Od 17 stycznia 2025 roku obowiązują przepisy Rozporządzenia DORA, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego. Organem nadzorczym jest w tym zakresie Komisja Nadzoru Finansowego.

Jakich podmiotów dotyczy Rozporządzenie DORA?

Zgodnie z art. 2 Rozporządzenie ma zastosowanie do następujących podmiotów:

• instytucji kredytowych;
• instytucji płatniczych;
• dostawców świadczących usługę dostępu do informacji o rachunku;
• instytucji pieniądza elektronicznego;
• firm inwestycyjnych;
• dostawców usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie;
• centralnych depozytów papierów wartościowych;
• kontrahentów centralnych;
• systemów obrotu;
• repozytoriów transakcji;
• zarządzających alternatywnymi funduszami inwestycyjnymi;
• spółek zarządzających;
• dostawców usług w zakresie udostępniania informacji;
• zakładów ubezpieczeń i zakładów reasekuracji;
• pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające;
• instytucji pracowniczych programów emerytalnych;
• agencji ratingowych;
• administratorów kluczowych wskaźników referencyjnych;
• dostawców usług finansowania społecznościowego;
• repozytoriów sekurytyzacji;
• zewnętrznych dostawców usług ICT.

Rozporządzenie nie ma natomiast zastosowania do:

• zarządzających alternatywnymi funduszami inwestycyjnymi;
• zakładów ubezpieczeń i zakładów reasekuracj;
• instytucji pracowniczych programów emerytalnych, które obsługują programy emerytalne liczące łącznie nie więcej niż 15 uczestników;
• osób fizycznych lub prawnych zwolnionych zgodnie dyrektywą 2014/65/UE w sprawie rynków instrumentów finansowych;
• pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające będących mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami;
• instytucji świadczących żyro pocztowe.

Czego dotyczy Rozporządzenie DORA?

Rozporządzenie reguluje następujące kwestie:

• Zarządzanie ryzykiem związanym z ICT;
• Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie;
• Testowanie operacyjnej odporności cyfrowej;
• Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT;
• Wymiana informacji o cyberzagrożeniu i wyników analiz takiego cyberzagrożenia.

Rozporządzenie DORA stanowi element systemu unijnego cyberbezpieczeństwa, wraz z dyrektywami NIS/NIS2 i rozporządzeniem RODO. Jego przepisy stosowane są bezpośrednio.

Ponieważ nowe przepisy obowiązują od 17 stycznia 2025 roku, instytucje finansowe powinny już posiadać przygotowane i wdrożone odpowiednie procedury. W szczególności chodzi o zapobieganie, wykrywanie i zgłaszanie incydentów oraz przywracanie sprawności.

Bardzo ważne są także obowiązki sprawozdawcze. Jak podaje UKNF w swoim stanowisku z  31 grudnia 2024 roku w pierwszej kolejności podmioty z sektora finansowego powinny być przygotowane do realizowania obowiązków sprawozdawczych w zakresie obejmującym:

• SPR-PF-03_Sprawozdanie obejmujące kopie wyników testów ciągłości działania w zakresie ICT lub podobnych testów17;
• SPR-PF-07_Wstępne powiadomienie i sprawozdanie dotyczące poważnych incydentów ICT;
• SPR-PF-08_Sprawozdanie śródokresowe dotyczące poważnych incydentów ICT;
• SPR-PF-09_Sprawozdanie końcowe dotyczące poważnych incydentów ICT;
• SPR-PF-10_Sprawozdanie dotyczące powiadomienia o znaczącym cyberzagrożeniu;
• SPR-PF-18_Sprawozdanie dotyczące pełnego rejestru informacji lub innego zakresu informacji zgodnie z żądaniem;
• SPR-PF-19_Sprawozdanie dotyczące planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających krytyczne lub istotne funkcje;
• SPR-PF-20_Sprawozdanie dotyczące planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających funkcje, które stały się krytyczne lub istotne;
• SPR-PF-22_Powiadomienie o przystąpieniu (lub utracie członkostwa) do wymiany informacji o cyberzagrożeniach w zaufanych społecznościach podmiotów finansowych;
• SPR-PF-23_Sprawozdanie na potrzeby sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji – dokumenty lub dane przekazywane w ramach nadzoru bieżącego;
• SPR-PF-24_Sprawozdanie na potrzeby sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji – dokumenty lub dane przekazywane w ramach kontroli.

Kary za naruszenia

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa nie została jeszcze znowelizowana. Stąd też nie wprowadzono jeszcze kar za naruszenia przepisów DORA, jednak prace legislacyjne są w toku. 

Zgodnie z projektem zmiany ustawy Rozdział 14 zawierający przepisy o karach pieniężnych ma zostać mocno rozbudowany. W kontekście Rozporządzenia DORA warto zwrócić uwagę na projektowany art.  73c:

Podmiot finansowy, który nie jest podmiotem kluczowym lub podmiotem ważnym oraz nie jest podmiotem określonym w art. 16 ust. 1 rozporządzenia 2022/2554 podlega karze pieniężnej, jeżeli: 
1) nie wykonuje co najmniej jednego z obowiązków, o których mowa w art. 67c ust. 1, 2 i 4–5; 
2) nie wdrożył w terminie określonym w poleceniu zabezpieczającym, o którym mowa w art. 67g ust. 9 pkt 3, określonego zachowania, o którym mowa w art. 67g ust. 10; 
3) odstąpił od wykonywania zawartego w poleceniu zabezpieczającym, o którym mowa w art. 67g ust. 9, określonego zachowania, o którym mowa w art. 67g ust. 10, przed wygaśnięciem polecenia zabezpieczającego. 

Zgodnie z projektem wysokość kary pieniężnej nie może przekroczyć 10 000 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 000 zł.

Odpowiedzialność karna?

Naruszenia obowiązków z DORA będą się wiązały bezpośrednio z odpowiedzialnością administracyjną. Projekt nowelizacji ustawy o KSC nie przewiduje wprowadzania przepisów o charakterze karnym.

Nie wprowadzając jednak odpowiednich procedur i nie przestrzegając obowiązków z Rozporządzenia, menedżer będzie jednak narażał podmiot finansowy na nałożenie wysokich kar pieniężnych. To zaś może się wiązać z odpowiedzialnością odszkodawczą, jak również odpowiedzialnością z art. 296 kodeksu karnego. Za tzw. „wyrządzenie szkody w obrocie gospodarczym” może odpowiadać karnie osoba obowiązana do zajmowania się sprawami majątkowymi lub działalnością gospodarczą podmiotu finansowego. W przypadku szkody przekraczającej 200.000 zł grozi za to kara pozbawienia wolności od 3 miesięcy do lat 5. Natomiast jeżeli szkoda przekracza 1.000.000 zł wówczas grozi kara pozbawienia wolności od roku do lat 10.

Ryzyko jest zatem poważne, dlatego warto wdrożyć w swoim podmiocie obowiązki z Rozporządzenia DORA. KNF jako organ kontrolny stara się w tym pomóc podmiotom finansowym i publikuje na swojej stronie materiały informacyjne i edukacyjne.