DORA(The Digital Operational Resilience Act) to unijne rozporządzenie o operacyjnej odporności cyfrowej sektora finansowego. Przepisy aktu wykonawczego zawierają szereg regulacji, które dotyczą kontroli, nadzoru i możliwości nakładania kar administracyjnych i środków naprawczych. Regulacje te mogą być zastosowane wobec wszystkich podmiotów rynku finansowego, które mają obowiązek stosować się do przepisów ww. rozporządzenia, a te które nie zastosują się do regulacji DORA – odczują to w swoich bilansach. Osobnym katalogiem kar zostaną objęci zewnętrzni dostawcy usługi ICT.
DOSTĘP DO DOKUMENTÓW, KONTROLE I PRZESŁUCHANIA
Nad przestrzeganiem regulacji rozporządzenia DORA będzie czuwać Komisja Nadzoru Finansowego, która otrzyma uprawnienia do:
• dostępu do dokumentacji i danych, które uzna za istotne z punktu widzenia wykonywania swoich obowiązków;
• przeprowadzania dochodzenia i kontroli na miejscu – w ramach tych czynności przedstawiciele podmiotów finansowych będą mogli zostać wezwani do złożenia ustnych, bądź pisemnych wyjaśnień dot. konkretnej kwestii, a każda osoba fizyczna lub osoba prawna będzie mogła być przesłuchana w celu zebrania informacji będących przedmiotem dochodzenia;
• zastosowania środków naprawczych w odniesieniu do naruszeń wymogów rozporządzenia DORA.
NAWET 21 MLN ZŁ KARY
Rządowe Centrum Legislacji (RCL) 18 kwietniaopublikowało projekt dostosowujący polskie ustawy do rozporządzenia DORA. Komisja Nadzoru Finansowego jako organ nadzoru i kontroli w swoich uprawnieniach będzie miała narzędzia, które umożliwią jej skuteczne egzekwowanie przestrzegania przepisów DORA. Naruszenie regulacji prawnych będzie skutkowało nałożeniem kar administracyjnych lub środków naprawczych.
Ponadto DORA przewiduje również wydawanie publicznych ogłoszeń, w ramach których mogą zostać ujawnione do wiadomości publicznej informacje dotyczące tożsamości osoby, która spowodowała naruszenie oraz charakter tego naruszenia.
Przedmiotem uprawnień KNF będzie również:
• wydanie danemu podmiotowi nakazu zaprzestania działań, które naruszają rozporządzenie wraz z powstrzymaniem się od ponownego podejmowania takiego postępowania;
• wydanie zakazu pełnienia funkcji członka zarządu, rady nadzorczej albo innej funkcji kierowniczej osobie odpowiedzialnej za naruszenie przepisów RODO przez okres od miesiąca do roku czasu;
• nałożenie kary pieniężnej.
KARA PINIĘŻNA NIE OD RAZU
Zanim organ zadecyduje o nałożeniu odpowiedniej karyna podmiot nieprzestrzegający regulacji DORA, w pierwszej kolejności weźmie pod uwagę:
1. istotę, wagę, czas trwania naruszenia;
2. stopień przyczynienia się osoby fizycznej / osoby prawnej do naruszenia oraz jej sytuację finansową;
3. skalę korzyści uzyskaną przez podmiot finansowy;
4. skalę strat poniesionych przed podmiot finansowy;
5. straty poniesione przez osoby trzecie w wyniku naruszenia.
Sposób procedowania oraz stosowania środków naprawczych czy kar administracyjnych jest już znane przedsiębiorcom z innych aktów normatywnych. Rozporządzenie DORA przewiduje miarkowanie kar, a sankcje finansowe będą stosowane dopiero w przypadku największej skali nieprawidłowości. Przy ustalaniu kary organ nadzoru będzie brać pod uwagę zakres naruszenia oraz podnosić kwestię tego czy naruszenie miało charakter umyślny, bądź nie. Dla KNF ważne będzie również to czy naruszenie ma miejsce pierwszy raz, czy już kolejny.
KARY DLA KLUCZOWYCH ZEWNĘTRZNYCH DOSTAWCÓW USŁUGI ICT
Organ nadzorczy wskazany przez Europejski Urząd Nadzoru posiada szczególne uprawnienia wobec wskazanych dostawców usługi ICT, które obejmują konsulting technologiczny, wdrażanie systemów, zarządzanie infrastrukturą IT i bezpieczeństwo informatyczne.
Dostawcy usług ICT obwarowani są oddzielnym rodzajem kar, a mianowicie okresową karą pieniężną, która nakładana jest za każdy dzień, do momentu zastosowania się do środków wskazanych przez organ nadzorczy. Jej wysokość maksymalnie może wynieść 1% średniego dziennego światowego obrotu kluczowego dostawcy usług ICT w poprzedzającym roku obrotowym. Karę można otrzymać za całkowite lub częściowe niedostosowanie się do środków, które podmiot powinien podjąć w wyniku tego, że organ nadzoru przykładowo wystąpi z wnioskiem o przekazanie stosownych informacji i dokumentów, będzie prowadził ogólne dochodzenia i kontrole, wystąpi z wnioskiem o złożenie sprawozdań po zakończeniu działań nadzorczych albo wyda zalecenia dotyczące wskazanych obszarów. Kara ta nie może być stosowana dłużej niż przez sześć miesięcy po powiadomieniu kluczowego zewnętrznego dostawcy usług ICT o decyzji nakładającej tę karę.
Dokładny zakres kar administracyjnych i środków naprawczy powinien być znany przed 17 stycznia 2025 r.i o tej daty państwa członkowskie muszą m. in. powiadomić Komisję o przepisach ustawowych, wykonawczych i administracyjnych wykonujących przepisy rozdziału dotyczącego kar i postępowań w sprawach o naruszenie. Wtedy będzie też wiadomo, czy Polska zdecyduje się na pozostanie przy środkach administracyjnych, czy przyjmie przepisy karne odnoszące się do naruszeń wymogów DORA.
źródło: bizblog.spidersweb.pl, infor.pl