Ustawy wdrażające DORA w Polsce – co mówi projekt?

Nawet 21 milionów złotych kary lub 10% przychodów netto ze sprzedaży dla osoby prawnej, nawet 3 miliony złotych kary dla członka zarządu – za naruszenie przepisów rozporządzenia DORA. Znamy już pierwsze założenia ustaw wdrażających unijne rozporządzenie o operacyjnej odporności sektora finansowego. I choć do jego obowiązywania w Polsce mamy jeszcze kilka miesięcy, to już wiemy, w którym kierunku pójdzie wdrożenie DORA w Polsce. Czego jeszcze należy się spodziewać od 17 stycznia 2025 r.? Zapraszamy do lektury.

Dlaczego potrzebne są zmiany w polskich ustawach w związku z DORA?

W czwartek, 18 kwietnia 2024 r., na stronach Rządowego Centrum Legislacji pojawił się projekt ustawy wdrażającej do polskiego porządku prawnego zasady DORA czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (zwanego dalej „rozporządzeniem 2022/2554”). Wprowadzenie zmian do polskich ustaw jest konieczne, aby zagwarantować spójność przepisów polskich i rozporządzenia DORA.

Jak czytamy w uzasadnieniu do projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego:

Należy podkreślić, że obowiązki określone w rozporządzeniu 2022/2554, co do zasady, stosowane będą przez podmioty finansowe bezpośrednio. Niektóre przepisy rozporządzenia 2022/2554, w celu zapewnienia ich stosowania, wymagają wdrożenia do prawa krajowego. Przede wszystkim dotyczy to przepisów wyposażających organy właściwe, w rozumieniu art. 46 rozporządzenia 2022/2554, w kompetencje zapewniające skuteczny nadzór nad spełnianiem wymogów i obowiązków nakładanych na podmioty finansowe, w szczególności dotyczy to minimalnych uprawnień, o których mowa w art. 50.

Co to jest DORA i dlaczego przyjęto ten unijny akt?

DORA jest unijnym rozporządzeniem, którego celem jest harmonizacja przepisów dotyczących operacyjnej odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych. W wielu państwach Unii obowiązuje szereg przepisów dotyczących cyberbezpieczeństwa i odporności cyfrowej, jednak są one rozrzucone w różnych aktach i w różnych państwach pewne kwestie uregulowane są odmiennie. DORA ma ujednolicić te zasady bezpieczeństwa, statuując je w jednym akcie prawnym. Stąd akt ten został wydany w postaci rozporządzenia, ponieważ unijne rozporządzenie stosuje się bezpośrednio w państwach członkowskich, bez konieczności jego implementacji. Obecne zmiany polskich ustaw dostosowują je do brzmienia rozporządzenia, dzięki czemu zasady DORA będą mogły być spójnie realizowane.

• Dowiedz się więcej o tym, czym jest DORA i na jakich filarach się opiera

W ocenie organów Unii harmonizacja przepisów ma istotne znaczenie dla obniżenia poziomu ryzyka systemowego, które jest wysokie zwłaszcza we wrażliwym sektorze finansowym. Ten bowiem bardzo mocno przekłada się na życie poszczególnych obywateli. Mówimy tu przecież o bankach, instytucjach płatniczych czy dużych ubezpieczycielach. Ryzyko to zwiększa wysoki stopień wzajemnych powiązań między podmiotami finansowymi oraz ich zależność od systemów ICT dostarczanych przez różne podmioty. To z kolei bezpośrednio naraża cały sektor na rozprzestrzenianie się cyberincydentów.

Jakie podmioty obejmie DORA?

Cyberzagrożenia są ściśle powiązane z dynamicznym rozwojem gospodarki cyfrowej, która zwiększa wykorzystanie usług ICT także w sektorze usług finansowych. Aby chronić ten sektor, a w rezultacie uczestników z niego korzystających, DORA nakłada szereg obowiązków na podmioty finansowe. Przy czym robi to kaskadowo – obowiązki bezpośrednio dotyczą największych graczy rynku finansowego, są jednak tak skonstruowane, że ci z kolei będą wymuszać zasady bezpieczeństwa na swoich dostawcach systemów ICT. W rezultacie cały rynek finansowy, wraz z dostarczycielami technologii, będzie musiał dostosować się do nowych zasad bezpieczeństwa.

• Dowiedz się więcej o zarządzaniu ryzykiem ze strony zewnętrznych dostawców usług ICT według DORA

Kogo konkretnie dotyczy DORA?

Dzięki projektowi ustawy harmonizującej polski porządek prawny z DORA, wiemy, jakich kategorii podmiotów na polskim rynku będzie dotyczyć DORA:

1. banku krajowego w rozumieniu art. 4 ust. 1 pkt 1 ustawy – Prawo bankowe,
2. banku zagranicznego w rozumieniu art. 4 ust. 1 pkt 2 ustawy – Prawo bankowe,
3. banku hipotecznego, o którym mowa w ustawie z dnia 29 sierpnia 1997 r. o listach zastawnych i bankach hipotecznych,
4. banku spółdzielczego w rozumieniu art. 2 pkt 1 ustawy z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych […]
5. banku zrzeszającego w rozumieniu art. 2 pkt 2 ustawy z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych […]
6. instytucji kredytowej w rozumieniu art. 4 ust. 1 pkt 17 ustawy – Prawo bankowe,
7. Krajowej Spółdzielczej Kasy Oszczędnościowo-Kredytowej, o której mowa w ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych,
8. spółdzielczej kasy oszczędnościowo-kredytowej, o której mowa w ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych,
9. firmy inwestycyjnej w rozumieniu art. 3 pkt 33 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
10. domu maklerskiego stosującego rozporządzenie nr 575/2013 w rozumieniu art. 4 ust. 1 pkt 44a ustawy – Prawo bankowe,
11. pracowniczego towarzystwa w rozumieniu art. 8 pkt 9 ustawy z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych,
12. zarządzającego ASI w rozumieniu art. 2 pkt 3a ustawy o funduszach inwestycyjnych prowadzącego działalność na podstawie zezwolenia,
13. towarzystwa posiadającego zezwolenie na zarządzanie alternatywnymi funduszami inwestycyjnymi, wydanego na podstawie art. 38 ust. 1 ustawy o funduszach inwestycyjnych,
14. 14) towarzystwa funduszy inwestycyjnych zarządzającego otwartym funduszem inwestycyjnym, o którym mowa w ustawie o funduszach inwestycyjnych,
15. podmiotu prowadzącego system obrotu instrumentami finansowymi w rozumieniu art. 3 pkt 9a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
16. centralnego depozytu papierów wartościowych w rozumieniu art. 3 pkt 21a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
17. CCP w rozumieniu art. 3 pkt 49 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
18. zatwierdzonego podmiotu publikującego w rozumieniu art. 3 pkt 33a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
19. zatwierdzonego mechanizmu sprawozdawczego w rozumieniu art. 3 pkt 33c ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
20. administratora w rozumieniu art. 3 pkt 57 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
21. dostawcy świadczącego usługę dostępu do informacji o rachunku w rozumieniu art. 2 pkt 4e ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych,
22. instytucji pieniądza elektronicznego w rozumieniu art. 2 pkt 10a ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych,
23. krajowej instytucji płatniczej w rozumieniu art. 2 pkt 11 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych,
24. zakładu reasekuracji, o którym mowa w ustawie o działalności ubezpieczeniowej i reasekuracyjnej,
25. zakładu ubezpieczeń, o którym mowa w ustawie o działalności ubezpieczeniowej i reasekuracyjnej,
26. pośrednika ubezpieczeniowego w rozumieniu art. 3 ust. 1 pkt 15 ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń,
27. dostawcy usług finansowania społecznościowego w rozumieniu art. 2 pkt 3 ustawy z dnia 7 lipca 2022 r. o finansowaniu społecznościowym dla przedsięwzięć gospodarczych i pomocy kredytobiorcom,
28. dostawcy usług w zakresie kryptowalut w rozumieniu art. 3 ust. 1 pkt 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów […],
29. agencji ratingowej w rozumieniu art. 3 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady nr 1060/2009 z dnia 16 września 2009 r. w sprawie agencji ratingowych,
30. repozytorium sekurytyzacji w rozumieniu art. 2 pkt 23 rozporządzenia 2017/2402,
31. repozytorium transakcji w rozumieniu art. 2 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji.

Jak czytamy w uzasadnieniu projektu ustawy:

Katalog podmiotów kontrolowanych stanowi odzwierciedlenie w krajowym porządku prawnym, katalogu podmiotów finansowych zobowiązanych do stosowania rozporządzenia 2022/2554, wskazanych w art. 2 ust. 1 tego rozporządzenia.

Dodatkowo bezpośrednio zostały też uregulowane kwestie wyłączeń. Mianowicie kogo DORA nie dotyczy. Wspomina się tu m.in. o pośrednikach ubezpieczeniowych będących mikroprzedsiębiorstwem, małym lub średnim przedsiębiorstwem.

Co może KNF – czyli zmiany ustawy o nadzorze nad rynkiem finansowym

Wśród pakietu projektowanych zmian ustaw, najwięcej z nich przewiduje zmiana ustawy o nadzorze nad rynkiem finansowym. Nie ma już wątpliwości, że organem właściwym w Polsce, o którym mówi DORA, będzie Komisja Nadzoru Finansowego (KNF). Stąd projekt ustawy transponuje przepisy DORA do kompetencji KNF.

Odpowiednie zmiany w ustawie o nadzorze nad rynkiem finansowym można podzielić na:

1. regulacje o charakterze ogólnym
2. szczegółowe regulacje dotyczące nadzoru nad podmiotami finansowymi w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego, w tym:

• kontrolę działalności podmiotów finansowych w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego
• uprawnienie do żądania udostępnienia rejestrów przesyłu danych
• decyzje KNF w przypadku naruszenia obowiązków DORA
• wdrożenie procedur zaawansowanego testowania i obowiązków informacyjnych podmiotów finansowych w zakresie zarządzania ryzykiem.

