Rozporządzenie DORA to wciąż dla wielu podmiotów finansowych oraz ich dostawców usług z sektora ICT pieśń przyszłości. Tymczasem zegar tyka i do wejścia nowych przepisów w życie zostało bardzo mało czasu. – Te podmioty sektora finansowego, które nie będą zgodne z rozporządzeniem w godzinie zero, boleśnie odczują to m. in. w swoich bilansach. Właśnie opublikowano projekt dostosowujący polskie ustawy do nowego prawa, gdzie określono surowe kary za nieprzestrzeganie DORA – wskazuje Katarzyna Armińska-Waszczyk z kancelarii Armińska Radcowie Prawni.
DORA (ang. The Digital Operational Resilience Act), czyli unijne rozporządzenie o operacyjnej odporności cyfrowej sektora finansowego, zawiera szereg regulacji dotyczących kontroli i nadzoru, a także możliwości zastosowania kar administracyjnych i środków naprawczych. Mogą zostać one użyte w stosunku do wszystkich podmiotów rynku finansowego, które mają obowiązek stosować przepisy DORA.
Osobną kategorią kar mogą zostać objęci kluczowi zewnętrzni dostawcy usług ICT (ang. Information and Communication Technologies – pol. technologie informacyjno-telekomunikacyjne – przyp. red.). W ich przypadku system nadzoru i kar jest nieodłącznym elementem tzw. ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT – jednego z kluczowych filarów DORA – przypomina Katarzyna Armińska-Waszczyk z kancelarii Armińska Radcowie Prawni.
Dostęp do dokumentów, kontrole i przesłuchania
Katarzyna Armińska-Waszczyk tłumaczy, że przestrzegania zasad zgodności z DORA pilnować ma Komisja Nadzoru Finansowego (na stronie internetowej KNF można już znaleźć serwis poświęcony DORA).
O karach administracyjnych i środkach naprawczych za nieprzestrzeganie rozporządzenia DORA będą decydować państwa członkowskie w przyjętych przez siebie aktach prawnych. Te akty nie będą działać w próżni, ponieważ DORA zawiera szereg wytycznych i zasad, które muszą być spełnione w celu prawidłowego sprawowania nadzoru – wyjaśnia ekspertka.
Wiadomo już, że Komisja Nadzoru Finansowego będzie miała szerokie uprawnienia, w tym:
- dostęp do wszelkich dokumentów lub danych, które uzna za istotne z punktu widzenia wykonywania swoich obowiązków;
- możliwość dochodzenia lub kontroli na miejscu. W ramach tych czynności przedstawiciele podmiotów finansowych mogą być wzywani do złożenia ustnych lub pisemnych wyjaśnień, a każda osoba fizyczna lub prawna, która będzie miała stosowną wiedzę, będzie mogła być przesłuchana w celu zbierania informacji będących przedmiotem dochodzenia, o ile wyrazi na to zgodę;
- zastosowanie środki naprawczych w odniesieniu do naruszeń wymogów rozporządzenia DORA.
Więcej wiadomości na temat regulacji unijnych
Kara maksymalna: 21 mln zł
Rządowe Centrum Legislacji 18 kwietnia opublikowało projekt dostosowujący polskie ustawy do DORA. Jak referuje Katarzyna Armińska-Waszczyk, do zestawu narzędzi dostępnych KNF należeć więc będzie między innymi wydanie danemu podmiotowi nakazu zaprzestania działań naruszających rozporządzenie oraz powstrzymania się od ponownego podejmowania tego postępowania.
W grę wchodzi też zakaz pełnienia funkcji członka zarządu, rady nadzorczej albo innej funkcji kierowniczej osobie odpowiedzialnej za naruszenie przez okres od miesiąca do roku.
Ostatecznym środkiem, który będzie mógł zastosować organ nadzoru w razie notorycznych naruszeń będą kary pieniężne. W przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej może być to nawet kwota 20 869 500 zł lub 10 proc. przychodów netto z ostatniego roku, a w przypadku osoby fizycznej nawet 3 042 410 zł – informuje ekspertka kancelarii Armińska Radcowie Prawni.
I ostrzega, że DORA przewiduje także wydawanie publicznych ogłoszeń, w ramach których mogą zostać ujawnione do wiadomości publicznej informacje wskazujące tożsamość osoby oraz charakter naruszenia. Dotyczy to także danych osoby fizycznej, na przykład prezesa spółki, w której stwierdzono naruszenie.
