Stanowisko UKNF ws. stosowania DORA przez TFI oraz zarządzających ASI

7 lutego 2025 roku Urząd Komisji Nadzoru Finansowego (UKNF) opublikował stanowisko dotyczące stosowania Rozporządzenia DORA przez towarzystwa funduszy inwestycyjnych (TFI) oraz zarządzających alternatywnymi spółkami inwestycyjnymi (ASI). Nowe regulacje nakładają na te podmioty szereg obowiązków związanych z odpornością cyfrową i zarządzaniem ryzykiem ICT.

Towarzystwa funduszy inwestycyjnych (TFI) oraz zarządzający alternatywnymi spółkami inwestycyjnymi (ASI) są zobowiązani do przestrzegania Rozporządzenia DORA w zakresie zarządzania ryzykiem ICT, także przy zawieraniu umów z zewnętrznymi dostawcami usług. Przepisy te mają na celu zapewnienie operacyjnej odporności cyfrowej podmiotów finansowych i obejmują kluczowe aspekty związane z bezpieczeństwem sieci oraz systemów informatycznych. Regulacje DORA mają zastosowanie niezależnie od tego, czy krajowe przepisy dotyczące funduszy inwestycyjnych przewidują bezpośrednie obowiązki w tym zakresie.

Jakie zmiany wprowadza Rozporządzenie?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 (DORA) wprowadza jednolite wymogi dotyczące odporności cyfrowej dla podmiotów finansowych, w tym funduszy inwestycyjnych i alternatywnych spółek inwestycyjnych. Przepisy te obejmują:

• zarządzających alternatywnymi funduszami inwestycyjnymi (AFI),
• spółki zarządzające zgodnie z dyrektywą UCITS.

Podmioty te, w ramach swojej działalności, muszą spełniać określone standardy bezpieczeństwa IT oraz wdrożyć mechanizmy zarządzania ryzykiem wynikającym z usług ICT.

Nowe obowiązki w zakresie zarządzania ryzykiem ICT

Podmioty zarządzające funduszami muszą wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, obejmujące monitorowanie incydentów, testowanie odporności systemów oraz odpowiednie procedury awaryjne. Szczególną uwagę należy zwrócić na współpracę z agentami transferowymi i innymi dostawcami technologii, którzy świadczą usługi kluczowe dla funkcjonowania funduszy. Wysokie standardy zarządzania ryzykiem są wymagane, aby zapewnić nieprzerwaną działalność funduszy oraz zgodność z przepisami unijnymi.

Zgodnie z opublikowanym stanowiskiem UKNF, TFI i zarządzający ASI są zobowiązani do:

• Zapewnienia bezpieczeństwa sieci i systemów informatycznych obsługujących fundusze,
• Monitorowania i raportowania incydentów cybernetycznych,
• Zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT,
• Testowania odporności cyfrowej i wdrażania mechanizmów awaryjnych.

Poważne konsekwencje nieprzestrzegania przepisów

Nieprzestrzeganie Rozporządzenia DORA może prowadzić do poważnych konsekwencji, w tym sankcji finansowych i ograniczenia działalności. W związku z tym, zarządzający funduszami powinni dokonać audytu swoich systemów ICT, przeanalizować umowy z dostawcami oraz wdrożyć skuteczne mechanizmy ochrony przed zagrożeniami cybernetycznymi. Dostosowanie się do nowych regulacji jest kluczowe dla stabilności i bezpieczeństwa sektora finansowego.

Jeśli potrzebujesz wsparcia w dostosowaniu się do nowych przepisów, zapraszamy do kontaktu.