Od 17 stycznia instytucje finansowe muszą stosować unijne rozporządzenie DORA, dotyczące finansów cyfrowych. Wciąż jednak brakuje polskiej ustawy. Choć przepisy rozporządzenia stosuje się wprost, to jednak w kilku przypadkach wymagają one uszczegółowienia ustawą, m.in. w zakresie kar za nieprzestrzeganie tych regulacji.
Od 17 stycznia 2025 r. banki, firmy inwestycyjne, pośrednicy ubezpieczeniowi, dostawcy usług z zakresu kryptowalut, zakłady ubezpieczeń, instytucje płatnicze oraz tzw. kluczowi dostawców usług ICT (International Trade Compliance, tzw. kontrola obrotu) mają obowiązek stosować unijne rozporządzenie DORA, czyli o cyfrowej odporności operacyjnej. Wciąż jednak brakuje polskich przepisów. Prace nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego toczą się wolno. Obecnie znajdują się na etapie rządowego Komitetu do Spraw Europejskich. Choć przepisy rozporządzenia stosuje się wprost, to jednak w kilku przypadkach wymagają one uszczegółowienia ustawą, m.in. w zakresie kar za nieprzestrzeganie DORA.
Czytaj też: Zmiany w Krajowym Systemie Cyberbezpieczeństwa
Rozporządzenie określa jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych oraz wskazuje obowiązki podmiotów rynku finansowego w tym zakresie.
DORA zawiera kilka grup wymogów z zakresu cyberbezpieczeństwa, obejmujących następujące zasady:
Rozporządzenie DORA przewiduje różne sankcje i kary, które są uzależnione od charakteru naruszenia oraz krajowych przepisów wdrażających.
- Komisja Nadzoru Finansowego będzie w ramach pełnienia funkcji właściwego organu na gruncie tego rozporządzenia monitorowała wypełnianie przez podmioty nadzorowane omawianych wymogów, a w razie potrzeby będzie podejmowała niezbędne działania nadzorcze. Urząd KNF planuje także kontynuować w 2025 roku udzielanie wsparcia podmiotom nadzorowanym, w prawidłowej realizacji przez nie wymogów rozporządzenia DORA - wyjaśnia Jacek Barszczewski, dyrektor Departamentu Komunikacji Społecznej w UKNF.
Zobacz w LEX: Operacyjna odporność cyfrowa sektora finansowego (DORA) > >
DORA stosuje się w sposób bezpośredni do podmiotów finansowych, takich jak: banki, firmy inwestycyjne, pośrednicy ubezpieczeniowi, dostawcy usług z zakresu kryptowalut, zakłady ubezpieczeń, instytucje płatnicze oraz tzw. kluczowi dostawcy usług ICT, wyznaczonych jako takie zgodnie z DORA, a w sposób pośredni do wszystkich podmiotów świadczących na rzecz podmiotów finansowych usługi, które mogą wpływać na odporność cyfrową podmiotów finansowych.
Sprawdź: Jak w praktyce wdrożyć DORA, czyli co wynika z regulacyjnych standardów technicznych (RTS)?
- Wdrożenie DORA powinno rozpocząć się od analizy istniejących w organizacji zabezpieczeń i procesów z zakresu cyberbezpieczeństwa i sprawdzeniu, w jakim zakresie zgodne są one z wymogami wynikającymi z DORA. W praktyce jest to zadanie skomplikowane, a specjaliści IT pracujący w podmiotach finansowych nie są specjalistami z zakresu cyberbezpieczeństwa i nie są w stanie zapewnić wymaganej do tego zadania wiedzy. Powszechną praktyką, szczególnie w przypadku podmiotów mniejszych, jest korzystanie z pomocy zewnętrznych doradców z zakresu cyberbezpieczeństwa, którzy często współpracują także z kancelariami prawnymi – należy bowiem pamiętać, że w przypadku kontroli organ nadzorczy będzie oceniał istniejącą w podmiocie finansowych dokumentację wskazującą na wdrożenie DORA, a nie będzie dokonywał audytu narzędzi informatycznych jako takich. Istotne jest też zrozumienie, że wdrożenie zgodności z DORA to proces długotrwały i angażujący dla personelu zewnętrznego, nawet w przypadku podjęcia współpracy z doradcą zewnętrznym - tłumaczy Katarzyna Szczudlik, adwokatka, partner w kancelarii prawnej Schoenherr.
