W dniu 31 lipca 2025 r. Prezydent RP podpisał ustawę z dn. 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Ustawa ma na celu m.in. wdrożenie do polskiego porządku prawnego regulacji spójnych z wymaganiami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 (DORA) oraz implementację dyrektywy 2022/2554 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego.
6 sierpnia 2025
Rozporządzenie DORA jest regulacją mająca na celu zwiększenie odporności cyfrowej instytucji finansowych na zagrożenia związane z wykorzystaniem technologii informacyjno–komunikacyjnych (ICT). Przepisy rozporządzenia DORA obejmują podmioty z sektora finansowego, takie jak banki, instytucje płatnicze, domy maklerskie, towarzystwa funduszy inwestycyjnych, a także dostawców usług IT, którzy świadczą usługi na ich rzecz. W ramach rozporządzenia DORA uregulowano szereg obowiązków, w szczególności:
Rozpoczęcie stosowania rozporządzenia DORA całkowicie zmieniło krajobraz regulacyjny w zakresie bezpieczeństwa informacji oraz operacyjnej odporności cyfrowej podmiotów z sektora finansowego –Komisja Nadzoru Finansowego przyjęła uchwały uchylające dotychczas obowiązujące uchwały wprowadzające m.in. wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego, w firmach inwestycyjnych, rekomendacje D dla banków itp. Dodatkowo Urząd KNF odwołał komunikat z 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – tzw. „Komunikat Chmurowy”.
Wdrożenie regulacji unijnych w zakresie operacyjnej odporności cyfrowej w polskim systemie prawnym nastąpiło w znacznym stopniu poprzez zmianę przepisów ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym – nadano kompetencje nadzorcze w obszarze bezpieczeństwa ICT Komisji Nadzoru Finansowego oraz rozszerzono katalog zadań KNF o działania mające na celu przeciwdziałanie występowaniu poważnych incydentów oraz zagrożeń systemów teleinformatycznych, a także przeciwdziałaniu cyberzagrożeniom oraz incydentom związanym z ICT.
Wprowadzono również szereg zmian, w szczególności:
Ze względu na konieczność implementacji postanowień dyrektywy 2022/2556 wprowadzono odpowiednie zmiany w następujących ustawach:
Ustawa wchodzi w życie z dniem następującym po jej ogłoszeniu. Tekst ustawy przyjęty przez Senat bez poprawek dostępny jest pod linkiem.
Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie Rozporządzenia DORA, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.
Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP