Podmioty finansowe (w rozumieniu przepisów Rozporządzenia DORA) powinny przekazywać do Komisji Nadzoru Finansowego (KNF) odpowiednie sprawozdania i informacje w celu wykonania ciążących na nich obowiązków w ramach tego rozporządzenia. Omawiane obowiązki sprawozdawcze powinny być realizowane przez podmioty finansowe od 17 stycznia 2025 roku za pośrednictwem udostępnionych przez Urząd Komisji Nadzoru Finansowego (UKNF) kanałów komunikacji. Kategorie podmiotów finansowych zobowiązanych do stosowania przepisów Rozporządzenia DORA, a tym samym realizowania obowiązków sprawozdawczych, zostały określone w art. 2 oraz art. 16 Rozporządzenia DORA. 

Cele sprawozdawczości:

• wymiana danych w postaci cyfrowej pomiędzy podmiotami finansowymi a KNF - w zakresie wykonywania przez nie obowiązków określonych w przepisach Rozporządzenia DORA,
• umożliwienie KNF sprawowania nadzoru nad rynkiem finansowym w zakresie operacyjnej odporności cyfrowej poprzez realizację procesu komunikacji, sprawozdawczości oraz rozbudowanej analityki danych w sposób zautomatyzowany, niezawodny, ujednolicony oraz bezpieczny.

Pierwsze obowiązki sprawozdawcze od 17 stycznia 2025 roku

Nie wszystkie obowiązki sprawozdawcze będą wymagane już od 17 stycznia 2025 roku. W pierwszej kolejności podmioty finansowe powinny być przygotowane do realizowania obowiązków sprawozdawczych, w szczególności w zakresie obejmującym:

• SPR-PF-03_Sprawozdanie obejmujące kopie wyników testów ciągłości działania w zakresie ICT lub podobnych testów¹,
• SPR-PF-07_Wstępne powiadomienie i sprawozdanie dotyczące poważnych incydentów ICT,
• SPR-PF-08_Sprawozdanie śródokresowe dotyczące poważnych incydentów ICT,
• SPR-PF-09_Sprawozdanie końcowe dotyczące poważnych incydentów ICT,
• SPR-PF-10_Sprawozdanie dotyczące powiadomienia o znaczącym cyberzagrożeniu,
• SPR-PF-18_Sprawozdanie dotyczące pełnego rejestru informacji lub innego zakresu informacji zgodnie z żądaniem, 
• SPR-PF-19_Sprawozdanie dotyczące planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających krytyczne lub istotne funkcje,
• SPR-PF-20_Sprawozdanie dotyczące planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających funkcje, które stały się krytyczne lub istotne,
• SPR-PF-22_Powiadomienie o przystąpieniu (lub utracie członkostwa) do wymiany informacji o cyberzagrożeniach w zaufanych społecznościach podmiotów finansowych,

Ze względu na konieczność dalszego przekazywania w postaci cyfrowej sprawozdań przez właściwe organy krajowe do Europejskich Urzędów Nadzoru, kluczowe znaczenie będzie miało sprawozdawanie przez podmioty finansowe zgłoszeń dotyczących poważnych incydentów związanych z ICT oraz rejestrów informacji dotyczących umów z zewnętrznymi dostawcami usług ICT.  

Sprawozdawanie zgłoszeń poważnych incydentów związanych z ICT do Europejskich Urzędów Nadzoru będzie kluczowe dla długofalowego procesu budowania bezpieczeństwa i odporności na cyberataki w sektorze finansowym. Dzięki temu możliwe będzie szybkie podjęcie działań naprawczych, co może pomóc w minimalizacji negatywnych skutków zdarzenia dla danej organizacji oraz jej klientów. Informacje o incydentach pozwolą także na analizę przyczyn i wzorców zagrożeń, co przyczyni się do budowania lepszych strategii ochrony w przyszłości oraz dalszej możliwości prewencyjnego zabezpieczenia innych instytucji, potencjalnie narażonych na ten sam lub podobny atak. 

