Polska przyjęła długo wyczekiwaną ustawę dającą KNF kompetencje w zakresie kontroli zgodności instytucji finansowych z DORA. Nowe przepisy krajowe wyznaczają właściwe organy kontroli oraz ustalają sankcje, jakie mogą być nakładane przez polskiego regulatora – wskazują przedstawiciele kancelarii prawnej DLA Piper.
Rozporządzenie DORA, które weszło w życie 17 stycznia 2025 roku, ma na celu zapewnienie, aby banki, ubezpieczyciele, firmy inwestycyjne oraz inne instytucje finansowe były w stanie skutecznie reagować na zakłócenia związane z wykorzystaniem technologii informacyjnych i komunikacyjnych. Systemy ICT obejmują zarówno urządzenia fizyczne, jak i oprogramowanie oraz infrastrukturę sieciową, które wspierają kluczowe operacje biznesowe i procesy decyzyjne.
– Choć DORA, jako rozporządzenie UE, jest stosowana bezpośrednio we wszystkich krajach członkowskich, konieczne było przyjęcie przepisów proceduralnych, które w Polsce nastąpiło na mocy ustawy z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Wśród wprowadzonych reguł szczególne znaczenie ma rozszerzenie zakresu nadzoru nad rynkiem finansowym. Znacząco wzmacnia to kompetencje Komisji Nadzoru Finansowego, która uzyskuje uprawnienia do przeprowadzania kontroli zgodności działalności podmiotów finansowych z aktualnymi wymogami dotyczącymi odporności cyfrowej – komentuje Ewa Kurowska-Tober, partnerka kierująca zespołem IPT w DLA Piper w Polsce.
W przypadku wystąpienia poważnego incydentu w środowisku cyfrowym, instytucje finansowe są zobowiązane do przekazania KNF wstępnego zawiadomienia, a następnie szczegółowego raportu. Natomiast KNF niezwłocznie przekazuje te dokumenty do odpowiedniego krajowego zespołu reagowania na incydenty bezpieczeństwa komputerowego.
Podczas czynności kontrolnych pracownicy Komisji Nadzoru Finansowego będą mieli prawo wstępu na grunt oraz do budynków, lokali i innych pomieszczeń kontrolowanego podmiotu, żądania od tego podmiotu lub od osoby przez niego upoważnionej udzielenia ustnych lub pisemnych wyjaśnień związanych z przedmiotem kontroli oraz wglądu do dokumentów i danych cyfrowych związanych z przedmiotem kontroli.
Po zakończeniu kontroli KNF przygotuje protokół w ciągu 30 dni roboczych. Zanim dokument zostanie podpisany, kontrolowana instytucja finansowa ma 14 dni na zgłoszenie pisemnych uwag. Jeśli Komisja uzna je za zasadne, może ponownie przeprowadzić część kontroli i uzupełnić protokół poprzez jego aneks.
– Instytucje finansowe powinny zatem przygotować odpowiednie procedury wewnętrzne na wypadek kontroli oraz szczegółowo monitorować przebieg kontroli i zakres informacji żądanych przez pracowników KNF, tak aby móc zgłosić ewentualne zastrzeżenia – Karol Kuterek, associate w zespole IPT DLA Piper w Polsce.
W przypadku wykrycia naruszenia Komisja Nadzoru Finansowego może nakazać zaprzestanie działań niezgodnych z DORA, czasowo zakazać osobom zarządzającym daną instytucją pełnienia funkcji kierowniczych oraz nałożyć wysokie kary finansowe – nawet do ponad 20 mln zł lub 10% rocznego przychodu.
Przestrzeganie nowych standardów cyfrowej odporności operacyjnej sektora finansowego ma zapewnić utrzymanie stabilności i bezpieczeństwa rynku w warunkach postępującej cyfryzacji. Ujednolicenie regulacji na poziomie Unii Europejskiej oraz wyposażenie krajowych organów nadzoru w odpowiednie kompetencje ma natomiast na celu zapewnienie skutecznego zarządzanie ryzykiem ICT na rynku finansowym oraz zapewnienie lepszej ochrony interesów klientów korzystających z usług finansowych.
– Wejście w życie długo wyczekiwanych krajowych przepisów proceduralnych może oznaczać intensyfikację działań nadzorczych KNF, dlatego podmioty podlegające przepisom DORA powinny przygotować się na możliwe kontrole oraz konieczność zgłaszania poważnych incydentów. W ramach dedykowanego zespołu DLA Piper wspieramy klientów z sektora finansowego zarówno we wdrożeniu regulacji, jak również we właściwym przygotowaniu do kontroli KNF – podkreśla Piotr Czulak, counsel w zespole IPT w DLA Piper w Polsce.
