Instytucja finansowa z grupy kapitałowej

Stosowanie DORA i Dyrektywy NIS2

Doradzaliśmy Instytucji finansowej z grupy kapitałowej w projekcie:

Kwalifikacji prawnej podmiotu
na gruncie przepisów DORA
i projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa

Dla naszego klienta, instytucji finansowej dokonaliśmy kompleksowej analizy kwalifikacji prawnej tej instytucji na gruncie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) i Projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (numer z wykazu: UC32) (Projekt UKSC), mającego na celu implementację Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS2), z uwzględnieniem specyfiki działania instytucji w ramach grupy kapitałowej.

Zarówno DORA jak i Dyrektywa NIS2 to akty unijne, których celem jest wzmocnienie odporności cyfrowej oraz bezpieczeństwa sieci i systemów informatycznych podmiotów funkcjonujących w Unii Europejskiej. DORA znajduje zastosowanie do enumeratywnie wymienionych w rozporządzeniu podmiotów finansowych i zewnętrznych dostawców świadczących usługi ICT na rzecz tych instytucji (ICT TPSP).

Jeżeli dany podmiot jest podmiotem finansowym w rozumieniu DORA, rozporządzenie to znajdzie do niego zastosowanie, z zastrzeżeniem, że podmiot nie skorzysta ze ściśle określonych wyłączeń przewidzianych w tym akcie (np. pośrednik ubezpieczeniowy spełniający definicję mikroprzedsiębiorstwa). Niezależnie DORA przewiduje uproszczenia dla wybranych kategorii podmiotów finansowych (np. dla zwolnionych instytucji płatniczych – co w Polsce obejmuje małe instytucje płatnicze), czy dla mikroprzedsiębiorstw. DORA znajduje zastosowanie od dnia 17 stycznia 2024 r. i od tego czasu podmioty finansowe w rozumieniu DORA obowiązane są zapewniać zgodność swojej działalności z przepisami rozporządzenia.

Aktualnie procedowany jest Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego (numer z wykazu: UC11), mający na celu dostosowanie polskich przepisów do DORA. W szczególności określa on kompetencje Komisji Nadzoru Finansowego w zakresie egzekwowania przepisów DORA.

Z kolei Dyrektywa NIS2, a w ślad za nią Projekt UKSC dokonuje podziału na podmioty kluczowe i ważne, na które nakłada określone obowiązki.

Zgodnie z aktualną wersją Projektu UKSC (projekt z dnia 23 kwietnia 2024 r.):
1. podmiotem kluczowym jest m.in.:
1.1. osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 i nr 2 do Projektu UKSC, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Rozporządzenie 651/2014),
1.2. niezależnie od wielkości podmiotu:
1.2.1. dostawca usług DNS,
1.2.2. dostawca usług zarządzanych w zakresie cyberbezpieczeństwa,
1.2.3. kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014,
1.2.4. rejestr nazw domen najwyższego poziomu (TLD),
2. podmiotem ważnym jest m.in. osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 lub nr 2 do Projektu UKSC, która spełnia wymogi dla średniego przedsiębiorcy określone w Rozporządzeniu 651/2014 oraz która nie jest podmiotem kluczowym.

W Załączniku nr 1 do Projektu UKSC wskazano m.in. na sektor Infrastruktura cyfrowa, dzielący się na:
1. Podsektor: Infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej, do którego przypisano następujące rodzaje podmiotów:
1.1. Dostawca punktu wymiany ruchu internetowego.
1.2. Dostawca usług DNS, z wyłączeniem operatorów głównych serwerów nazw.
1.3. Rejestr nazw domen najwyższego poziomu (TLD).
1.4. Dostawca usług chmurowej.
1.5. Dostawca usług ośrodka przetwarzania danych.
1.6. Dostawca sieci dostarczania treści. Dostawca usług zaufania.
1.7. Krajowa Izba Rozliczeniowa S.A.
1.8. Podmiot świadczący usługę rejestracji nazw domen.
2. Podsektor: Komunikacja elektroniczna, do którego przypisano następujące rodzaje podmiotów:
2.1. Przedsiębiorca telekomunikacyjny.
2.2. Podmiot świadczący usługę komunikacji interpersonalnej niewykorzystującej numerów.

W Załączniku nr 1 do Projektu UKSC wskazano też m.in. na sektor: Zarządzanie usługami ICT, do którego przypisano następujące rodzaje podmiotów:
1. Dostawca usług zarządzanych.
2. Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa.

Z kolei w Załączniku nr 2 do Projektu UKSC wskazano m.in. na sektor: Dostawcy usług cyfrowych, do którego przypisano następujące rodzaje podmiotów:
1. Dostawca internetowej platformy handlowej
2. Dostawca wyszukiwarki internetowej.
3. Dostawca platformy sieci usług społecznościowych.

Niezależnie od tego, Projekt UKSC wyróżnia i definiuje dostawcę sprzętu lub oprogramowania. W aktualnej wersji tego projektu samo posiadanie przez dany podmiot tego statusu nie powoduje, że podmiot taki będzie kwalifikowany jako podmiot kluczowy lub ważny w rozumieniu Projektu KSC (choć w praktyce równolegle może często spełniać definicję podmiotu kluczowego lub ważnego).

Aktualna treść projektu UKSC przewiduje wejście w życie ustawy po upływie miesiąca od dnia ogłoszenia. Od tego momentu podmioty kluczowe i ważne będą obowiązane do dostosowania swojej działalności do ustawy przyjętej na podstawie tego projektu.

Doradztwo DLK obejmowało:

  • dokonanie kwalifikacji prawnej instytucji finansowej na gruncie przepisów DORA oraz Projektu UKSC
  • ustalenie, czy i w jakim układzie instytucja finansowa może spełniać definicję podmiotu finansowego lub ICT TPSP w rozumieniu DORA lub podmiotu kluczowego, podmiotu ważnego lub dostawcy sprzętu lub oprogramowania w rozumieniu Projektu UKSC
  • analizę obowiązków instytucji finansowej wynikających z przyjętego statusu prawnego na gruncie DORA oraz Projektu UKSC

Prawnicy zaangażowani w projekt:

Bartosz Wyżykowski
radca prawny, partner Bartosz Wyżykowski

Kamil Mosoń
aplikant adwokacki, prawnik Kamil Mosoń

Bankowość&Fintech

Zobacz sektor

Bankowość & Finanse

Industry 4.0

Zobacz sektor

Industry 4.0

IT & Outsourcing

Zobacz sektor

Telekomunikacja

Legislacja

Zobacz sektor

Obsługa prawna

Telekomunikacja

Zobacz sektor

Telekomunikacja

Zobacz również

#Bankowość&Fintech #Online & eCommerce

Operator internetowego serwisu monetyzacji dla Streamerów

Opinia prawna ws. stosowania przepisów DAC7

Opinia prawna ws. stosowania przepisów DAC7

#Bankowość&Fintech #Industry 4.0 #Online & eCommerce #Retail #Telekomunikacja

Operatorzy terminali POS oraz bankomatów

Dostępność terminali samoobsługowych dla osób ze szczególnymi potrzebami

Dostępność terminali samoobsługowych dla osób ze szczególnymi potrzebami

#Bankowość&Fintech

MAŁA INSTYTUCJA PŁATNICZA

Wniosek o wpis do rejestru małych instytucji płatniczych

Wniosek o wpis do rejestru małych instytucji płatniczych

Skontaktuj się

Biuro Warszawa

Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa

mapa > +48 22 652 26 18

Biuro Kraków

ul. Jana Kilińskiego 2
30-308 Kraków

mapa > +48 12 31 51 841