Doradztwo prawne w obszarze regulacji FinTech

Kompleksowe wdrożenie wymagań DORA

Wspieramy w kompleksowym wdrożeniu regulacji DORA w nowo powstałych podmiotach oraz takich, które następczo zostały objęte tą regulacją np. na skutek zwiększenia skali działalności. Wdrożenie może obejmować, w szczególności: 

• przygotowanie wzorcowego zestawu wymaganej dokumentacji wewnętrznej, który może obejmować dokumenty takie jak:
  • strategia operacyjnej odporności cyfrowej,
  • strategia na rzecz ciągłości działania w zakresie ICT,
  • strategia zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT i polityka zarządzania zewnętrznymi dostawcami usług ICT, które wspierają funkcje krytyczne lub istotne,
  • strategia i polityka komunikacyjna,
  • program testowania operacyjnej odporności,
  • polityka zarządzania incydentami związanymi z ICT,
  • polityka zarządzania ryzykiem ICT,
  • polityka zarządzania zasobami ICT,
  • polityka i procedury dotyczące operacji ICT,
  • procedura bezpieczeństwa danych i systemów,
  • polityka zarządzania projektami ICT,
  • polityka regulująca pozyskiwanie, rozwój i utrzymanie systemów ICT,
  • procedura zarządzania zmianą w systemach ICT,
  • polityka zarządzania dostępem;
• pomoc w zaprojektowaniu i wdrożeniu kompleksowego systemu zarządzania ryzykiem ICT, zarządzania ciągłością działania, zarządzania incydentami związanymi z ICT czy systemu testowania operacyjnej odporności cyfrowej;
• wsparcie w zbudowaniu zgodnego z wymaganiami DORA i efektywnego systemu zarządzania dostawcami usług ICT składającego się z: procesu oceny dostawców usług ICT, zarządzania umowami na usługi ICT czy tworzeniu wzorców umownych.

Naszą siłą są połączone kompetencje specjalistów z różnych obszarów. Eksperci EY Law ściśle współpracują z ekspertami EY Cybersecurity Consulting, aby mieć pewność, że nasi Klienci otrzymują precyzyjne rekomendacje zgodne z wymogami regulacyjnymi oraz dostosowane do skali, charakteru i rodzaju działalności Klienta.

Audyty powdrożeniowe DORA

Przeprowadzamy ocenę prawidłowości i skuteczności zrealizowanego wdrożenia wymagań przewidzianych Rozporządzeniem DORA. Wskazujemy ewentualne obszary niezgodności i możliwe środki naprawcze, zanim wykaże je organ nadzoru.

Wspieramy też organizacje w ujednolicaniu oraz optymalizacji procesów i regulacji wewnętrznych, które adresują podobne obszarowo wymagania pochodzące z różnych aktów prawnych. Należą do nich m.in.:

• akty europejskie tj. Rozporządzenie Digital operational resilience act (DORA), Dyrektywa Solvency II (Wypłacalność II) czy Dyrektywa MiFID II;
• akty krajowe tj. Prawo bankowe, Ustawa o działalności ubezpieczeniowej i reasekuracyjnej czy Ustawa o obrocie instrumentami finansowymi;
• Akty soft law tj. wytyczne ws. outsourcingu EUNB, Stanowisko UKNF dotyczące niektórych aspektów stosowania outsourcingu przez zakłady ubezpieczeń i zakłady reasekuracji czy Rekomendacje KNF;
• zależności od zapotrzebowania oraz rodzaju działalności, aktów szczególnych tj. Rozporządzenie ws. ochrony danych osobowych (RODO), Artificial Intelligence Act (AI Act), Payment services directive 2 (PSD2) czy Electronic identification, authentication and trust services (EIDAS 2).

Przykładowo może to dotyczyć polityk zakupowych czy outsourcingowych, polityk dotyczących zarządzania różnymi rodzajami ryzyka czy też polityk odnoszących się do zarządzania różnymi typami incydentów.

Utrzymanie zgodności z DORA

Wspieramy w realizacji wszystkich obowiązków sprawozdawczych wynikających z DORA, dotyczących w szczególności:

• utrzymania rejestru informacji o umowach ICT i cyklicznego przedstawiania organowi nadzoru sprawozdania o zawartych umowach na usługi ICT czy sprawozdaniach dotyczących zarządzania ryzykiem dostawców usług ICT;
• zgłaszania notyfikacji na temat planowanych umów na usługi ICT wspierające funkcje krytyczne lub istotne podmiotu finansowego,
• zgłoszenia poważnych incydentów ICT czy sprawozdań w zakresie znaczących cyberzagrożeń;
• składania sprawozdania na temat ryzyka ICT i wyników przeglądu ram zarządzania ryzykiem ICT.

