KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Rozpoczęcie stosowania RTS ws. incydentów związanych z ICT

Od 12 marca 2025 r. obowiązują nowe regulacje dotyczące zgłaszania incydentów związanych z technologiami informacyjno-komunikacyjnymi (ICT) w sektorze finansowym.

12 marca 2025

Rozporządzenie Delegowane Komisji (UE) 2025/301, wydane na podstawie rozporządzenia DORA, wprowadza jednolite zasady raportowania i wymagań dla podmiotów finansowych. Jakie obowiązki nakłada nowe prawo i jak podmioty finansowe oraz zewnętrzni dostawcy usług ICT powinni się do nich przygotować?

Nowe wymogi sprawozdawcze dla sektora finansowego

W związku z rosnącym zagrożeniem cyberatakami oraz ich konsekwencjami dla stabilności systemu finansowego Unii Europejskiej, Komisja Europejska przyjęła Rozporządzenie Delegowane 2025/301. Dokument ten uzupełnia ramy prawne ustanowione przez Rozporządzenie DORA (Digital Operational Resilience Act), które koncentruje się na odporności operacyjnej podmiotów finansowych wobec zagrożeń cyfrowych.

RTS (regulacyjne standardy techniczne) zawarte w nowym akcie precyzują zasady zgłaszania poważnych incydentów związanych z ICT, określając zarówno ich treść, jak i harmonogram raportowania.

Obowiązek przestrzegania nowych regulacji spoczywa na szerokiej grupie podmiotów finansowych, w tym na bankach, firmach inwestycyjnych, zakładach ubezpieczeń i reasekuracji, dostawcach usług płatniczych, funduszach inwestycyjnych i ich zarządzających, giełdach i izbach rozliczeniowych, a także na dostawcach usług ICT dla sektora finansowego. Nowe przepisy mają na celu ujednolicenie raportowania incydentów związanych z ICT w całej Unii Europejskiej, co pozwoli na lepszą koordynację działań nadzorczych oraz skuteczniejsze reagowanie na cyberzagrożenia.

Nowe Rozporządzenie Delegowane Komisji (UE) 2025/301 określa ścisłe wymogi dotyczące treści, terminów i sposobu raportowania incydentów ICT. Podmioty zobowiązane do przestrzegania przepisów powinny dostosować swoje procesy oraz dokumentację wewnętrzną, m.in. do następujących zasad:

  • Wstępne powiadomienie o incydencie związanym z ICT

W przypadku wystąpienia poważnego incydentu związanego z ICT, podmiot finansowy zobowiązany jest zgłosić go do odpowiednich organów nadzorczych tak szybko, jak to możliwe, ale w każdym razie w ciągu 4 godzin od sklasyfikowania incydentu związanego z ICT jako poważny incydent związany z ICT i nie później niż 24 godziny od momentu jego wykrycia. Wstępne zgłoszenie powinno zawierać, w szczególności, krótki opis zdarzenia, jego potencjalny wpływ na działalność podmiotu finansowego oraz jego klientów oraz opis działań zaradczych.

  • Raport śródokresowy

Nie później niż 72 godziny od złożenia zgłoszenia wstępnego, podmiot finansowy zobowiązany jest do przekazania bardziej szczegółowych informacji, obejmujących w szczególności przyczyny wystąpienia incydentu, zakres systemów i danych dotkniętych incydentem, opis podjętych środków naprawczych i ocenę ich skuteczności, a także określenie ewentualnego ryzyka dla stabilności finansowej podmiotu finansowego.

  • Raport końcowy

Podmiot finansowy zobowiązany jest do przedłożenia raportu końcowego, w terminie nie później niż miesiąc od momentu złożenia sprawozdania śródokresowego lub, w stosownych przypadkach, po ostatniej aktualizacji sprawozdania śródokresowego. Raport końcowy powinien zawierać, w szczególności, takie elementy, jak opis pełnej analizy zdarzenia, opis podjętych środków prewencyjnych, mających na celu zapobieganie podobnym incydentom w przyszłości, a także ocenę skutków operacyjnych i finansowych zaistniałego incydentu.

  • Dobrowolne powiadomienia o cyberzagrożeniach

Poza obowiązkowym raportowaniem incydentów związanych z ICT, nowe przepisy wprowadzają możliwość dobrowolnego zgłaszania organom nadzoru istotnych zagrożeń cybernetycznych, które mogłyby potencjalnie wpłynąć na funkcjonowanie sektora finansowego.

Jak przygotować się na nowe wymogi?

