Start ustawy horyzontalnej związanej z DORA

Autor: Ekspert Rynku Damian Jagusz, Mariusz Kuna

31 lipca 2025 r. Prezydent Andrzej Duda podpisał ustawę o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Ustawa została opublikowana w Dzienniku Ustaw z dn. 6.08.2025 r. poz. 1069 i weszła w życie już 7 sierpnia – dzień po ogłoszeniu.

Warto podkreślić, że krajowy proces legislacyjny nie wpływa bezpośrednio na stosowanie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego, zmieniającego m.in. rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej: Rozporządzenie DORA, Rozporządzenie lub DORA). Rozporządzenia unijne są co do zasady stosowane bezpośrednio we wszystkich państwach członkowskich, co oznacza, że stają się częścią krajowego porządku prawnego bez konieczności ich wdrażania poprzez lokalne przepisy – w przeciwieństwie do dyrektyw.

Mimo to, konieczne było dostosowanie wielu ustaw, aby zapewnić spójność i efektywność stosowania nowych obowiązków. Taką właśnie rolę pełni tzw. ustawa horyzontalna – akt prawny, który wprowadza zmiany w wielu innych ustawach jednocześnie.

 

Perspektywa sektora ubezpieczeń – co się zmienia?

Nowa regulacja znowelizowała kilkanaście obowiązujących aktów prawnych, w tym m.in.: ustawę o nadzorze nad rynkiem finansowym, ustawę o działalności ubezpieczeniowej i reasekuracyjnej oraz ustawę o dystrybucji ubezpieczeń. Celem tych zmian jest zapewnienie spójnego i skutecznego nadzoru nad operacyjną odpornością cyfrową zakładów ubezpieczeń oraz ich dostosowanie do jednolitych standardów obowiązujących w całej Unii Europejskiej.

Wśród wprowadzonych reguł szczególne znaczenie ma rozszerzenie zakresu „nadzoru nad rynkiem finansowym” o działania przewidziane w Rozporządzeniu DORA, co wzmocni kompetencje Komisji Nadzoru Finansowego w zakresie monitorowania i egzekwowania wymogów dotyczących odporności cyfrowej podmiotów finansowych w Polsce. Do formalnych obowiązków podmiotów pozostających w zakresie Rozporządzenia DORA zaliczono m.in. przekazywanie informacji oraz sprawozdań za pośrednictwem systemu teleinformatycznego udostępnionego przez Urząd już na początku 2025 roku.

Na podstawie nowych przepisów, Komisja Nadzoru Finansowego uzyskuje uprawnienia do przeprowadzania kontroli zgodności działalności podmiotów finansowych z wymaganiami określonymi w Rozporządzeniu DORA.

Protokół z takiej kontroli sporządzany jest w terminie 30 dni roboczych od dnia zakończenia czynności kontrolnych. Przed jego podpisaniem, kontrolowany podmiot ma możliwość zgłoszenia pisemnych zastrzeżeń w terminie 14 dni roboczych od dnia przedstawienia protokołu do podpisu. Komisja analizuje zgłoszone zastrzeżenia w terminie 30 dni od ich otrzymania. W przypadku stwierdzenia ich zasadności, może podjąć dodatkowe czynności kontrolne oraz dokonać zmiany lub uzupełnienia protokołu w formie aneksu.

W przypadku naruszenia obowiązków przewidzianych w DORA lub w przepisach aktów wykonawczych wydanych na podstawie Rozporządzenia, Komisja będzie mogła, w drodze decyzji:

  1. nakazać osobie fizycznej, osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej zaprzestanie danego działania oraz powstrzymanie się od takiego zachowania w przyszłości;
  2. zakazać osobie odpowiedzialnej za to naruszenie pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej podmiotu finansowego przez okres nie krótszy niż miesiąc i nie dłuższy niż rok;
  3. nałożyć karę pieniężną do wysokości nieprzekraczającej:
  4. w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej:

– kwoty 20 869 500 zł lub 10 % całkowitego rocznego przychodu, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji – 10 % składki przypisanej brutto, wykazanych w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, albo

– dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku tego naruszenia (w przypadku gdy jest możliwe ich ustalenie),

  1. w przypadku osoby fizycznej odpowiedzialnej za to naruszenie, która w tym okresie pełniła obowiązki członka zarządu albo innego organu zarządzającego tego podmiotu finansowego – kwoty 3 042 410 zł,
  2. w przypadku innej osoby fizycznej odpowiedzialnej za to naruszenie – sześciokrotności kwoty otrzymywanego przez ukaranego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop wypoczynkowy.

 

Proces legislacyjny – decyzje wokół vacatio legis i zakresu podmiotowego

Na jednym z wcześniejszych etapów prac legislacyjnych nad ustawą odbyło się posiedzenie senackiej Komisji Budżetu i Finansów Publicznych, podczas którego przeprowadzono dyskusję nad wybranymi aspektami projektu. Główne tematy rozmowy dotyczyły bardzo krótkiego vacatio legis (ustawa ma wejść w życie z dniem następującym po jej ogłoszeniu) oraz objęcia zakresem podmiotowym DORA spółdzielczych kas oszczędnościowo-kredytowych oraz Krajowej Spółdzielczej Kasy Oszczędnościowo-Kredytowej.

Ministerstwo Finansów wyjaśniło, dlaczego nie skorzystało z możliwości wyłączenia tych podmiotów spod obowiązywania DORA, przewidzianej w art. 2 ust. 4 Rozporządzenia. Szeroki zakres podmiotowy ustawy, obejmujący również kasy oszczędnościowo-kredytowe, uzasadniono skalą działalności tych instytucji. Ministerstwo zwróciło uwagę, że wiele z nich funkcjonuje na rynku w skali niekiedy większej niż banki spółdzielcze, co przemawia za objęciem ich zakresem regulacji dotyczących odporności cyfrowej.

Krótkie vacatio legis uzasadniono ograniczonym wpływem ustawy na bieżącą działalność instytucji finansowych, wskazując, że nowe przepisy dotyczą w przeważającej mierze działań Urzędu Komisji Nadzoru Finansowego. Pozostałe podmioty powinny były wdrożyć obowiązki wynikające z DORA najpóźniej do dnia 17 stycznia 2025 r.

Senat nie wniósł żadnych poprawek do projektu ustawy, który wcześniej został przyjęty przez Sejm.

 

Kostka Rubika wdrożenia DORA – ostatnie elementy na miejscu

Ustawa horyzontalna wdrażająca DORA stanowi zwieńczenie prowadzonych od kilkunastu miesięcy prac nad stworzeniem skutecznych ram zarządzania ryzykiem ICT i nadzoru nad operacyjną odpornością cyfrową rynku finansowego. Choć samo rozporządzenie unijne obowiązuje bezpośrednio od stycznia 2025 r., krajowa ustawa zapewnia jego skuteczne wdrożenie poprzez dostosowanie licznych aktów prawnych, w tym regulacji dotyczących sektora ubezpieczeń.

Nowe przepisy wzmacniają kompetencje Komisji Nadzoru Finansowego, która uzyskuje uprawnienia kontrolne, nadzorcze oraz sankcyjne wobec podmiotów objętych DORA. Wprowadzenie obowiązków sprawozdawczych, procedur kontrolnych oraz mechanizmów egzekwowania zgodności z regulacją unijną ma na celu zapewnienie jednolitego poziomu bezpieczeństwa operacyjnego w całym sektorze finansowym.