Wymagania rozporządzenia DORA dla podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT - Komisja Nadzoru Finansowego

Filtry

Kategorie

Okres

Od
Do

Dane archiwalne

A A
CO ROBIMY Dla rynku Rozporządzenie DORA Wymagania Rozporządzenia DORA Wymagania rozporządzenia DORA dla podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT

Wymagania Rozporządzenia DORA

Wymagania Rozporządzenia DORA dla podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT

Data aktualizacji:
fintech-icon-on-abstract-financial-technology_kafel

Na mocy przepisów sektorowych prawa Unii niektóre podmioty finansowe – ze względu na ich wielkość lub świadczone usługi – są objęte łagodniejszymi wymogami lub zwolnieniami. Ta kategoria podmiotów finansowych obejmuje małe i niepowiązane wzajemnie firmy inwestycyjne, małe instytucje pracowniczych programów emerytalnych, instytucje zwolnione na mocy dyrektywy 2013/36/UE1, instytucje zwolnione zgodnie z dyrektywą (UE) 2015/23662 oraz instytucje pieniądza elektronicznego zwolnione zgodnie z dyrektywą 2009/110/WE3.

Aktualne informacje na temat opublikowanych w Dzienniku Urzędowym Unii Europejskiej aktów wykonawczych do Rozporządzenia DORA dostępne są na stronie https://www.knf.gov.pl/dla_rynku/dora.

Zakres podmiotowy stosowania Rozporządzenia DORA

Rozporządzenie DORA wymienia wprost 21 kategorii podmiotów, do których przepisy tego rozporządzenia mają zastosowanie (art. 2 ust. 1 i ust. 4 Rozporządzenia DORA – w zależności od decyzji państwa członkowskiego), a także 6 kategorii podmiotów, do których przepisy Rozporządzenia DORA nie mają zastosowania (art. 2 ust. 3 Rozporządzenia DORA).

rynek finansowy i jego elementy

Rysunek 2. Zakres podmiotowy stosowania Rozporządzenia DORA

Zgodnie z zakresem stosowania Rozporządzenia DORA jego przepisy mają zastosowanie m.in. do:

  1. instytucji kredytowych4;
  2. instytucji płatniczych, w tym instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/23665;
  3. instytucji pieniądza elektronicznego, w tym instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE6;
  4. firm inwestycyjnych7;
  5. instytucji pracowniczych programów emerytalnych8.

Uproszczone ramy zarządzania ryzykiem związanym z ICT – zakres podmiotowy

Prawodawca unijny wprowadził wymagania obejmujące pełne i uproszczone ramy zarządzania ryzykiem związanym z ICT. Zgodnie z art. 16 ust. 1 Rozporządzenia DORA podkategorie podmiotów finansowych, do których będą miały zastosowanie uproszczone ramy zarządzania ryzykiem związanym z ICT, obejmują:

  1. małe i niepowiązane wzajemnie firmy inwestycyjne – zgodnie z art. 3 pkt 34 Rozporządzenia DORA to firmy inwestycyjne, które spełniają warunki określone w art. 12 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/20339, przepis ten na gruncie prawa polskiego odnosi się do małych domów maklerskich;
  2. instytucje płatnicze zwolnione zgodnie z dyrektywą (UE) 2015/2366 – zwolnienie następuje zgodnie z art. 32 ust. 1 dyrektywy 2015/236610, przepis ten na gruncie prawa polskiego odnosi się do małej instytucji płatniczej, o której mowa w art. 2 pkt 17b ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych11 oraz biura usług płatniczych, o którym mowa w art. 2 pkt 2a ww. ustawy12;
  3. instytucje zwolnione zgodnie z dyrektywą 2013/36/UE13, w odniesieniu do których państwa członkowskie podjęły decyzję o niewykorzystywaniu możliwości, o której mowa w art. 2 ust. 4 Rozporządzenia DORA14 – przepis ten odnosi się, na podstawie art. 2 ust. 5 pkt 19 dyrektywy 2013/36/UE w zw. z art. 2 ust. 4 Rozporządzenia DORA , do spółdzielczych kas oszczędnościowo-kredytowych oraz Banku Gospodarstwa Krajowego. Należy jednak zaznaczyć, że projektowane przepisy służące stosowaniu Rozporządzenia DORA w Polsce, zawarte w projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji15, zawierają dodatkową regulację omawianej kwestii, m.in. w celu zapewnienia spójności z dyrektywą 2022/255516;
  4. instytucje pieniądza elektronicznego zwolnione zgodnie z dyrektywą 2009/110/WE – zwolnienie następuje zgodnie z art. 9 ww. dyrektywy; w realiach polskich żaden z podmiotów nie został wyłączony na podstawie tego przepisu; 
  5. małe instytucje pracowniczych programów emerytalnych – zgodnie z art. 3 pkt 53 Rozporządzenia DORA oznaczają instytucje pracowniczych programów emerytalnych, które obsługują programy emerytalne liczące łącznie mniej niż 100 uczestników.

