Michał Barwicki
Rozporządzenie DORA a małe instytucje płatnicze
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, czyli tzw. rozporządzenie DORA (Digital Operational Resilience Act), stanowi kluczowy akt prawny, który regulować będzie zasady operacyjnej odporności cyfrowej i bezpieczeństwa ICT dla całej branży finansowej.
Cele rozporządzenia
Rozporządzenie DORA ma na celu harmonizację przepisów dotyczących operacyjnej odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych. Rozporządzenie reguluje w szczególności zasady:
- zarządzania ryzykiem ICT;
- zgłaszania poważnych incydentów związanych z ICT;
- testowania operacyjnej odporności cyfrowej;
- wymiany informacji i analiz w związku z cyberzagrożeniami i podatnościami w tym obszarze;
- zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT;
- mające zastosowanie do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi;
- dotyczące ustanowienia i funkcjonowania ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych.
Rozporządzenie DORA obejmie swym zakresem podmioty finansowe, takie jak:
- instytucje kredytowe;
- instytucje płatnicze;
- i dostawców usług w zakresie kryptoaktywów.
Znajdzie zastosowanie do zewnętrznych dostawców usług ICT.
Powstaje jednak pytanie, czy DORA swym zakresem podmiotowym obejmie także i małe instytucje płatnicze?
Zakres przedmiotowy DORA a małe instytucje płatnicze
Zgodnie z artykułem 2 ust. 1 lit b Rozporządzenia DORA, rozporządzenie ma zastosowanie w szczególności do instytucji płatniczych, w tym instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366. Na podstawie zaś artykułu 3 pkt. 32 rozporządzenia DORA, „instytucja płatnicza zwolniona zgodnie z dyrektywą (UE) 2015/2366” oznacza instytucję płatniczą zwolnioną zgodnie z art. 32 ust. 1 dyrektywy (UE) 2015/2366 (tzw. dyrektywy PSD2).
Małe instytucje płatnicze stanowią właśnie instytucje, których funkcjonowanie oparte jest na zwolnieniu jakie przewiduje dyrektywa PSD2 w art. 32, a które zaimplementowane zostało do porządku prawnego poprzez odpowiednie przepisy działu VI B ustawy o usługach płatniczych.
Oznacza to, że co do zasady rozporządzenie DORA obejmować będzie również małe instytucje płatnicze.
Ramy zarządzania ryzykiem związanym z ICT mające zastosowanie do MIP
Rozporządzenie DORA przewiduje jednak w pewnym zakresie odmienne, uproszczone zasady, mające zastosowanie do podmiotów takich jak małe instytucje płatnicze.
W tym celu DORA ustanawia tzw. uproszczone ramy zarządzania ryzykiem związanym z ICT. Zgodnie bowiem z art. 16 ust. 1 DORA, ogólne zasady zarządzania ryzykiem ICT nie będą miały zastosowania do małych instytucji płatniczych, jako instytucji zwolnionych zgodnie z dyrektywą 2013/36/UE.
Nie oznacza to jednak, że małe instytucje płatnicze zostaną w pełni zwolnione z obowiązku zarządzania ryzykiem ICT. W ramach wspominanych uproszonych ram zarządzania ryzykiem związanym z ICT, małe instytucje płatnicze w szczególności:
- wprowadzają i utrzymują prawidłowe i udokumentowane ramy zarządzania ryzykiem związanym z ICT;
- stale monitorują bezpieczeństwo i funkcjonowanie wszystkich systemów ICT;
- minimalizują wpływ ryzyka związanego z ICT poprzez stosowanie prawidłowych, odpornych i zaktualizowanych systemów, protokołów i narzędzi ICT;
- umożliwiają szybką identyfikację i wykrywanie źródeł ryzyka związanego z ICT i nieprawidłowości w sieci i systemach informatycznych oraz szybkie reagowanie na incydenty związane z ICT;
- określają najważniejsze zależności od zewnętrznych dostawców usług ICT;
- zapewniają ciągłość krytycznych lub istotnych funkcji poprzez plany ciągłości działania oraz środki reagowania i przywracania sprawności;
- regularnie testują ciągłości działania oraz środki reagowania i przywracania sprawności, a także skuteczność działań wdrożonych zgodnie z pkt 1 i 3 powyżej;
- wdrażają, stosownie do przypadku, odpowiednie wnioski operacyjne wynikające z powyższych testów oraz wnioski z analiz przeprowadzonych po wystąpieniu incydentu do procesu oceny ryzyka związanego z ICT;
- opracowują, stosownie do potrzeb i profilu ryzyka związanego z ICT, programy zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkoleń w zakresie operacyjnej odporności cyfrowej dla pracowników i kadry zarządzającej.
Co istotne EUN (EBA, EIOPA oraz ESMA) zobowiązane zostały do wspólnego opracowania w tym zakresie projektu regulacyjnych standardów technicznych, mających na celu doprecyzowanie wymogów jakie to obowiązywać będą w ramach wspomnianych uroszczonych ram zarządzania ryzykiem związanym z ICT. Finalne projekty powyższych standardów zostały już opracowane w ramach tzw. pierwszego pakietu aktów wykonawczych do Rozporządzenia DORA (RTS on ICT risk management framework and on simplified ICT risk management framework).
Pozostałe wymogi DORA mające zastosowanie do MIP
Należy również pamiętać, że poza zasadami zarządzania ryzykiem ICT, rozporządzenie DORA ustanawia szereg dodatkowych zasad i wymogów, w szczególności w zakresie zarządzania incydentami związanymi z ICT (w tym ich klasyfikacją i zgłaszaniem), testowania operacyjnej odporności cyfrowej, jak i zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT.
W tym zakresie Rozporządzenie DORA także przewiduje pewne uproszczenia mające zastosowanie w małych instytucjach płatniczych zwolnionych zgodnie z dyrektywą 2013/36/UE. Powyższe uproszczenia obejmują pewne aspekty testowania narzędzi, systemów i procesów ICT z wykorzystaniem TLPT oraz wymogi co do ustanawiania strategii dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT.
Do małych instytucji płatniczych, potencjalnie zastosowanie mogą znaleźć także pewne wyłączenia i uproszczone zasady przewidziane w przypadku niektórych wymogów i obowiązków dla mikroprzedsiębiorców (mikroprzedsiębiorcą będzie MIP, która to zatrudnia mniej niż 10 osób i której roczny obrót lub bilans roczny nie przekracza 2 mln EUR).
W pozostałym, przeważającym zakresie, wspomniane zasady i wymogi w zakresie zarządzania incydentami związanymi z ICT (w tym ich klasyfikacją i zgłaszaniem), testowania operacyjnej odporności cyfrowej, jak i zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT, znajdują pełne zastosowanie w stosunku do małych instytucji płatniczych.
Podsumowanie
Mimo że dla małych instytucji płatniczych, rozporządzenie DORA przewiduje pewne wyłączenia i uproszczone ramy zarządzania ryzykiem związanym z ICT, wciąż na instytucje te nałożony został szeroki zakres dodatkowych obowiązków i wymogów.
W szczególności małe instytucje będą musiały:
- wdrożyć co najmniej uproszczone ramy zarządzania ryzykiem związanym z ICT;
- wdrożyć nowe zasady zarządzania incydentami związanymi z ICT, ich klasyfikację i zgłaszanie;
- wdrożyć testowanie operacyjnej odporności cyfrowej;
- zarządzać ryzykiem ze strony zewnętrznych dostawców usług ICT, w tym zapewnić zgodność umów zawartych z dostawcami usług ICT z rozporządzeniem.
Nie ulega zatem wątpliwości, że każda mała instytucja płatnicza do dnia 17 stycznia 2025 r. musi dostosować się do rozporządzenia DORA i zapewnić zgodność prowadzonej działalności z powyższym rozporządzeniem. Już teraz małe instytucje płatnicze powinny zatem rozpocząć proces wdrożenia rozporządzenia DORA, który wymagać będzie aktualizacji dokumentacji wewnętrznej, wdrożenia odpowiednich rozwiązań z zakresu bezpieczeństwa ICT i zarządzania ryzykiem ICT, jak również dostosowaniem relacji umownych łączących MIP z zewnętrznymi dostawcami usług ICT (co w praktyce oznaczać będzie konieczność renegocjowania wielu umów).