Maksymalna kara finansowa
Katarzyna Armińska-Waszczyk zauważa, że procedury, stosowanie środków naprawczych i kar administracyjnych są znane przedsiębiorstwom z innych aktów prawnych, choćby z implementacji do polskiego prawa RODO.
W podobny sposób kwestie te rozstrzyga DORA w odniesieniu do podmiotów finansowych. Stąd ustalając rodzaj i poziom kary administracyjnej lub środka naprawczego, organ nadzoru bierze pod uwagę zakres, to, czy naruszenie ma charakter umyślny, czy jest wynikiem zaniedbania oraz szereg innych okoliczności – wymienia radczyni prawna.
W efekcie zanim Komisja Nadzoru Finansowego zdecyduje o karze dla podmiotu nieprzestrzegającego lub niedostosowanego do wymagań DORA, w pierwszej kolejności weźmie pod uwagę takie czynniki jak:
- istotność naruszenia, jego wagę oraz czas trwania;
- stopień przyczynienia się osoby fizycznej lub prawnej do naruszenia, a także sytuację finansową osoby odpowiedzialnej za doprowadzenie do niezgodności lub naruszenia;
- skalę korzyści uzyskaną przez podmiot finansowy albo skalę strat, a także, o ile będzie można to ustalić, straty poniesione przez osoby trzecie w wyniku naruszenia.
Organ będzie brał również pod uwagę, w jakim zakresie podmiot z nim współpracował oraz czy wcześniej już miały miejsce naruszenia, czy jest to może pierwszy taki przypadek – dodaje Katarzy Armińska-Waszczyk.
Kary nie ominą dostawców usług ICT
Ramy nadzoru nad zewnętrznymi dostawcami usług teleinformatycznych przewidują postępowanie oraz kary dla szczególnej kategorii podmiotów wyznaczonych zgodnie z odpowiednimi przepisami DORA.
Wiodący organ nadzorczy (wskazany przez Europejski Urząd Nadzoru Bankowego) posiada szczególne uprawnienia wobec wskazanych dostawców usług ICT, które obwarowane są oddzielnym rodzajem kar. To tzw. okresowa kara pieniężna, która jest nakładana za każdy dzień, do czasu zastosowania się do środków wskazanych przez wiodący organ nadzorczy. Jej wysokość może wynieść maksymalnie 1 proc. średniego dziennego światowego obrotu kluczowego dostawcy usług ICT w poprzedzającym roku obrotowym – tłumaczy ekspertka.
Za co można otrzymać taką karę? Za całkowite lub częściowe niedostosowanie się do środków, które podmiot powinien podjąć w wyniku tego, że wiodący organ nadzorczy na przykład wystąpi z wnioskiem o przekazanie stosownych informacji i dokumentów, będzie prowadził ogólne dochodzenia i kontrole, wystąpi z wnioskiem o złożenie sprawozdań po zakończeniu działań nadzorczych albo wyda zalecenia dotyczące wskazanych obszarów.
Kara ta nie może być stosowana dłużej niż przez sześć miesięcy po powiadomieniu kluczowego zewnętrznego dostawcy usług ICT o decyzji nakładającej tę karę – zaznacza Katarzyna Armińska-Waszczyk
Do wejścia DORA zostało kilka miesięcy
Dokładny zakres kar administracyjnych i środków naprawczych, związanych z nieprzestrzeganiem założeń DORA poznamy do 17 stycznia 2025 roku. To termin, w którym państwa członkowskie muszą powiadomić Komisję Europejską o przepisach ustawowych, wykonawczych i administracyjnych wykonujących przepisy rozdziału dotyczącego kar i postępowań w sprawach o naruszenie. Jak wyjaśnia ekspertka kancelarii Armińska Radcowie Prawni, wtedy będzie też wiadomo, czy Polska zdecyduje się na pozostanie przy środkach administracyjnych, czy przyjmie przepisy karne odnoszące się do naruszeń wymogów DORA.
Wszyscy pamiętamy, jaką rewolucję kilka lat temu wywołało wejście w życie rozporządzenia RODO. Zmiany wprowadzone przez DORA będą podobnej skali, bo jest to akt będący ważnym elementem transformacji cyfrowej i cyberbezpieczeństwa całej Unii Europejskiej. Największe podmioty finansowe oraz ich podwykonawcy od dawna pracują już nad audytem swoich procedur i szkolą swoje zespoły wiedząc, że do wymaganych zmian nie da się dostosować w miesiąc czy dwa – ostrzega Katarzyna Armińska-Waszczyk.
I dodaje, że zwłoka w tej sprawie może wywołać poważne konsekwencje i w obszarze odporności cyfrowej, i finansowe w postaci kar.