Uproszczone ramy zarządzania ryzykiem związanym z ICT – zakres stosowania Rozporządzenia DORA

Mając na uwadze wyłączenia lub ograniczenia w stosowaniu Rozporządzenia DORA opisane w dalszej części artykułu, do podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT będą miały zastosowanie wybrane przepisy Rozporządzenia DORA wraz z odpowiednimi aktami wykonawczymi. 

Przepisy Rozporządzenia DORA, które będą miały zastosowanie do podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT, o których mowa w art. 16 ust. 1 Rozporządzenia DORA, z zastrzeżeniem wyłączeń lub ograniczeń dla mikroprzedsiębiorstw omówionych w dalszej części artykułu, obejmują:

  • przepisy ogólne (rozdział I, art. 1-4 Rozporządzenia DORA);
  • uproszczone ramy zarządzania ryzykiem związanym z ICT (rozdział II, art. 16 Rozporządzenia DORA);
  • zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie (rozdział III, art. 17-23 Rozporządzenia DORA);
  • testowanie operacyjnej odporności cyfrowej (rozdział IV, art. 24-25 Rozporządzenia DORA);
  • zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT (rozdział V, art. 28-30, z wyłączeniem art. 28 ust. 2 Rozporządzenia DORA);
  • zarządzanie ryzykiem ze strony kluczowych zewnętrznych dostawców usług ICT (rozdział V, art. 42 Rozporządzenia DORA, w tym w szczególności art. 42 ust. 3);
  • ustalenia dotyczące wymiany informacji o cyberzagrożeniu i wyników analiz takiego cyberzagrożenia (rozdział VI, art. 45 Rozporządzenia DORA).

Przykładami aktów wykonawczych do Rozporządzenia DORA, które będą miały zastosowanie do podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT, w związku z obowiązkiem stosowania określonych przepisów tego rozporządzenia, są:

  • Rozporządzenie delegowane Komisji (UE) 2024/1772 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających kryteria klasyfikacji incydentów związanych z ICT i cyberzagrożeń, progi istotności i szczegółowe informacje dotyczące zgłaszania poważnych incydentów (dalej: rozporządzenie 2024/1772): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1772&qid=1720433556083

  • Rozporządzenie delegowane Komisji (UE) 2024/1774 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających narzędzia, metody, procesy i polityki zarządzania ryzykiem związanym z ICT oraz uproszczone ramy zarządzania ryzykiem związanym z ICT: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1774&qid=1720433556083 – w zakresie jego art. 1 oraz art. 28-41.