Sprawozdawanie informacji dotyczących umów z zewnętrznymi dostawcami usług ICT do Europejskich Urzędów Nadzoru będzie miało istotne znaczenie w procesie wyznaczania kluczowych zewnętrznych dostawców usług ICT.

Identyfikator LEI

W świetle przepisów aktów wykonawczych regulujących treść sprawozdań dotyczących poważnego incydentu związanego z ICT oraz rejestru informacji dotyczącego umów z zewnętrznymi dostawcami usług ICT² przewidują wymóg zawarcia w nich numeru LEI³ podmiotu finansowego. W związku z tym istotne jest, aby podmioty finansowe objęte wymogami Rozporządzenia DORA, które nie mają jeszcze identyfikatora LEI, wystąpiły o niego i uzyskały go przed 17 stycznia 2025 roku, tj. przed datą rozpoczęcia stosowania omawianego rozporządzenia, tak aby móc realizować obowiązki sprawozdawcze z niego wynikające. Uwzględniając kierunek wyznaczony przez prawodawcę europejskiego w ramach aktów wykonawczych, identyfikator ten będzie również wykorzystany w sprawozdawczości do KNF, jako numer pozwalający na identyfikację podmiotu finansowego.  

Obowiązek zgłaszania incydentów zgodnie z dyrektywą PSD2⁴ a przepisy Rozporządzenia DORA

Rozporządzenie DORA ustanawia również wymogi w zakresie raportowania poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami. Przepisy omawianego rozporządzenia zastępują określony w art. 32g ustawy o usługach płatniczych obowiązek zgłaszania incydentów w stosunku do dostawców usług płatniczych objętych zakresem stosowania Rozporządzenia DORA.

W związku z tym od 17 stycznia 2025 roku podmioty te powinny zgłaszać poważne incydenty operacyjne lub poważne incydenty bezpieczeństwa związane z płatnościami, w rozumieniu art. 3 pkt 11 Rozporządzenia DORA, w ramach mechanizmu raportowania wprowadzonego Rozporządzeniem DORA⁵.

