Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2021.155.38

Opinia Europejskiego Komitetu Ekonomiczno-Społecznego Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014[COM(2020) 595 final - 2020/0266 (COD)] - Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 2006/43/WE, 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341[COM(2020) 596 final - 2020/0268 (COD)].

Opinia Europejskiego Komitetu Ekonomiczno-Społecznego
"Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014"

[COM(2020) 595 final - 2020/0266 (COD)]

"Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 2006/43/WE, 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341"

[COM(2020) 596 final - 2020/0268 (COD)]

(2021/C 155/06)

(Dz.U.UE C z dnia 30 kwietnia 2021 r.)

Sprawozdawca: Antonio GARCÍA DEL RIEGO

Wniosek o konsultację Parlament Europejski, 17.12.2020

Rada Unii Europejskiej. 22.12.2020
Podstawa prawna

Sekcja odpowiedzialna

 Art. 53 ust. 1, art. 114 ust. 1 i art. 304 TFUE

Sekcja ds. Unii Gospodarczej i Walutowej oraz Spójności Gospodarczej i Społecznej
Data przyjęcia przez sekcję

Data przyjęcia na sesji plenarnej

Sesja plenarna nr

Wynik głosowania (za/przeciw/wstrzymało się)

 12.2.2021

24.2.2021

558

243/1/4
1.
Wnioski i zalecenia
1.1.
EKES z zadowoleniem przyjmuje wniosek w sprawie operacyjnej odporności cyfrowej (DORA) wydany przez Komisję Europejską, który ma zapewnić jasność prawa w zakresie przepisów dotyczących ryzyka związanego z technologiami informacyjno-komunikacyjnymi (ICT), ograniczyć złożoność przepisów regulacyjnych, wprowadzić wspólny zbiór norm mających na celu ograniczenie ryzyka związanego z ICT oraz umożliwić wypracowanie ujednoliconego podejścia nadzorczego, a także zagwarantować pewność prawa i niezbędne zabezpieczenia dla przedsiębiorstw finansowych i dostawców usług ICT. DORA nie tylko zwiększa odporność sektora na ryzyko związane z ICT, lecz także jest przedmiotem zainteresowania wielu podmiotów, w tym klientów, inwestorów i pracowników, oraz przyczynia się do wdrażania zrównoważonego rozwoju.
1.2.
EKES zaleca zwiększenie skuteczności DORA poprzez podjęcie następujących działań:

1.2.1. Włączenie w zakres DORA każdego dostawcy kluczowych usług finansowych prowadzącego działalność finansową, z wyłączeniem korzystania z usług ICT do celów niezwiązanych z kluczowymi funkcjami.

1.2.2. Zapewnienie spójności pod względem definicji i zakresu między DORA a wymogami określonymi w istniejących wytycznych wydanych przez Europejskie Urzędy Nadzoru.

1.2.3. Jeśli chodzi o zarządzanie ICT, wspieranie ram skoncentrowanych na podejściu opartym na zasadach i analizie ryzyka, które umożliwia wdrożenie kontroli zachowujących aktualność, elastycznych i adekwatnych do poziomu ryzyka.

1.2.4. Jeśli chodzi o incydenty związane z ICT, pełne dostosowanie do pakietu narzędzi Rady Stabilności Finansowej w zakresie reagowania na cyberincydenty i przywracania gotowości do pracy.

1.2.5. Jeśli chodzi o testowanie operacyjnej odporności cyfrowej - położenie nacisku nie tylko na skalę instytucji finansowej, lecz także na złożoność i kluczowy charakter usługi; unikanie obowiązkowego outsourcingu prowadzonego przez ograniczoną liczbę testerów zewnętrznych oraz wzajemne uznawanie wyników testów.

1.2.6. Skonsolidowanie wymogów dotyczących outsourcingu w jednolitym zbiorze przepisów, by zagwarantować pewność prawa wszystkim uczestnikom rynku i umożliwić rzetelne spełnienie oczekiwań organów nadzoru.

1.2.7. Pełne wdrożenie zaleceń wiodących organów nadzorczych oraz jasny podział ról i obowiązków poszczególnych organów zaangażowanych w nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT.

1.2.8. Zapewnienie dostępu do usług zlecanych na zewnątrz, które są uznawane za kluczowe, dla zewnętrznych dostawców usług ICT mających siedzibę w państwach trzecich, tak aby nie ograniczać swobody zawierania umów przez przedsiębiorstwa ani możliwości dostępu do usług dostawców świadczących usługi o wysokiej wartości dodanej.