  • Rozporządzenie wykonawcze Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacjihttps://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:L_202402956&qid=1733386591974

  • Rozporządzenie Delegowane Komisji (UE) 2025/301 z dnia 23 października 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających treść i terminy przedłożenia wstępnego powiadomienia, sprawozdania śródokresowego i sprawozdania końcowego dotyczących poważnych incydentów związanych z ICT, a także treść dobrowolnego powiadomienia o znaczących cyberzagrożeniachhttps://eur-lex.europa.eu/legal-content/PL/TXT/?uri=OJ:L_202500301

  • Rozporządzenie wykonawcze Komisji (UE) 2025/302 z dnia 23 października 2024 r. ustanawiające wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych formularzy, wzorów i procedur stosowanych przez podmioty finansowe do celów zgłaszania poważnych incydentów związanych z ICT i powiadamiania o znaczących cyberzagrożeniachhttps://eur-lex.europa.eu/legal-content/PL/TXT/?uri=OJ:L_202500302

dora_uproszczone_ramy-zarzadzania_ryzykiem_ict

W niektórych przepisach wykonawczych mogą występować dodatkowe wyjątki mające zastosowanie do podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT. Przykładem takiego przepisu jest art. 8 ust. 2 rozporządzenia 2024/1772:

"2. Powtarzające się incydenty, które pojedynczo nie są uznawane za poważny incydent zgodnie z ust. 1, uznaje się za jeden poważny incydent, jeżeli spełniają wszystkie poniższe warunki:
a) wystąpiły co najmniej dwa razy w ciągu 6 miesięcy;
b) mają tę samą widoczną podstawową przyczynę, o której mowa w art. 20 akapit pierwszy lit. b) rozporządzenia (UE) 2022/2554;

c) łącznie spełniają one określone w ust. 1 kryteria uznania ich za poważny incydent".

Podmioty finansowe oceniają występowanie powtarzających się incydentów w ujęciu miesięcznym. Ustęp ten nie ma zastosowania do mikroprzedsiębiorstw i podmiotów finansowych wymienionych w art. 16 ust. 1 rozporządzenia (UE) 2022/2554.

Uproszczone ramy zarządzania ryzykiem ICT – wyłączenia lub ograniczenia w stosowaniu Rozporządzenia DORA

Art. 16 ust. 1 Rozporządzenia DORA i następne wskazują na przepisy, które nie będą miały zastosowania do podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT. Są to wymagania obejmujące:

  • pełne ramy zarządzania ryzykiem związanym z ICT (rozdział II, art. 5-15 Rozporządzenia DORA);
  • zaawansowane testowanie operacyjnej odporności cyfrowej, w tym TLPT (rozdział IV, art. 26-27 Rozporządzenia DORA);
  • opracowanie strategii dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT (rozdział V, art. 28 ust. 2 Rozporządzenia DORA).

Dodatkowe wyłączenia lub ograniczenia w stosowaniu przepisów Rozporządzenia DORA będą miały zastosowanie do mikroprzedsiębiorstw17. Przykładami takich przepisów wyłączających lub ograniczających stosowanie Rozporządzenia DORA odnoszących się do mikroprzedsiębiorstw są:

