DORA i nowi sygnaliści

Ustawa potocznie zwana „warzywniakiem” była największą zmianą prawną dla domów maklerskich i towarzystw funduszy inwestycyjnych w 2023 r. Obecnie najważniejsze zmiany w otoczeniu prawnym dla tych podmiotów stanowią regulacje związane z odpornością cyfrową. Oprócz tego istotną kwestią są procedowane zmiany dotyczące ochrony sygnalistów.

Publikacja: 22.05.2024 06:00

Mikołaj Zduńczuk radca prawny, Legality Kancelaria Adwokacka

Mikołaj Zduńczuk radca prawny, Legality Kancelaria Adwokacka

Foto: materiały prasowe

Rozporządzenie DORA (Digital Operational Resilience Act) ustanawia nowe unijne ramy kompleksowego zarządzania ryzykiem cyfrowym na rynkach finansowych. Czy rozporządzenie wprowadza rozwiązania o charakterze rewolucyjnym? Odpowiedź na to pytanie nie jest jednoznaczna. Z jednej strony wprowadza modyfikacje istniejących już wymogów. Z drugiej strony ustanawia nowe obowiązki. Zmianą o charakterze rewolucyjnym jest na pewno objęcie nadzorem finansowym tzw. kluczowych zewnętrznych dostawców usług związanych z technologiami informacyjno-komunikacyjnymi („ICT”, ang. Information and Communication Technology).

Jak wdrożyć rozporządzenie DORA?

Osiągnięcie zgodności działalności z treścią rozporządzenia DORA wymaga podejścia wielodyscyplinarnego. Dobrze jest je zaplanować jako kilkuetapową podróż ze znanym celem. Choć w tym miejscu należy poczynić kilka zastrzeżeń. Droga tej podróży nie jest jasno wytyczona i wspólna dla wszystkich podmiotów. Ponadto, podróż ta w pewnym sensie nigdy się nie kończy (a przynajmniej do ostatniego dnia obowiązywania rozporządzenia DORA).

Pierwszy etap wdrażania powinien przynieść ustalenia, w którym miejscu jest dany podmiot. W aspekcie praktycznym oznacza to dokonanie wstępnej oceny gotowości rozwiązań już istniejących w organizacji względem wymagań rozporządzenia DORA i analizy luk. Kolejny etap to czas na przygotowanie dokumentacji, której podmiot nie posiada, lub dokonanie korekt dokumentacji już istniejącej. Realizując ten krok, trzeba pamiętać, aby treść dokumentacji była zgodna nie tylko z rozporządzeniem DORA, ale również z innymi obowiązującymi przepisami prawnymi, takimi jak m.in. rozporządzenie RODO. Biorąc pod uwagę, że rozporządzenie DORA koncentruje się na przestrzeganiu umów i standardach zewnętrznych dostawców ICT, to szczególną uwagę należy zwrócić na przygotowanie, dostosowanie i renegocjację wzorów umów dla dostawców ICT. Jest to jeden z trudniejszych, a zarazem kluczowych etapów wdrażania zmian w organizacji pod kątem rozporządzenia DORA, co zauważają Parlament Europejski i Rada Unii Europejskiej w motywie 28 do tego aktu prawnego: „[…] podmioty finansowe często napotykają trudności podczas negocjacji warunków umownych, […] lub podczas innego rodzaju egzekwowania konkretnych praw, takich jak prawa dostępu lub prawa do audytu, nawet jeżeli te ostatnie są zapisane w umowach”. W przypadku braku podjęcia negocjacji przez dostawców ICT i efektywnej współpracy z ich strony, w najgorszym scenariuszu trzeba będzie nawet rozwiązać umowy. Podmioty finansowe muszą również ustanowić nowe, minimalne kryteria prawne i techniczne dotyczące współpracy z usługodawcami. Kończąc wątek umów, warto wspomnieć, że w opublikowanym 18 kwietnia 2024 r. na stronie RCL projekcie ustawy, która ma na celu wdrożenie do polskiego systemu prawnego oraz zapewnienie stosowania rozporządzenia DORA, znajduje się obowiązek cyklicznego przekazywania do KNF informacji na temat umów dotyczących ICT do 31 stycznia każdego roku.

Będąc blisko celu określonego przez rozporządzenie DORA, podmioty finansowe muszą pamiętać, aby zadbać o budowanie świadomości w zakresie bezpieczeństwa ICT w organizacji. Rozporządzenie DORA nakłada na podmioty finansowe obowiązek opracowania programów zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkoleń w zakresie operacyjnej odporności cyfrowej. Jest to zadanie ciągłe i właśnie w tym sensie osiąganie zgodności z rozporządzeniem DORA nigdy się nie kończy.

