Artykuł
DORA – aktualny status aktów delegowanych (RTS) i wykonawczych (ITS)
Czy warto czekać z wdrażaniem nowych ram bezpieczeństwa ICT?
Biuletyn prawny dla branży finansowej 4/2023
Już tylko nieco ponad 12 miesięcy pozostało instytucjom finansowym i ich dostawcom na dostosowanie się do rozporządzenia DORA. Nadal nie poznaliśmy jednak kompletu projektowanych regulacji „drugiego poziomu”, czyli aktów wykonawczych i delegowanych, nad których przygotowaniem pracują europejskie organy nadzorcze (EBA, ESMA, EIOPA) oraz Komisja Europejska.
Rozporządzenie DORA upoważnia Komisję Europejską do przyjęcia szeregu regulacji prawnych drugiego poziomu, przy czym większość projektów ma być przygotowana przez europejskie organy nadzorcze, w formie RTS (regulatory technical standards) i ITS (implementing technical standards).
Dodatkowo, Komisja Europejska będzie uprawniona do przyjęcia dwóch dodatkowych aktów delegowanych, dla których rozporządzenie nie przewiduje uprzedniego przyjęcia projektu w formie RTS.
Delegacje do wydania RTS i ITS są zgrupowane w dwa pakiety – przyjęcie pierwszego powinno zgodnie z DORA nastąpić do 17 stycznia 2024 r., a drugiego – pół roku później, tj. do 17 lipca 2024 r. Podkreślenia wymaga, że terminy te odnoszą się wyłącznie do RTS i ITS – należy brać jednak pod uwagę konieczność podjęcia dalszych prac po stronie Komisji Europejskiej, co z pewnością wydłuży czas pracy nad dokumentami.
Jednocześnie dwa pozostałe akty delegowane – przyjmowane bez uprzedniego przyjęcia RTS – Komisja Europejska powinna przyjąć do 17 lipca 2024 r.
Pierwszy pakiet projektów obejmował wszystkie RTS i ITS, dla których DORA przewiduje mandat „styczniowy”. Pakiet ten składał się z:
- RTS w sprawie ram zarządzania ryzykiem ICT (art. 15 DORA) oraz uproszczonych ram zarządzania ryzykiem ICT (art. 16 ust. 3 DORA),
- RTS w sprawie kryteriów kwalifikacji incydentów związanych z ICT (art. 18 ust. 3 DORA),
- RTS w sprawie szczegółowej treści polityki umownej dla korzystania z zewnętrznych usług ICT wspierających krytyczne lub istotne funkcje (art. 28 ust. 10 DORA),
- ITS w sprawie ustanowienia standardowych wzorów rejestru informacji o zewnętrznych dostawcach usług ICT art. 28 ust. 9 DORA).
Projekty wymienionych regulacji zostały opublikowane w czerwcu 2023 r., a ich konsultacje publiczne trwały do 11 września 2023 r. W konsultacjach publicznych brały udział również podmioty z Polski, w tym swoje uwagi zgłosił – przy wsparciu m.in. Deloitte Legal – Związek Banków Polskich. Nadal nie zostały przedstawione ostateczne wersje RTS i ITS, które następnie mają stanowić podstawę do przyjęcia przez Komisję Europejską odpowiednich aktów delegowanych i wykonawczych.
Nadal nie są znane szczegóły dotyczące drugiego pakietu aktów II stopnia, na który składać się mają:
- RTS w sprawie dookreślenia treści zgłoszeń i szczegółowych terminów raportowania incydentów związanych z ICT (art. 20 lit a DORA),
- ITS w sprawie dookreślenia formatów, wzorów i procedur raportowania incydentów związanych z ICT (art. 20 lit b DORA),
- RTS w sprawie dookreślenia szczegółowych zasad przeprowadzania testów penetracyjnych i nadzoru nad nimi, z uwzględnieniem standardu TIBER-EU (art. 26 ust. 11 DORA)
- RTS w sprawie elementów do dookreślenia w przypadku zlecania podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje (art. 30 ust. 5 DORA),
- RTS w sprawie harmonizacji zasad sprawowania nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT (art. 41 ust. 1 DORA).
Spodziewane jest opublikowanie pierwszych wersji tych dokumentów oraz przeprowadzenie konsultacji publicznych jeszcze w 2023 r. Nie można jednak wykluczyć, że dojdzie do opóźnienia i projekty te ujrzą światło dzienne dopiero w I kwartale 2024 r. Na moment publikacji tego tekstu brak jest oficjalnych wypowiedzi europejskich organów nadzoru w sprawie opóźnienia w pracach nad drugim pakietem.
Komisja jest uprawniona do przyjęcia dwóch aktów delegowanych, dla których DORA nie przewiduje wcześniejszego przyjęcia RTS. Akty te mają obejmować:
- Akt delegowany w sprawie doprecyzowania kryteriów wyznaczenia kluczowych zewnętrznych dostawców usług ICT (art. 31 ust. 6 DORA)
- Akt delegowany w sprawie określenia wysokości i sposobu uiszczania opłat należnych od kluczowych zewnętrznych dostawców usług ICT z tytułu prowadzonego nadzoru (art. 43 ust. 2 DORA)
Przygotowanie tych aktów poprzedził jednak wniosek Komisji Europejskiej z grudnia 2022 r. o zalecenia techniczne (ang. technical advice), adresowany do europejskich urzędów nadzorczych.
Konsultacje publiczne projektu zaleceń zakończyły się 23 czerwca 2023 r., a ostateczna wersja zalecenia powstała 29 września 2023 r.
16 września 2023 r. Komisja Europejska opublikowała projekty rozporządzeń delegowanych obejmujących obydwa mandaty (tj. w sprawie doprecyzowania kryteriów wyznaczenia kluczowych zewnętrznych dostawców usług ICT oraz w sprawie określenia wysokości i sposobu uiszczania opłat należnych od kluczowych zewnętrznych dostawców usług ICT z tytułu prowadzonego nadzoru) i zaprosiła do udziału w krótkich, 4-tygodniowych konsultacjach publicznych. Termin na odpowiedzi upływa 14 grudnia 2023 r.
Przedstawiciele Urzędu Komisji Nadzoru Finansowego publicznie przekonują, że z projektami wdrożenia DORA nie warto czekać na przyjęcie kompletu aktów delegowanych i wykonawczych. Nasze dotychczasowe doświadczenia potwierdzają, że po pierwsze – przygotowanie do nowych regulacji można rozpocząć jeszcze w trakcie prac nad aktami II stopnia, a po drugie – projekty wdrożenia rozporządzenia DORA to często bardzo złożone projekty, które trudno przeprowadzić w trybie „przyspieszonym”. Tym bardziej, że nowe przepisy warto potraktować nie tylko jako kolejną regulację do wdrożenia, ale jako okazję do uporządkowania obszaru bezpieczeństwa technologicznego w ramach instytucji finansowej.