  • art. 24 ust. 1 Rozporządzenia DORA: "Do celów oceny gotowości do obsługi incydentów związanych z ICT, określania słabości, niedoskonałości i luk w zakresie operacyjnej odporności cyfrowej oraz niezwłocznego wdrażania środków naprawczych podmioty finansowe inne niż mikroprzedsiębiorstwa – biorąc pod uwagę kryteria określone w art. 4 ust. 2 – ustanawiają i utrzymują prawidłowy i kompleksowy program testowania operacyjnej odporności cyfrowej stanowiący integralną część ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6, oraz dokonują przeglądu tego programu";
  • art. 24 ust. 3 Rozporządzenia DORA: "Podczas realizacji programu testowania operacyjnej odporności cyfrowej, o którym mowa w ust. 1 niniejszego artykułu, podmioty finansowe inne niż mikroprzedsiębiorstwa stosują podejście oparte na analizie ryzyka i biorą pod uwagę kryteria określone w art. 4 ust. 2, należycie uwzględniając zmieniające się środowisko ryzyka związanego z ICT, wszelkie szczególne rodzaje ryzyka, na które dany podmiot finansowy jest lub może być narażony, krytyczność zasobów informacyjnych i świadczonych usług, jak również wszelkie inne czynniki, które podmiot finansowy uzna za stosowne";
  • art. 30 ust. 3 Rozporządzenia DORA: "Ustalenia umowne dotyczące korzystania z usług ICT wspierających krytyczne lub istotne funkcje zawierają, oprócz elementów, o których mowa w ust. 2, co najmniej następujące elementy:
    (…)
    e) prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT, które obejmuje:
    (i) nieograniczone prawa dostępu, kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią i przez właściwy organ oraz prawo sporządzania kopii odnośnej dokumentacji na miejscu, jeżeli mają one kluczowe znaczenie dla operacji zewnętrznego dostawcy usług ICT, przy czym skutecznego wykonywania tych praw nie utrudniają ani nie ograniczają inne ustalenia umowne ani polityka w zakresie wdrażania;
    (ii) prawo do uzgodnienia alternatywnych poziomów zabezpieczenia w przypadku naruszenia praw innych klientów;
    (iii) obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy podczas kontroli i audytów na miejscu przeprowadzanych przez właściwe organy, wiodący organ nadzorczy, podmiot finansowy lub wyznaczoną osobę trzecią; oraz 
    (iv) obowiązek przekazywania szczegółowych informacji na temat zakresu, mających zastosowanie procedur i częstotliwości takich kontroli i audytów;
    (...)

    Na zasadzie odstępstwa od lit. e) zewnętrzny dostawca usług ICT i podmiot finansowy będący mikroprzedsiębiorstwem mogą uzgodnić, że przysługujące podmiotowi finansowemu prawa dostępu, kontroli i audytu mogą zostać przekazane niezależnej osobie trzeciej, wyznaczonej przez zewnętrznego dostawcę usług ICT, oraz że podmiot finansowy może w dowolnym momencie zażądać od tej osoby trzeciej informacji o wynikach zewnętrznego dostawcy usług ICT i poświadczenia tych wyników".

Z zastrzeżeniem, że na dzień publikacji tego artykułu nie wszystkie akty wykonawcze do Rozporządzenia DORA zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej, część aktów wykonawczych nie będzie miała zastosowania do podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT. Przykładem aktu wykonawczego, który nie będzie miał zastosowania do podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT, w związku z wyłączeniem stosowania art. 28 ust. 2 Rozporządzenia DORA, jest Rozporządzenie delegowane Komisji (UE) 2024/177318 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych doprecyzowujących szczegółową treść polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1773&qid=1720433556083.

Artykuł odnosi się do przepisów rozporządzenia DORA oraz aktów wykonawczych obowiązujących na dzień opublikowania artykułu. Zakres przepisów istotnych dla podmiotów wymienionych w art. 16 ust. 1 Rozporządzenia DORA może ulec zmianie po opublikowaniu pozostałych aktów wykonawczych do Rozporządzenia DORA. 

