DORA

Pełna nazwa unijnego rozporządzenia znanego jako DORA to Rozporządzenie (UE) 2022/2554 Parlamentu Europejskiego w sprawie operacyjnej odporności cyfrowej sektora finansowego.

Jako rozporządzenie UE, DORA jest bezpośrednio stosowana w Polsce bez konieczności transpozycji do prawa krajowego. Zaczęła obowiązywać 17 stycznia 2025 r.

Mimo bezpośredniego stosowania, prawo polskie wymaga dostosowań, aby wyposażyć Komisję Nadzoru Finansowego (KNF) w konkretne uprawnienia nadzorcze i sankcyjne. W 2024 r. wniesiono projekt ustawy zmieniającej obowiązujące przepisy (m.in. Prawo bankowe) w celu zapewnienia zgodności z DORA.

KNF aktywnie przygotowywała rynek finansowy do DORA, m.in. poprzez ankietę samooceny przesłaną do podmiotów finansowych w I–II kw. 2024 r.

KNF planuje uchylenie rekomendacji i wytycznych typu „soft law" (np. komunikatu chmurowego), aby uniknąć nakładania się z bardziej rygorystycznymi, obowiązkowymi wymogami DORA.

Projekt polskiej ustawy wdrażającej DORA wprowadza surowe kary, w tym administracyjne kary pieniężne dla osób prawnych do 20 869 500 PLN lub do 10% rocznych przychodów netto.

DORA obejmuje w Polsce 21 różnych typów podmiotów finansowych, w tym banki, instytucje płatnicze, instytucje pieniądza elektronicznego i zakłady ubezpieczeń. Dodatkowo krytyczni dostawcy usług ICT będący stronami trzecimi (w tym dostawcy chmury) obsługujący te podmioty będą bezpośrednio nadzorowani przez Europejskie Urzędy Nadzoru (ESA).