Wcześniej była mowa o tym, że dostosowywanie działalności do treści rozporządzenia DORA będzie przebiegać inaczej u poszczególnych podmiotów. Wynika to z tego, że przepisy rozporządzenia DORA przewidują zastosowanie zasady proporcjonalności. Przykładowo, podmioty finansowe mające status mikroprzedsiębiorcy część obowiązków wynikających z rozporządzenia DORA zobowiązane są spełnić w mniejszym stopniu, a z części są całkowicie zwolnione. Kwestię proporcjonalności porusza także UKNF we wpisie zamieszczonym na blogu nadzorczym, w którym zaznacza, że opracowuje podejście do proporcjonalności odnośnie do wymogów rozporządzenia DORA.

Odpowiedzialność i potencjalne kary

Za dostosowanie działalności do treści rozporządzenia DORA odpowiedzialność ponosi organ zarządzający podmiotu. Natomiast odnośnie do potencjalnych sankcji, to wspomniany już powyżej projekt ustawy definiuje katalog kar. Jedną z możliwych kar jest nałożenie na osobę prawną kary pieniężnej do 20 869 500 zł lub 10 proc. przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych. Oprócz tego projekt ustawy przewiduje także nałożenie kar na członków zarządu do kwoty 3 042 410 zł.

Mało czasu na dostosowanie

Domy maklerskie i towarzystwa funduszy inwestycyjnych muszą być gotowe do stosowania przepisów rozporządzenia DORA począwszy od 17 stycznia 2025 r. Biorąc pod uwagę, że dostosowanie wymaga wielodyscyplinarnego i kompleksowego podejścia całej organizacji, czasu pozostało już niewiele. To już ostatni moment, żeby zacząć prace nad indywidualnym, „szytym na miarę” programem zgodności.

Ochrona sygnalistów

Równolegle zachodzą zmiany w kwestii ochrony sygnalistów – toczą się prace legislacyjne nad projektem ustawy o ochronie sygnalistów, implementującej przepisy dyrektywy 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa UE. Kolejny projekt ustawy wpłynął do Sejmu RP 17 kwietnia 2024 r.

Obowiązek posiadania procedury odnośnie do ochrony sygnalistów nie jest nowy dla podmiotów finansowych. Podmioty te już jakiś czas temu zostały zobowiązane do posiadania wewnętrznych procedur zgłaszania naruszeń (choćby przykładowo na mocy rozporządzenia MAR czy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu). W treści dyrektywy 2019/1937 jest mowa o tym, że niektóre akty UE zawierają już szczegółowe przepisy dotyczące ochrony sygnalistów. Pojawia się także stwierdzenie, że dyrektywa 2019/1937 pełni wobec nich funkcję uzupełniającą i znajduje zastosowanie we wszystkich kwestiach nieuregulowanych przepisami aktów sektorowych.

Projekt polskiej ustawy doprecyzowuje strukturę wewnętrznych i zewnętrznych kanałów dokonywania zgłoszeń, obowiązki organów oraz szczególne formy ochrony przed działaniami odwetowymi. W przypadku zaistnienia działań odwetowych sygnalista będzie miał prawo do odszkodowania. Projekt ustawy zawiera także katalog spraw objętych procedurą zgłaszania. Jedną z wymienionych spraw w tym katalogu jest prawo pracy. Fakt ten wzbudza kontrowersje, ponieważ celem dyrektywy 2019/1937 jest ochrona interesu publicznego, a nie prywatnego. Ponadto, wskazuje się, że uwzględnienie prawa pracy nie było przedmiotem konsultacji. Niemniej, jeśli ostatecznie dojdzie do uchwalenia ustawy o ochronie sygnalistów, uwzględniającej sprawy z zakresu prawa pracy, to potencjalny zakres zastosowania procedury zgłaszania naruszeń będzie bardzo szeroki, ponieważ prawo pracy to nie tylko kodeks pracy, ale także kilkanaście ustaw oraz dziesiątki rozporządzeń. Wspomniany projekt ustawy zawiera zastrzeżenie, że domy maklerskie i towarzystwa funduszy inwestycyjnych będą miały obowiązek ustanowienia wewnętrznych kanałów zgłaszania naruszeń niezależnie od tego, czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników.

Jakie zmiany będą wynikać w praktyce dla domów maklerskich i towarzystw funduszy inwestycyjnych po uchwaleniu wspomnianej ustawy? W praktyce podmioty te będą musiały dostosować procedury wewnętrzne oraz funkcjonujące rozwiązania w zakresie zgłaszania naruszeń. Skala dostosowań będzie zależała od ostatecznego kształtu przyjętych w ustawie rozwiązań.

Felietony
Wspólny manifest rynkowy
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Felietony
Pora obudzić potencjał
Felietony
Kurs EUR/PLN na dłużej powinien pozostać w przedziale 4,25–4,40
Felietony
A jednak może się kręcić. I to jak!
Materiał Promocyjny
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Felietony
Co i kiedy zmienia się w rozporządzeniu MAR?
Felietony
Dolar na fali, złoty w defensywie