______________________
1Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (dalej: dyrektywa 2013/36/UE).
2Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE (dalej: dyrektywa 2015/2366).
3Dyrektywa Parlamentu Europejskiego i Rady 2009/110/WE z dnia 16 września 2009 r. w sprawie podejmowania i prowadzenia działalności przez instytucje pieniądza elektronicznego oraz nadzoru ostrożnościowego nad ich działalnością, zmieniająca dyrektywy 2005/60/WE i 2006/48/WE oraz uchylająca dyrektywę 2000/46/WE (dalej: dyrektywa 2009/110/WE).
4Zgodnie z art. 2 ust. 1, lit. a) Rozporządzenia DORA.
5Zgodnie z art. 2 ust. 1, lit. b) Rozporządzenia DORA.
6Zgodnie z art. 2 ust. 1, lit. d) Rozporządzenia DORA.
7Zgodnie z art. 2 ust. 1, lit. e) Rozporządzenia DORA.
8Zgodnie z art. 2 ust. 1, lit. p) Rozporządzenia DORA
9Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/2033 z dnia 27 listopada 2019 r. w sprawie wymogów ostrożnościowych dla firm inwestycyjnych oraz zmieniające rozporządzenia (UE) nr 1093/2010, (UE) nr 575/2013, (UE) nr 600/2014 i (UE) nr 806/2014 (dalej: Rozporządzenie 2019/2033). Przywoływany powyżej art. 12 ust. 1 Rozporządzenia 2019/2033 stanowi, że: Firmy inwestycyjne uznaje się za małe i niepowiązane wzajemnie firmy inwestycyjne do celów niniejszego rozporządzenia, w przypadku gdy spełniają wszystkie następujące warunki: a) AUM obliczone zgodnie z art. 17 wynoszą mniej niż 1,2 mld EUR; b) COH obliczone zgodnie z art. 20 wynoszą mniej niż: (i) 100 mln EUR dziennie w odniesieniu do transakcji na rynku kasowym; albo (ii) 1 mld EUR dziennie w odniesieniu do instrumentów pochodnych; c) ASA obliczone zgodnie z art. 19 wynoszą zero; d) CMH obliczone zgodnie z art. 18 wynoszą zero; e) DTF obliczone zgodnie z art. 33 wynoszą zero; f) NPR lub CMG obliczone zgodnie z art. 22 i 23 wynoszą zero; g) TCD obliczone zgodnie z art. 26 wynosi zero; h) łączna wartość sumy bilansowej i pozycji pozabilansowej firmy inwestycyjnej jest niższa niż 100 mln EUR; i) całkowity roczny dochód brutto z tytułu usług inwestycyjnych i działalności inwestycyjnej danej firmy inwestycyjnej jest niższy niż 30 mln EUR, obliczony jako średnia na podstawie rocznych danych z okresu dwóch lat bezpośrednio poprzedzających dany rok obrachunkowy. Na zasadzie odstępstwa od przepisów tytułu II, do celów lit. a), b), c), e) i f) w zakresie, w jakim dana litera dotyczy NPR, oraz lit. g) akapitu pierwszego, zastosowanie mają wartości na koniec dnia. Do celów lit. f) akapitu pierwszego w zakresie, w jakim ta litera dotyczy CMG, zastosowanie mają wartości śróddzienne. Do celów lit. d) akapitu pierwszego niniejszego ustępu oraz bez uszczerbku dla art. 16 ust. 9 dyrektywy 2014/65/UE i art. 2 i 4 dyrektywy delegowanej (UE) 2017/593 zastosowanie mają wartości śróddzienne, chyba że wystąpił błąd w prowadzeniu ewidencji lub uzgodnieniu kont, który nieprawidłowo wskazywał na to, że firma inwestycyjna naruszyła próg zerowy, o którym mowa w lit. d) akapitu pierwszego niniejszego ustępu, i który został usunięty przed końcem dnia roboczego. Firma inwestycyjna niezwłocznie powiadamia właściwy organ o błędzie, powodach jego wystąpienia i jego skorygowaniu. Do celów lit. h) oraz i) akapitu pierwszego zastosowanie mają poziomy na koniec ostatniego roku obrachunkowego, za który sprawozdania finansowe zostały zamknięte i zatwierdzone przez organ zarządzający. W przypadku gdy sprawozdania finansowe nie zostały zamknięte i zatwierdzone po upływie sześciu miesięcy od końca ostatniego roku obrachunkowego firma inwestycyjna korzysta ze wstępnych sprawozdań finansowych. Firmy inwestycyjne mogą dokonywać pomiaru wartości zgodnie z lit. a) i b) akapitu pierwszego, stosując metody określone w tytule II, przy czym pomiar musi obejmować okres 12 miesięcy, bez wykluczania trzech najbardziej aktualnych wartości miesięcznych. Firma inwestycyjna, która wybiera tę metodę pomiaru, powiadamia o tym odpowiednio właściwy organ oraz stosuje wybraną metodę przez nieprzerwany okres nie krótszy niż 12 kolejnych miesięcy.
