Co Wielka Brytania wyznaczyła 13 lipca

Zmiana wydaje się cicha na powierzchni, a pod spodem jest wielka. 4 lipca 2026 roku brytyjski skarb formalnie wyznaczył czterech dostawców chmury jako krytycznych dostawców zewnętrznych dla brytyjskiego systemu finansowego, ogłosił to 10 lipca, a nadzór wszedł w życie w poniedziałek 13 lipca. Wskazane podmioty to Amazon Web Services EMEA SARL, Microsoft Ireland Operations Limited, Google Cloud EMEA Limited oraz Oracle Corporation UK Limited.

Uprawnienie jest nowe, obawa nie. Nadzorcy od lat obawiają się, że garstka dostawców leży już pod większością systemu finansowego, lecz do ustawy Financial Services and Markets Act 2023 mogli nadzorować jedynie banki, ubezpieczycieli i firmy płatnicze, nigdy dostawców, od których te podmioty zależą. Ustawa stworzyła reżim krytycznych dostawców właśnie po to, aby sięgnąć bezpośrednio do dostawcy.

Od poniedziałku trzej nadzorcy mogą działać wspólnie. Bank Anglii, Prudential Regulation Authority oraz Financial Conduct Authority mogą teraz zbierać informacje od czterech dostawców, oceniać ich odporność operacyjną, wymagać testów wobec poważnych, lecz prawdopodobnych scenariuszy, żądać okresowych samoocen oraz otrzymywać zgłoszenia każdego poważnego incydentu, który mógłby rozejść się po brytyjskich finansach.

Nadzór nad dostawcą to nie przejęcie twojego ryzyka

Najważniejsze zdanie w komunikacie to takie, które niczego nie przenosi. Wyznaczenie nie jest zezwoleniem. Nadzorcy pilnują odporności usług, które ci dostawcy sprzedają, nie certyfikują dostawców i nie przejmują ryzyka. Jeśli twoje obciążenie zgaśnie, ponieważ region zawiedzie, odpowiedzialność wciąż spada na twoją firmę, która wybrała dostawcę, architekturę i plan odtworzenia.

Sarah Breeden, wicegubernator Banku do spraw stabilności finansowej, wyłożyła powód jasno. W miarę jak krytyczni dostawcy zewnętrzni osadzają się głębiej w instytucjach finansowych, zauważyła, mogą wprowadzać nowe formy ryzyka systemowego. Reżim próbuje dostrzec to ryzyko u źródła, a nie zdjąć je z ksiąg pojedynczej firmy.

To właśnie na tym rozróżnieniu właściciele źle odczytują wiadomość. Nagłówek o wyznaczeniu brzmi jak ulga, jak gdyby ktoś większy był teraz właścicielem problemu. Jest odwrotnie. Poprzeczka twojego zarządzania ryzykiem dostawcy, twojego planu wyjścia i twojej mapy koncentracji właśnie się podniosła, bo istnieje teraz nadzorowana norma, do której twój własny nadzorca może cię przymierzyć.

Koncentracja stała się teraz oficjalną kategorią

Głębszy sygnał to to, co państwo teraz zapisało. Wskazując czterech dostawców z siedzibą w USA jako systemowo krytycznych, Wielka Brytania formalnie odnotowała, że jej finansowa instalacja działa na bardzo małej liczbie zagranicznych dostawców. To już nie slajd w komitecie ryzyka, to wyznaczenie z mocą prawną za sobą.

Ta sama logika jest już czynna po drugiej stronie kanału. Unijne rozporządzenie o cyfrowej odporności operacyjnej, znane jako DORA, stworzyło niemal identyczny reżim nadzoru nad krytycznymi zewnętrznymi dostawcami ICT, prowadzony przez Europejskie Urzędy Nadzoru. W Polsce Komisja Nadzoru Finansowego zadaje podobne pytania, a firma działająca po obu stronach staje przed dwoma nadzorcami z tymi samymi dwoma pytaniami: jak bardzo jesteś skoncentrowany i czy możesz odejść.

Argumenty o suwerenności i wielochmurze przestają tu być teoretyczne. Powód, by utrzymywać sprawdzoną drogę poza jednym hiperskalerem, opierał się dawniej na zasadzie i sile zakupowej. Teraz opiera się także na normie odporności, którą nadzorca może skontrolować, co przenosi wewnętrzną rozmowę z preferencji na zgodność.

Co rozstrzygnąć, zanim nadzorca zapyta

Potraktuj wyznaczenie jak termin, który wyznaczasz sobie sam. Zmapuj, które z twoich krytycznych obciążeń spoczywają na którym z czterech dostawców, zapisz koncentrację uczciwie i przećwicz wyjście zamiast je zakładać. Plan odtworzenia, który nigdy nie został sprawdzony wobec poważnej, lecz prawdopodobnej awarii, to dokument, a nie zdolność, i to właśnie tę lukę nadzorca jest wyszkolony znaleźć.

Firmy, które wyglądają spokojnie podczas audytu, to te, które już znają swoją odpowiedź. Potrafią nazwać swoje pojedyncze punkty awarii, pokazać sprawdzoną drogę wyjścia z każdego z nich i udowodnić, że zarząd omówił koncentrację, zanim podniósł ją nadzorca. Wyznaczenie nie stworzyło tej pracy, uczyniło widocznym jej brak.