1.2.9. Uwzględnienie proporcjonalności w systemie kar, by nie tworzyć czynników zniechęcających dostawców usług ICT do obsługi unijnych podmiotów finansowych, oraz rezygnacja z obecnego odniesienia do światowego obrotu.

1.2.10. Zapewnienie jasności w zakresie zdolności przedsiębiorstw do dzielenia się informacjami o cyberzagrożeniach poprzez zagwarantowanie, że takie ustalenia będą wprowadzane dobrowolnie, oraz włączenie do wniosku w sprawie DORA jednoznacznego przepisu umożliwiającego wymianę danych osobowych.

1.2.11. Podniesienie progu wyłączenia przewidzianego we wniosku dla mikroprzedsiębiorstw i małych przedsiębiorstw zgodnie z definicją zawartą w art. 2 ust. 2 załącznika I zalecenia Komisji 2003/361/WE 1 : można rozważyć przedsiębiorstwa, które zatrudniają mniej niż 50 osób i których roczny obrót lub roczna suma bilansowa nie przekraczają 10 mln EUR, oraz zmniejszyć liczbę wymogów dla podmiotów będących MŚP proporcjonalnie do profilu ryzyka cyfrowego danego podmiotu.

1.3.
EKES popiera nadanie wiodącym organom nadzorczym uprawnień do przeprowadzania procedur audytu i kontroli odnośnie do kluczowych zewnętrznych dostawców usług ICT, co pozwoliłoby tym organom lepiej zrozumieć ryzyko, jakie tacy dostawcy mogą stwarzać, to zaś z kolei przyczyniłoby się do optymalizacji procedur outsourcingu w bankach.
2.
Wprowadzenie
2.1.
Europejscy konsumenci i europejskie przedsiębiorstwa w coraz większym stopniu polegają na cyfrowych usługach finansowych, co wiąże się z wdrażaniem przez uczestników rynku coraz bardziej innowacyjnych rozwiązań opartych na nowych technologiach. Transformacja cyfrowa ma kluczowe znaczenie dla odbudowy gospodarczej Europy oraz dla powstania zrównoważonej i odpornej gospodarki europejskiej.
2.2.
Zgodnie ze swoimi priorytetami dotyczącymi zbudowania Europy na miarę ery cyfrowej i utworzenia gospodarki gotowej na przyszłość, która będzie przynosić korzyści obywatelom, Komisja Europejska przedstawiła pakiet dotyczący finansów cyfrowych. Określono w nim środki, które umożliwiają i wspierają dalsze wykorzystanie potencjału finansów cyfrowych w zakresie innowacyjności i konkurencji przy jednoczesnym ograniczaniu związanego z nimi ryzyka.
2.3.
Oprócz wniosku dotyczącego operacyjnej odporności cyfrowej pakiet dotyczący finansów cyfrowych obejmuje nową strategię w zakresie finansów cyfrowych dla unijnego sektora finansowego 2  oraz wniosek dotyczący rozporządzenia w sprawie rynków kryptoaktywów wraz z wnioskiem dotyczącym rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) 3 .
2.4.
Operacyjna odporność cyfrowa jest to zdolność przedsiębiorstw do zagwarantowania, że będą one odporne na wszelkiego rodzaju zakłócenia i zagrożenia związane z technologiami informacyjno-komunikacyjnymi (ICT). Coraz większa zależność sektora finansowego od oprogramowania i procesów cyfrowych oznacza, że ryzyko związane z ICT jest nieodłącznym elementem finansów. Przedsiębiorstwa finansowe stały się celem cyberataków, których skutkiem są poważne szkody finansowe i wizerunkowe dla klientów i przedsiębiorstw. Należy dobrze zrozumieć to ryzyko i odpowiednio nim zarządzać, zwłaszcza w trudnych okresach.
2.5.
Chociaż reformy, które przeprowadzono po kryzysie finansowym z 2008 r., doprowadziły do wzmocnienia odporności unijnego sektora finansowego, jedynie pośrednio zapobiegały ryzyku związanemu z ICT. Wobec braku kompleksowych ram regulacyjnych w zakresie operacyjnej odporności cyfrowej na poziomie europejskim - zdano się na krajowe inicjatywy regulacyjne. Ograniczyło to jednak skuteczność transgraniczną i doprowadziło do fragmentacji jednolitego rynku, co podważa stabilność i integralność unijnego sektora finansowego. W związku z tym Komisja proponuje stworzenie kompleksowych ram w zakresie operacyjnej odporności cyfrowej dla unijnych podmiotów finansowych.
2.6.
