Przejdź do głównej treści

Ustawa wdrażająca DORA do prawa polskiego

Nowe uprawnienia KNF, raportowanie, kary i testy penetracyjne w BION

Biuletyn prawny dla branży finansowej

Subskrybuj "Biuletyn prawny dla branży finansowej"

Sukbskrybuj na e-mail powiadomienia o nowych wydaniach tego biuletyny.

W dniu 18 kwietnia 2024 r. na stronie Rządowego Centrum Legislacji pojawił się projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego wdrażający do prawa krajowego oraz zapewniający stosowanie rozporządzenie DORA1  oraz towarzyszącą mu dyrektywę 2022/25562  („Projekt”).

 

Czy nowa ustawa jest konieczna?
 

Co do zasady rozporządzenie DORA będzie bezpośrednio stosowane przez podmioty finansowe i nie wymaga implementacji do prawa polskiego. Tym samym nawet w razie opóźnienia w pracach nad ustawą nie wpłynie to na termin wdrożenia rozporządzenia DORA, czyli 17 stycznia 2025 r.

Mimo to niektóre przepisy DORA wymagają wprowadzenia zmian do polskiego porządku prawnego, zwłaszcza w zakresie wyznaczenia organów właściwych oraz nałożenia obowiązków na podmioty finansowe. W związku z tym Ministerstwo Finansów opublikowało Projekt, który nowelizuje szereg ustaw sektora rynku finansowego, w tym prawo bankowe, ustawę o usługach płatniczych oraz ustawę o obrocie instrumentami finansowymi. Zmiany te mają przede wszystkim charakter techniczny i mają na celu dostosowanie prawa krajowego do przepisów rozporządzenia DORA.

Zakres podmiotowy – brak odrębności krajowych
 

Rozporządzenie DORA daje również możliwość wyłączenia niektórych podmiotów (w Polsce: SKOK-ów i Banku Gospodarstwa Krajowego) z zakresu zastosowania nowych przepisów. Polski ustawodawca nie zdecydował się jednak na taki krok, opowiadając się za jednolitością stosowania przepisów wśród podmiotów finansowych. Jednocześnie Projekt nie przewiduje nałożenia żadnych obowiązków na instytucje finansowe pozostające poza zakresem rozporządzenia DORA (takie jak instytucje pożyczkowe czy firmy leasingowe), mimo że o takiej możliwości dyskutowano jeszcze przed publikacją Projektu.

Przepis zawiera również regulację wyraźnie przesądzającą, że podmioty kluczowe i podmioty ważne z sektora bankowość i infrastruktura rynków finansowych objęte przepisami rozporządzenia DORA nie będą stosować znacznej części przepisów przewidzianych w ustawie o krajowym systemie cyberbezpieczeństwa3. Nie oznacza to jednak całkowitego wyłączenia tych podmiotów z zakresu ustawy

KNF jako organ nadzoru
 

Polski projektodawca przewiduje najwięcej zmian w ustawie o nadzorze nad rynkiem finansowym, gdzie m.in. wyznacza Komisję Nadzoru Finansowego („KNF”) za organ odpowiedzialny za nadzór nad przestrzeganiem rozporządzenia DORA.

Jednym z uprawnień nadzorczych, które uzyska KNF, jest możliwość kontrolowania działalności podmiotów finansowych w zakresie zapewniania odporności cyfrowej sektora finansowego. Projekt wskazuje katalog podmiotów, wobec których organ nadzorczy może wszcząć kontrolę, oraz jasno określa podmioty, które takiej kontroli nie podlegają. Projektowane przepisy określają również osoby uprawnione do kontroli, uprawnienia w toku kontroli oraz przewidują sankcje karne za jej utrudnianie lub udaremnianie. KNF uzyska także uprawnienia do żądania udostępnienia "rejestrów przesyłu danych” (mimo wątpliwości podnoszonych przez Urząd Komunikacji Elektronicznej co do znaczenia tego terminu) oraz do nakładania na podmioty finansowe sankcji administracyjnych za niewywiązywanie się z obowiązków przewidzianych w DORA. KNF będzie również obligatoryjnie uwzględniać wyniki testów operacyjnej odporności cyfrowej przeprowadzonych zgodnie z rozdziałem IV rozporządzenia w ramach badania i oceny nadzorczej (BION).

Zgodnie z projektowanymi przepisami, KNF może w drodze decyzji nakazać zaprzestania danego zachowania, powstrzymania się od takiego zachowania w przyszłości lub nałożyć karę pieniężną do wysokości PLN 20 869 500 lub 10% rocznego przychodu. KNF będzie mogła również wydać publiczne oświadczenie, w którym wskaże imię i nazwisko osoby fizycznej albo firmę lub nazwę osoby prawnej, odpowiedzialnych za to naruszenie wraz ze wskazaniem jego charakteru.

W ramach nowych uprawnień nadzorczych KNF będzie miała możliwość wydania decyzji nakazującej podmiotom finansowym, tymczasowe zawieszenie, częściowe lub całkowite, korzystania z usług świadczonych przez kluczowych zewnętrznych dostawców usług ICT lub ich wdrażania, do czasu wyeliminowania zidentyfikowanego ryzyka zgodnie z zaleceniami skierowanymi do tych dostawców. Dodatkowo, w razie konieczności, KNF będzie mogła nakazać podmiotom finansowym częściowe lub całkowite wypowiedzenie odpowiednich ustaleń umownych zawartych z kluczowymi zewnętrznymi dostawcami usług ICT.

Raportowanie ustaleń umownych do KNF
 

Projekt określa również terminy i zasady przekazywania informacji i sprawozdań w zakresie rozporządzenia DORA przez podmioty finansowe Komisji Nadzoru Finansowego.

Projekt przede wszystkim doprecyzowuje, że w zakresie w jakim DORA zobowiązuje podmiot finansowy do zawiadomienia KNF o:

  • wszelkich planowanych ustaleniach umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje albo
  • o tym, że dana funkcja stała się krytyczna lub istotna,

termin na zawiadomienie będzie wynosił 14 dni przed dniem związania się postanowieniami umownymi albo od dnia zmiany funkcji. Tym samym będzie on jednolity m.in. z terminem na zawiadomienie KNF przez bank o zamiarze zawarcia umowy outsourcingu zagranicznego zgodnie z przepisami prawa bankowego czy terminem na zawiadomienie KNF przez instytucję płatniczą o zamiarze zawarcia umowy przewidującej powierzenie wykonywania istotnych czynności operacyjnych zgodnie z przepisami o usługach płatniczych.

Warto również dodać, że sprawozdania roczne danych o ustaleniach umownych z ICT TPP będą składane do dnia 31 stycznia każdego roku, przy czym pierwszy raz podmioty finansowe będą obowiązane raportować dopiero za rok 2025.

Obowiązywanie Projektu i dalsze kroki
 

Projekt ma wejść w życie 17 stycznia 2025 r., czyli w terminie, od którego stosuje się przepisy rozporządzenia DORA.

Obecnie opublikowano zgłoszone stanowiska w ramach konsultacji publicznych. Możliwe zatem, że w późniejszych etapach prac Projekt zostanie poddany dalszym modyfikacjom.

 

1. Rozporządzenie z Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego

3. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

Did you find this useful?

Thanks for your feedback