Lp.	Podstawa prawna (DORA)	Nazwa formularza sprawozdawczego	Kategorie lub grupy podmiotów, których dotyczy sprawozdanie	Obligatoryjność sprawozdania	Częstotliwość
1.	Art. 50 ust. 1 Art. 50 ust. 2 lit. a)	SPR-PF-00 Sprawozdanie zawierające podstawowe informacje na temat podmiotu finansowego	Wszystkie podmioty finansowe	Na żądanie	W terminie wyznaczonym w żądaniu
2.	Art. 6.3	SPR-PF-01_Sprawozdanie dotyczące informacji na temat ryzyka ICT oraz ram zarządzania ryzykiem ICT	Wszystkie podmioty finansowe	Na żądanie	W terminie wyznaczonym w żądaniu
3.	Art. 4.3 Art. 6.5	SPR-PF-02_Sprawozdanie z przeglądu ram zarządzania ryzykiem ICT	Wszystkie podmioty finansowe, z wyłączeniem podmiotów określonych w art. 16.1 DORA	Na żądanie	W terminie wyznaczonym w żądaniu
4.	Art. 11.9	SPR-PF-03_Sprawozdanie obejmujące kopie wyników testów ciągłości działania w zakresie ICT lub podobnych testów	Centralne depozyty papierów wartościowych	Obligatoryjnie	W przypadku zajścia określonego zdarzenia
5.	Art. 11.10	SPR-PF-04_Sprawozdanie dotyczące rocznych kosztów i strat spowodowanych poważnymi incydentami ICT	Podmioty finansowe z wyłączeniem mikroprzedsiębiorstw	Na żądanie	W terminie wyznaczonym w żądaniu
6.	Art. 13.2	SPR-PF-05_Sprawozdanie dotyczące informacji o zmianach wprowadzonych w następstwie przeglądu po poważnym incydencie związanym z ICT	Podmioty finansowe z wyłączeniem mikroprzedsiębiorstw	Na żądanie	W terminie wyznaczonym w żądaniu
7.	Art. 4.3 Art. 16.2	SPR-PF-06_Sprawozdanie z przeglądu uproszczonych ram zarządzania ryzykiem ICT	Podmioty finansowe określone w art. 16.1 DORA	Na żądanie	W terminie wyznaczonym w żądaniu
8.	Art. 1.1.a pkt ii i iii Art. 19.1 Art. 19.4 Art. 19.5 Art. 22.1 Art. 23	SPR-PF-07_Wstępne powiadomienie i sprawozdanie dotyczące poważnych incydentów ICT	Wszystkie podmioty finansowe	Obligatoryjnie	Niezwłocznie, w ciągu 4 godz. od klasyfikacji incydentu związanego z ICT jako poważnego i nie później niż w ciągu 24 godzin od momentu, w którym podmiot finansowy dowiedział się na temat wystąpienia incydentu
9.	Art. 1.1.a pkt ii i iii Art. 19.1 Art. 19.4 Art. 19.5 Art. 22.1 Art. 23	SPR-PF-08_Sprawozdanie śródokresowe dotyczące poważnych incydentów ICT	Wszystkie podmioty finansowe	Obligatoryjnie	W ciągu 72 godz. od złożenia wstępnego powiadomienia dot. poważnego incydentu związanego z ICT
10.	Art. 1.1.a pkt ii i iii Art. 19.1 Art. 19.4 Art. 19.5 Art. 22.1 Art. 23	SPR-PF-09_Sprawozdanie końcowe dotyczące poważnych incydentów ICT	Wszystkie podmioty finansowe	Obligatoryjnie	Nie później niż miesiąc po złożeniu sprawozdania śródokresowego, bądź, gdy ma to zastosowanie, po złożeniu ostatniej aktualizacji sprawozdania śródokresowego
11.	Art. 19.2	SPR-PF-10_Sprawozdanie dotyczące powiadomienia o znaczącym cyberzagrożeniu	Wszystkie podmioty finansowe	Dobrowolnie	Po wystąpieniu znaczącego cyberzagrożenia
12.	Art. 28.3 (akapit 3)	SPR-PF-17_Sprawozdanie roczne na temat liczby nowych ustaleń dotyczących korzystania z usług ICT, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług ICT i obsługiwanych funkcji	Wszystkie podmioty finansowe	Obligatoryjnie	Raz w roku, w terminie określonym w decyzji Europejskich Urzędów Nadzoru
13.	Art. 28.3 (akapit 4)	SPR-PF-18_Sprawozdanie dotyczące pełnego rejestru informacji lub innego zakresu informacji zgodnie z żądaniem	Wszystkie podmioty finansowe	Na żądanie	W terminie wyznaczonym w żądaniu
14.	Art. 28.3 (akapit 5)	SPR-PF-19_Sprawozdanie dotyczące planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających krytyczne lub istotne funkcje	Wszystkie podmioty finansowe	Obligatoryjnie	W terminie 14 dni przed dniem związania się postanowieniami umownymi
15.	Art. 28.3 (akapit 5)	SPR-PF-20_Sprawozdanie dotyczące planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających funkcje, które stały się krytyczne lub istotne	Wszystkie podmioty finansowe	Obligatoryjnie	W terminie 14 dni od dnia, w którym dana funkcja stała się krytyczna lub istotna
16.	Art. 42.3 Art. 42.4	SPR-PF-21_Sprawozdanie dotyczące zarządzania ryzykiem zewnętrznych dostawców z uwzględnieniem ryzyka zidentyfikowanego w zaleceniach do CTPP (zgłoszonego uprzednio przez UKNF)	Wszystkie podmioty finansowe	Na żądanie	W terminie wyznaczonym w żądaniu
17.	Art. 45.1 Art. 45.3	SPR-PF-22_Powiadomienie o przystąpieniu (lub utracie członkostwa) do wymiany informacji o cyberzagrożeniach w zaufanych społecznościach podmiotów finansowych	Wszystkie podmioty finansowe	Obligatoryjnie	Po zatwierdzeniu członkostwa, w stosownych przypadkach, po ustaniu członkostwa, gdy stanie się ono skuteczne
18.	Art. 50.1 Art. 50.2.a	SPR-PF-26_Sprawozdanie kwartalne dotyczące Kluczowych wskaźników ryzyka dla obszaru ICT (Ankieta KRI kwartalna)	Podmioty nadzorowane stosujące pełne ramy zarządzania ryzykiem ICT	Obligatoryjnie	Kwartalnie
19.	Art. 50.1 Art. 50.2.a	SPR-PF-27_Sprawozdanie roczne dotyczące Kluczowych wskaźników ryzyka dla obszaru ICT (Ankieta KRI roczna)	Podmioty nadzorowane stosujące pełne ramy zarządzania ryzykiem ICT	Obligatoryjnie	Corocznie
20.	Art. 50.1 Art. 50.2.a	SPR-PF-30_Sprawozdanie roczne dotyczące Kluczowych wskaźników ryzyka dla obszaru ICT (Ankieta KRI roczna)	Podmioty nadzorowane stosujące uproszczone ramy zarządzania ryzykiem ICT	Obligatoryjnie	Corocznie

