Na wstępie należy wskazać, że rozszerzeniu ma ulec zakres projektowanej ustawy, co znalazło również odzwierciedlenie w tytule samej ustawy, który wedle nowej wersji projektu ma brzmieć: ustawa o zmianie niektórych ustaw z związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji.
W rezultacie celem projektowanej ustawy ma być nie tylko:
- wdrożenie do polskiego systemu prawnego oraz zapewnienie stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego („rozporządzenie DORA”).
- implementacja dyrektywy Parlamentu Europejskiego i Rady 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego,
ale także
- wdrożenie do polskiego systemu prawnego oraz zapewnienie stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2631 z dnia 22 listopada 2023 r. w sprawie europejskich zielonych obligacji oraz opcjonalnego ujawniania informacji na temat obligacji wprowadzanych do obrotu jako zrównoważone środowiskowo i obligacji powiązanych ze zrównoważonym rozwojem.
Wśród najważniejszych zmian w projekcie, w zakresie wdrożenia rozporządzenia DORA, należy wskazać na:
- odstąpienie od regulowania katalogu podmiotów podlegających nadzorowi KNF, w zakresie realizowania wymogów wynikających z rozporządzenia DORA; zamiast tego zastosowano odwołanie do art. 2 rozporządzenia DORA,
- skrócenie terminu na przekazanie po raz pierwszy informacji na temat ustaleń umownych dot. korzystania usług ICT – 7 dni od wejścia w życie ustawy, dodatkowo wskazano, że przekazane mają zostać pełne rejestry informacji dot. ustaleń umownych!
- wskazanie, iż podmioty finansowe objęte wymogami rozporządzenia DORA, mają przekazywać do KNF informacje i sprawozdania określone przepisami rozporządzenia DORA, w postaci elektronicznej za pomocą systemu teleinformatycznego udostępnionego na stronie internetowej UKNF,
- dodanie wymogu, aby pracownicze towarzystwa, zarządzające pracowniczym funduszem stosowały odpowiednie i współmierne systemy, zasoby i procedury, w szczególności ustanawiały sieci i systemy informatyczne oraz zarządzały nimi,
- zmodyfikowanie propozycji przyznania KNF kompetencji do wglądu do systemów i sieci teleinformatycznych, urządzeń, informacji i danych związanych z ICT, w ten sposób, że KNF ma mieć dostęp do danych zawartych w systemach informatycznych,
- dodanie kompetencji KNF w zakresie wezwania, w toku kontroli osób fizycznych lub prawnych, którym bank zlecił funkcje lub działalność, w tym zewnętrznych dostawców usług ICT, do udzielenia wszelkich niezbędnych informacji, koniecznych dla realizacji celów nadzoru,
- doprecyzowanie zasad prowadzenia kontroli oraz postępowania wyjaśniającego przez KNF, w zakresie weryfikacji spełniania wymogów zarzadzania ryzykiem ICT przez podmioty finansowe,
- doprecyzowano zasady zgłaszania poważnych incydentów związanych z ICT oraz przekazywania powiadomień o znaczących cyberzagrożeniach.
Spośród kwestii, które były dyskutowane w trakcie konferencji uzgodnieniowej w dniach 25 i 27 czerwca 2024 r., o której pisaliśmy na naszej stronie internetowej, ostatecznie projektodawca nie zdecydował się na regulację zagadnień związanych z outsourcingiem, uznając w tym zakresie, że regulacje rozporządzenia DORA w zakresie zarządzaniem ryzykiem związanym z zewnętrznymi dostawcami usług ICT są stosowane bezpośrednio.
Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowego, dyrektywy NIS 2, rozporządzenia DORA, doradztwa w zakresie cyberbezpieczeństwa.
Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