Wniosek ustawodawczy w sprawie operacyjnej odporności cyfrowej (DORA) 4  ma na celu wzmocnienie i usprawnienie zarządzania ryzykiem związanym z ICT przez podmioty finansowe, wprowadzenie dokładnych testów odporności systemów ICT, wspieranie wymiany informacji i zwiększenie świadomości organów nadzoru w zakresie ryzyka w cyberprzestrzeni i incydentów związanych z ICT, na które narażone są podmioty finansowe, a także wprowadzenie uprawnień dla organów nadzoru finansowego do nadzorowania ryzyka wynikającego z uzależnienia podmiotów finansowych od zewnętrznych dostawców usług ICT. Celem wniosku jest również stworzenie spójnego mechanizmu zgłaszania incydentów, który przyczyniłby się do zmniejszenia obciążeń administracyjnych spoczywających na podmiotach finansowych i do wzmocnienia skuteczności nadzoru.
2.7.
Komisja przedstawiła również wniosek dotyczący dyrektywy 5 , ponieważ zachodzi konieczność ustanowienia tymczasowego wyłączenia odnośnie do wielostronnych platform obrotu oraz konieczność zmiany lub wyjaśnienia niektórych przepisów obowiązujących obecnie dyrektyw dotyczących usług finansowych, aby zrealizować cele wniosku w sprawie operacyjnej odporności cyfrowej.
2.8.
Wartość rynku ICT, zaliczanego do największych branż na świecie, oszacowano na ponad pięć bilionów USD w 2019 r. i ponad sześć bilionów do 2022 r. Jego stały rozwój wskazuje na coraz większą popularność i znaczenie technologii we współczesnym społeczeństwie. Jak stwierdzono w zawartej we wniosku ustawodawczym ocenie skutków, sektor finansowy jest największym użytkownikiem ICT na świecie, a jego wydatki w tym zakresie stanowią około 20 % ogółu wydatków związanych z ICT.
2.9.
Pandemia COVID-19 przyczyniła się do rozpowszechnienia cyfrowych usług finansowych, z uwagi na niepełne wykorzystanie sieci oddziałów instytucji finansowych. Doprowadzi to do wzrostu inwestycji w cyfrowe narzędzia samoobsługowe, aplikacje z zakresu otwartych finansów i usługi dodane. Ogólnie rzecz biorąc, obecna sytuacja wymusi na instytucjach finansowych większe inwestycje w infrastrukturę informatyczną, priorytetowe traktowanie migracji kluczowych nakładów pracy oraz aktualizowanie istniejących aplikacji. Europejski sektor finansowy przechodzi już gruntowną transformację cyfrową, a jego konkurencyjność na skalę światową będzie w dużej mierze zależała od zdolności instytucji europejskich do korzystania z najbardziej zaawansowanych technologii.
3.
Uwagi ogólne
3.1.
EKES z zadowoleniem przyjmuje wniosek w sprawie operacyjnej odporności cyfrowej (DORA) wydany przez Komisję Europejską, który uwzględnia wiele z postulatów zgłaszanych przez sektor finansowy i którego celem jest zapewnienie jasności prawa w zakresie przepisów dotyczących ryzyka związanego z ICT, ograniczenie złożoności przepisów regulacyjnych i zmniejszenie obciążeń administracyjnych wynikających z różnych przepisów mających zastosowanie do podmiotów finansowych w całej UE. DORA nie tylko zwiększa odporność sektora na ryzyko związane z ICT, lecz także jest przedmiotem zainteresowania wielu podmiotów, w tym klientów, inwestorów i pracowników, oraz przyczynia się do wdrażania zrównoważonego rozwoju.
3.2.
EKES uważa, że DORA stanowi ważny krok w kierunku wypracowania wspólnego zestawu norm mających na celu zmniejszenie ryzyka związanego z ICT i ułatwienie ujednolicenia podejścia nadzorczego. Należy jednak zachować ostrożność, aby nie utrudniać unijnym instytucjom finansowym uczestnictwa w globalnym procesie innowacji.
3.3.
EKES zauważa, że nadrzędnym celem organów UE jest dążenie do osiągnięcia proporcjonalnego i opartego na analizie ryzyka systemu, który zapewni organom nadzoru narzędzia umożliwiające rozwiązanie ich problemów, a jednocześnie zagwarantuje pewność prawa i niezbędne zabezpieczenia przedsiębiorstwom finansowym i dostawcom usług ICT.
4.
Uwagi szczegółowe
4.1.
Zakres i pokrywające się regulacje