Sprawdź: DORA – nowe obowiązki w sektorze bankowym
Związek Przedsiębiorstw Finansowych w Polsce wyjaśnia, że rynek od dawna się przygotowuje, w szczególności w zakresie nowych obowiązków sprawozdawczych.
- Wszyscy mają świadomość, że unijne przepisy wchodzą w życie już 17 stycznia, niezależnie od tego, że termin wdrożenia projektu ustawy wykonującego rozporządzenie DORA na poziomie krajowym będzie przesunięty. Rynek finansowy liczy na to, że nowe regulacje i standaryzacja reguł cyberbezpieczeństwa oraz wymiany informacji na poziomie europejskim przyczynią się do jeszcze lepszej ochrony instytucji finansowych i ich klientów - mówi Marcin Czugan, prezes Związku Przedsiębiorstw Finansowych w Polsce.
I dodaje, że w tegorocznym badaniu ZPF i EY „Nadużycia na rynku finansowym” podmioty rynku finansowego wskazały, że kanał online jest najbardziej narażony na nadużycia, stąd tak ważnym jest efektywne wdrożenie narzędzi wspierających walkę z przestępstwami w cyberprzestrzeni. - Wprowadzone przez DORA narzędzia powinny stać się dla podmiotów z rynku finansowego rodzajem systemu wczesnego ostrzegania. W połączeniu z coraz większą profesjonalizacją zabezpieczeń i ciągłym monitoringiem systemów informatycznych daje to instytucjom finansowym szansę na zminimalizowanie ryzyka cyberataków - podkreśla.
Sprawdź: Polskie podejście do DORA, czyli co warto wiedzieć na ostatniej prostej
Zobacz również w LEX: Prawny obowiązek integralności umów między instytucjami finansowymi i dostawcami usług ICT > >
Wdrażanie rozporządzenia nie zawsze przebiega jednak gładko.
- Podmioty finansowe i dostawcy IT częstokroć nie rozumieją, w jaki sposób wymogi wynikające z DORA powinny być zaaplikowane w danej organizacji i które z wymogów DORA mają do nich zastosowanie. Częstym problemem jest wyjaśnienie relacji pomiędzy DORA a innymi przepisami prawa oraz stanowiskami i rekomendacjami KNF - wyjaśnia mec. Katarzyna Szczudlik.
Według niej wdrożenie zgodności z DORA najwięcej problemów sprawia tym podmiotom, które do tej pory nie miały wdrożonych żadnych rozwiązań z zakresu cyberbezpieczeństwa. - Niewątpliwie DORA jest krokiem w dobrym kierunku, biorąc pod uwagę, jak istotne stały się cyberzagrożenia w ostatnim czasie i jak kluczową rolę będą one odgrywać w kolejnych latach. Wydaje się także, że sposób legislacji przyjęty przez DORA jest optymalny – jest oparty o zasady proporcjonalności, wskazując ogólne ramy prawne, które na poziomie stosowanych rozwiązań i narzędzi muszą być określone przez konkretne podmioty finansowe objęte zakresem stosowania DORA. Dalsze doprecyzowywanie tych przepisów nieuchronnie prowadziłoby do zbyt daleko posuniętej kazuistyki - podkreśla.
Sprawdź: Nie tylko DORA, czyli stosowanie NIS2 w sektorze finansowym
Zdaniem mec. Katarzyną Szczudlik w dalszym ciągu nie mamy polskich przepisów zapewniających stosowanie DORA. Co prawda nie będą one w sposób merytoryczny zmieniać obowiązków wynikających z DORA, jednak w kilku przypadkach będą je uszczegóławiać, np. w zakresie stosowanych kar za nieprzestrzeganie DORA.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