Jakie kary pieniężne może nałożyć KNF za nieprzestrzeganie DORA wg projektowanych przepisów

Wydaje się, że z powyższych punktów do czerwoności rozgrzewać będzie kwestia kar, które będzie mogła nakładać KNF za nieprzestrzeganie rozporządzenia DORA. A te nie są niskie. Zgodnie bowiem z projektowaną zmianą ustawy, jeśli KNF zdecyduje się nałożyć karę pieniężną, to może to zrobić:

A) w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej do:

• kwoty 20 869 500 zł lub 10% przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji – 10% składki przypisanej brutto, wykazanych w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, albo

• dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku tego naruszenia – w przypadku gdy jest możliwe ich ustalenie,

B) w przypadku osoby fizycznej, w tym odpowiedzialnej za to naruszenie, która w tym okresie pełniła obowiązki członka zarządu tego podmiotu

– kwoty 3 042 410 zł.

Oczywiście arsenał KNF jest dużo większy i nie jest powiedziane, że to kary finansowe będą najczęstszym narzędziem, z którego korzystać będzie KNF. Organ właściwy może bowiem żądać zaprzestania danego zachowania oraz powstrzymania się od takiego zachowania w przyszłości, a także zakazać osobie odpowiedzialnej za naruszenie pełnienia funkcji członka zarządu lub rady nadzorczej przez okres od miesiąca do roku.

• Dowiedz się więcej o stosowaniu kar administracyjnych i środków naprawczych zgodnie z DORA

Ponadto samo rozporządzenie DORA zawiera szereg zasad regulujących miarkowanie i sposób wymierzania stosownej kary. W swoim działaniu KNF będzie musiało stosować się do tych zasad.

Wdrożenie DORA w Polsce – jakie ustawy się zmienią?

Aby umożliwić płynne stosowanie DORA w Polsce, w tym ujednolicić system prawny, projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego przewiduje zmiany w następujących ustawach:

• ustawie z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych,
• ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe,
• ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi,
• ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,
• ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym
• ustawie z dnia 19 sierpnia 2011 o usługach płatniczych,
• ustawie z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej,
• ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej,
• ustawie z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.
• ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

Kiedy projektowane zmiany ustaw wejdą w życie?

Projekt ustawy zmieniającej, która dostosowuje polskie ustawy do DORA, to dopiero pierwszy krok. Teraz projekt czeka przejście ścieżki legislacyjnej. Projekt przejdzie przez kilka komitetów, Komisję Prawniczą i Radę Ministrów, aby ostatecznie trafić do Sejmu.

Cała procedura musi się zamknąć w terminach, które umożliwią obowiązywanie zmian ustaw od 17 stycznia 2025 r. Tak przewidziano w projekcie ustawy, lecz przede wszystkim data ta wynika z treści samego rozporządzenia DORA. Polska musi się wyrobić w tym czasie, aby być zgodna z prawem unijnym i aby zdążyć zharmonizować swoje przepisy. Czy zdążymy?

Dowiedz się więcej o DORA

Chcesz wiedzieć więcej o DORA? Zajrzyj do pozostałych artykułów na blogu naszej kancelarii armińska radcowie prawni. Trzymamy rękę na pulsie i śledzimy proces wdrożenia DORA w Polsce. Czas mija i do sprostania wymaganiom DORA podmioty finansowe oraz zewnętrzni dostawcy usług ICT mają czas do 17 stycznia 2025 r.

Polecamy te artykuły na blogu:

• Rozporządzenie DORA: klucz do cyfrowej odporności
• Jak będą stosowane kary administracyjne i środki naprawcze z DORA?
• Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT

Pomożemy Ci przygotować się do wdrożenia DORA w Twojej organizacji

Nie czekaj do stycznia 2025 roku i już dziś przygotuj się do wprowadzenia DORA w swojej instytucji. Gdańska kancelaria armińska radcowie prawni oferuje kompleksowe wsparcie, które pomoże Twojej firmie dostosować się do nowych wymogów.

• Przeszkolimy Twój zespół z rozporządzenia DORA. Skontaktuj się z naszą kancelarią.

Radca prawny Katarzyna Armińska-Waszczyk, właścicielka kancelarii armińska radcowie prawni, miała przyjemność poprowadzić w marcu 2024 r. , na zaproszenie Rzeczpospolita Konferencje, szkolenie pt. „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT – omówienie wybranych wymagań Rozporządzenia DORA.” Zachęcamy do śledzenia zbliżających się szkoleń, na których regularnie dzielimy się wiedzą z zakresu DORA, Legal Design, czy nowych technologii.

Zobacz fragment szkolenia dotyczący usług ICT – dowiedz się, co to są usługi ICT i jak dzieli je DORA?

Nasze usługi obejmują m.in.:

• szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA i najlepszych metod zarządzania ryzykiem cyfrowym,
• dokładne audyty, które pozwolą na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
• pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.

Skontaktuj się z nami, aby umożliwić swojej firmie efektywne przygotowanie na wdrożenie DORA.

Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.