Doradzamy także w związku z tworzeniem i realizacją procesów:

• dokonywania przeglądu ram zarzadzania ryzykiem;
• wdrażania wniosków audytowych realizowanej funkcji audytu wewnętrznego, wniosków wynikających z przeglądu ram zarządzania ryzykiem ICT czy środków naprawczych określonych przez organ nadzoru;
• testowania operacyjnej odporności, w tym prowadzanych testach TLPT;
• zarządzania dostawcami usług ICT, w ramach którego tworzymy kompleksowe i skuteczne procesy kwalifikacji usług ICT, oceny ryzyka ze strony dostawców ICT (ocena ryzyka dostawców i usług) czy procedury outsourcingowe
• wymiany informacji o cyberzagrożeniach.

Wsparcie w relacjach z organem nadzoru

Nasi eksperci wspierają podmioty finansowe w realizowanych przez organ nadzoru czynnościach nadzorczych, które mogą obejmować, w szczególności:

• prowadzenie postępowania wyjaśniającego polegającego na:
  • prawie wstępu do budynków, lokali lub innych pomieszczeń podmiotu finansowego
  • uprawnieniu do żądania wyjaśnień związanych z przedmiotem kontroli
  • prawie wglądu do dokumentów finansowych, księgowych, handlowych i innych, a także uprawnieniu do żądania sporządzenia kopii takich dokumentów
  • prawie wglądu do danych w systemach informatycznych;
• wydawanie zaleceń pokontrolnych;
• wydanie decyzji o nakazie podmiotowi finansowemu tymczasowego zawieszenia (w całości albo w części) korzystania z usług świadczonych przez kluczowego zewnętrznego dostawcę usług ICT;
• wydanie decyzji administracyjnej o nałożeniu sankcji, która może polegać, w szczególności na:
  • karze finansowej dla podmiotu finansowego – do 20 869 500 zł lub 10% całkowitego rocznego przychodu albo dwukrotności kwoty korzyści uzyskanej lub strat unikniętych w wyniku naruszenia DORA),
  • karze finansowej dla członka zarządu lub rady nadzorczej (lub innego organu zarządzającego) – do 3 042 410 zł,
  • karze finansowej dla innej osoby fizycznej odpowiedzialnej za naruszenie DORA – do kwoty sześciokrotności otrzymywanego przez ukaranego wynagrodzenia,
  • zakazie pełnienia funkcji członka zarządu, rady nadzorczej albo innej funkcji kierowniczej podmiotu finansowego – przez okres nie krótszy niż miesiąc i nie dłuższy niż rok,
  • nakazie zaprzestania danego zachowania oraz powstrzymania się od niego w przyszłości,
  • publikacji informacji o nałożonej na podmiot finansowy lub ww. osobę fizyczną kary.

Wsparcie EY Law może dotyczyć:

• bieżącej ocenie legalności czynności nadzorczych podejmowanych przez organ nadzoru, w tym w toku postępowania wyjaśniającego;
• przygotowania zastrzeżeń do sporządzonego protokołu kontroli sporządzonego przez przedstawicieli organu nadzoru;
• oceny przekazanych przez organ nadzoru zaleceń pokontrolnych;
• zaskarżeniu decyzji administracyjnej o nałożeniu ww. sankcji lub środków naprawczych.

Program zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkolenia w zakresie operacyjnej odporności cyfrowej

Nasi eksperci doradzają przy opracowaniu lub przygotowują na życzenie Klientów dostosowany do ich potrzeb, skali i rodzaju działalności „Program zwiększania świadomości w zakresie bezpieczeństwa ICT”.

Mamy też duże doświadczenie w przeprowadzaniu obowiązkowych szkoleń w zakresie operacyjnej odporności cyfrowej skierowanych do kadry kierowniczej podmiotów finansowych, w tym zarządów oraz rad nadzorczych.

Audyty umów i dostawców ICT oraz wsparcie w negocjowaniu umów ICT

Eksperci EY Law:

• realizują audyty umów na usługi ICT;
• wspierają w przeprowadzaniu audytów zgodności zewnętrznych dostawców usług ICT, z którymi nasi Klienci planują zawrzeć umowy dotyczące usług ICT;
• zapewniają bezpieczeństwo prawne w toku tworzenia, negocjowania, zawarcia oraz rozwiązywania umów dotyczących usług ICT.