Archiwa Wydanie 2025/03 - Strona 6 z 10 - ISPB.pl - Instytut Szkoleń Prawa Bankowego

Stosowanie DORA

Monitor Prawa Bankowego 2025/03 Marzec

Stanowisko Urzędu KNF z 31 grudnia 2024 r.

Rozporządzenie DORA[1], którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rzecz podmiotów finansowych, będzie stosowane od 17.01.2025 r. Rozporządzenie DORA weszło w życie 16.01.2023 r. i przewidywało 2-letni okres na dostosowanie się podmiotów finansowych do wymogów wynikających z jego przepisów. Okres ten kończy się 16.01.2025 r.

Rozporządzenie DORA jest aktem bezpośrednio stosowanym i nie wymaga odrębnej transpozycji do prawa krajowego. Obecny brak przepisów krajowych zapewniających stosowanie rozporządzenia DORA nie wstrzymuje obowiązku przestrzegania przez podmioty finansowe[2] wszelkich wymogów wynikających z przepisów rozporządzenia DORA.

Począwszy od 17.01.2025 r. aktualizują się także zadania Komisji Nadzoru Finansowego (KNF) jako właściwego organu (organu nadzoru), wynikające z bezpośrednio stosowanych przepisów rozporządzenia DORA. KNF jest organem właściwym z mocy przepisów rozporządzenia DORA we wszystkich przypadkach, gdy na mocy obowiązujących przepisów krajowych została wyznaczona jako organ właściwy w rozumieniu przepisów aktów prawa UE wymienionych w art. 46 lit. a-q rozporządzenia DORA, z zastrzeżeniem kompetencji Europejskich Urzędów Nadzoru (EUN).

Stosowanie rozporządzenia DORA od 17.01.2025 r.

EUN opublikowały 4.12.2024 r. stanowisko dotyczące stosowania rozporządzenia DORA[3], zgodnie z którym:

1) w związku z tym, że rozporządzenie DORA wraz z aktami wykonawczymi[4]będzie miało zastosowanie od 17.01.2025 r., EUN wezwały podmioty finansowe oraz zewnętrznych dostawców usług ICT do przyspieszenia przygotowań w celu zapewnienia ich gotowości do stosowania wymogów tego rozporządzenia;

2) ze względu na to, że rozporządzenie DORA będzie stosowane od 17.01.2025 r., EUN podkreślają znaczenie przyjęcia przez podmioty finansowe solidnego i ustrukturyzowanego podejścia zapewniającego terminowe wywiązywanie się ze swoich obowiązków;

3) EUN oczekują, że podmioty finansowe w odpowiednim czasie zidentyfikują i usuną luki związane z wdrożeniem rozporządzenia DORA, przy czym wymagania tego rozporządzenia nie są zupełnie nowe i część z nich obowiązuje podmioty od wielu lat w związku z wcześniejszymi oczekiwaniami nadzorczymi, rekomendacjami lub wytycznymi sektorowymi w obszarach zarządzania ryzykiem ICT, zgłaszania incydentów i outsourcingu[5];

4) EUN przyznają, że w przypadku niektórych podmiotów finansowych, które do tej pory podlegały w mniejszym zakresie sektorowym wymogom dotyczącym operacyjnej odporności cyfrowej, zapewnienie zgodności z rozporządzeniem DORA może wymagać większego zaangażowania i nakładu czasu oraz pracy;

5) EUN i właściwe organy udzielały i będą nadal udzielać wskazówek w celu wsparcia sprawnego wdrażania rozporządzenia DORA;

6) podmioty finansowe powinny przygotować się do nowych obowiązków sprawozdawczych, w tym w szczególności opracować rejestry ustaleń umownych dotyczących zewnętrznych dostawców usług ICT (rejestry informacji), które właściwe organy są zobowiązane zebrać od podmiotów finansowych i przekazać do EUN do 30.04.2025 r.[6];

7) opracowując rejestry informacji podmioty finansowe powinny stosować wymogi wynikające z rozporządzenia 2024/2956[7], a także rozważyć wykorzystanie wniosków wyciągniętych z ćwiczeń Dry run przeprowadzonych w 2024 r.;

8) podmioty finansowe powinny być również gotowe do klasyfikowania i zgłaszania poważnych incydentów związanych z ICT od daty rozpoczęcia stosowania rozporządzenia DORA;

9) biorąc pod uwagę profil ryzyka, wielkość, skalę i złożoność działalności poszczególnych podmiotów finansowych, właściwe organy powinny być gotowe do sprawowania nadzoru w zakresie wymogów wynikających z rozporządzenia DORA w oparciu o analizy ryzyka i z uwzględnieniem strategicznych priorytetów nadzorczych EUNB, ESMA i EIOPA[8], które podkreślają operacyjną odporność cyfrową;

10) EUN będą kontynuowały współpracę z właściwymi organami w celu wypracowania pragmatycznego i ukierunkowanego na wyniki oraz terminowego podejścia do wdrażania rozporządzenia DORA;

11) EUN zapraszają zewnętrznych dostawców usług ICT, którzy uważają, że mogą spełniać kryteria krytyczności opublikowane w maju 2024 r.[9], do oceny ich struktury operacyjnej pod kątem wymogów rozporządzenia DORA, przy czym pierwsze (...)