Rozporządzenie DORA (ang. Digital Operational Resilience Act), które stanowi przedmiot omówienia w niniejszym wpisie jesteuropejskim rozporządzeniem i stanowi swoistą część innowacyjnejstrategii ukierunkowanej przede wszystkim na sektor finansowy w ramach Unii Europejskiej, która ma zmienić obraz świadczonych usług finansowych i przekształcić go w jednolity rynek cyfrowy. Zasadniczym założeniem stojącym za wprowadzeniem omawianego tu rozporządzenia jest dążenie do zwiększenia odporności sektora finansowego na ewentualną materializację ryzyka dotyczącegoszeroko rozumianego cyberbezpieczeństwa, jak również innych zagrożeń operacyjnych, do których można zaliczyć m.in. awarie techniczne. Projekt rozporządzenia DORA został przyjęty przez Radę Unii Europejskiej 28 listopada 2022 roku. Z treści rozporządzenia wynika, iż przewidziano 24-miesięczne vacatio legis, a to oznacza, że zacznie ono obowiązywać 17 stycznia 2025 roku.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. U. UE. L. z 2022 r. Nr 333, str. 1). (dalej jako: rozporządzenie DORA), weszło w życie 16 stycznia 2023 r. i będzie mieć zastosowanie do podmiotów takich, jak np. instytucje kredytowe (w tym banki), instytucje płatnicze, firmy inwestycyjne, dostawy usług w zakresie udostępniania informacji czy zakładyubezpieczeń i zakłady reasekuracji oraz pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające. Zasadniczym celem Rozporządzenie DORA jest ujednolicenie podejścia do zagadnień związanych z cyberbezpieczeństwem w wyżej wymienionych podmiotach. Rozporządzenie DORA ma funkcjonować w oparciu o stosowanie zasady proporcjonalności, przede wszystkim w zakresie spełnianiaobowiązków nakładanych przez samo rozporządzenie. W konsekwencji najszerszy zakres obowiązków będzie nałożony na instytucje kredytowe, tj. banki, które aktualnie, co warto podkreślić, podlegają aktualnie obostrzeniom dotyczącym cyberbezpieczeństwa.

Należy zauważyć, iż to właśnie banki aktualnie spełniają częściowo wymogi wynikające z treści rozporządzenia DORA, jak np. te dotyczące kształtowania strategii związanych z wychodzeniem z relacji z dostawcą. Obowiązki te działają na zasadzie oparcia na ryzyku, a tym samym uwypuklone zostaje znaczenie zasady proporcjonalności, które uregulowano w treści art. 4 rozporządzenia DORA. Większość szczegółowych obowiązków wynikających z rozporządzenia DORA będzie ustalanych w momencie opracowywania regulacyjnych standardów technicznych. Należy podkreślić, iż, co wynika z pkt. 99 preambuły rozporządzenia DORA, regulacyjne standardy techniczne powinny zapewniać spójną harmonizację wymogów ustanowionych w tymże rozporządzeniu.

Warto podkreślić, że choć ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej jako: pr. bank.) nie definiuje ani nie nakłada szczegółowych obowiązków kształtujących w sposób bezpośredniprocedury bądź strategie pozwalające zwiększać odporność bankówna wszelakie zagrożenia o charakterze cyfrowym, to zgodnie z treściąart. 9 ust. 3 pkt 1 pr. bank. na banku spoczywa obowiązek wprowadzenia i utrzymywania systemu zarządzania ryzykiem.Oznacza to, że wymogi nakładane przez brzmienie chociażby art. 5 rozporządzenia DORA, zgodnie z którego treścią w celu osiągnięcia wysokiego poziomu operacyjnej odporności cyfrowej, podmioty finansowe mają posiadać wewnętrzne ramy zarządzania i kontrolizapewniające skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z technologią informacyjno-komunikacyjną, nie będą stanowić dla banków rewolucyjnego punktu zwrotnego, zwłaszcza, iż rozporządzenie DORA posługuje się pojęciem ryzykazidentyfikowanego u danego podmiotu finansowego. Warto także podkreślić, iż zgodnie z treścią art. 15 rozporządzenia DORAEuropejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu i w porozumieniu z Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), zostają zobowiązane do opracowania wspólnych projektów regulacyjnych standardów technicznych. 

W przypadku outsourcingu, co należy zaznaczyć, zasada ustalona w treści art. 29 rozporządzenia DORA, określająca konieczność kontraktowania z podmiotami trzecimi, które świadczą usługi związane z technologią informacyjno-komunikacyjną, stanowić ma uzupełnienie przepisów sektorowych mających zastosowanie do outsourcingu. W rezultacie będzie to skutkować dużo bardziej rygorystycznym podejściem w tym zakresie. W przypadku banków kwestie te zostały już przecież uregulowane w art. 6b i następnych pr.bank. Jak wynika z treści przywołanego już art. 6b pr. bank. nie można wyłączyć ani ograniczyć odpowiedzialności przedsiębiorcy lub przedsiębiorcy zagranicznego wobec banku za szkody wyrządzone klientom na skutek niewykonania lub nienależytego wykonania umowy. Brzmienie tego przepisu oraz pozostałe regulacje w prawie bankowym świadczą o szerokim obwarowaniu regulacyjnym kwestii związanych z outsourcingiem. 

Postanowienia zawarte w rozporządzeniu DORA odnoszą się przede wszystkim do elementów związanych z zawieraniem umów związanych z korzystaniem z usług wykorzystujących technologięinformacyjno-komunikacyjną, przede wszystkim w celu prowadzenia działalności gospodarczej podmiotów finansowych.

Wszystko to oznacza, że rozporządzenie DORA będzie obligowało do podjęcia większej liczby działań podmioty niebankowe, lecz związane bezpośrednio z sektorem finansowym. Pewne wątpliwości mogą powstać na skutek konieczności zajęcia stanowiska przez Komisję Nadzoru Finansowego w kwestiach, które dotychczas zostały już określonego w wydawanych przez ten organ rekomendacjach, a ponadto pokrywają się zakresem zastosowania z treścią rozporządzenia DORA. Na ostateczne ukształtowanie kierunków zmian i nałożonych obowiązków wobec podmiotów podlegających nadzorowi Komisji Nadzoru Finansowego będzie jednak trzeba jeszcze poczekać.