4.1.1. Włączenie kolejnych istotnych uczestników rynku finansowego

EKES uznaje i z zadowoleniem przyjmuje szeroki zakres uczestników rynku finansowego, do których skierowane są proponowane przepisy, zapewniający spójne stosowanie zawartych w nich wymogów w całym unijnym sektorze finansowym, ale zaleca, by osoby odpowiedzialne za wyznaczanie kierunków polityki UE uwzględniły również uczestników rynku finansowego niewchodzących w zakres stosowania proponowanych przepisów, takich jak instytucje udzielające kredytów zabezpieczonych hipotecznie oraz podmioty udzielające kredytów konsumenckich, i uczyniły to w stopniu odpowiednim do ryzyka, jakie podmioty te mogą stwarzać dla systemu. Każdy dostawca usług finansowych, który prowadzi taką samą działalność i podejmuje takie samo ryzyko, powinien być objęty tymi samymi przepisami i tym samym nadzorem, aby można było zapewnić jednolite minimalne ramy w zakresie odporności cyfrowej, gwarantujące ochronę konsumentów i stabilność finansową.

4.1.2. Spójność na szczeblu międzynarodowym i unijnym, a także z obowiązującymi przepisami

Kluczowe znaczenie ma zapewnienie przedsiębiorstwom - w szczególności tym prowadzącym działalność transgraniczną - jasności, która zagwarantuje spójność definicji i terminów i pozwoli uniknąć powielania i pokrywania się działań oraz uniknąć różnic w interpretacji sposobów realizacji podobnych wymogów regulacyjnych w różnych jurysdykcjach. Komitet zaleca, aby osoby odpowiedzialne za wyznaczanie kierunków polityki UE wprowadziły zmiany w definicji odporności operacyjnej, tak aby była ona spójna z definicją Bazylejskiego Komitetu Nadzoru Bankowego 6  i stała się głównym systemem mającym zastosowanie do instytucji finansowych UE w celu uniknięcia ryzyka sprzeczności z innymi systemami. Wiele z zasad i wymogów określonych w DORA zostało już zdefiniowanych w istniejących wytycznych w sprawie outsourcingu 7 . Ryzyko związane z ICT i wymogi dotyczące zarządzania ryzykiem w zakresie bezpieczeństwa również określono już w wytycznych EUNB. Zasadnicze znaczenie będzie miało zapewnienie spójności pod względem definicji i zakresu między DORA a wymogami określonymi w istniejących wytycznych w celu osiągnięcia harmonizacji wymogów regulacyjnych UE.

4.1.3. EKES zaleca również, aby KE dołożyła starań, by w ramach trwającego przeglądu dyrektywy w sprawie bezpieczeństwa sieci i informacji oraz wniosku w sprawie DORA przyjęto te same definicje oraz wymogi dla podmiotów finansowych dotyczące strategii zgłaszania incydentów związanych z bezpieczeństwem.

4.2.
Zarządzanie ryzykiem związanym z ICT

Niektóre aspekty ram regulacyjnych są w większym stopniu skoncentrowane na zgodności z przepisami niż na sposobie, w jaki przedsiębiorstwa mogą wykazać się wynikami w ramach podejścia opartego na zasadach i analizie ryzyka. Ze względu na to, że są one zbyt normatywne i szczegółowe, istnieje ryzyko, że z czasem ulegną dezaktualizacji w miarę zmian zachodzących w obszarze ryzyka w cyberprzestrzeni i ryzyka związanego z ICT. EKES zaleca zatem przyjęcie podejścia opartego w większym stopniu na zasadach i na analizie ryzyka, które umożliwia wdrożenie kontroli zachowujących aktualność, elastycznych, proporcjonalnych i adekwatnych do poziomu ryzyka.

4.3.
Incydenty związane z ICT

Komitet zaleca zapewnienie pełnej zgodności między opublikowanym niedawno przez Radę Stabilności Finansowej zestawem narzędzi służących do reagowania na cyberincydenty i przywracania gotowości do pracy 8 , zawierającym najlepsze praktyki w zakresie zgłaszania incydentów, a proponowanym klasyfikowaniem i zgłaszaniem incydentów związanych z ICT oraz zarządzaniem nimi, jakie przewidziano w DORA. Oba zbiory zasad niekiedy pokrywają się ze sobą, co powoduje niepewność regulacyjną i zwiększa obciążenia regulacyjne dla przedsiębiorstw.

