Opublikowano projekt dostosowujący polskie ustawy do unijnego Rozporządzenia o operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act), w którym określono surowe kary za jego nieprzestrzeganie. Restrykcyjne przepisy zaczną obowiązywać od stycznia 2025 roku.
DORA zawiera szereg artykułów poświęconych zagadnieniom kontroli i nadzoru, a także możliwości zastosowania kar administracyjnych i środków naprawczych. Środki te będą dotyczyć wszystkich podmiotów z sektora finansowego, które mają obowiązek stosować wspomniane przepisy. Jak wskazuje Katarzyna Armińska-Waszczyk z kancelarii armińska radcowie prawni, osobną kategorią kar zostaną objęci kluczowi zewnętrzni dostawcy usług ICT. W ich przypadku system nadzoru i kar jest nieodłącznym elementem tzw. ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT – jednego z kluczowych filarów DORA.
Nad przestrzeganiem zasad zgodności z DORA będzie czuwać Komisja Nadzoru Finansowego, która będzie miała szerokie uprawnienia, jeśli chodzi o możliwość ustalenia potencjalnych naruszeń. KNF będzie mógł m.in.:
- mieć dostęp do wszelkich dokumentów lub danych, które uzna za istotne z punktu widzenia wykonywania swoich obowiązków;
- przeprowadzać dochodzenia lub kontrole na miejscu. W ramach tych czynności przedstawiciele podmiotów finansowych mogą być wzywani do złożenia ustnych lub pisemnych wyjaśnień, a każda osoba fizyczna lub prawna, która będzie miała stosowną wiedzę, będzie mogła być przesłuchana w celu zbierania informacji będących przedmiotem dochodzenia, o ile wyrazi na to zgodę;
- zastosować środki naprawcze w odniesieniu do naruszeń wymogów rozporządzenia DORA.
KNF będzie też posiadał narzędzia umożliwiające egzekwowanie należytego stosowania wymogów DORA, a wśród nich m.in.:
- wydanie danemu podmiotowi nakazu zaprzestania działań naruszających rozporządzenie oraz powstrzymania się od ponownego podejmowania tego postępowania;
- zakaz pełnienia funkcji członka zarządu, rady nadzorczej albo innej funkcji kierowniczej osobie odpowiedzialnej za naruszenie przez okres od miesiąca do roku;
- kary pieniężne – w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej może być to nawet kwota 20 869 500 zł lub 10% przychodów netto z ostatniego roku, a w wypadku osoby fizycznej nawet 3 042 410 zł.
DORA przewiduje także wydawanie publicznych ogłoszeń, w ramach których mogą zostać ujawnione do wiadomości publicznej informacje wskazujące tożsamość osoby oraz charakter naruszenia. Dotyczy to także danych osoby fizycznej, na przykład prezesa spółki, w której stwierdzono naruszenie.
Ustalając rodzaj i poziom kary administracyjnej lub środka naprawczego, organ nadzoru bierze pod uwagę: zakres, to, czy naruszenie ma charakter umyślny, czy jest wynikiem zaniedbania oraz szereg innych okoliczności. Dlatego zanim właściwy organ zdecyduje o karze dla podmiotu nieprzestrzegającego lub niedostosowanego do wymagań DORA, w pierwszej kolejności weźmie pod uwagę takie czynniki, jak m. in.:
- istotność naruszenia, jego wagę oraz czas trwania;
- stopień przyczynienia się osoby fizycznej lub prawnej do naruszenia, a także sytuację finansową osoby odpowiedzialnej za doprowadzenie do niezgodności lub naruszenia;
- skalę korzyści uzyskaną przez podmiot finansowy albo skalę strat, a także, o ile będzie można to ustalić, straty poniesione przez osoby trzecie w wyniku naruszenia.
Organ będzie brał również pod uwagę, w jakim zakresie podmiot z nim współpracował oraz czy wcześniej już miały miejsce naruszenia, czy jest to może pierwszy taki przypadek.
Kary dla kluczowych zewnętrznych dostawców usług ICT
Ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT przewidują postępowanie oraz kary dla szczególnej kategorii podmiotów wyznaczonych zgodnie z odpowiednimi przepisami DORA. Wiodący organ nadzorczy (wskazany przez Europejski Urząd Nadzoru) posiada szczególne uprawnienia wobec wskazanych dostawców usług ICT, które obwarowane są oddzielnym rodzajem kar. To tzw. okresowa kara pieniężna, która jest nakładana za każdy dzień, do czasu zastosowania się do środków wskazanych przez wiodący organ nadzorczy. Jej wysokość może wynieść maksymalnie 1% średniego dziennego światowego obrotu kluczowego dostawcy usług ICT w poprzedzającym roku obrotowym.
Za co można otrzymać taką karę? “Za całkowite lub częściowe niedostosowanie się do środków, które podmiot powinien podjąć w wyniku tego, że wiodący organ nadzorczy np. wystąpi z wnioskiem o przekazanie stosownych informacji i dokumentów, będzie prowadził ogólne dochodzenia i kontrole, wystąpi z wnioskiem o złożenie sprawozdań po zakończeniu działań nadzorczych albo wyda zalecenia dotyczące wskazanych obszarów. Kara ta nie może być stosowana dłużej niż przez sześć miesięcy po powiadomieniu kluczowego zewnętrznego dostawcy usług ICT o decyzji nakładającej tę karę” – podsumowuje Katarzyna Armińska-Waszczyk.