  

Obligatoryjność i terminy 

Terminy zostaną określone w przepisach prawa, w tym w ustawie o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji⁶ lub instrukcjach nadzorczych opracowywanych przez Urząd KNF.

Terminy składania wybranych sprawozdań przez podmioty finansowe mogą również wynikać z obowiązków sprawozdawczych nakładanych w drodze decyzji przez Europejskie Urzędy Nadzoru (Europejski Urząd Nadzoru Bankowego, Europejski Urząd Nadzoru Giełd i Papierów Wartościowych oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych) na organy właściwe, w tym KNF.

Sprawozdania związane z rozporządzeniem DORA można podzielić na:

• obligatoryjne,
• na żądanie,
• dobrowolne.

Ze względu na terminowość i obowiązki sprawozdawcze można podzielić na:

• sprawozdania realizowane na bieżąco w określonym terminie (np. przed planowanym działaniem lub po jego realizacji, czy też po wystąpieniu określonego zdarzenia), 
• sprawozdania okresowe (np. kwartalne, półroczne, roczne),
• sprawozdania do realizacji w wyznaczonym przez Urząd KNF terminie (np. w przypadku sprawozdań na żądanie).

Kanały komunikacji 

Rozpoczęcie pełnienia przez KNF funkcji właściwego organu w ramach rozporządzenia DORA istotnie zmieni proces sprawozdawczy oraz komunikację, a także wymianę informacji pomiędzy podmiotami finansowymi, organami krajowymi i organami unijnymi. 

Konieczne jest zapewnienie odpowiednich systemów i narzędzi IT do zautomatyzowanego pozyskiwania, rejestrowania, przetwarzania i analizowania nowego zakresu danych, które nie były dotychczas wymagane od podmiotów finansowych. W przygotowaniu odpowiedniej infrastruktury trzeba uwzględnić znaczne zwiększenie skali pozyskiwanych danych i informacji w stosunku do stanu dotychczasowego. Zautomatyzowana analiza danych pozyskiwanych od podmiotów finansowych, wyliczanie odpowiednich wskaźników oraz ich dalsze przetwarzanie będzie niezbędne do wykonywania zadań nadzorczych i przekazywania wybranych informacji do podmiotów finansowych oraz Europejskich Urzędów Nadzoru. 

