Na portalu Rządowego Centrum Legislacji 18 kwietnia 2024 został opublikowany projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego (numer wykazu UC11). Organem odpowiedzialnym za opracowanie projektu jest Ministerstwo Finansów, a jego planowany termin przyjęcia przez Radę Ministrów to III kwartał 2024 r.

Zakres wprowadzanych zmian dotyczy przede wszystkim wyznaczenia organów właściwych i nadania im wymaganych przez DORA kompetencji, zapewniających skuteczny nadzór nad spełnianiem wymogów 
i obowiązków nakładanych na podmioty finansowe.

DORA (Digital Operational Resilience Act) – czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego harmonizuje przepisy dotyczące odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych.
 
Termin rozpoczęcia stosowania przepisów DORA to 17 stycznia 2025 r.
Czego dotyczy DORA?

Rozporządzenie DORA porządkuje i nakłada nowe obowiązki na podmioty finansowe oraz na zewnętrznych dostawców usług ICT dla sektora finansowego, w zakresie zarządzania ryzykiem ICT.

Przepisy rozporządzenia DORA zasadniczo będą stosowane bezpośrednio przez podmioty finansowe, jednakże konieczne będzie uwzględnienie również uzupełniających DORA przepisów prawa krajowego.

Dotychczasowy stan prawny

Dotychczasowe obowiązki związane z cyberbezpieczeństwem w sektorze finansowym wynikały przede wszystkim z ustawy o krajowym systemie cyberbezpieczeństwa ("UKSC"), wymogów licencyjnych dla podmiotów finansowych, przepisów outsourcingu regulowanego, a także wytycznych Komisji Nadzoru Finansowego.

NIS 2 a DORA – dwutorowe zmiany

Równolegle do dostosowania polskiego prawa do DORA trwają prace nad transpozycją dyrektywy NIS2 – rozwijającej znacznie dotychczasowe przepisy
w zakresie cyberbezpieczeństwa i poszerzającej zakres podmiotów zobowiązanych.

DORA stanowi lex specialis do dyrektywy NIS2 wobec podmiotów finansowych i w zakresie uregulowanym w obu aktach prawnych przepisy DORA powinny mieć pierwszeństwo przed NIS2.

Z uwagi na korelację pomiędzy NIS2 i DORA ustawa dostosowująca polskie prawo do DORA również wprowadza zmiany do UKSC.

Jakie ustawy ulegają zmianie?

Projekt ustawy przewiduje zmiany w szeregu aktów prawnych, m.in.:

  • ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe,
  • ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi,
  • ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
  • ustawie z dnia 19 sierpnia 2011 o usługach płatniczych,
  • ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej,
  • ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
KNF jako organ nadzoru

Organem odpowiedzialnym za nadzór nad przestrzeganiem DORA będzie Komisja Nadzoru Finansowego. KNF będzie uprawniona do przeprowadzania kontroli zgodności działalności podmiotów finansowych z przepisami DORA oraz badania wyników ich testów odporności cyfrowej.

KNF będzie uprawniona m.in.:

  •  nakazać zaprzestanie danego zachowania oraz powstrzymanie się od takiego zachowania 
    w przyszłości;
  • zakazać osobie odpowiedzialnej za naruszenie pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu przez okres nie krótszy niż miesiąc i nie dłuższy niż rok;
  • nałożyć karę pieniężną;
  • wydać publiczne oświadczenie, w którym wskaże imię i nazwisko osoby fizycznej albo firmę lub nazwę osoby prawnej, odpowiedzialnych za to       naruszenie, oraz charakter tego naruszenia;
  • wydać decyzję nakazującą podmiotom finansowym, tymczasowe zawieszenie korzystania z usługi świadczonej przez kluczowego zewnętrznego dostawcę usług ICT lub jej wdrażania, 
    a także, wypowiedzenie umowy z zewnętrznym dostawcą usługi ICT.
Zmiany w zakresie outsourcingu bankowego

W projekcie ustawy zaproponowano zmiany w outsourcingu bankowym, przewidując obowiązek posiadania odpowiednich dokumentów zgodnych z DORA przez dostawców outsourcingu do banków, w tym strategii i planów awaryjnych oraz strategii i planów na rzecz ciągłości działania. Wymagane ma być również posiadanie przez bank i dostawcę sieci i systemów teleinformatycznych, utworzonych i zarządzanych zgodnie z DORA.

Wysokie kary

Za naruszenia DORA, w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej proponuje się kary administracyjne:

  • do 20 869 500 zł lub 10% przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji – 10% składki przypisanej brutto, wykazanych w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, albo
  • do dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku tego naruszenia – w przypadku gdy jest możliwe ich ustalenie,

W przypadku osoby fizycznej, w tym odpowiedzialnej za naruszenie, która w tym okresie pełniła obowiązki członka zarządu tego podmiotu 
– do kwoty 3 042 410 zł.

 
Jak możemy pomóc Ci w zapewnieniu operacyjnej odporności cyfrowej Twojej firmy? Zachęcamy do kontaktu z ekspertami Osborne Clarke. 
Udostępnij
Komunikacja korporacyjna i kontakty prasowe
Jeśli jesteś dziennikarzem i potrzebujesz komentarza naszych specjalistów, chętnie pomożemy. Nasz zespół skontaktuje cię z odpowiednią osobą. Zobacz pełną listę naszych międzynarodowych kontaktów prasowych według jurysdykcji tutaj.

Skontaktuj się z jednym z naszych ekspertów