Rozporządzenie DORA – Jak Polska przygotowuje się na cyfrową rewolucję w finansach
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (Rozporządzenie DORA) zacznie obowiązywać już od 17 stycznia 2025 roku. Podstawowym celem aktu prawnego jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT (technologie informacyjno-telekomunikacyjne) na rynku finansowym.
W Polsce 18 kwietnia 2024 roku opublikowano nowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego. Projekt ten ma dostosować przepisy do europejskich standardów zgodnie z Rozporządzeniem DORA.
Operacyjna odporność cyfrowa. Co to jest?
W erze cyfrowej, gdzie każda transakcja finansowa odbywa się za pomocą technologii informacyjno-komunikacyjnych (ICT), cyberbezpieczeństwo staje się kluczowym elementem stabilności finansowej.
Operacyjna odporność cyfrowa to działania, których celem jest wzmocnienie bezpieczeństwa technologii ICT, z których korzystają podmioty sektora finansowego.
Rozporządzenie DORA wprowadza ramy, które mają na celu zminimalizowanie ryzyka przestojów i zapewnienie ciągłości usług finansowych. Regulacje te okazały się także konieczne, aby zapewnić bezpieczeństwo cyfrowe, wciąż rozwijającej się gospodarki cyfrowej.
Projekt ustawy wdrażającej DORA w Polsce
Projekt ustawy wdrażający przepisy DORA do polskiego systemu jest niezbędny między innymi ze względu na konieczność wyposażania konkretnych organów w określone kompetencje nadzorcze.
Dotychczas przepisy dotyczące operacyjnej odporności cyfrowej były rozproszone w różnych ustawach np. usługi bankowe, usługi płatnicze, fundusze inwestycyjne czy działalność emerytalna lub ubezpieczeniowa.
Nowa ustawa ma na celu ich wprowadzenie jednolitego nadzoru nad operacyjną odpornością cyfrową.
Jakie będą nowe obowiązki dla podmiotów finansowych?
Rozporządzenie nakłada na podmioty finansowe szereg obowiązków. Najważniejsze z nich obejmują między innymi takie kwestie jak:
- zarządzanie ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych (ICT),
- zgłaszanie poważnych incydentów związanych z ICT właściwym organom oraz informowanie ich o znaczących cyber-zagrożeniach,
- zgłaszanie właściwym organom przez podmioty finansowe poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami,
- testowanie operacyjnej odporności cyfrowej,
- wymiana informacji i analiz w związku z cyber-zagrożeniami.
Kogo dotyczą nowe regulacje DORA?
Projekt ustawy obejmuje szeroką gamę instytucji, takich jak:
Komisja Nadzoru Finansowego |
Pracownicze towarzystwa emerytalne |
Banki komercyjne i państwowe |
Banki zagraniczne |
Banki spółdzielcze i zrzeszające |
SKOK i Kasy Krajowe |
Towarzystwa Funduszy Inwestycyjnych |
Zarządzający alternatywnymi spółkami inwestycyjnymi |
Firmy inwestycyjne |
Krajowe Instytucje Płatnicze |
Instytucje pieniądza elektronicznego |
Dostawcy usług w zakresie kryptowalut |
Centralne depozyty papierów wartościowych |
Bankowy Fundusz Gwarancyjny |
Podmioty prowadzące systemu obrotu instrumentami finansowymi |
Repozytoria sekurytyzacji |
Repozytoria transakcji |
Dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku |
Instytucje kredytowe |
Dostawcy usług finansowania społecznościowego |
Zewnętrzni dostawcy usług ICT |
Zakłady ubezpieczeń |
Zakłady reasekuracji |
Pośrednicy ubezpieczeniowi |
Agencje ratingowe |
Dostawcy usług płatniczych z nowymi obowiązkami
Dostawcy usług płatniczych będą musieli działać szybciej i bardziej transparentnie. Zgodnie z nowymi przepisami, będą zobligowani do niezwłocznego przekazywania informacji o poważnych incydentach operacyjnych lub incydentach związanych z bezpieczeństwem teleinformatycznym do Komisji Nadzoru Finansowego (KNF).
Krajowe Instytucje Płatnicze będą musiały także wprowadzić istotne zmiany w swoich systemach zarządzania i kontroli wewnętrznej. Każdy wniosek o zezwolenie na świadczenie usług płatniczych będzie musiał zawierać szczegółowy opis tych systemów.
Co więcej, opis ten będzie musiał uwzględniać:
- Skuteczne plany awaryjne
- Procedury na rzecz ciągłości działania w zakresie ICT
- Plany reagowania na incydenty i przywracania sprawności ICT
Te zmiany mają na celu zapewnienie, że instytucje płatnicze będą dobrze przygotowane na wszelkie niespodziewane zdarzenia
Komisja Nadzoru Finansowego z nowymi kompetencjami
Nowe rozszerzone uprawnienia KNF
Komisja Nadzoru Finansowego (KNF) zyska nowe kompetencje w zakresie nadzoru nad operacyjną odpornością cyfrową podmiotów finansowych, zgodnie z projektem ustawy wdrażającej Rozporządzenie DORA.
KNF będzie odpowiedzialna za kontrolę, czy instytucje finansowe przestrzegają przepisów DORA, co jest kluczowe dla utrzymania stabilności i bezpieczeństwa w sektorze finansowym.
Jakie kroki może podjąć KNF?
Zgodnie z nowymi przepisami, KNF będzie miała prawo do wszczęcia kontroli zgodności działalności podmiotów finansowych z przepisami DORA. W przypadku stwierdzenia naruszeń KNF będzie mogła podjąć następujące kroki w drodze decyzji:
- nakazać zaprzestanie danego zachowana oraz powstrzymanie się od takiego zachowania,
- zakazać osobie odpowiedzialnej za to naruszenie pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu,
- nałożyć karę pieniężną.
Ponadto KNF będzie miał uprawnienie do wydawania publicznych oświadczeń, w którym wskazuje imię i nazwisko osoby lub nazwę Spółki odpowiedzialnej za dane naruszenie.
Jak wysoka będzie kara pieniężna?
W przypadku osoby prawnej kara pieniężna będzie wynosić maksymalnie 20 869 500 PLN lub 10% przychodów netto albo dwukrotności korzyści uzyskanych, lub strat unikniętych w wyniku naruszenia.
Przedsiębiorco, jaki powinien być Twój kolejny krok?
Rozporządzenie DORA i projekt polskiej ustawy mają na celu osiągnięcie wysokiego poziomu odporności cyfrowej podmiotów finansowych. Jest to powiązane z wieloma nowymi obowiązkami, często proceduralnymi, które podmioty te muszą spełniać pod rygorem określonych konsekwencji, jak np. kary pieniężne.
Dostosowanie się do przepisów DORA wymaga starannego planowania i wdrożenia odpowiednich systemów zarządzania ryzykiem cyfrowym. Przedsiębiorstwa muszą opracować skuteczne plany awaryjne, procedury na rzecz ciągłości działania oraz strategie reagowania na incydenty. To skomplikowany proces, który wymaga eksperckiej wiedzy i doświadczenia.
Jeśli Twoja firma potrzebuje pomocy w dostosowaniu się do nowych przepisów, skontaktuj się z naszą Kancelarią (info@dudkowiak.com). Pomożemy Ci przejść przez ten proces, aby zapewnić zgodność z nowymi regulacjami i ochronić Twoje interesy.
Skontaktuj się z nami
65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com