Baza wiedzy

2024-09-28

Znamy projekty (większości) aktów wykonawczych do DORA

Rozporządzenie Parlamentu Europejskiego i Rady (EU) z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego („DORA”/„Rozporządzenie”), zawiera ramowe wytyczne dla instytucji finansowych i ich partnerów (a w szczególności dostawców usług ICT) dotyczące zarządzania ryzykiem cybernetycznym stosowanych technologii informacyjno-komunikacyjnych (ICT).  Opublikowano drugi pakiet aktów wykonawczych DORA. 


W DORA (więcej na temat tego Rozporządzenia pisaliśmy tutaj) nie znajdziemy odpowiedzi na pytanie, jakie dokumenty oraz działania powinny zostać przygotowane i podjęte przez podmioty których Rozporządzenie dotyczy dla spełnienia przewidzianych w nim wymogów i realizacji wypływających z niego zadań. Znajdziemy je natomiast w regulacyjnych i wykonawczych standardach technicznych oraz wytycznych, do przygotowania których upoważnione zostały Europejskie Organy Nadzoru. 


RTS i ITS – uszczegółowienie DORA

RTS  (eng. regulatory technical standards) i ITS (eng. implementing technical standards) to akty wykonawcze, uszczegóławiające sposób realizacji zadań wynikających z DORA i dostosowanie działalności podmiotów finansowych do przewidzianych nim wymogów. Standardy te określają oczekiwania dotyczące wdrożenia DORA, dzięki czemu zmniejszają pozostawione przez to Rozporządzenie pole do interpretacji. 
Publikacja projektów standardów technicznych została podzielona na dwa pakiety. Pierwszy z nich ukazał się 17 stycznia 2024 r. drugi zaś – pół roku później 17 lipca 2024 r.
Pierwszy pakiet standardów technicznych koncentruje się na harmonizacji ram prawnych w obszarach zarządzania ryzykiem ICT, zgłaszania incydentów związanych z ICT oraz ram kontroli wewnętrznej w odniesieniu do korzystania z zewnętrznych dostawców usług ICT. Obejmuje on: 
– RTS w sprawie ram zarządzania ryzykiem związanym z ICT oraz uproszczonych ram zarządzania ryzykiem związanym z ICT, 
– RTS w sprawie kryteriów klasyfikacji incydentów związanych z ICT i cyberzagrożeń,
– RTS w sprawie szczegółowej treści polityki w zakresie ustaleń umownych dotyczących korzystania z usług świadczonych przez zewnętrznych dostawców ICT,
– ITS w sprawie standardowych wzorów rejestru informacji, 
– Zalecenia  w sprawie kryteriów wyznaczania kluczowych, zewnętrznych dostawców usług ICT, 
– Zalecenia w sprawie opłat za nadzór. 


Drugi pakiet skupia się natomiast na ramach zgłaszania incydentów związanych z ICT i testach penetracyjnych, wprowadza wymogi dotyczące projektowania ram nadzoru, które mają zwiększyć cyfrową odporność operacyjną sektora finansowego oraz zapewnić ciągłe i nieprzerwane świadczenie usług finansowych klientom oraz bezpieczeństwo ich danych. Obejmuje on:
– RTS i ITS w sprawie zgłaszania poważnych incydentów ICT, 
– RTS w sprawie testów penetracyjnych, 
– RTS w sprawie harmonizacji warunków nadzoru, 
– RTS w sprawie kryteriów ustalania składu wspólnego zespołu ds. kontroli,
– Wytyczne w sprawie szacowania kosztów/strat spowodowanych poważnymi incydentami ICT, 
– Wytyczne w sprawie współpracy między europejskimi i krajowymi organami w zakresie nadzoru nad DORA.


Lipcowe projekty aktów wykonawczych w Komisji Europejskiej

Lipcowe akty wykonawcze, zostały przekazane Komisji Europejskiej, która rozpocznie teraz prace nad ich weryfikacją w celu przyjęcia w nadchodzących miesiącach. Warto podkreślić, że Komisja w toku prac może wprowadzić do nich zmiany, zatem ich aktualny kształt wcale nie musi okazać się ostatecznym. 


Czego zabrakło? 

Warto zaznaczyć, że wśród opublikowanych 17 lipca 2024 r. projektów zabrakło RTS doprecyzowującego elementy związane z podwykonawstwem usług ICT. O tym, co instytucja finansowa musi wziąć pod uwagę, zezwalając na podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje oraz jakim warunkom powinno ono podlegać dowiemy się – jak wskazuje Europejski Urząd Nadzoru Giełd i Papierów Wartościowych –  „w odpowiednim czasie”. Pozostaje nam zatem uzbroić się w cierpliwość. 


Justyna Aleksandrzak, radca prawny w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy adwokaci i radcowie prawni.