Aktualności

Rozporządzenie DORA - Jak Polska przygotowuje się na cyfrową rewolucję w finansach

Rozporządzenie DORA - Jak Polska przygotowuje się na cyfrową rewolucję w finansach

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (Rozporządzenie DORA) zacznie obowiązywać już od 17 stycznia 2025 roku. Podstawowym celem aktu prawnego jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT (technologie informacyjno-telekomunikacyjne) na rynku finansowym. 
W Polsce 18 kwietnia 2024 roku opublikowano nowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego. Projekt ten ma dostosować przepisy do europejskich standardów zgodnie z Rozporządzeniem DORA.

Operacyjna odporność cyfrowa. Co to jest?

W erze cyfrowej, gdzie każda transakcja finansowa odbywa się za pomocą technologii informacyjno-komunikacyjnych (ICT), cyberbezpieczeństwo staje się kluczowym elementem stabilności finansowej.

Operacyjna odporność cyfrowa to działania, których celem jest wzmocnienie bezpieczeństwa technologii ICT, z których korzystają podmioty sektora finansowego.

Rozporządzenie DORA wprowadza ramy, które mają na celu zminimalizowanie ryzyka przestojów i zapewnienie ciągłości usług finansowych. Regulacje te okazały się także konieczne, aby zapewnić bezpieczeństwo cyfrowe, wciąż rozwijającej się gospodarki cyfrowej.

Projekt ustawy wdrażającej DORA w Polsce

Projekt ustawy wdrażający przepisy DORA do polskiego systemu jest niezbędny między innymi ze względu na konieczność wyposażania konkretnych organów w określone kompetencje nadzorcze.

Dotychczas przepisy dotyczące operacyjnej odporności cyfrowej były rozproszone w różnych ustawach np. usługi bankowe, usługi płatnicze, fundusze inwestycyjne czy działalność emerytalna lub ubezpieczeniowa.

Nowa ustawa ma na celu ich wprowadzenie jednolitego nadzoru nad operacyjną odpornością cyfrową.

Jakie będą nowe obowiązki dla podmiotów finansowych?

Rozporządzenie nakłada na podmioty finansowe szereg obowiązków. Najważniejsze z nich obejmują między innymi takie kwestie jak:

  • zarządzanie ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych (ICT),
  • zgłaszanie poważnych incydentów związanych z ICT właściwym organom oraz informowanie ich o znaczących cyber-zagrożeniach,
  • zgłaszanie właściwym organom przez podmioty finansowe poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami,
  • testowanie operacyjnej odporności cyfrowej,
  • wymiana informacji i analiz w związku z cyber-zagrożeniami.

Kogo dotyczą nowe regulacje DORA?

Projekt ustawy obejmuje szeroką gamę instytucji, takich jak:

Komisja Nadzoru Finansowego

Pracownicze towarzystwa emerytalne

Banki komercyjne i państwowe

Banki zagraniczne

Banki spółdzielcze i zrzeszające

SKOK i Kasy Krajowe

Towarzystwa Funduszy Inwestycyjnych

Zarządzający alternatywnymi spółkami inwestycyjnymi

Firmy inwestycyjne

Krajowe Instytucje Płatnicze

Instytucje pieniądza elektronicznego

Dostawcy usług w zakresie kryptowalut

Centralne depozyty papierów wartościowych

Bankowy Fundusz Gwarancyjny

Podmioty prowadzące systemu obrotu instrumentami finansowymi

Repozytoria sekurytyzacji

Repozytoria transakcji

Dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku

Instytucje kredytowe

Dostawcy usług finansowania społecznościowego

Zewnętrzni dostawcy usług ICT

Zakłady ubezpieczeń

Zakłady reasekuracji

Pośrednicy ubezpieczeniowi

Agencje ratingowe

Dostawcy usług płatniczych z nowymi obowiązkami

Dostawcy usług płatniczych będą musieli działać szybciej i bardziej transparentnie. Zgodnie z nowymi przepisami, będą zobligowani do niezwłocznego przekazywania informacji o poważnych incydentach operacyjnych lub incydentach związanych z bezpieczeństwem teleinformatycznym do Komisji Nadzoru Finansowego (KNF).

Krajowe Instytucje Płatnicze będą musiały także wprowadzić istotne zmiany w swoich systemach zarządzania i kontroli wewnętrznej. Każdy wniosek o zezwolenie na świadczenie usług płatniczych będzie musiał zawierać szczegółowy opis tych systemów.

Co więcej, opis ten będzie musiał uwzględniać:

  • Skuteczne plany awaryjne
  • Procedury na rzecz ciągłości działania w zakresie ICT
  • Plany reagowania na incydenty i przywracania sprawności ICT

Te zmiany mają na celu zapewnienie, że instytucje płatnicze będą dobrze przygotowane na wszelkie niespodziewane zdarzenia

Komisja Nadzoru Finansowego z nowymi kompetencjami

Nowe rozszerzone uprawnienia KNF

Komisja Nadzoru Finansowego (KNF) zyska nowe kompetencje w zakresie nadzoru nad operacyjną odpornością cyfrową podmiotów finansowych, zgodnie z projektem ustawy wdrażającej Rozporządzenie DORA.

KNF będzie odpowiedzialna za kontrolę, czy instytucje finansowe przestrzegają przepisów DORA, co jest kluczowe dla utrzymania stabilności i bezpieczeństwa w sektorze finansowym.

Jakie kroki może podjąć KNF?

Zgodnie z nowymi przepisami, KNF będzie miała prawo do wszczęcia kontroli zgodności działalności podmiotów finansowych z przepisami DORA. W przypadku stwierdzenia naruszeń KNF będzie mogła podjąć następujące kroki w drodze decyzji:

  • nakazać zaprzestanie danego zachowana oraz powstrzymanie się od takiego zachowania,
  • zakazać osobie odpowiedzialnej za to naruszenie pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu,
  • nałożyć karę pieniężną.

Ponadto KNF będzie miał uprawnienie do wydawania publicznych oświadczeń, w którym wskazuje imię i nazwisko osoby lub nazwę Spółki odpowiedzialnej za dane naruszenie.

Jak wysoka będzie kara pieniężna?

W przypadku osoby prawnej kara pieniężna będzie wynosić maksymalnie 20 869 500 PLN lub 10% przychodów netto albo dwukrotności korzyści uzyskanych, lub strat unikniętych w wyniku naruszenia.

Przedsiębiorco, jaki powinien być Twój kolejny krok?

Rozporządzenie DORA i projekt polskiej ustawy mają na celu osiągnięcie wysokiego poziomu odporności cyfrowej podmiotów finansowych. Jest to powiązane z wieloma nowymi obowiązkami, często proceduralnymi, które podmioty te muszą spełniać pod rygorem określonych konsekwencji, jak np. kary pieniężne.

Dostosowanie się do przepisów DORA wymaga starannego planowania i wdrożenia odpowiednich systemów zarządzania ryzykiem cyfrowym. Przedsiębiorstwa muszą opracować skuteczne plany awaryjne, procedury na rzecz ciągłości działania oraz strategie reagowania na incydenty. To skomplikowany proces, który wymaga eksperckiej wiedzy i doświadczenia.

Jeśli Twoja firma potrzebuje pomocy w dostosowaniu się do nowych przepisów, skontaktuj się z naszą Kancelarią (info@dudkowiak.com). Pomożemy Ci przejść przez ten proces, aby zapewnić zgodność z nowymi regulacjami i ochronić Twoje interesy.



Piotr Glapiński

Prawnik

Piotr Glapiński

Radca prawny, Counsel

Piotr Glapiński

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa