31 grudnia 2024 r. opublikowane zostało Stanowisko Urzędu Komisji Nadzoru Finansowego (UKNF), dotyczące stosowania przez podmioty finansowe Rozporządzenia DORA. Mimo braku przepisów zapewniających stosowanie Rozporządzenia DORA, nie należy przyjmować, że następuje wstrzymanie obowiązku przestrzegania przez podmioty finansowe wymogów, wynikających z wyżej wspomnianego rozporządzenia, które zacznie obowiązywać już od  17 stycznia 2025 r.

Rozporządzenie DORA weszło w życie 16 stycznia 2023 r., dając podmiotom finansowym 2 lata na dostosowanie się do jego wymogów. Okres ten zakończy się 16 stycznia 2025 r. Jak zostało wskazane we wspomnianym stanowisku „UKNF oczekuje, że począwszy od dnia rozpoczęcia stosowania Rozporządzenia DORA podmioty finansowe będą stosowały się do sposobu i trybu wykonywania określonych obowiązków informacyjnych i sprawozdawczych zgodnie z niniejszym stanowiskiem”. W niniejszym artykule omawiamy nowe obowiązki dla podmiotów finansowych.

Obowiązek posiadania identyfikatora LEI jako niezbędnego elementu sprawozdawczości

Zgodnie z obowiązkami, wynikającymi z Rozporządzenia DORA, podmioty finansowe są zobowiązane do posiadania tzw. identyfikatora LEI od 17 stycznia 2025 r. Podmioty finansowe, które jeszcze go nie posiadają, powinny wystąpić o jego uzyskanie i uzyskać go przed dniem 17 stycznia 2025 r., czyli przed datą rozpoczęcia stosowania Rozporządzenia DORA.

Brak posiadania identyfikatora LEI uniemożliwi przekazanie formularzy sprawozdawczych do KNF jako właściwego organu, a następnie do przekazania części z nich przez KNF do Europejskich Urzędów Nadzoru.

Brak identyfikatora LEI, należy traktować jako niedopełnienie obowiązku w zakresie sprawozdawczości, co oznacza niedostosowanie się do Rozporządzenia DORA. W konsekwencji na podmiot finansowy mogą zostać nałożone sankcje, poczynając od najmniej dotkliwych w formie publicznej nagany, po karę grzywny oraz w skrajnych przypadkach wycofanie licencji na działalność nadzorowaną.

W Polsce kod LEI można uzyskać za pośrednictwem Krajowego Depozytu Papierów Wartościowych SA (KDPW).

Obowiązki sprawozdawcze od 17 stycznia 2025 r.

W pierwszej kolejności podmioty finansowe powinny być przygotowane do realizowania określonych obowiązków sprawozdawczych w zakresie obejmującym min.: wstępne powiadomienie i sprawozdania dotyczące poważnych incydentów ICT (SPR-PF-07), powiadomienie o znaczącym cyberzagrożeniu (SPR-PF-10) czy w zakresie pełnego rejestru informacji lub innego zakresu informacji zgodnie z żądaniem (SPR-PF-18). Więcej na ten temat w samym Stanowisku UKNF dotyczącym stosowania przez podmioty finansowe Rozporządzenia DORA.

Ponadto, jak wskazuje UKNF, obowiązki sprawozdawcze powinny być realizowane w postaci elektronicznej, z wykorzystaniem kanałów komunikacji, w tym systemów teleinformatycznych i narzędzi teleinformatycznych udostępnionych przez UKNF, takich jak:

• System Sprawozdawczości DORA;
• System do zgłaszania poważnych incydentów związanych z ICT;
• kanał do komunikacji i wymiany informacji w zakresie testów TLPT, uzgodniony z podmiotem finansowym realizującym test.

Wyraźnie widać rosnącą tendencję do stosowania odpowiednich systemów i automatyzacji procesów sprawozdawczych.

Zgłaszanie poważnych incydentów związanych z ICT oraz znaczących cyberzagrożeń

Zgodnie z Rozporządzeniem DORA „incydent związany z ICT” został zdefiniowany jako: „(…) pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy”.

Jako definicję „poważnego incydentu związanego z ICT”  należy wskazać „incydent związany z ICT o dużym negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego”. Ponadto, zgodnie z Rozporządzeniem DORA, UKNF w sprawozdaniu zaznacza szereg kryteriów w zakresie klasyfikacji poważnych incydentów związanych z ICT, w tym m.in.:

• liczbę lub znaczenie klientów lub kontrahentów finansowych oraz (w stosownych przypadkach) kwotę lub liczbę transakcji, których dotyczy incydent związany z ICT, oraz to czy taki incydent spowodował skutki reputacyjne;
• czas trwania incydentu związanego z ICT, w tym przerwę w świadczeniu usług;
• zasięg geograficzny incydentu związanego z ICT, w szczególności, jeżeli dotyczy on więcej niż dwóch państw członkowskich.

Więcej na ten temat w treści Stanowiska UKNF dotyczącego stosowania przez podmioty finansowe Rozporządzenia DORA.

Klasyfikacja incydentów związanych z ICT, w tym ocena wystąpienia poważnego incydentu, powinna opierać się na definicji „poważnego incydentu związanego z ICT” oraz na kryteriach klasyfikacji i progach istotności określonych w regulacyjnych standardach technicznych. Wynika to z konieczności zapewnienia maksymalnej efektywności przepisów prawa unijnego.

Rozporządzenie DORA przewiduje wyłączenie obowiązku zgłaszania incydentów zgodnie z dyrektywą PSD2 w stosunku do dostawców usług płatniczych, objętych zakresem stosowania Rozporządzenia DORA.

Podmioty nadzorowane, wymogiem raportowania incydentów na podstawie dyrektywy PSD2, będą zobowiązane do zgłaszania poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami zgodnie z rozporządzeniem DORA.

Ponadto, operatorzy usług kluczowych, do czasu uchwalenia przepisów implementujących dyrektywę NIS2, powinni równolegle, (niezależnie od zgłaszania poważnych incydentów związanych z ICT), przekazywać zgłoszenia incydentów poważnych w sposób przewidziany w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

Prowadzenie i przekazanie rejestru informacji dotyczącego umów z zewnętrznymi dostawcami usług ICT

Zgodnie ze sprawozdaniem UKNF – właściwe organy będą zobowiązane pozyskać od podmiotów finansowych rejestry informacji w terminie umożliwiającym przekazanie zebranych danych do Europejskiego Urzędu Nadzoru Bankowego, Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych oraz Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EUN) przed 30 kwietnia 2025 r. W związku z powyższym KNF planuje zwrócić się na początku kwietnia 2025 r., do podmiotów finansowych z żądaniem przekazania rejestrów informacji do KNF, tak aby KNF mogła terminowo zrealizować obowiązek przekazania zebranych rejestrów informacji do EUN.

Podkreślono, że przekazywane w 2025 r. do właściwych organów rejestry informacji powinny zawierać dane aktualne na 31 marca 2025 r.

Kluczowe znaczenie ma również rozporządzenie wykonawcze Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r., ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacji z uwagi na doprecyzowanie jakie dane powinny się w nim znaleźć, a w konsekwencji, jakie informacje będą przekazywane do właściwego organu.

Prowadzenie i przekazanie rejestru informacji dotyczącego umów z zewnętrznymi dostawcami usług ICT

Zgodnie ze stanowiskiem planowane jest również uchylenie:

• Rekomendacji D, dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach;
• Rekomendacji D-SKOK, dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych;

oraz wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w:

• zakładach ubezpieczeń i zakładach reasekuracji;
• towarzystwach funduszy inwestycyjnych;
• firmach inwestycyjnych;
• podmiotach infrastruktury rynku kapitałowego.

Ponadto, planowane jest również odwołanie komunikatu UKNF dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – tzw. Komunikat chmurowy.