Planowane jest uchylenie obecnych rekomendacji i wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, które mają zastosowanie do podmiotów finansowych objętych wymogami Rozporządzenia DORA¹. Zaplanowane jest również odwołanie komunikatu UKNF dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej („Komunikat chmurowy”). 

Powód uchylenia

Uchylenie wspomnianych aktów oraz odwołanie Komunikatu chmurowego wynika ze zbieżności ich zakresu przedmiotowego z obowiązkami wynikającymi z Rozporządzenia DORA oraz powiązanych z nim aktów wykonawczych. Dodatkowo są to akty tzw. soft law i nie są źródłami prawa powszechnie obowiązującego, w przeciwieństwie do Rozporządzenia DORA. 

Planowane przez UKNF działania pozwolą zatem uniknąć wątpliwości interpretacyjnych, które mogłyby wystąpić w przypadku obowiązywania przepisów prawa powszechnie obowiązującego oraz dotychczasowych aktów o charakterze tzw. soft law. Przyczynią się także do ograniczenia obciążeń regulacyjnych, jakie w obszarze operacyjnej odporności cyfrowej mają zastosowanie do podmiotów nadzorowanych przez KNF.

Akty planowane do uchylenia i odwołania

• Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach,
• Rekomendacja D-SKOK dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w firmach inwestycyjnych,
• Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego,
• Komunikat Urzędu Komisji Nadzoru Finansowego z dnia 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

O terminie uchylenia UKNF poinformuje w odrębnej informacji.

Spójne podejście UE

Podobne analizy zbieżności zakresu przedmiotowego wytycznych w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT oraz wytycznych w sprawie outsourcingu do dostawców usług w chmurze obliczeniowej z Rozporządzeniem DORA przeprowadzane są przez Europejskie Urzędy Nadzoru.

Planowane uchylenie Rekomendacji i wytycznych oraz odwołanie Komunikatu chmurowego odpowiada na potrzebę podjęcia na szczeblu krajowym działań spójnych z podejściem do definiowania wymogów zarządzania ryzykiem związanym z ICT, jakie w związku z Rozporządzeniem DORA można obserwować na poziomie prawodawstwa europejskiego.

Zgodnie z motywem 8 Rozporządzenia DORA, rozbudowanie jednolitego zbioru przepisów i systemu nadzoru, tak aby uwzględniały one również operacyjną odporność cyfrową, ma na celu wzmocnienie kompetencji właściwych organów – w tym KNF – aby umożliwić im sprawowanie nadzoru w zakresie zarządzania ryzykiem związanym z ICT w sektorze finansowym i chronić integralność oraz efektywność rynku wewnętrznego, a także ułatwić jego należyte funkcjonowanie. 

Motyw  9 Rozporządzenia DORA wskazuje, że rozbieżności legislacyjne i niejednolite krajowe podejścia regulacyjne lub nadzorcze do ryzyka związanego z ICT powodują powstanie przeszkód dla funkcjonowania rynku wewnętrznego usług finansowych, utrudniając sprawne korzystanie ze swobody przedsiębiorczości i swobody świadczenia usług podmiotom finansowym prowadzącym działalność transgraniczną. Brak spójności wynikający ze zmian planowanych na szczeblu krajowym mógłby spowodować dalsze przeszkody dla funkcjonowania rynku wewnętrznego ze szkodą dla uczestników rynku i stabilności finansowej. 

Również motyw 11 Rozporządzenia DORA wskazuje konieczność dalszej harmonizacji najważniejszych wymogów w zakresie operacyjnej odporności cyfrowej dla wszystkich podmiotów finansowych. Sygnalizuje także cel Rozporządzenia DORA, którym jest przyczynienie się do sprawnego funkcjonowania rynku wewnętrznego. 

W motywie 14 Rozporządzenia DORA podkreślono, że pomaga ono ograniczyć stopień złożoności regulacyjnej, wspiera spójność w zakresie nadzoru, zwiększa pewność prawa, a także przyczynia się do ograniczenia kosztów przestrzegania przepisów, zwłaszcza dla podmiotów finansowych prowadzących działalność transgraniczną i do zmniejszenia zakłóceń konkurencji. 

Wybór rozporządzenia na potrzeby ustanowienia wspólnych ram operacyjnej odporności cyfrowej podmiotów finansowych jest odpowiednim sposobem zagwarantowania jednolitego stosowania wszystkich elementów zarządzania ryzykiem związanym z ICT przez unijny sektor finansowy.

______________________
¹Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011