Prace nad wdrożeniem polskiej ustawy wdrażającej Digitial Operational Resilience Act

traple.pl 4 miesięcy temu

18 kwietnia polski rząd oficjalnie rozpoczął pracę nad ustawą wdrażającą do krajowego porządku prawnego przepisy przewidziane w Digital Operational Resilience Act (dalej „DORA”). Nowa regulacja ma na celu przede wszystkim dostosowanie obowiązującego już prawa do zasad wprowadzonych przez DORA. Zmianom ulegną zatem tzw. ustawy sektorowe odnoszące się do poszczególnych działów rynku finansowego, takich jak rynek płatniczy, bankowy czy ubezpieczeniowy.

Polski ustawodawca zdecydował się nie korzystać z tak zwanej „opcji narodowej”, przewidzianej w art. 2 ust. 4 DORA, w zakresie w jakim pozwala ona na wyłączenie stosowania przepisów DORA względem działających na polskim rynku „Spółdzielczych Kas Oszczędnościowo – Kredytowych”, o których mowa w art. 2 ust. 5 pkt 18 dyrektywy 2013/36/UE. Na ten moment nie jest natomiast klarowny status prawny wymienionego w tym samym przepisie Banku Gospodarstwa Krajowego. Ustawa wdrażająca DORA przewiduje ponadto implementację przepisów odnoszących się do nadania adekwatnym organom krajowym kompetencji nadzorczych względem podmiotów finansowych. Zgodnie z przepisami DORA polski organ nadzoru nad rynkiem finansowym (KNF) będzie uprawiony do stosowania sankcji administracyjnych oraz przeprowadzenia kontroli i prowadzenia dochodzeń w podmiotach finansowych.

W tym miejscu należy zwrócić uwagę na pewne błędy legislacyjne, które autorzy ustawy wdrażającej popełnili podczas projektowania przepisów. Ustawa nie rozróżnia bowiem pojęć „kontroli” i „dochodzeń” opisanych w art. 50 ust. 2 DORA. W efekcie niektórym przepisom ustawy można zarzucić niejasność terminologiczną, a niekiedy choćby sprzeczność z przepisami DORA. Ustawa jest w tej chwili na etapie konsultacji publicznych, należy zatem mieć nadzieje, iż autorzy wsłuchają się w zgłaszane w tym zakresie uwagi środowiska prawniczego oraz podmiotów finansowych i doprecyzują powyższe wątpliwości.

Ustawa wymaga również dopracowania ze względu na katalog podmiotów, które zostały objęte nadzorem KNF. W wyniku przeoczeń legislacyjnych, pomimo literalnego w tym zakresie brzmienia art. 2 ust. 1 lit. b), projektowane przepisy nie obejmują nadzorem KNF podmiotów zwolnionych ze stosowania niektórych przepisów na podstawie art. 32 ust. 1 PSD2.

W omawianym zakresie można dodatkowo zwrócić uwagę na objęcie podmiotów finansowych obowiązanych do stosowania DORA niektórymi obowiązkami wynikającymi z dyrektywy NIS2. Wynika to z implementacji art. 19 ust. 1 akapit 6 DORA w ustawie wdrażającej NIS2. W efekcie podmioty finansowe uznane za ważne bądź najważniejsze na gruncie NIS2 zostaną zobowiązane do przekazywania „wstępnych powiadomień” i „poszczególnych sprawozdań” dotyczących poważnych incydentów związanych z ICT do zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).

Do prac związanych z wdrożeniem do polskiego porządku prawnego wymagań DORA dołączył KNF. W ostatnim czasie do podmiotów finansowych kierowana jest tzw. „ankieta samooceny”, w ramach której KNF pozyskuje od podmiotów finansowych szczegółowe informacje dotyczące stosowania przez nie zasad bezpieczeństwa związanych z korzystaniem z ICT, wynikających z DORA. Jak twierdzi KNF, ankieta ta ma na celu nie tylko dostarczenie organowi nadzoru relewantnych informacji, ale ma również stanowić dla podmiotów finansowych szansę do lepszego zrozumienia wymagań wynikających z DORA.

Idź do oryginalnego materiału