Dostęp KNF do danych i systemów w projekcie ustawy DORA
Aktualnie procedowany jest w RP (stan na 09.2024) projekt ustawy towarzyszącej rozporządzeniu DORA (przejdź do strony Rządowego Centrum Legislacji o projekcie).
Projekt przewiduje uprawnienie dla KNF do wglądu nie tylko do danych i dokumentów, ale także do systemów, sieci i urządzeń podmiotów finansowych
Projekt wprowadza następujący przepis do ustawy o nadzorze nad rynkiem finansowym:
„Rozdział 2c
Nadzór nad podmiotami finansowymi w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego
Art. 18za. 1. Komisja może przeprowadzać kontrolę zgodności działalności z przepisami rozporządzenia 2022/2554 w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego:
[…]
4. W toku kontroli pracownicy, o których mowa w ust. 3, mają prawo:
[…]
6) wglądu do systemów i sieci teleinformatycznych, urządzeń, informacji i danych związanych z ICT oraz danych zawartych w systemie informatycznym, związanych z przedmiotem kontroli, w zakresie niezbędnym do przeprowadzenia i zakończenia kontroli.”
DORA i polskie obecne ustawy sektorowe przyznają KNF – uogólniając – dostęp do danych w systemie informatycznym. Jeśli projekt nie ulegnie zmianie i stanie się prawem, KNF będzie miała prawo wglądu nie tylko do danych, ale także do software i hardware. Powoduje to wiele pytań. Przede wszystkim, w jaki sposób technicznie ten dostęp będzie się zapewniać i jakie będą oczekiwania KNF w tym zakresie. Jeśli sprawa dotyczyłaby systemów i sieci podwykonawców (zewnętrznych dostawców usług ICT w rozumieniu DORA/ustawy) świadczących usługi dla wielu podmiotów finansowych, zapewnienie dostępu także do hardware i software byłoby utrudnione albo niewykonalne. Z tego względu, że może nie być możliwe wydzielenie wglądu tylko do zasobów jednego podmiotu finansowego. Niemniej aktualnie projekt ustawy DORA nie uwzględnia zewnętrznych dostawców usług ICT wśród podmiotów, które może kontrolować KNF.
W toku przygotowania do DORA podmioty finansowe powinny brać tę kwestię pod uwagę i przewidzieć rozwiązania na wypadek uzyskania przez KNF uprawnień do wglądu także do systemów, sieci i urządzeń podmiotu finansowego.
Jeśli chcesz być na bieżąco ze sprawami regulacyjnymi, zarejestruj się i otrzymuj informacje o ważnych wydarzeniach regulacyjnych i branżowych, oraz aktywnościach DLK Legal: Rejestracja do powiadomień.
Zobacz również
#AI-ML #IT & Outsourcing #Online & eCommerce #Telekomunikacja
Otwarte dane w internecie rzeczy
W latach 2025-2027 wchodzą w życie przepisy Akt...
Otwarte dane w internecie rzeczy#Bankowość&Fintech #IT & Outsourcing #Retail
Rozporządzenie PSR i dyrektywa PSD3 (projekty)
W czerwcu 2023 r. Komisja Europejska zaprezento...
Rozporządzenie PSR i dyrektywa PSD3 (projekty)Okres przejściowy dla CASP i VASP
📅 EU Regulation on markets in crypto assets (Mi...
Okres przejściowy dla CASP i VASP