Stosowanie DORA

Monitor Prawa Bankowego 2025/03 Marzec

Stanowisko Urzędu KNF z 31 grudnia 2024 r.

Rozporządzenie DORA[1], którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rzecz podmiotów finansowych, będzie stosowane od 17.01.2025 r. Rozporządzenie DORA weszło w życie 16.01.2023 r. i przewidywało 2-letni okres na dostosowanie się podmiotów finansowych do wymogów wynikających z jego przepisów. Okres ten kończy się 16.01.2025 r.

Rozporządzenie DORA jest aktem bezpośrednio stosowanym i nie wymaga odrębnej transpozycji do prawa krajowego. Obecny brak przepisów krajowych zapewniających stosowanie rozporządzenia DORA nie wstrzymuje obowiązku przestrzegania przez podmioty finansowe[2] wszelkich wymogów wynikających z przepisów rozporządzenia DORA.

Począwszy od 17.01.2025 r. aktualizują się także zadania Komisji Nadzoru Finansowego (KNF) jako właściwego organu (organu nadzoru), wynikające z bezpośrednio stosowanych przepisów rozporządzenia DORA. KNF jest organem właściwym z mocy przepisów rozporządzenia DORA we wszystkich przypadkach, gdy na mocy obowiązujących przepisów krajowych została wyznaczona jako organ właściwy w rozumieniu przepisów aktów prawa UE wymienionych w art. 46 lit. a-q rozporządzenia DORA, z zastrzeżeniem kompetencji Europejskich Urzędów Nadzoru (EUN).

Stosowanie rozporządzenia DORA od 17.01.2025 r.

EUN opublikowały 4.12.2024 r. stanowisko dotyczące stosowania rozporządzenia DORA[3], zgodnie z którym:

1) w związku z tym, że rozporządzenie DORA wraz z aktami wykonawczymi[4]będzie miało zastosowanie od 17.01.2025 r., EUN wezwały podmioty finansowe oraz zewnętrznych dostawców usług ICT do przyspieszenia przygotowań w celu zapewnienia ich gotowości do stosowania wymogów tego rozporządzenia;

2) ze względu na to, że rozporządzenie DORA będzie stosowane od 17.01.2025 r., EUN podkreślają znaczenie przyjęcia przez podmioty finansowe solidnego i ustrukturyzowanego podejścia zapewniającego terminowe wywiązywanie się ze swoich obowiązków;

3) EUN oczekują, że podmioty finansowe w odpowiednim czasie zidentyfikują i usuną luki związane z wdrożeniem rozporządzenia DORA, przy czym wymagania tego rozporządzenia nie są zupełnie nowe i część z nich obowiązuje podmioty od wielu lat w związku z wcześniejszymi oczekiwaniami nadzorczymi, rekomendacjami lub wytycznymi sektorowymi w obszarach zarządzania ryzykiem ICT, zgłaszania incydentów i outsourcingu[5];

4) EUN przyznają, że w przypadku niektórych podmiotów finansowych, które do tej pory podlegały w mniejszym zakresie sektorowym wymogom dotyczącym operacyjnej odporności cyfrowej, zapewnienie zgodności z rozporządzeniem DORA może wymagać większego zaangażowania i nakładu czasu oraz pracy;

5) EUN i właściwe organy udzielały i będą nadal udzielać wskazówek w celu wsparcia sprawnego wdrażania rozporządzenia DORA;

6) podmioty finansowe powinny przygotować się do nowych obowiązków sprawozdawczych, w tym w szcze (...)