Nowy projekt ustawy wdrażającej rozporządzenie DORA
Od początku 2024 roku trwają intensywne prace nad implementacją rozporządzenia DORA, mającego na celu wzmocnienie cyfrowej odporności operacyjnej sektora finansowego. 17 października 2024 roku Rządowe Centrum Legislacji przedstawiło nowy projekt ustawy, który wprowadza istotne rozszerzenia w stosunku do wcześniejszych propozycji.
DORA w nowej odsłonie – kluczowe zmiany w projekcie ustawy
Najnowszy projekt ustawy wdrażającej rozporządzenie DORA zakłada rozszerzenie zakresu implementacji w porównaniu do wersji z 18 kwietnia 2024 roku. Zwiększony zakres regulacji znajduje odzwierciedlenie już w samym tytule ustawy, który brzmi: „ustawa o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji”.
Rozszerzenie zakresu zmian – jak wpłynie na sektor finansowy?
Najnowszy projekt ustawy wprowadza szereg istotnych zmian, które znacząco rozszerzają zakres implementacji rozporządzenia DORA:
- Odwołanie do unijnych przepisów: Zrezygnowano z pełnej regulacji nadzorowanych przez KNF podmiotów na rzecz odniesienia do art. 2 rozporządzenia DORA. Zastosowanie europejskiego rozporządzenia zamiast krajowych szczegółowych przepisów upraszcza proces regulacyjny.
- Nowe uprawnienia KNF: KNF otrzymał prawo dostępu do danych zawartych w systemach teleinformatycznych (ICT) nadzorowanych instytucji. Nowe uprawnienia umożliwiają efektywniejszy nadzór nad operacyjną odpornością cyfrową sektora finansowego.
- Outsourcing kluczowych operacji: Krajowe Instytucje Płatnicze będą mogły zlecać istotne czynności operacyjne, w tym związane z ICT, zewnętrznym dostawcom, pod warunkiem zachowania zgodności z DORA i innymi przepisami bezpieczeństwa.
- Obowiązek raportowania i testowania współpracy z zewnętrznymi dostawcami ICT: Instytucje zostaną zobowiązane do raportowania organom nadzoru w sprawie współpracy z zewnętrznymi dostawcami ICT oraz do regularnego testowania ich usług w zakresie odporności cyfrowej ich systemów pod kątem możliwych zakłóceń.
- Kontrola nad zewnętrznymi dostawcami: KNF uzyskał prawo kontroli zarówno osób fizycznych, jak i prawnych, którym bank zlecił realizację funkcji, w tym zewnętrznych dostawców ICT. Będą oni zobowiązani do dostarczania niezbędnych informacji do realizacji celów nadzoru.
- Obowiązkowe strategie, plany awaryjne i plany ciągłości działania: Ustawa wprowadza obowiązek posiadania strategii i planów awaryjnych, ciągłości działania, reagowania i przywracania sprawności, w tym w zakresie ICT, które będą regularnie testowane i aktualizowane.
- Precyzyjne zasady zgłaszania incydentów ICT: Nowe przepisy szczegółowo regulują obowiązek zgłaszania poważnych incydentów związanych z ICT oraz informowania o cyberzagrożeniach, określając konkretne terminy i procedury.
Prace nad ustawą wciąż trwają
Jak wynika z informacji opublikowanych na stronie rządowej, projekt ustawy jest wciąż na wczesnym etapie prac legislacyjnych. Oznacza to, że w nadchodzących miesiącach możemy spodziewać się dalszych zmian i modyfikacji w jego treści.
Chcesz być na bieżąco z najnowszymi informacjami o zmianach prawnych? Zapisz się do naszego newslettera, aby otrzymywać regularne aktualizacje!
Skontaktuj się z nami
65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com