KNF planuje uchylenie niektórych rekomendacji i wytycznych w związku z DORA | Co do zasady

Komisja Nadzoru Finansowego poinformowała na swojej stronie internetowej, że planuje uchylić obecne rekomendacje i wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, które mają zastosowanie do podmiotów finansowych objętych wymogami rozporządzenia DORA (ang. Digital Operational Resilience Act)^[1].

Ponadto zaplanowane jest również odwołanie komunikatu Urzędu Komisji Nadzoru Finansowego („UKNF”) dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej (tzw. „Komunikat chmurowy”). Mowa więc o aktach, których adresatami są podmioty z sektora finansowego, w szczególności banki, zakłady ubezpieczeń oraz firmy inwestycyjne.

Powód uchylenia

KNF wskazuje, że planowane uchylenie wybranych aktów wynika ze zbieżności ich zakresu przedmiotowego z obowiązkami wynikającymi z rozporządzenia DORA oraz powiązanych z nim aktów wykonawczych. Poza tym Komisja zwraca uwagę, że uchylane akty należą do tzw. soft law i nie są źródłami prawa powszechnie obowiązującego, w przeciwieństwie do rozporządzenia DORA. Planowane działania mają pozwolić uniknąć wątpliwości interpretacyjnych, które mogłyby wystąpić w przypadku obowiązywania przepisów prawa powszechnie obowiązującego oraz dotychczasowych aktów o charakterze tzw. soft law. Przyczynią się także do ograniczenia obciążeń regulacyjnych, jakie w obszarze operacyjnej odporności cyfrowej mają zastosowanie do podmiotów nadzorowanych przez KNF.

Akty planowane do uchylenia lub odwołania:

• Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach,
• Rekomendacja D-SKOK dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w firmach inwestycyjnych,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego,
• Komunikat Urzędu Komisji Nadzoru Finansowego z dnia 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

O dokładnym terminie uchylenia / odwołania wskazanych aktów UKNF ma poinformować w odrębnej informacji.

Spójne podejście UE

Organ nadzoru podkreśla również, że podobne analizy zbieżności zakresu przedmiotowego rozporządzenia DORA z wytycznymi w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT oraz wytycznymi w sprawie outsourcingu do dostawców usług w chmurze obliczeniowej przeprowadzane są przez europejskie urzędy nadzoru. Planowane uchylenie rekomendacji i wytycznych oraz odwołanie Komunikatu chmurowego odpowiada na potrzebę podjęcia na szczeblu krajowym działań spójnych z podejściem do definiowania wymogów zarządzania ryzykiem związanym z ICT, jakie w związku z rozporządzeniem DORA można obserwować na poziomie prawodawstwa europejskiego.

DORA już niebawem

Rozporządzenie DORA, którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym, będzie stosowane od 17 stycznia 2025 r.

Mateusz Kosiorowski, adwokat, Klaudiusz Mikołajczyk, praktyka ubezpieczeniowa kancelarii Wardyński i Wspólnicy