Instytucja finansowa z grupy kapitałowej
Stosowanie DORA i Dyrektywy NIS2
Doradzaliśmy Instytucji finansowej z grupy kapitałowej w projekcie:
Kwalifikacji prawnej podmiotu
na gruncie przepisów DORA
i projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa
Dla naszego klienta, instytucji finansowej dokonaliśmy kompleksowej analizy kwalifikacji prawnej tej instytucji na gruncie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) i Projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (numer z wykazu: UC32) (Projekt UKSC), mającego na celu implementację Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS2), z uwzględnieniem specyfiki działania instytucji w ramach grupy kapitałowej.
Zarówno DORA jak i Dyrektywa NIS2 to akty unijne, których celem jest wzmocnienie odporności cyfrowej oraz bezpieczeństwa sieci i systemów informatycznych podmiotów funkcjonujących w Unii Europejskiej. DORA znajduje zastosowanie do enumeratywnie wymienionych w rozporządzeniu podmiotów finansowych i zewnętrznych dostawców świadczących usługi ICT na rzecz tych instytucji (ICT TPSP).
Jeżeli dany podmiot jest podmiotem finansowym w rozumieniu DORA, rozporządzenie to znajdzie do niego zastosowanie, z zastrzeżeniem, że podmiot nie skorzysta ze ściśle określonych wyłączeń przewidzianych w tym akcie (np. pośrednik ubezpieczeniowy spełniający definicję mikroprzedsiębiorstwa). Niezależnie DORA przewiduje uproszczenia dla wybranych kategorii podmiotów finansowych (np. dla zwolnionych instytucji płatniczych – co w Polsce obejmuje małe instytucje płatnicze), czy dla mikroprzedsiębiorstw. DORA znajduje zastosowanie od dnia 17 stycznia 2024 r. i od tego czasu podmioty finansowe w rozumieniu DORA obowiązane są zapewniać zgodność swojej działalności z przepisami rozporządzenia.
Aktualnie procedowany jest Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego (numer z wykazu: UC11), mający na celu dostosowanie polskich przepisów do DORA. W szczególności określa on kompetencje Komisji Nadzoru Finansowego w zakresie egzekwowania przepisów DORA.
Z kolei Dyrektywa NIS2, a w ślad za nią Projekt UKSC dokonuje podziału na podmioty kluczowe i ważne, na które nakłada określone obowiązki.
Zgodnie z aktualną wersją Projektu UKSC (projekt z dnia 23 kwietnia 2024 r.):
1. podmiotem kluczowym jest m.in.:
1.1. osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 i nr 2 do Projektu UKSC, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Rozporządzenie 651/2014),
1.2. niezależnie od wielkości podmiotu:
1.2.1. dostawca usług DNS,
1.2.2. dostawca usług zarządzanych w zakresie cyberbezpieczeństwa,
1.2.3. kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014,
1.2.4. rejestr nazw domen najwyższego poziomu (TLD),
2. podmiotem ważnym jest m.in. osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 lub nr 2 do Projektu UKSC, która spełnia wymogi dla średniego przedsiębiorcy określone w Rozporządzeniu 651/2014 oraz która nie jest podmiotem kluczowym.
W Załączniku nr 1 do Projektu UKSC wskazano m.in. na sektor Infrastruktura cyfrowa, dzielący się na:
1. Podsektor: Infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej, do którego przypisano następujące rodzaje podmiotów:
1.1. Dostawca punktu wymiany ruchu internetowego.
1.2. Dostawca usług DNS, z wyłączeniem operatorów głównych serwerów nazw.
1.3. Rejestr nazw domen najwyższego poziomu (TLD).
1.4. Dostawca usług chmurowej.
1.5. Dostawca usług ośrodka przetwarzania danych.
1.6. Dostawca sieci dostarczania treści. Dostawca usług zaufania.
1.7. Krajowa Izba Rozliczeniowa S.A.
1.8. Podmiot świadczący usługę rejestracji nazw domen.
2. Podsektor: Komunikacja elektroniczna, do którego przypisano następujące rodzaje podmiotów:
2.1. Przedsiębiorca telekomunikacyjny.
2.2. Podmiot świadczący usługę komunikacji interpersonalnej niewykorzystującej numerów.
W Załączniku nr 1 do Projektu UKSC wskazano też m.in. na sektor: Zarządzanie usługami ICT, do którego przypisano następujące rodzaje podmiotów:
1. Dostawca usług zarządzanych.
2. Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa.
Z kolei w Załączniku nr 2 do Projektu UKSC wskazano m.in. na sektor: Dostawcy usług cyfrowych, do którego przypisano następujące rodzaje podmiotów:
1. Dostawca internetowej platformy handlowej
2. Dostawca wyszukiwarki internetowej.
3. Dostawca platformy sieci usług społecznościowych.
Niezależnie od tego, Projekt UKSC wyróżnia i definiuje dostawcę sprzętu lub oprogramowania. W aktualnej wersji tego projektu samo posiadanie przez dany podmiot tego statusu nie powoduje, że podmiot taki będzie kwalifikowany jako podmiot kluczowy lub ważny w rozumieniu Projektu KSC (choć w praktyce równolegle może często spełniać definicję podmiotu kluczowego lub ważnego).
Aktualna treść projektu UKSC przewiduje wejście w życie ustawy po upływie miesiąca od dnia ogłoszenia. Od tego momentu podmioty kluczowe i ważne będą obowiązane do dostosowania swojej działalności do ustawy przyjętej na podstawie tego projektu.
Doradztwo DLK obejmowało:
- dokonanie kwalifikacji prawnej instytucji finansowej na gruncie przepisów DORA oraz Projektu UKSC
- ustalenie, czy i w jakim układzie instytucja finansowa może spełniać definicję podmiotu finansowego lub ICT TPSP w rozumieniu DORA lub podmiotu kluczowego, podmiotu ważnego lub dostawcy sprzętu lub oprogramowania w rozumieniu Projektu UKSC
- analizę obowiązków instytucji finansowej wynikających z przyjętego statusu prawnego na gruncie DORA oraz Projektu UKSC
Prawnicy zaangażowani w projekt:
Bartosz Wyżykowski
radca prawny, partner Bartosz Wyżykowski
Kamil Mosoń
aplikant adwokacki, prawnik Kamil Mosoń
Bankowość&Fintech
Bankowość & FinanseIndustry 4.0
Industry 4.0IT & Outsourcing
TelekomunikacjaLegislacja
Obsługa prawnaTelekomunikacja
TelekomunikacjaZobacz również
#Bankowość&Fintech #Online & eCommerce
Operator internetowego serwisu monetyzacji dla Streamerów
Opinia prawna ws. stosowania przepisów DAC7
Opinia prawna ws. stosowania przepisów DAC7#Bankowość&Fintech #Industry 4.0 #Online & eCommerce #Retail #Telekomunikacja
Operatorzy terminali POS oraz bankomatów
Dostępność terminali samoobsługowych dla osób ze szczególnymi potrzebami
Dostępność terminali samoobsługowych dla osób ze szczególnymi potrzebamiMAŁA INSTYTUCJA PŁATNICZA
Wniosek o wpis do rejestru małych instytucji płatniczych
Wniosek o wpis do rejestru małych instytucji płatniczych