4.4.
Testowanie operacyjnej odporności cyfrowej

4.4.1. EKES z zadowoleniem przyjmuje paneuropejski system testów penetracyjnych pod kątem wyszukiwania zagrożeń w całej UE, ponieważ zwiększy on skuteczność i zmniejszy rozdrobnienie, zaleca jednak, by organy skupiły się nie tylko na wielkości lub skali instytucji finansowej, lecz także na poziomie złożoności i znaczenia usług, uwzględniając zasadę proporcjonalności z myślą o tym, aby w stosownych wypadkach wyeliminować rozróżnienie między podstawowymi testami dla wszystkich instytucji finansowych a bardziej zaawansowanymi testami dla znaczących instytucji finansowych. Chodzi przy tym także o zapewnienie jednakowej ochrony klientów z mniejszych podmiotów finansowych oraz o stworzenie równych warunków działania dla wszystkich podmiotów finansowych.

4.4.2. EKES zaleca, aby powierzanie testów testerom zewnętrznym nie było obowiązkowe, ponieważ ich liczba jest ograniczona. Przedsiębiorstwa mogą dysponować własnymi wewnętrznymi zespołami testującymi, które znają ich środowisko i są w stanie szybko przejść do bardziej zaawansowanych i ukierunkowanych testów.

4.4.3. Należy dokonać przeglądu włączenia zewnętrznych dostawców usług ICT do zakresu stosowania testów penetracyjnych pod kątem wyszukiwania zagrożeń. To, że zewnętrzni dostawcy usług ICT mogą świadczyć usługi na rzecz wielu klientów, może skutkować znaczącym powielaniem testów, co z kolei wiąże się z istotnym ryzykiem dla tych zewnętrznych dostawców usług ICT oraz dla klientów, których obsługują.

4.4.4. EKES zaleca ponadto, aby wyraźnie wspomnieć o wzajemnym uznawaniu wyników testów, zważywszy na jego znaczenie dla zmniejszenia ryzyka i zapewnienia sprawnego funkcjonowania jednolitego rynku, a także aby uniknąć wzrostu kosztów ponoszonych przez podmioty finansowe prowadzące działalność transgraniczną.

4.5.
Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT i ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT

4.5.1. Zapewnienie zgodności z istniejącymi wytycznymi w sprawie outsourcingu

EKES z zadowoleniem przyjmuje fakt, że DORA określa wspólne ramy regulacyjne dla wszystkich uczestników rynku finansowego w całej Europie dotyczące należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT. Zasadnicze znaczenie będzie miało jednak zapewnienie pełnej zgodności między tą wspólną podstawą określoną w głównych zasadach (art. 25, 26 i 27) a obowiązującymi przepisami takimi jak wytyczne Europejskich Urzędów Nadzoru w sprawie outsourcingu (tj. rozwiązanie istniejącej rozbieżności pod względem zakresu między "outsourcingiem" i "usługą świadczoną przez zewnętrznego dostawcę" 9 ). Komitet uważa również, że jest to doskonała okazja dla organów UE do skonsolidowania wymogów dotyczących outsourcingu w jednym rozporządzeniu - o wystarczającym poziomie szczegółowości, aby uniknąć różnic w interpretacji - które mogłoby zagwarantować pewność prawa wszystkim uczestnikom rynku i spełnić w sposób wiarygodny oczekiwania organów nadzoru.

4.5.2. Wymogi mające zastosowanie do kluczowych lub ważnych działań będących przedmiotem outsourcingu

Jeśli chodzi o zastosowanie art. 25 ust. 2, w tekście rozporządzenia trzeba - w celu zachowania podejścia nakierowanego na ryzyko - precyzyjniej wskazać, jak należałoby stosować zasadę proporcjonalności, określając wymogi, które obowiązywałyby w przypadku kluczowych lub ważnych działań będących przedmiotem outsourcingu, oraz te, które obowiązywałyby w przypadku pozostałych działań 10 . EKES zaleca, aby korzystanie z usług ICT do celów funkcji innych niż kluczowe nie wchodziło w zakres DORA.

