Wdrożenie DORA bez przeregulowania

Wdrożenie rozporządzenia DORA bez zbędnych obostrzeń zwiększy atrakcyjność Polski dla inwestorów zagranicznych. Obecny projekt wprowadza nadmierne uprawnienia kontrolne KNF wobec wszystkich dostawców usług ICT, podczas gdy rozporządzenie unijne ogranicza je tylko do kluczowych podmiotów. Eliminacja tych nadmiarowych regulacji zmniejszy obciążenia administracyjne dla firm z sektora finansowego i ich dostawców technologicznych. Dzięki temu Polska stanie się bardziej konkurencyjna na tle innych krajów UE, które nie wprowadzają dodatkowych wymogów ponad unijne standardy.

Obecnie brak regulacji krajowych w zakresie odporności cyfrowej sektora finansowego. Pomimo terminu implementacji rozporządzenia 2022/2554 (DORA) z dniem 17 stycznia 2025 r. dotychczas nie uchwalono przepisów krajowych. Przepisy rozporządzenia 2022/2554 (DORA) obowiązują wprost.

Projektowane przepisy art. 18ze, które odnoszą się do art. 35 ust. 1 lit. d) rozporządzenia 2022/2554 (DORA), wskazują na ryzyko uznania przez Komisję Nadzoru Finansowego, iż zalecenia odnoszące się do dostawców usług ICT (w rozumieniu art. 13 pkt 9 rozporządzenia 2022/2554) i związane z tym konsekwencje (włącznie z możliwością podjęcia przez KNF zgodnie z art. 42 ust. 6 decyzji nakazującej podmiotowi finansowemu tymczasowe zawieszenie w całości albo w części korzystania z usług świadczonych przez dostawcę, wypowiedzenie w części lub w całości stosownych ustaleń umownych) – dotyczą wszystkich zewnętrznych dostawców usług ICT, podczas gdy art. 35 ust. 1 lit. d) rozporządzenia 2022/2554 (DORA) odnosi się wprost do kluczowych zewnętrznych dostawców usług ICT (w rozumieniu art. 13 pkt 23 rozporządzenia 2022/2554). W tym kontekście uprawnienia KNF, o których mowa w projektowanym art. 18ze, mogą być odczytane jako rozszerzające się na wszystkich dostawców usług ICT – celowym byłoby doprecyzowanie tych postanowień poprzez odwołanie się w art. 18ze wprost do kluczowych zewnętrznych dostawców usług ICT, tak aby nie budziło to ewentualnych wątpliwości interpretacyjnych. W odniesieniu do czynności kontrolnych, o których mowa w projektowanych przepisach art. 18za, w ust. 4 określono zakres czynności kontrolnych, który może być realizowany przez pracowników KNF i zakres ten jest szerszy niż minimalne wymagania w tym zakresie wynikające z art. 50 ust. 2 rozporządzenia 2022/2554 (DORA). W szczególności w tym kontekście wydają się nadmiarowe uprawnienia KNF w odniesieniu do „wglądu do systemów i sieci teleinformatycznych, urządzeń, informacji i danych związanych z ICT oraz danych zawartych w systemie informatycznym, związanych z przedmiotem kontroli, w zakresie niezbędnym do przeprowadzenia i zakończenia kontroli”. Takie uprawnienia KNF są wprost przewidziane w rozporządzeniu 2022/2554 (DORA), ale w odniesieniu do kluczowych zewnętrznych dostawców usług ICT (art. 39) i w odniesieniu do tych podmiotów wydają się być rzeczywiście uzasadnione, natomiast w odniesieniu do podmiotów finansowych czynności kontrolne mogą być efektywnie realizowane przez KNF w oparciu o narzędzia przewidziane w art. 50 ust. 2 rozporządzenia 2022/2554 (DORA). Dodatkowo w projektowanych przepisach art. 18zi wskazano, że „Do kontroli, o której mowa w art. 18za ust. 1, w zakresie nieuregulowanym w niniejszym rozdziale stosuje się przepisy w zakresie kontroli danego rodzaju podmiotu finansowego".

Okoliczność, że polska „implementacja” Rozporządzenia DORA jest bardziej restrykcyjna niż „implementacje” w innych państwach członkowskich UE sprawia, że inwestorzy zagraniczni nisko oceniają Polskę jako lokację inwestycyjną i kierują swoje inwestycje bezpośrednie do innych państw członkowskich Unii Europejskiej. Przeregulowanie obniża atrakcyjność Polski na arenie międzynarodowej; gdzie standardem jest wykorzystywanie przez inwestorów zagranicznych, przed podjęciem decyzji o inwestycji bezpośredniej, analiz dotyczących atrakcyjności prawnej i regulacyjnej danego państwa członkowskiego UE.

Propozycja zakłada usunięcie lub doprecyzowanie zapisów w ustawie wdrażającej DORA, które rozszerzają unijne wymogi na wszystkich dostawców ICT i przewidują nadmiarowe uprawnienia KNF. Celem jest spójność z prawem UE i uniknięcie obniżenia atrakcyjności regulacyjnej Polski.