DORA – Rozporządzenie UE 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego.

Akt został opublikowany 27 grudnia 2022 r., jako rozporządzenie unijne nie wymaga aktów dostosowawczych na poziomie ustawodawstwa krajowego, będzie bezpośrednio stosowany we wszystkich krajach członkowskich, wejdzie w życie z dniem 17 stycznia 2025 r.

Cele wdrożenia DORA:

1. Zarządzanie ryzykiem ICT – zgodnie z zasadą proporcjonalności oraz odpowiedzialności podmiotów nadzorowanych;
2. Ujednolicenie, rozbudowanie i scentralizowanie zgłaszania incydentów poważnych ICT przez podmioty finansowe na poziomie krajowym i unijnym;
3. Testowanie operacyjnej odporności cyfrowej, w tym cykliczne testy penetracyjne systemów, protokołów oraz narzędzi ICT, testy TLPT;
4. Zarządzanie ryzykiem dostawców usług ICT, w tym rozszerzenie obowiązków związanych z analizą ryzyka koncentracji;
5. Stworzenie ram kontroli i nadzoru krajowych oraz unijnych organów nadzoru, w tym nad kluczowymi dostawcami usług ICT i łańcuchem dostaw.

Podmioty rynku kapitałowego objęte DORA:

• firmy inwestycyjne (domy maklerskie oraz banki prowadzące działalność maklerską)
• dostawcy usług w zakresie kryptoaktywów oraz emitentów tokenów powiązanych z kryptoaktywami
• centralne depozyty papierów wartościowych (w tym KDPW S.A.)
• kontrahenci centralni (CCP)
• systemy obrotu (rynku regulowanego, ASO i OTF)
• repozytoria transakcji
• zarządzający alternatywnymi funduszami inwestycyjnymi
• spółki zarządzające (towarzystwa funduszy inwestycyjnych)
• dostawcy usług w zakresie udostępniania informacji
• dostawcy usług finansowania społecznościowego

Na poziomie ustawodawstwa krajowego – projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego (UC11). Celem polskiego projektu, podobnie jak samego rozporządzenia DORA, jest zwiększenie operacyjnej odporności cyfrowej sektora finansowego.

Projekt zawiera zmiany w 10 ustawach, w tym ustawie o obrocie instrumentami finansowymi oraz ustawie o nadzorze nad rynkiem finansowym, projekt ustawy ma wpływać na wszystkie 39 firm inwestycyjnych, na które składa się 30 domów maklerskich oraz 9 biur maklerskich.

Najważniejsze sprawy, o których powinny pamiętać firmy inwestycyjne:

Zmiany dla firm inwestycyjnych wynikać będą ze zmian ustawy o obrocie instrumentami finansowymi oraz ustawy o nadzorze nad rynkiem finansowym. W zakresie odnoszącym się do działalności maklerskiej, warto zwrócić uwagę, między innymi na:

1. zmiany w art. 74e ustawy o obrocie instrumentami finansowymi, które polegają w głównej mierze rozszerzeniu obowiązków firm inwestycyjnych wykorzystujących handel algorytmiczny poprzez referencję do standardów określonych w DORA,
2. podobnie w art. 83a dotyczącym bezpieczeństwa i ciągłości usług maklerskich, gdzie dodano odwołanie do DORA
3. zmiany w ust. 3 art. 110 zj, gdzie do planu naprawy obejmującego umowy mające na celu utrzymanie ciągłości działania domu maklerskiego, dodano umowy dotyczące sieci i systemy informatyczne – utworzonych i zarządzanych zgodnie z DORA.

Zmiany te oceniać można jako techniczne i wymagające bezpośredniego stosowania rozporządzenia, wraz z wydawanymi do niego RTSami.

W zakresie nowych kompetencji organu nadzoru należy zwrócić uwagę na:

1. formalną zmianę obejmującej wyznaczenie KNF jako organu właściwego w nawiązaniu do art. 46 DORA,
2. nowym kompetencjom KNF żądania informacji, dokumentów lub wyjaśnień w zakresie określonym w DORA.

Projekt ustawy zawiera samodzielne przepisy określające nadzór nad firmami inwestycyjnymi. Są to kompetencje takie jak:

1. kontrola zgodności działalności zgodnie z przepisami DORA firmy inwestycyjnej oraz domu maklerskiego stosującego rozporządzenie nr 575/2013 w rozumieniu art. 4 ust. 1 pkt 44a ustawy – Prawo bankowe,
2. szereg uprawnień kontrolnych, a w tym wgląd do systemów i sieci teleinformatycznych, urządzeń, informacji i danych związanych z ICT oraz danych zawartych w systemie informatycznych.

Podmioty nadzorowane będą objęte nowymi obowiązkami sprawozdawczymi, w tym:

1. obowiązkiem przekazywania informacji o dostawcach oraz nowych ustaleniach umownych w zakresie korzystania z usług ICT do 31 stycznia każdego roku,
2. obowiązkiem przekazywania informacji o planowanych ustaleniach umownych dotyczących usług ICT wspierających krytyczne lub istotne funkcje w terminie 14 dni przed dniem związania się nowymi ustaleniami (postanowieniami umowy).

Akty wykonawcze do DORA:

1. pakiet pierwszy z 17 stycznia 2024 r.:

– doprecyzowanie elementów, które należy uwzględnić w politykach, procedurach, protokołach i narzędziach w zakresie bezpieczeństwa – RTS (art. 15);

– doprecyzowanie elementów, jakie należy ująć w ramach uproszczonego zarządzania ryzykiem ICT – RTS (art. 16 ust. 3);

– określenie kryteriów klasyfikacji incydentów związanych z ICT i cyberzagrożeń – RTS (art. 18 ust. 3 i 4);

– ustanowienie standardowych wzorów na potrzeby rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT – ITS (art. 28 ust. 9);

– doprecyzowanie szczegółowej treści polityki, korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców ICT – RTS (art. 28 ust. 10);

2. pakiet drugi – będzie wydany 17 lipca 2024 r.

– określenie treści i terminów zgłoszeń podmiotów finansowych do organów nadzory nt. incydentów związanych z ICT – ITS (art. 20);

– doprecyzowanie zasad przeprowadzania testów za pomocą TLPT – RTS (art. 26 ust. 11 );

– wskazanie wymaganego opisu wszystkich funkcji i usług ICT w umowach, które podmiot finansowy musi określić i ocenić, zlecając podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje – RTS (art. 30 ust. 5);

– określenie informacji, które mają zostać zawarte we wniosku zewnętrznego dostawcy ICT o wyznaczenie jako kluczowego dostawcy ICT – RTS (art. 41 ust. 1 i 2);

Działania IDM w zakresie implementacji DORA:

– w dniu 12 lutego 2024 r. Izba, wspierana merytorycznie przez kancelarię Rymarz, Zdort, Maruta, Wachta, Gasiński, Her i Wspólnicy sp.k. zorganizowała Konferencję „Wyzwania prawne związane z implementacją Rozporządzenia DORA”;

– podczas Konferencji Compliance „Wyzwania dla instytucji finansowych związane z nowymi regulacjami” zorganizowanej w dniu 23 maja 2024 r. miało miejsce wystąpienie mec. Michała Kuleszy „implementacja DORA w pigułce – Roadmapa”;

– powołano grupę roboczą ds. implementacji DORA.