4.5.3. Ramy bezpośredniego nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT

EKES z zadowoleniem przyjmuje wprowadzenie ram bezpośredniego nadzoru, które umożliwią stałe monitorowanie działalności kluczowych zewnętrznych dostawców usług ICT przez organy finansowe, wobec braku horyzontalnych ram obejmujących wszystkie sektory w UE. W proponowanym rozporządzeniu organy UE powinny uznać, że objęcie tym nadzorem kluczowego dostawcy usług ICT będzie skutkować mniejszym narażeniem instytucji finansowych na ryzyko dzięki stałemu monitorowaniu prowadzonej przez niego działalności. Z tego względu nowe ramy nadzoru powinny również przyczynić się do usprawnienia procedur outsourcingu w bankach poprzez ograniczenie niektórych obciążeń nakładanych obecnie na podmioty finansowe, na przykład odnośnie do wykonywania procedur audytu i kontroli dotyczących zewnętrznych dostawców uznanych za kluczowych.

4.5.4. EKES popiera nadanie wiodącym organom nadzorczym uprawnień do przeprowadzania procedur audytu i kontroli odnośnie do kluczowych zewnętrznych dostawców usług ICT, co pozwoliłoby tym organom lepiej zrozumieć ryzyko, jakie mogą stwarzać tacy dostawcy, dzięki bezpośredniej wiedzy na temat ich procesów i założeń, bez konieczności polegania na bieżących sprawozdaniach dostarczanych przez nadzorowane instytucje finansowe i kontrolach przeprowadzanych przez właściwe organy krajowe. Chociaż należy utrzymać politykę ograniczania ryzyka stosowaną przez podmioty finansowe i spoczywa na nich prawny obowiązek w tym zakresie, to w przypadku gdy kontrole i audyty są już prowadzone przez wiodący organ nadzorczy, instytucje finansowe powinny skorzystać z tego dodatkowego poziomu bezpieczeństwa i nie powinny musieć ponownie ich przeprowadzać.

4.5.5. Wiodący organ nadzorczy i właściwe organy krajowe

Po przeprowadzeniu procesu nadzoru realizacja zaleceń wiodącego organu nadzorczego będzie monitorowana przez właściwe organy krajowe, które mogą przyjąć własne podejście do sposobu wdrażania ustaleń wiodącego organu nadzorczego odnośnie do wskazanych kluczowych zewnętrznych dostawców usług ICT. EKES zaleca, aby zapewnić pełną jasność w kwestii ról i obowiązków poszczególnych organów w celu uniknięcia sytuacji, w której rozbieżność interpretacji będzie wywierać odmienny wpływ na klientów każdego z kluczowych zewnętrznych dostawców usług ICT w zależności od ich właściwego organu, a tym samym w celu ograniczenia ryzyka rozdrobnienia. Zalecenia te powinny być również w całości wykonalne, biorąc pod uwagę obecną niejednoznaczność art. 37 w odniesieniu do ich wiążącego charakteru.

4.5.6. Zawieszenie kluczowego zewnętrznego dostawcy usług ICT

DORA nadaje krajowym organom nadzoru finansowego uprawnienia do nakładania na klientów wymogu tymczasowego zawieszenia lub zaprzestania korzystania z usług dostawcy ICT do czasu wyeliminowania zagrożeń określonych w zaleceniach. Wymogi dotyczące natychmiastowego rozwiązania umowy z kluczowym zewnętrznym dostawcą usług ICT miałyby z pewnością wpływ na aktualne lub przyszłe decyzje biznesowe i handlowe (na przykład zniechęcając do inwestycji w UE) oraz mogłyby wpłynąć na stabilność finansową. Przed podjęciem takiej decyzji właściwe organy powinny dokładnie rozważyć, między innymi, potencjalne negatywne skutki rozwiązania umowy o świadczenie usługi dla podmiotów finansowych korzystających z usług danego kluczowego zewnętrznego dostawcy usług ICT 11 , a także powinny ustalić jasne kryteria nałożenia takiego wymogu i zbadać możliwe środki zaradcze.

4.5.7. Komitet zaleca ponadto, aby w przypadku zaistnienia takiej sytuacji podmioty finansowe były informowane z odpowiednim wyprzedzeniem i miały wystarczająco dużo czasu na wycofanie się.

4.6.
Zachowanie globalnej konkurencyjności europejskich przedsiębiorstw finansowych

4.6.1. Nowe ramy powinny chronić zdolność europejskich przedsiębiorstw finansowych do uzyskania dostępu do technologii co najmniej takich samych jak te, którymi dysponują ich światowi konkurenci. Przedsiębiorstwa finansowe z UE konkurują na arenie międzynarodowej i planowane unijne ramy regulacyjne nie powinny stawiać ich w niekorzystnej sytuacji przez ograniczenie im dostępu do najbardziej zaawansowanych technologii - o ile dostawcy tych technologii spełniają normy UE w zakresie odporności i bezpieczeństwa.