Zapewnienie odpowiedniego środka wymiany informacji między UKNF a podmiotami finansowymi stanowi jeden z kluczowych warunków skutecznego sprawowania nadzoru nad realizowaniem przez podmioty finansowe obowiązków wynikających z Rozporządzenia DORA. Przy znacznej liczbie sprawozdawanych danych istotne będzie przekazywanie przez podmioty finansowe określonych i ustrukturyzowanych danych w postaci cyfrowej, a także w odpowiednim formacie. Dzięki temu możliwa będzie ich sprawna analiza dla potrzeb sprawowanego nadzoru, ale także realizowanie na szczeblu europejskim założeń współpracy właściwych organów krajowych z Europejskimi Urzędami Nadzoru (Europejskim Urzędem Nadzoru Bankowego, Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych oraz Europejskim Urzędem Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych). 

W celu umożliwienia sprawowania nadzoru nad rynkiem finansowym niezbędne będzie korzystanie przez podmioty finansowe z systemów oraz narzędzi IT Urzędu KNF, tak aby możliwa była realizacja procesu komunikacji, sprawozdawczości oraz analityki danych w sposób zautomatyzowany, ustrukturyzowany, niezawodny, ujednolicony, bezpieczny, a także zgodny z wytycznymi nadzoru europejskiego.

Sposób realizowania obowiązków sprawozdawczych

Powinny być one realizowane w postaci elektronicznej z wykorzystaniem kanałów komunikacji, w tym systemów teleinformatycznych i narzędzi IT, udostępnionych przez Urząd KNF, takich jak:

• System Sprawozdawczości DORA,
• System do zgłaszania poważnych incydentów ICT,
• kanał do komunikacji i wymiany informacji w zakresie testów TLPT, uzgodniony z podmiotami finansowymi. 

Urząd KNF udostępni przed 17 stycznia 2025 roku dodatkowe informacje dotyczące kanałów komunikacji przeznaczonych do przekazywania poszczególnych formularzy sprawozdawczych.

Artykuł odnosi się do przepisów rozporządzenia DORA oraz aktów wykonawczych obowiązujących na dzień opublikowania artykułu. Zakres przepisów istotnych dla obowiązków sprawozdawczych może ulec zmianie po opublikowaniu pozostałych aktów wykonawczych do rozporządzenia DORA oraz uchwaleniu projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Artykuł nie dotyczy przekazywania informacji między podmiotem finansowym a właściwym organem w związku z testami penetracyjnymi ukierunkowanymi przez analizę zagrożeń (TLPT). 

______________________
¹Ma zastosowanie tylko do centralnych depozytów papierów wartościowych
²Rozporządzenie wykonawcze Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacji, a także rozporządzenie delegowane Komisji z dnia 23 października 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających treść i terminy przedłożenia wstępnego powiadomienia, sprawozdania śródokresowego i sprawozdania końcowego dotyczących poważnych incydentów związanych z ICT, a także treść dobrowolnego powiadomienia o znaczących cyberzagrożeniach (oczekuje na publikację) oraz rozporządzenie wykonawcze Komisji (UE) z dnia 23 października 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych formularzy, wzorów i procedur stosowanych przez podmioty finansowe do celów zgłaszania poważnych incydentów związanych z ICT i powiadamiania o znaczących cyberzagrożeniach (oczekuje na publikację)
³https://www.knf.gov.pl/dla_rynku/dora/aktualnosci/rozporzadzenie_wykonawcze_UE_dotyczace_standardowych_wzorow_na_potrzeby_rejestru_informacji?articleId=91651&p_id=18
⁴Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE
⁵https://www.knf.gov.pl/dla_rynku/Informacje_dla_podmiotow_nadzorowanych/Rynek_uslug_platniczych/raportowanie_incydentow_PSD2
⁶Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji jest publikowany pod adresem: https://www.sejm.gov.pl/sejm10.nsf/PrzebiegProc.xsp?nr=1262