To co jeszcze kilka lat temu wydawało się nowoczesną perspektywą w cyfrowym środowisku pracy korporacji oraz interakcji z klientem, pandemia COVID-19 przekształciła w codzienność. Całkowity lockdown zmusił biznes, w tym instytucje finansowe, takie jak np. banki, zakłady ubezpieczeń, firmy inwestycyjne czy TFI do natychmiastowego przejścia na pracę zdalną. Zmienił się również sposób korzystania przez klientów instytucji finansowych z oferowanych im produktów i usług, które podobnie jak inne dziedziny gospodarki, poddają się narastającej cyfryzacji. W trzeciej dekadzie XXI wieku dostrzegł to i polski ustawodawca. Nowelizacja ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, która weszła w życie 27 stycznia br. zmieniła regulacje dotyczące składania zleceń związanych z nabywaniem i odkupywaniem jednostek uczestnictwa FIO oraz SFIO, ale również innych oświadczeń woli związanych z uczestnictwem tych w funduszach, w tym doprecyzowała zasady dotyczące możliwości składania ich w postaci elektronicznej. Novum stanowiło natomiast, postulowane od dawna przez branżę, odniesienie analogicznych rozwiązań do funduszy inwestycyjnych zamkniętych.
Cyfrowa odporność albo złoto dla zuchwałych…
Upowszechniająca się cyfryzacja w sektorze finansowym to jednak nie tylko wygoda i nowoczesność, ale także potencjalnie wyższe ryzyko związane z podatnością technologii informacyjno-komunikacyjnych (ang. information and communications technology, ICT) towarzyszących digitalizacji usług i produktów na cyberzagrożenia lub inne zakłócenia w ich funkcjonowaniu. W ślad za postępującą globalizacją i cyfryzacją systemu finansowego, w tym z uwagi na oparcie przez niektóre spośród instytucji finansowych swojego modelu biznesowego wyłącznie na cyfrowych kanałach dostępu, wzmaga się również ryzyko wynikające z wzajemnych powiązań technologicznych oraz rosnącej zależności instytucji finansowych od usług dostarczanych przez podmioty infrastruktury zewnętrznej czy dostawców ICT. W aktualnym stanie rzeczy technologie informacyjno-komunikacyjne mają znaczenie krytyczne dla utrzymania ciągłości działania instytucji finansowych. W tym kontekście kwestie związane z zarządzaniem ryzkiem związanym z ICT, identyfikowanym jako kategoria ryzyka operacyjnego, stało się przedmiotem szczególnego zainteresowania nie tylko na poziomie międzynarodowym, ale także z perspektywy regulatorów i organów nadzoru zarówno w skali całej UE, jak i w ramach państw członkowskich.
W powyższe działania wpisuje się regulacja przewidziana w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act, DORA). W motywach rozporządzenia jako ratio legis, wskazuje się m.in. że brak pełnej i spójnej harmonizacji na poziomie UE kwestii odnoszących się do odporności cyfrowej (ang. digital resilience) sektora finansowego, przy jednoczesnym nakładaniu się różnych grup przepisów normujących to zagadnienie oraz niejednolitym podejściu regulacyjnym i nadzorczym do ryzyka związanego z ICT, nie służy zapewnieniu stabilności oraz integralności sektora finansowego w epoce cyfrowej. Obecny stan regulacji odnoszący do kwestii digital resilience kreuje natomiast istotne bariery dla funkcjonowania rynku wewnętrznego usług finansowych, zakłócając konkurencję i utrudniając np. świadczenie usług ICT podmiotom finansowym prowadzącym działalność transgraniczną w Unii Europejskiej.
Kto zostanie objęty DORA?
Zgodnie z treścią komunikatu prasowego Rady UE, rozporządzenie kreuje ramy prawne normujące operacyjną odporność cyfrową, zgodnie z którymi wszystkie przedsiębiorstwa muszą upewnić się, że są w stanie wytrzymać wszelkiego rodzaju zakłócenia i zagrożenia związane z ICT, reagować na nie i przezwyciężać ich skutki. DORA, stanowić ma w założeniu jednolity zbiór przepisów, obowiązujący bezpośrednio w porządkach prawnych państw członkowskich. Akt ten będzie miał zastosowanie zarówno w odniesieniu do podmiotów finansowych (ich liczbę szacuje się na ponad 22 tys.), niemniej jednak wpłynie również znacząco na działalność zewnętrznych dostawców usług ICT.
Lista podmiotów finansowych zobligowanych do stosowania DORA jest długa. Obejmuje m.in.: instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, ZAFI