Ta strona używa cookies do celów analitycznych.
Polityka Prywatności i cookies.
Zaakceptuj
  • English version
  • українська версія
menu

28/10/2024

Kto powinien wdrożyć rozporządzenie DORA?

Dnia 17 stycznia 2025 r. w życie wchodzi rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. U. UE. L. z 2022 r. Nr 333, str. 1 z późn. zm.), zwane powszechnie DORA (Digital Operational Resilience Act). Które podmioty powinny przygotować się do wdrożenia rozporządzenia?

Założeniem DORA jest wzmocnienie cyberbezpieczeństwa w sektorze finansowym na terenie Unii Europejskiej, w szczególności przed atakami hakerskimi.

Z uwagi na to, że DORA jest rozporządzeniem Parlamentu Europejskiego i Rady (UE), obowiązuje bezpośrednio we wszystkich państwach członkowskich – nie jest wymagane uchwalenie jakichkolwiek przepisów w prawie krajowym wprowadzających rozporządzenie.

Zgodnie z art. 2 ust. 2 DORA, rozporządzenie ma zastosowanie do:

  • instytucji kredytowych,
  • instytucji płatniczych,
  • dostawców świadczących usługę dostępu do informacji o rachunku,
  • instytucji pieniądza elektronicznego,
  • firm inwestycyjnych,
  • dostawców usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na podstawie rozporządzenia PE i Rady w sprawie rynków kryptoaktywów, oraz emitentów tokenów powiązanych z aktywami,
  • centralnych depozytów papierów wartościowych,
  • kontrahentów centralnych,
  • systemów obrotu,
  • repozytoriów transakcji,
  • zarządzających alternatywnymi funduszami inwestycyjnymi,
  • spółek zarządzających,
  • dostawców usług w zakresie udostępniania informacji,
  • zakładów ubezpieczeń i zakładów reasekuracji,
  • pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenie uzupełniające,
  • instytucji pracowniczych programów emerytalnych,
  • agencji ratingowych,
  • administratorów kluczowych wskaźników referencyjnych,
  • dostawców usług finansowania społecznościowego,
  • repozytoriów sekurytyzacji,
  • zewnętrznych dostawców usług ICT świadczących usługi na rzecz sektora finansowego.

Z obowiązku stosowania DORA jest wyłączonych kilka podmiotów, m.in. pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające będący mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami.

Jakie obowiązki DORA nakłada na podmioty finansowe, które powinny wdrożyć rozporządzenie? O tym w następnym naszym artykule z serii o cyberbezpieczeństwie.

W przypadku jakichkolwiek pytań dotyczących tematyki wdrożenia DORA w swoim przedsiębiorstwie, zapraszamy do kontaktu z naszą kancelarią.