4.6.2. Zewnętrzni dostawcy usług ICT mający siedzibę w państwach trzecich

Rozporządzenie nie powinno ograniczać możliwości outsourcingu usług uznanych za kluczowe zewnętrznym dostawcom usług ICT mającym siedzibę w państwach trzecich. Ograniczenie to zdecydowanie zawęziłoby swobodę zawierania umów przez poszczególne podmioty oraz zdolność europejskich instytucji finansowych do korzystania z usług dostawców świadczących usługi o wysokiej wartości dodanej, których to dostawców najprawdopodobniej brakuje w Europie. Jest to tym bardziej istotne, że proponowane ramy nadzoru dotyczą wyłącznie sektora finansowego, tworząc nierówne warunki działania dla innych podmiotów, nieobjętych tym rozporządzeniem, i mogą doprowadzić do zwiększenia ryzyka koncentracji, któremu DORA ma zapobiegać.

4.6.3. Stosowanie kar na podstawie wielkości światowego obrotu

DORA przewiduje kary pieniężne dla dostawców usług ICT uwzględniające ich światowy obrót, jeżeli nie zastosują się oni do wniosków organów nadzoru finansowego UE. Nieproporcjonalne stosowanie tych kar mogłoby zniechęcić światowych dostawców usług ICT do obsługi unijnych przedsiębiorstw finansowych, co mogłoby de facto ograniczyć wybór dostawców, którym dysponują unijne przedsiębiorstwa finansowe. Takie rozwiązanie mogłoby ponadto zniechęcać zewnętrznych dostawców usług ICT niebędących kluczowymi do korzystania z systemu nadzoru ze względu na obawę przed nałożeniem na nie nieproporcjonalnych kar pieniężnych, a tym samym ograniczeniem konkurencji na rynku wyższego szczebla. EKES opowiada się za wprowadzeniem poziomu proporcjonalności w systemie kar, mającego kluczowe znaczenie dla uniknięcia czynników zniechęcających dostawców usług ICT zainteresowanych świadczeniem usług na rzecz unijnych podmiotów finansowych.

4.7.
Ustalenia dotyczące wymiany informacji

4.7.1. Ponieważ terminowa wymiana informacji ma kapitalne znaczenie dla skutecznego identyfikowania wektorów ataku oraz wyodrębnienia potencjalnych zagrożeń i zapobiegnięcia im, EKES z zadowoleniem przyjmuje przepis ułatwiający dokonywanie dobrowolnych ustaleń dotyczących wymiany informacji o cyberzagrożeniach między instytucjami finansowymi.

4.7.2. Komitet zaleca również, aby organy UE zapewniły wyraźną podstawę umożliwiającą wymianę danych osobowych (takich jak adresy IP) wśród warunków określonych we wniosku, gdyż pozwoli to ograniczyć niepewność i zwiększy możliwości podmiotów finansowych w zakresie wzmocnienia ich zdolności obronnych, lepszej identyfikacji zagrożeń i zmniejszenia ryzyka wystąpienia efektu domina między nimi. Ze względu na poufny/wrażliwy charakter tych danych konieczna jest większa klarowność.

Bruksela, dnia 24 lutego 2021 r.

