Rozporządzenie DORA – projekty ustawy dostosowującej do DORA

Rozporządzenie DORA i polska ustawa

Rozporządzenie 2022/2554 ma bezpośrednie zastosowanie w krajach członkowskich UE, jednak niektóre jego regulacje wymagają dodatkowego wdrożenia do prawa krajowego odrębną ustawą. Dotyczy to przede wszystkim wyznaczenia krajowych organów właściwych, a także sankcji, które mogą być przez nie nakładane. W polskim porządku prawnym ustawa DORA nie została jeszcze przyjęta. Niemal cztery miesiące od momentu, w którym podmioty finansowe muszą stosować się do przepisów DORA, polska ustawa jest jeszcze na etapie projektu – ten najnowszy datuje się na 11 kwietnia 2025 r. [1] Projekt ma wprowadzić szereg istotnych zmian w polskim systemie prawnym, które mają na celu zapewnienie skutecznego nadzoru nad spełnianiem wymogów operacyjnej odporności cyfrowej przez podmioty finansowe.

1. Organ właściwy

Rozporządzenie DORA w sposób ogólny określa, jakie organy mają zapewniać przestrzeganie tego rozporządzenia. Zgodnie z projektem ustawy w polskim porządku prawnym organem właściwym będzie Komisja Nadzoru Finansowego (dalej także: KNF lub Komisja). Ustawa o nadzorze nad rynkiem finansowym ma zostać znowelizowana poprzez dodanie kolejnego obszaru tego nadzoru (operacyjna odporność sektora finansowego). Wobec tego KNF będzie uprawniona do weryfikacji, czy rozporządzenie jest stosowane w sposób należyty. Komisja będzie mogła przeprowadzać kontrole, żądać udostępnienia informacji oraz nakładać sankcje w przypadku naruszenia przepisów. Będą jej także przysługiwać szerokie uprawnienia do monitorowania i egzekwowania przepisów, co zapewnić ma skuteczny nadzór nad sektorem finansowym.

2. Zgłaszanie incydentów

Rozporządzenie 2022/2554 rozróżnia dwa rodzaje incydentów związanych z ICT – „incydent związany z ICT” oraz „poważny incydent związany z ICT”. Poważny incydent wiąże się z dużym wpływem na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego. Rozporządzenie DORA wprowadza obowiązek zgłaszania jedynie poważnych incydentów związanych z ICT. Reguluje także możliwość informowania o znaczących cyberzagrożeniach. Podmioty finansowe powinny przekazywać zgłoszenia w tym zakresie do KNF, co zgodnie z projektem ustawy będzie miało swoją podstawę prawną w ustawie o nadzorze nad rynkiem finansowym. Zgłoszenia będą przekazywane w postaci elektronicznej. Komisja na swojej stronie wskazuje, że podstawowym kanałem komunikacji w zakresie zgłaszania incydentów jest System do Obsługi Incydentów DORA [2]. W przypadku niedostępności podstawowego kanału komunikacji do zgłaszania poważnych incydentów związanych z ICT planowane jest wykorzystanie zapasowego bezpiecznego kanału komunikacji – ma nim być określony adres e-mailowy. Nie będzie możliwe przekazywanie zgłoszeń poważnych incydentów związanych z ICT w formie papierowej, gdyż mogłoby to spowodować ryzyko braku zgodności z rozporządzeniem wykonawczym regulującym procedury dotyczące zgłaszania poważnych incydentów związanych z ICT (rozporządzenie wykonawcze 2025/302). Ma to także na celu zwiększenie przejrzystości i możliwości szybkiego reagowania na zagrożenia.

Szczegółowe wymogi dotyczące terminów zgłaszania incydentów zostały uregulowane w rozporządzeniu delegowanym komisji 2025/301.

3. Kontrola

Kolejnym obszarem, który obejmuje omawiany projekt ustawy, jest kontrola zgodności działalności z przepisami rozporządzenia 2022/2554 w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego podmiotów finansowych. Ustawa reguluje formalne oraz techniczne kwestie dotyczące takich kontroli. Opisuje m.in., jakie osoby będą uprawnione do ich przeprowadzania oraz jakie informacje powinno zawierać upoważnienie do kontroli. Projekt ustawy wprowadza także katalog konkretnych czynności, które mogą być wykonywane przez pracowników w trakcie kontroli. Katalog zawiera takie uprawnienia, jak:

• prawo do wstępu do budynków, lokali lub innych pomieszczeń podmiotu finansowego;
• żądanie wyjaśnień związanych z przedmiotem kontroli;
• wgląd do dokumentów finansowych, księgowych, handlowych i innych, a także żądanie sporządzenia kopii takich dokumentów;
• wgląd do danych w systemach informatycznych.

Po zakończeniu czynności kontrolnych sporządzony zostanie protokół kontroli, który będzie musiał zostać podpisany przez przedstawicieli UKNF oraz podmiot finansowy. Podmiotom finansowym będzie przysługiwało uprawnienie do zgłoszenia zastrzeżeń do sporządzonego protokołu kontroli.

W przypadku wystąpienia nieprawidłowości, tj. zidentyfikowania podczas kontroli naruszenia przepisów rozporządzenia 2022/2554 lub przepisów aktów delegowanych, lub przepisów wykonawczych wydanych na podstawie DORA, KNF przekaże również zalecenia pokontrolne, które będą miały na celu usunięcie nieprawidłowości. Następnie podmiot finansowy poinformuje KNF o sposobie zaadresowania zaleceń wystosowanych przez Komisję.