Dostosowanie się przez podmioty finansowe oraz zewnętrznych dostawców usług ICT do wytycznych RTS 2025/301 wymaga odpowiednich zmian organizacyjnych i technicznych. Podmioty objęte omawianą regulacją powinny podjąć takie działania, jak:

  • Przegląd i aktualizacja procedur związanych z zarządzaniem incydentami związanymi z ICT – wymagane jest dostosowanie wewnętrznej dokumentacji, w taki sposób, aby zapewnić sprawną obsługę incydentów związanych z ICT, a także zapewnić możliwość wywiązania się z terminów raportowych oraz pozyskania informacji niezbędnych do uzupełnienia omawianych raportów.
  • Wdrożenie systemów służących do monitorowania zagrożeń – aby spełnić wymóg szybkiego wykrywania i zgłaszania incydentów związanych z ICT, podmioty finansowe oraz ich zewnętrzni dostawcy usług ICT powinni rozważyć wdrożenie dodatkowych narzędzi i systemów służących do zautomatyzowanego monitorowania możliwości wystąpienia incydentów, a także wykrywania potencjalnych cyberzagrożeń.
  • Szkolenia dla zespołów odpowiedzialnych za cyberbezpieczeństwo i compliance, a także podnoszenie świadomości pracowników – znajomość przepisów prawa, a także wewnętrznie przyjętych regulacji podmiotu finansowego oraz ich zewnętrznych dostawców usług ICT jest kluczowa z punktu widzenia gotowości podmiotu finansowego do wywiązania się z ciążących na nim obowiązków związanych z obsługą incydentów związanych z ICT.
  • Zdefiniowanie ścieżek komunikacji, zarówno wewnętrznej jak i zewnętrznej – w celu sprawnego przekazywania informacji o wystąpieniu lub podejrzeniu wystąpienia incydentu związanego z ICT, a także zidentyfikowanych cyberzagrożeniach, niezbędne jest opracowanie skutecznych ścieżek komunikacji wewnątrz organizacji oraz komunikacji pomiędzy podmiotem finansowym a jego zewnętrznymi dostawcami usług ICT. Dodatkowo kluczowym jest opracowanie sprawnych ścieżek komunikacji umożliwiających terminowe przekazywanie raportów do organu nadzoru, a tym samym spełnienia wymogów formalnych.

Konsekwencje braku zgodności

Podmioty, które nie dostosują się do wymagań RTS 2025/301, narażają się na konsekwencje prawne i finansowe. Brak terminowego raportowania incydentów związanych z ICT, może skutkować sankcjami administracyjnymi ze strony organu nadzoru, roszczeniami ze strony klientów lub kontrahentów oraz utratą reputacji, a także potencjalnie zwiększoną kontrolą regulacyjną w przyszłości.

Wnioski

Wdrożenie RTS 2025/301 to istotna zmiana dla sektora finansowego, która wymaga od podmiotów finansowych oraz ich zewnętrznych dostawców usług ICT nie tylko dostosowania strategii, polityk i procedur, ale również zwiększenia zdolności operacyjnej do reagowania na incydenty związane z ICT. Nowe przepisy mają na celu nie tylko poprawę operacyjnej odporności cyfrowej sektora finansowego, ale również zwiększenie przejrzystości i efektywności nadzoru nad incydentami związanymi z ICT. Kluczowe znaczenie będzie miało szybkie wdrożenie odpowiednich mechanizmów związanych z zapewnieniem zgodności, aby uniknąć ryzyka naruszenia przepisów prawa i obowiązków raportowych związanych z potencjalnie występującymi incydentami w przyszłości.

Podmioty finansowe oraz ich zewnętrzni dostawcy usług ICT, którzy nie wdrożyli jeszcze zmian, powinni jak najszybciej przystąpić do analizy wewnętrznie przyjętej dokumentacji oraz podjąć niezbędne działania w celu dostosowania do nowych wytycznych.

Z pełną treścią RTS 2025/301 można zapoznać się pod linkiem.

Autor: Daniel Niwiński – ekspert ds. cyberbezpieczeństwa w KRWLEGAL

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie Rozporządzenia DORA, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

r.pr Mariusz Bagiński oraz apl. adw. Tymoteusz Herman, w gronie ekspertów drugiego sprintu Kohorty Research4Revenue „Jak zarabiać na wynikach badań?”

20 marca 2025

W dniu 19 marca 2025 r. odbył się drugi sprint Kohorty Research 4 Revenue - programu dla naukowców i studentów, którzy chcą skomercjalizować wyniki swoich badań i założyć startup.

Newsletter Regulacyjny KRWLEGAL 02/2025 wysłany do Klientów Kancelarii

13 marca 2025

Wczoraj do Klientów KRWLEGAL trafił lutowy numer Newslettera Regulacyjnego.

Pierwsze projekty RTS do rozporządzenia AML opublikowane

11 marca 2025

W dniu 6 marca 2025 roku na stronie Europejskiego Urzędu Nadzoru Bankowego (EBA) opublikowany został dokument konsultacyjny w sprawie proponowanych Regulacyjnych Standardów Technicznych (RTS) do nowego pakietu AML.

Radca Prawny Nikola Jadwiszczak-Niedbałka wspólnikiem w KRWLEGAL

10 marca 2025

Z przyjemnością informujemy, że do grona wspólników Krzysztof Rożko i Wspólnicy Kancelaria Prawna dołączyła radca prawny Nikola Jadwiszczak-Niedbałka.

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.