10Przywoływany art. 32 ust. 1 dyrektywy 2015/2366 stanowi, że: 1. Państwa członkowskie mogą zwolnić ze stosowania lub zezwolić swoim właściwym organom na zwolnienie osób fizycznych lub prawnych świadczących usługi płatnicze, o których mowa w pkt 1-6 załącznika I, ze stosowania całości lub części procedury i warunków określonych w sekcjach 1, 2 i 3, z wyjątkiem art. 14, 15, 22, 24, 25 i 26, w przypadku gdy: a) średnia miesięczna całkowita wartość transakcji płatniczych wykonanych podczas ostatnich 12 miesięcy przez zainteresowaną osobę, w tym wszelkich agentów, za działania których ponosi ona pełną odpowiedzialność, nie przekracza limitu ustalonego przez dane państwo członkowskie, który jednak w żadnym razie nie przekracza 3 mln EUR. Wymóg ten oceniany jest na podstawie całkowitej kwoty transakcji płatniczych prognozowanej w biznesplanie danej osoby, chyba że właściwe organy zażądają skorygowania tego biznesplanu; oraz b) żadna z osób fizycznych odpowiedzialnych za zarządzanie przedsiębiorstwem lub za jego prowadzenie nie została skazana za przestępstwa związane z praniem pieniędzy lub finansowaniem terroryzmu lub za inne przestępstwa finansowe.
11Art. 2 pkt 17b ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych: mała instytucja płatnicza – osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, wpisaną do rejestru, o którym mowa w art. 4 ust. 3, prowadzącą działalność w zakresie którejkolwiek z usług płatniczych, o których mowa w art. 3 ust. 1 pkt 1-6, i nieprowadzącą działalności w zakresie usług płatniczych, o których mowa w art. 3 ust. 1 pkt 7 lub 8.
12Art. 2 pkt 2a ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych: biuro usług płatniczych - osobę fizyczną, osobę prawną oraz jednostkę organizacyjną niebędącą osobą prawną, której ustawa przyznaje zdolność prawną, wpisaną do rejestru biur usług płatniczych, prowadzącą działalność w zakresie świadczenia usługi płatniczej, o której mowa w art. 3 ust. 1 pkt 6.
13Przywoływany powyżej art. 2 ust. 5 pkt 19 dyrektywy 2013/36/UE stanowi, że: Niniejsza dyrektywa nie ma zastosowania do w Polsce: Spółdzielczych Kas Oszczędnościowo-Kredytowych oraz Banku Gospodarstwa Krajowego.
14Art. 2 ust. 4 Rozporządzenia DORA: Państwa członkowskie mogą wyłączyć z zakresu stosowania niniejszego rozporządzenia podmioty, o których mowa w art. 2 ust. 5 pkt 4–23 dyrektywy 2013/36/UE, mające siedzibę na ich odpowiednich terytoriach. Jeżeli państwo członkowskie korzysta z takiej możliwości, informuje o tym Komisję oraz o wszelkich późniejszych zmianach w tym względzie. Komisja podaje te informacje do wiadomości publicznej na swojej stronie internetowej lub za pomocą innych łatwo dostępnych środków.
15Projekt z 17 października 2024 r., https://legislacja.gov.pl/projekt/12384252/katalog/13053510.
16Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
17Art. 3 pkt 60 Rozporządzenia DORA: „mikroprzedsiębiorstwo” oznacza podmiot finansowy inny niż system obrotu, kontrahent centralny, repozytorium transakcji lub centralny depozyt papierów wartościowych, który zatrudnia mniej niż 10 osób i którego roczny obrót lub bilans roczny nie przekracza 2 mln EUR.
18Rozporządzenie delegowane Komisji (UE) 2024/1773 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych doprecyzowujących szczegółową treść polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1773&qid=1720433556083.
Do pobrania

Wymagania rozporządzenia DORA dla podmiotów stosujących uproszczone ramy zarządzania ryzykiem związanym z ICT

plik .pdf, 1,1MB
Pobierz