Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog
  • EN
  • PL
    • Wizards
    Umów się na rozmowę
    Umów się na rozmowę

    DORA w Polsce: Cyfrowa odporność sektora finansowego i nowe przepisy 2025

    DORA Wizards

    W dniu 18 kwietnia 2024 roku na stronie Rządowego Centrum Legislacji pojawił się projekt ustawy wdrażającej rozporządzenie DORA („Digital Operational Resilience Act”) oraz towarzyszącą mu dyrektywę 2022/2556 do polskiego porządku prawnego. Projekt ten nowelizuje szereg ustaw sektora finansowego, aby zapewnić zgodność krajowego systemu prawnego z wymogami UE w zakresie operacyjnej odporności cyfrowej.

    Czy nowa ustawa jest konieczna?

    Rozporządzenie DORA jest bezpośrednio obowiązującym aktem prawnym we wszystkich krajach Unii Europejskiej. Dzięki temu nie wymaga formalnej implementacji do polskiego prawa. Jednak niektóre przepisy, na przykład te dotyczące wyznaczenia organów nadzorczych oraz wprowadzenia szczegółowych zasad dla podmiotów finansowych, wymagają dostosowania krajowych ustaw.

    Ministerstwo Finansów zaproponowało zmiany w przepisach dotyczących prawa bankowego, ustawy o usługach płatniczych oraz ustawy o obrocie instrumentami finansowymi. Celem tych zmian jest dostosowanie przepisów do nowych wymogów unijnych. Wprowadzone modyfikacje mają charakter głównie techniczny i mają ułatwić wdrożenie rozporządzenia DORA w polskim systemie prawnym.

    DORA w Polsce: zakres podmiotowy

    Rozporządzenie DORA daje możliwość wykluczenia niektórych podmiotów, takich jak
    SKOK-i czy Bank Gospodarstwa Krajowego, z zakresu stosowania nowych przepisów.
    Polski ustawodawca zadecydował jednak o objęciu tych instytucji przepisami DORA,
    zapewniając jednolitość ich stosowania w całym sektorze finansowym.

    Projekt przewiduje również, że podmioty kluczowe i ważne z sektora bankowości i
    infrastruktury rynków finansowych nie będą stosować znacznej części przepisów ustawy o
    krajowym systemie cyberbezpieczeństwa. Nie oznacza to jednak całkowitego wyłączenia
    tych podmiotów z regulacji krajowych, lecz raczej dostosowanie zakresu ich obowiązków do
    wymogów DORA.

    KNF jako organ nadzoru

    Projekt ustawy podkreśla kluczową rolę Komisji Nadzoru Finansowego (KNF). KNF będzie sprawować nadzór nad wdrażaniem i przestrzeganiem przepisów DORA w Polsce przez podmioty finansowe. Dzięki temu zapewniona zostanie zgodność tych podmiotów z wymaganiami operacyjnej odporności cyfrowej. W ramach swoich nowych uprawnień KNF będzie mogła:

    ● Kontrolować działalność podmiotów finansowych pod kątem zapewnienia odporności
    cyfrowej.
    ● Nakładać sankcje administracyjne, w tym kary pieniężne do wysokości 20 869 500
    PLN lub 10% rocznego przychodu.
    ● Wydawać publiczne oświadczenia, wskazujące osoby lub firmy odpowiedzialne za
    naruszenia.
    ● Nakazywać tymczasowe zawieszenie korzystania z usług kluczowych zewnętrznych
    dostawców ICT.

    KNF będzie mogła żądać udostępnienia rejestrów przesyłu danych oraz nałożyć na podmioty finansowe obowiązek sprawozdawczości w zakresie ustaleń umownych dotyczących ICT.

    Raportowanie ustaleń umownych

    Projekt ustawy szczegółowo opisuje wymagania dotyczące procesu raportowania
    podmiotów finansowych do KNF, uwzględniając terminy, zakres informacji oraz wymogi
    proceduralne. Przewiduje m.in.:

    Zgłoszenie planowanych ustaleń umownych dotyczących korzystania z usług ICT dla funkcji krytycznych należy dokonać w ciągu 14 dni. Od 2026 roku roczne sprawozdania będą składane do 31 stycznia każdego roku.

    Te przepisy są zbieżne z obowiązującymi wymogami dla banków i instytucji płatniczych w
    zakresie outsourcingu operacyjnego.

    DORA w Polsce

    Wejście w życie i dalsze kroki

    Projekt ustawy wejdzie w życie 17 stycznia 2025 roku. Data ta pokrywa się z wejściem w życie rozporządzenia DORA na poziomie Unii Europejskiej. To podkreśla wagę harmonizacji przepisów między krajami członkowskimi. Obecnie trwa proces konsultacji publicznych. Zgłoszone stanowiska mogą wpłynąć na ostateczny kształt ustawy.

    Podkreślenie innowacyjności

    Wprowadzenie przepisów DORA może także znaczną miarą przyczynić się do rozwoju
    technologii w sektorze finansowym. Regulacje te zachęcają do stosowania nowoczesnych
    rozwiązań, takich jak sztuczna inteligencja (AI) czy blockchain, które wspierają poprawę
    bezpieczeństwa cyfrowego. Wdrażanie innowacyjnych technologii umożliwi instytucjom
    finansowym lepsze monitorowanie ryzyk, usprawnienie procesów operacyjnych oraz wzrost
    zaufania klientów. Integracja takich narzędzi może również wspierać konkurencyjność
    sektora na poziomie międzynarodowym.

    Wnioski

    Wdrożenie ustawy wdrażającej DORA w Polsce to kluczowy krok w dostosowaniu polskiego prawa do regulacji unijnych. Choć przepisy mogą wydawać się skomplikowane, mają na celu wzmocnienie odporności cyfrowej sektora finansowego. Chronią również przed rosnącymi zagrożeniami cybernetycznymi. Kluczowe będzie ich efektywne wdrożenie przez instytucje finansowe. Sprawny nadzór KNF zapewni bezpieczeństwo i stabilność rynku finansowego w Polsce.