Zbliża się termin na przekazanie KNF rejestru informacji DORA, wiele podmiotów może nie być gotowych
Zbliżający się termin na udostępnienie KNF rejestru informacji jest kolejnym etapem wdrażania rozporządzenia DORA w Polsce, jednak wiele podmiotów może wciąż nie być w pełni przygotowanych na wdrożenie DORA w ramach swojej organizacji - powiedział PAP Biznes Konrad Grussy z Kancelarii Kochański & Partners. Termin na przekazanie KNF rejestru informacji DORA to 28 kwietnia 2025 r.
KNF poinformował o wydłużeniu terminu na przekazanie KNF rejestru informacji DORA do 28 kwietnia 2025 r. Pierwotnym terminem był 23 kwietnia.
Zgodnie z wymaganiami nałożonymi przez KNF, podmioty zobowiązane na podstawie rozporządzenia DORA powinny udostępnić KNF rejestr informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT (ICT: technologie informacyjno-komunikacyjne - przyp.).
Rejestr informacji powinien być prowadzony przez podmioty finansowe w rozumieniu DORA.
"Zbliżający się termin na udostępnienie KNF rejestru informacji jest kolejnym etapem wdrażania wymagań rozporządzenia DORA w Polsce. I chociaż rozporządzenie DORA jest stosowane od 17 stycznia 2025 r. to jednak ze względu na fakt, że procesy dostosowawcze obejmowały bardzo szeroki zakres wymagań, procesów oraz dokumentacji wymagającej analizy, wiele podmiotów może wciąż nie być w pełni przygotowanych na wdrożenie DORA w ramach swojej organizacji" - powiedział PAP Biznes Konrad Grussy z Kancelarii Kochański & Partners.
Wskazał, że sam proces aneksowania umów w celu spełnienia wymagań DORA wiązał się dla poszczególnych podmiotów finansowych niejednokrotnie z koniecznością zawarcia kilkudziesięciu lub nawet kilkuset aneksów do umów.
"Proces ten wymagał z natury rzeczy zaangażowania podmiotów trzecich co sprawiało, że nie mógł być on w pełni kontrolowany przez podmiot finansowy. Zdarzało się również, że proces negocjacji niektórych aneksów trwał (lub wciąż trwa) nawet kilka miesięcy, niejednokrotnie prowadząc do sytuacji patowej, przez którą osiągnięcie porozumienia stawało się bardzo utrudnione i oddalało się w czasie" - powiedział.
"Z naszych doświadczeń wynika, że choć przeważająca większość koniecznych aneksów została już przez podmioty finansowe zawarta, to w wielu podmiotach wciąż znajdą się procesy szczególne, które z różnych przyczyn wciąż mogą wymagać podjęcia dodatkowych działań wynikających z DORA lub nowych wytycznych organów nadzoru" - dodał.
Konrad Grussy podkreślił, że wciąż nie została ustalona ostateczna wersja polskiej ustawy zapewniającej stosowanie DORA w Polsce, a ponadto zarówno Komisja Europejska, jak i polski (KNF) oraz unijny (EBA) nadzorca wciąż publikują kolejne stanowiska oraz pakiety Q&A dotyczące stosowania DORA, które niejednokrotnie rzucają nowe światło na zasady wdrożenia wymagań rozporządzenia.
"Chociaż wciąż nie brak wątpliwości i pewne kwestie zarówno natury technicznej jak i merytorycznej nie są w stu procentach jasne, to uwzględniając świadomość rynku dotyczącą konieczności wdrożenia wymagań DORA oraz mając na uwadze działania podejmowane przez podmioty finansowe jeszcze przed rozpoczęciem stosowania rozporządzenia, m. in. w zakresie ustanowienia odpowiednich procesów wewnętrznych oraz zawarcia stosowanych aneksów do umów z dostawcami/odbiorcami usług ICT należy uznać, że rynek jest relatywnie przygotowany na stosowanie wymagań DORA" - powiedział.
"Niemniej jednak szczególnie w pierwszym okresie stosowania DORA rekomendowana jest regularna analiza funkcjonowania wewnętrznych procesów służących realizacji wymagań rozporządzenia DORA, bieżący monitoring publikacji organów nadzoru dotyczących wdrożenia DORA oraz stałe obserwowanie kształtującej się praktyki rynkowej" - dodał.
Prowadzenie rejestru pozwoli podmiotom finansowym skuteczniej monitorować wpływ usług ICT świadczonych przez dostawców na funkcjonowanie podmiotów finansowych w zakresie ich bezpieczeństwa i odporności cyfrowej, a także m.in. zarządzania incydentami i podatnościami związanymi z dostarczanymi im usługami ICT.
Rejestr przyczyni się również do skuteczniejszego i bardziej kompleksowego nadzoru podmiotów finansowych przez organy nadzorcze co przyczyni się do stabilniejszego funkcjonowania rynku finansowego w Polsce.
Rejestr informacji powinien zawierać m. in. informacje dotyczące konkretnych umów i ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez dostawców takich usług, informacje dotyczące łańcucha dostaw usług ICT oraz informacje w zakresie oceny krytyczności lub istotności usługi ICT. Szczegółowe wymagania w zakresie zawartości rejestru informacji wskazane zostały w Rozporządzeniu Wykonawczym Komisji Europejskiej.
Konrad Grussy, w ramach wskazania na obowiązki wynikające z DORA podkreślił, że pomimo stosowania przepisów DORA już od 17 stycznia 2025 r., prace nad polską ustawą wdrażającą niektóre z przepisów DORA, i ustanawiającą m. in. szczegóły kompetencyjne KNF w związku ze stosowaniem DORA w Polsce wciąż trwają. Projekt ustawy został niedawno tj. 8 kwietnia 2025 r. przyjęty przez Stały Komitet Rady Ministrów w związku z czym należy się wkrótce spodziewać przyjęcia projektu przez Radę Ministrów oraz skierowania projektu do Sejmu.
Anna Lalek (PAP Biznes)
alk/ ana/