Christa SCHWENG
Przewodnicząca
Europejskiego Komitetu Ekonomiczno-Społecznego
1 Dz.U. L 124 z 20.5.2003, s. 36.
2 Zob. przygotowywana opinia EKES-u ECO/534 "Strategia dla UE w zakresie finansów cyfrowych" (zob. s. 27 niniejszego Dziennika Urzędowego).
3 Zob. przygotowywana opinia EKES-u ECO/535 "Kryptoaktywa i technologia rozproszonego rejestru" (zob. s. 31 niniejszego Dziennika Urzędowego).
4 COM(2020) 595 final.
5 COM(2020) 596 final.
6 Bazylejski Komitet Nadzoru Bankowego, Principles for operational resilience [Zasady dotyczące odporności operacyjnej], 6 listopada 2020 r.
7 Na przykład te opracowane przez EUNB, EIOPA, jak również projekt wytycznych ESMA, który był przedmiotem konsultacji.
8 Rada Stabilności Finansowej, Final Report on Effective Practices for Cyber Incident Response and Recovery [Sprawozdanie końcowe w sprawie skutecznych praktyk w zakresie reagowania na cyberincydenty i przywracania gotowości do pracy], 19 października 2020 r.
9 DORA odnosi się jedynie do "usług ICT świadczonych przez zewnętrznych dostawców", jeśli chodzi o główne zasady należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT (rozdział V), natomiast zakres wytycznych EUNB w sprawie outsourcingu opiera się na definicji outsourcingu, która zakłada, że działalność jest wykonywana regularnie lub na bieżąco (pkt 26). Wytyczne EUNB zawierają również wykaz wyjątków, które nie są uznawane za outsourcing (pkt 28).
10 Podobnie istotne będzie również ujednolicenie definicji "kluczowych lub ważnych funkcji" w DORA i w wytycznych EUNB w sprawie outsourcingu. W wytycznych EUNB zdefiniowano w szczególności czynniki, które instytucje finansowe powinny brać pod uwagę przy ocenie, czy umowa dotycząca outsourcingu odnosi się do funkcji, która jest kluczowa lub ważna (art. 29, 30 i 31).
11 Jednym z kryteriów określenia dostawcy usług ICT jako kluczowego byłby stopień substytucyjności dostawcy, biorąc pod uwagę brak realnych alternatyw lub trudności z częściową lub całkowitą migracją usług (art. 28 ust. 2). W takim przypadku instytucje finansowe miałyby trudności z przeniesieniem usługi do innego dostawcy. Ponadto nałożenie na narażone instytucje finansowe wymogu przeniesienia się do innego dostawcy usług przyczyniłoby się ostatecznie do zwiększenia koncentracji na rynku europejskim, co byłoby w szczególności sprzeczne z celem tego rozporządzenia.

Zmiany w prawie

Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany
Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany

Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.

Grażyna J. Leśniak 05.12.2025
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?

4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.

Grażyna J. Leśniak 05.12.2025
Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP
Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP

Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.

Grażyna J. Leśniak 04.12.2025
Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował
Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował

Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.

Krzysztof Koślicki 02.12.2025
Przekształcanie umów B2B dołoży pracy sądom
Przekształcanie umów B2B dołoży pracy sądom

Resort pracy nie podjął nawet próby oszacowania, jak reklasyfikacja umów cywilnoprawnych i B2B na umowy o pracę wpłynie na obciążenie sądów pracy i długość postępowań sądowych. Tymczasem eksperci wyliczyli, że w wariancie skrajnym, zakładającym 150 tys. nowych spraw rocznie, skala powstałych zaległości rośnie do ponad 31 miesięcy dodatkowej pracy lub koniecznego zwiększenia zasobów sądów o 259 proc. Sprawa jest o tyle ważna, że na podobnym etapie prac są dwa projekty ustaw, które – jak twierdzą prawnicy – mogą zwiększyć obciążenie sądów.

Grażyna J. Leśniak 25.11.2025
MZ znosi limit tzw. nadwykonań świadczeń udzielanych osobom do 18. roku życia - projekt przyjęty przez rząd
MZ znosi limit tzw. nadwykonań świadczeń udzielanych osobom do 18. roku życia - projekt przyjęty przez rząd

Rada Ministrów przyjęła projekt nowelizacji ustawy o Funduszu Medycznym - poinformował w środę rzecznik rządu Adam Szłapka. Przygotowana przez resort zdrowia propozycja zakłada, że Narodowy Fundusz Zdrowia będzie mógł w 2025 r. otrzymać dodatkowo około 3,6 mld zł z Funduszu Medycznego. MZ chce również, by programy inwestycyjne dla projektów strategicznych były zatwierdzane przez ministra zdrowia, a nie jak dotychczas, ustanawiane przez Radę Ministrów. Zamierza też umożliwić dofinansowanie programów polityki zdrowotnej realizowanych przez gminy w całości ze środków Funduszu Medycznego.

Grażyna J. Leśniak 19.11.2025
Metryka aktu
Identyfikator:

Dz.U.UE.C.2021.155.38
Rodzaj: Opinia
Tytuł: Opinia Europejskiego Komitetu Ekonomiczno-Społecznego Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014[COM(2020) 595 final - 2020/0266 (COD)] - Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 2006/43/WE, 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341[COM(2020) 596 final - 2020/0268 (COD)].
Data aktu: 30/04/2021
Data ogłoszenia: 30/04/2021