Od 17 stycznia 2025 roku obowiązuje DORA. To akt, który obejmuje wiele podmiotów i znacząco oddziałuje na rynek, stąd wiele dyskusji towarzyszyło jego wdrażaniu.

DORA, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/2011, ma na celu ujednolicenie na poziomie unijnym podejścia regulacyjnego do zarządzania ryzykiem związanym z ICT. Jej zakres przedmiotowy dotyczy w szczególności:  budowania dojrzałych ram zarządzania operacyjną odpornością cyfrową, współpracy z zewnętrznymi dostawcami usług ICT, zgłaszania poważnych incydentów ICT, a także testowania operacyjnej odporności cyfrowej.

Uchylone akty soft low

W związku z obowiązywaniem nowych przepisów Urząd Komisji Nadzoru Finansowego uchylił dotychczasowe akty soft law[1]:

– Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z 16 grudnia 2014 r.,

– Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23 stycznia 2020 r.

Na analogiczne rozwiązanie zdecydował się Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), który 19 grudnia 2024 r. zapowiedział uchylenie z dniem rozpoczęcia obowiązywania DORA dwóch wydanych wcześniej aktów nadzorczych: Wytycznych dotyczących bezpieczeństwa oraz zarządzania technologiami informacyjno-komunikacyjnymi (EIOPA-BoS-20/600), a także Wytycznych dotyczących outsourcingu do dostawców usług chmury obliczeniowej (EIOPA-BoS-20-002).

Ewolucja czy rewolucja?

W trakcie prac nad dostosowaniem, DORA budziła wiele wątpliwości interpretacyjnych. Nieostre granice definicji „usługi ICT” czy „krytycznych lub istotnych funkcji” to przykłady zagadnień, wokół których toczyły się dyskusje prawne. Jednak DORA to akt, który porządkuje i – w myśl celu postanowionego sobie przez organy unijne – prowadzi do standaryzacji metod i praktyk zarządzania ryzykiem ICT w Unii Europejskiej. Skala regulacji oraz wyzwań interpretacyjnych, jakie niesie, nie powinny przyćmić tej pozytywnej oceny.

A jak daleko DORA wpłynie na poszczególnych uczestników rynku finansowego?  Regulacja dotyka bardzo różnych podmiotów – od największych działających na rynku finansowym po przedsiębiorców świadczących usługi w znacznie mniejszej skali. Wpływ na poszczególne instytucje zależy niewątpliwie od skali, w jakiej prowadzą działalność oraz zdobytej przez nie wcześniej dojrzałości.

Na początku 2023 r. w ramach Polskiej Izby Ubezpieczeń powołaliśmy Zespół ds. DORA, w składzie którego znaleźli się przedstawiciele niemal wszystkich zakładów ubezpieczeń. Zespół opracował standardowe postanowienia umowne, które można wykorzystać  w trakcie rozmów z zewnętrznymi dostawcami usług ICT. Opracował też wspólną wykładnię wybranych obowiązków z zakresu zarządzania ryzykiem ICT.

Największe wyzwania DORA

Począwszy od 17 stycznia, zakłady ubezpieczeń oraz pozostałe instytucje objęte zakresem podmiotowym DORA zobowiązane są m.in. do realizacji określonych obowiązków sprawozdawczych. To jedne z większych wyzwań organizacyjnych dla zakładów ubezpieczeń. Dotyczą one w szczególności powiadamiania o poważnych incydentach ICT, a następnie przekazywania sprawozdań śródokresowych oraz końcowych, a także zgłaszania planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających krytyczne lub istotne funkcje[2].

Sporo wyzwań może wiązać się z koniecznością sporządzenia kompletnego rejestru informacji, o którym mowa w art. 28 ust. 3 DORA. Szczególne uwarunkowania i wymogi względem tego rejestru określa Rozporządzenie wykonawczego Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. ustanawiającego wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacji. Najpewniej termin przekazania kompletnej ewidencji umów ICT do Komisji Nadzoru Finansowego wyznaczony zostanie na kwiecień 2025 r. Przedstawiany rejestr powinien zawierać dane aktualne na 31 marca 2025 r. Jako pozytywny i oczekiwany krok ocenić należy walidację, którą lokalny organ nadzoru przeprowadzi przed przekazaniem zestawienia Europejskim Organom Nadzoru (EUN).

Współpraca z zewnętrznymi dostawcami usług ICT

DORA wpłynie na współpracę zakładów ubezpieczeń z zewnętrznymi dostawcami usług ICT. To również jedno z wyzwań. Wprawdzie wymogi wprowadzone w tym zakresie przez DORA nie są dla rynku nowością. Wcześniej obowiązywały przecież wspomniane już akty soft law[3] czy przepisy Ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej dotyczące umów outsourcingowych. DORA jednak o wiele bardziej szczegółowo określa działania związane z podwykonawstwem, oceną ryzyka, w tym ryzyka koncentracji w obszarze ICT, czy zapewnieniem właściwych postanowień umownych. Na ten obszar nakłada się też niepewność regulacyjna wynikająca z opóźnionych prac nad częścią standardów technicznych. Wpłynęło to na harmonogramy projektów dostosowawczych prowadzonych w wielu podmiotach nadzorowanych.

Zarządzanie ryzykiem ICT

Kolejne istotne zagadnienie, które obejmuje i zmienia DORA, to ryzyko strony trzeciej w obszarze ICT. Dotyczą tego przepisy zakładające budowanie i utrzymywanie ram zarządzania ryzykiem ICT. Od strony procesowo-technologicznej szczegółowe obowiązki nakreślone zostały w treści Rozporządzenia delegowanego Komisji (UE) 2024/1774 z dnia 13 marca 2024 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających narzędzia, metody, procesy i polityki zarządzania ryzykiem związanym z ICT oraz uproszczone ramy zarządzania ryzykiem związanym z ICT. DORA uwzględnia tu również wiele kazuistycznych obowiązków wynikających z tzw. lessons learnt, wśród których na szczególne miejsce zasługują cykliczne przeglądy ram zarządzania ryzykiem, czy przeglądy incydentów, o których mowa w art. 13 DORA.

Co przed nami?

To, co dziś wiemy i co już obowiązuje, nie wyczerpuje wszystkich zmian, jakie niesie DORA. W perspektywie najbliższych miesięcy zakończą się prace legislacyjne nad polską ustawą horyzontalną – Ustawą o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emisji europejskich zielonych obligacji, która dostosuje nasz porządek prawny do nowego rozporządzenia. Na zarządzanie ryzykiem ICT wpływać też będą przyjęte w ślad za DORA inne regulacje unijne, takie jak Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji). Pełna ocena ich skutków i działania rynku pod nowym reżimem będzie również możliwa dopiero za jakiś czas.

[1] Patrz: Stanowisko Urzędu Komisji Nadzoru Finansowego dotyczące stosowania przez podmioty finansowe Rozporządzenia DORA, wydane 31 grudnia 2024 r.

[2] Pełen katalog raportów oczekiwanych już w pierwszych miesiącach obowiązywania DORA opisany został na str. 4 – 7 Stanowiska Urzędu Komisji Nadzoru Finansowego dotyczącego stosowania przez podmioty finansowe Rozporządzenia DORA.

[3] Dotychczasowe wymogi dotyczące nadzoru and zewnętrznymi dostawcami usług ICT regulowała m.in. Wytyczna 10 z Wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z 16 grudnia 2014 r.