W dniu 17 stycznia 2024 r. Europejskie Urzędy Nadzoru (EUN), tj. Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA), opublikowały pierwszy pakiet aktów wykonawczych do Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego, tzw. DORA (Digital Operational Resilience Act), które będzie stosowane począwszy od 17 stycznia 2025 r.
17 stycznia 2024
Celem przyjęcia DORA jest zwiększenie cyfrowej odporności operacyjnej sektora finansowego UE, poprzez wzmocnienie technologii informacyjno-komunikacyjnych (ICT) podmiotów finansowych w zakresie ram zarządzania ryzykiem ICT, w tym ryzykiem stron trzecich (dostawców usług ICT), zgłaszania incydentów w zakresie ICT oraz testowania operacyjnej odporności cyfrowej.
W celu doprecyzowania regulacji rozporządzenia, EUN zobowiązane zostały przedstawić Komisji Europejskiej, projekty aktów wykonawczych obejmujących: regulacyjne standardy techniczne (RTS), wykonawcze standardy techniczne (ITS) oraz wytyczne.
Zgodnie z powyższym, 17 stycznia 2024 r. przedstawione zostały projekty aktów w ramach pierwszego pakietu składającego się z:
1) RTS dotyczącego ram zarządzania ryzykiem ICT oraz uproszczonych ramy zarządzania ryzykiem ICT (art. 15 DORA oraz art. 16 ust. 3 DORA), doprecyzowujących m.in. elementy polityk oraz procedur wewnętrznych dotyczących zarządzania ryzykiem ICT;
2) RTS dotyczącego kryteriów klasyfikacji incydentów ICT (art. 18 ust. 3 DORA) doprecyzowujących m.in. kryteria klasyfikacji poważnych incydentów związanych z ICT, podejście do klasyfikacji poważnych incydentów oraz progi istotności każdego kryterium klasyfikacji;
3) ITS określającego standardowe wzory na potrzeby rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 9 DORA), które mają być utrzymywane i aktualizowane przez podmioty finansowe w odniesieniu do ich ustaleń umownych z zewnętrznymi dostawcami usług ICT;
4) RTS dotyczącego treści polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje, świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 10 DORA), dookreślających części ram zarządzania ryzykiem i kontroli wewnętrznej, które podmioty finansowe powinny wdrożyć w odniesieniu do korzystania z zewnętrznych dostawców usług ICT.
Projekty powyższych aktów wykonawczych dostępne są pod linkiem.
Obecnie prowadzone są konsultacje publiczne dotyczące drugiego pakietu aktów wykonawczych, obejmującego m.in. doprecyzowanie regulacji w zakresie zgłaszania incydentów ICT oraz testów penetracyjnych (TLPT). Zarówno przedstawiony pakiet, jak i akty znajdujące się na etapie konsultacji, będą miały istotne znaczenie dla ostatecznego sposobu wdrożenia wymogów DORA, dlatego podmioty finansowe powinny na bieżąco śledzić prace EUN oraz Komisji Europejskiej, która dokona przeglądu projektów aktów wykonawczych przed ich przyjęciem. Niemniej, zaznaczyć należy, że akty wykonawcze stanowią jedynie wycinek regulacji DORA, dlatego też, podmioty finansowe nie powinny zwlekać z rozpoczęciem prac nad wdrażaniem nowych wymogów do publikacji kolejnego pakietu aktów.
Drugi pakiet projektów aktów prawnych (po konsultacjach) ma zostać przedstawiony do dnia 17 lipca 2024 r.
Kancelaria Prawna Krzysztof Rożko i Wspólnicy jako kancelaria prowadząca kompleksową obsługę przedsiębiorców wspiera swoich Klientów w działaniach mających na celu dostosowanie do przepisów wprowadzanych na mocy rozporządzenia DORA. Wsparcie Kancelarii obejmuje przygotowanie podmiotów w pełnym zakresie w celu dostosowania działalności do nowych obowiązków nałożonych przez ustawodawcę.
Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie cyberbezpieczeństwa, jak również doradztwa regulacyjnego dla sektora finansowego, świadcząc usługi m. in. w zakresie działalności firm inwestycyjnych, funduszy inwestycyjnych, podmiotów zarządzających aktywami, banków (depozytariuszy).
Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
Dobre Praktyki Spółek Notowanych na NewConnect 2024
25 stycznia 2024
Przestępstwo manipulacji na rynkach finansowych
22 stycznia 2024
17 stycznia 2024
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP