaDB, bez rozszerzeń autorskich.
- Eksport systemu plików wraz z przesyłami. Archiwum tar lub zip, pobieralne spoza panelu dostawcy.
- Kontrola DNS. Konto rejestratora domen w posiadaniu podmiotu finansowego, nie agencji, nie hostera.
- Przenośność licencji wtyczek i motywów. Licencje na nazwę podmiotu, przenoszalne do nowego hostera.
- Przetestowane przejście. Środowisko staging u alternatywnego hostera, które można wynieść do produkcji w udokumentowanym czasie. Test jest zaprotokołowany i datowany.
- Umowne okno przejściowe. Umowa hostingowa zobowiązuje dostawcę do utrzymania usług w trakcie migracji, w tej samej cenie, przez co najmniej udokumentowany okres.
Wycena mandatów obejmujących pakiet strategii wyjścia jest indywidualna; sam dokument wyjścia bierze dni, nie godziny, i jest wynikiem mandatu.
Co to zmienia w rozmowie zakupowej
Agencja WordPress, która przychodzi z wypełnioną macierzą klauzul artykułu 30, gotowym wzorcem rejestru dostawców i sprawdzoną strategią wyjścia, przechodzi przez zakupy szybciej. Podmiot finansowy nie musi tłumaczyć artykułu 28 na umowę; wkleja liefergegeneratywne rezultaty agencji do własnego ramowego systemu zarządzania ryzykiem ICT.
To również powód, dla którego klient regulowany filtruje shortlistę dostawców według jurysdykcji. Agencja z UE pod prawem unijnym usuwa warstwę tarcia; agencja spoza UE wymusza dodatkowe due diligence pod artykuł 28 ust. 4 dotyczące ryzyka jurysdykcyjnego.