Jednym z istotnych aspektów, który może być przedmiotem kontroli, jest ryzyko związane z angażowaniem kluczowego zewnętrznego dostawcy usług ICT. Jeżeli KNF zidentyfikuje takie ryzyko, powinna zawrzeć informacje w tym zakresie w zaleceniach, zaś podmiot finansowy powinien podjąć odpowiednie działania w celu uwzględnienia zidentyfikowanego ryzyka. Jako jeden ze sposobów zaadresowania ryzyka w projekcie ustawy wskazano zmianę postanowień umowy zawartej z kluczowym zewnętrznym dostawcą usług ICT. W dalszej kolejności KNF oceni, czy podmiot finansowy uwzględnił ryzyko w wystarczający sposób, a jeżeli uzna, że tak się nie stało, poinformuje podmiot finansowy o możliwości podjęcia decyzji nakazującej mu tymczasowe zawieszenie, w części albo w całości, korzystania z usługi świadczonej przez kluczowego zewnętrznego dostawcę usług ICT lub jej wdrażania albo nakazującej podmiotowi finansowemu wypowiedzenie, w części albo w całości, postanowień umowy z kluczowym zewnętrznym dostawcą usług ICT. Taka decyzja jest wydawana na czas określony, jednak jej obowiązywanie może zostać przedłużone, w przypadku gdy podmiot finansowy nie uwzględni zidentyfikowanego ryzyka. Komisja ma być uprawniona do wydania opisywanej decyzji jedynie względem kluczowego zewnętrznego dostawcy usług ICT. Choć KNF w trakcie prac nad projektem ustawy zgłaszała propozycję rozszerzenia tego uprawnienia także na pozostałych zewnętrznych dostawców usług ICT, jej uwagi w tym zakresie nie zostały uwzględnione.

4. Sankcje

Decyzja o zawieszeniu korzystania z usług świadczonych przez kluczowego zewnętrznego dostawcę usług ICT lub też nakaz wypowiedzenia postanowień umowy z takim dostawcą to tylko dwie z możliwych sankcji za naruszenie przepisów DORA oraz przepisów aktów delegowanych i wykonawczych wydanych na podstawie rozporządzenia 2022/2554. Projektowana ustawa ma uprawniać KNF do nałożenia w drodze decyzji kary, a decyzja taka będzie natychmiast wykonalna. W projekcie ustawy przedstawiono następujący katalog możliwych sankcji:

1. Nakaz dla osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej zaprzestania danego zachowania oraz powstrzymania się od takiego zachowania w przyszłości.

2. Zakaz dla osoby odpowiedzialnej za to naruszenie pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej podmiotu finansowego przez okres nie krótszy niż miesiąc i nie dłuższy niż rok.

3. Kara pieniężna do wysokości nieprzekraczającej:

a. w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej:

• kwoty 20 869 500 zł lub 10% całkowitego rocznego przychodu, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji – 10% składki przypisanej brutto, wykazanych w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, albo
• dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku tego naruszenia – w przypadku gdy możliwe jest ich ustalenie,

b. w przypadku osoby fizycznej odpowiedzialnej za to naruszenie, która w tym okresie pełniła obowiązki członka zarządu albo innego organu zarządzającego tego podmiotu finansowego – kwoty 3 042 410 zł,

c. w przypadku innej osoby fizycznej odpowiedzialnej za to naruszenie – kwoty sześciokrotności otrzymywanego przez ukaranego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

W ocenie projektodawcy sankcje mają służyć nie tylko ukaraniu za stwierdzone naruszenia, lecz także zniechęceniu do ich popełniania oraz zapewnieniu przestrzegania przepisów dotyczących operacyjnej odporności cyfrowej i promowaniu kultury odpowiedzialności i zgodności z regulacjami.

Podsumowanie

Wprowadzenie przepisów dostosowujących do rozporządzenia 2022/2554 dotyczącego operacyjnej odporności cyfrowej sektora finansowego jest niezbędne dla zapewnienia stabilności i bezpieczeństwa rynku finansowego w dobie cyfryzacji. Harmonizacja przepisów na poziomie Unii Europejskiej oraz nadanie krajowym organom nadzoru odpowiednich kompetencji pozwolą na skuteczne zarządzanie ryzykiem związanym z ICT i na ochronę interesów konsumentów korzystających z usług finansowych.

Rozporządzenie 2022/2554 może stanowić fundament odporności cyfrowej sektora finansowego. Obecnie projektowane są kolejne akty prawne, które rozszerzają zakres podmiotowy DORA. Zgodnie z wnioskiem dotyczącym rozporządzenia Parlamentu Europejskiego i Rady w sprawie ram dostępu do danych finansowych dostawcy usług z zakresu informacji finansowych, aby uzyskać zezwolenie na dostęp do danych klienta, powinni wykazać wdrożenie niektórych obowiązków wynikających z DORA. Należą do nich: zasady zarządzania i mechanizmy kontroli wewnętrznej, procedury monitorowania incydentów związanych z bezpieczeństwem czy też rozwiązania zapewniające ciągłość działania. Takie podejście ma na celu zwiększenie odporności cyfrowej całego sektora finansowego.

Podsumowując, nie można zapominać o kluczowej roli omawianego rozporządzenia, które będzie miało dalsze zastosowanie w sektorze finansowym. Rozporządzenie DORA to nie tylko wdrożenie wewnętrznych polityk, lecz także kompleksowy dokument, który musi stanowić integralną część codziennych procesów operacyjnych. Właściwe organy nadzoru mają prawo w dowolnym momencie zweryfikować zarówno zgodność z przepisami DORA, jak i ich przestrzeganie, co oznacza konieczność ciągłego monitorowania i dostosowywania działań w sektorze finansowym, aby zapewnić jego cyfrową odporność i bezpieczeństwo.

Stan prawny aktualny na dzień 27 kwietnia 2025 r.