sekretariat@kancelariarbr.pl

+48 732 555 472

PL / EN

Rozporządzenie DORA – bezpieczeństwo w cyberprzestrzeni podmiotów rynku finansowego

lis 17, 2022New Tech

Banki, firmy ubezpieczeniowe i inne podmioty rynku finansowego coraz częściej opierają się w swojej działalności na usługach internetowych, aplikacjach dla klientów i kontrahentów, programach komputerowych do bieżącej działalności.

Nie wspominając nawet o kryptowalutach, pieniądzu elektronicznym czy inwestycjach na giełdach międzynarodowych – wyraźnie widać, że usługi finansowe nawet w naszej codziennej działalności przeniosły się do sfery cyfrowej.

Powyższe ułatwia życie nam wszystkim. Zamiast udawać się do banku z każdym przelewem, wystarczy nam kilka kliknięć myszką i już środki znajdują się na koncie docelowego odbiorcy. Nie musimy martwić się już, że zapomnieliśmy wykupić polisę ubezpieczeniową przed podróżą do innego kraju, skoro w drodze na lotnisko możemy na smartfonie złożyć wniosek i otrzymać polisę w ciągu kilku minut.

Jeśli prowadzimy biznes z kontrahentem z innego kraju, z przelewem błyskawicznym możemy opłacić towar w kilka minut czy bez problemu ubezpieczyć towar w kraju kontrahenta.

Denerwujemy się tylko, że bank wymaga od nas podwójnej czy potrójnej autoryzacji, a my nie mamy już siły zapamiętywać, któregoś z kolei silnego hasła czy znaków cyfrowych dla jednego z naszych 5 kont bankowych.

Rzadko zastanawiamy się jednak, z jak wielkim ryzykiem wiąże się przejście w tym zakresie do strefy cyfrowej. Rozwój tej strefy powoduje znaczne zwiększenie aktywności przestępczej i wzrost liczby cyberataków zarówno na systemy podmiotów finansowych, jak również nasze indywidualne konta.

W związku z tym nasz polski regulator – Komisja Nadzoru Finansowego, jak również organizacje międzynarodowe, nakładają coraz to bardziej restrykcyjne obowiązki na powyższe podmioty, nie po to, aby utrudniać nam życie… ale po to, aby chronić nas i nasze pieniądze. Mając na uwadze, że transakcje te coraz częściej mają charakter międzynarodowy, niewystarczającym jest regulowanie tej kwestii na poziomie krajowym, czy też wydawanie jedynie wytycznych, których egzekwowanie w kraju docelowym nie jest do końca jasne i przejrzyste.

Dlatego też, Unia Europejska już w 2020 roku rozpoczęła prace nad Rozporządzeniem w sprawie operacyjnej odporności cyfrowej (DORA). Prace nad tak istotnym dokumentem połączone były jednak z olbrzymim nakładem pracy, czasu i konsultacji z wszystkimi państwami członkowskimi. 10 maja 2022 roku organy Unii Europejskiej doszły do wstępnego porozumienia w zakresie treści Rozporządzenia, które to z uwagi na swój charakter prawny będzie bezpośrednio wiązało podmioty finansowe jak również ich dostawców usług cyfrowych bez konieczności bezpośredniego wdrożenia go w osobnej ustawie w każdym kraju członkowskim.

DORA będzie stanowić swoistą konstytucję, nieprzekraczalny zakres praw i obowiązków nałożonych na instytucje finansowe w zakresie bezpieczeństwa finansowego w obszarze cyfrowym. Dla instytucji finansowej, czy też outsourcera usług IT dla branży finansowej, DORA będzie więc równie istotnym aktem prawnym, jak dotychczas RODO dla każdego podmiotu prawnego.

DORA ma na celu wzmocnienie bezpieczeństwa systemów cyfrowych instytucji finansowych, a w związku z tym wzmocnienie również naszego bezpieczeństwa.

Oczekuje się, że DORA zostanie zatwierdzona w 2022 roku i wprowadzona w życie do 2023 roku. Okres na wdrożenie większości wymagań ma jednak wynosić 24 miesiące, a w zakresie wdrożenia wymogów dotyczących testowania odporności 24 lub 26 miesięcy, w zależności od ostatecznie wypracowanego stanowiska Parlamentu Europejskiego i Rady Unii Europejskiej.

Co reguluje DORA:

  • Zarządzanie ryzykiem cyberbezpieczeństwa oraz strukturę zarządzania ICT:

DORA określa ramy i wytyczne dotyczące zarządzania ryzykiem w sektorze finansowym.

  • Testy odporności/ciągłości:

DORA wprowadza rekomendacje kierunkowe, aby objęte zakresem rozporządzenia podmioty wdrażały programy testowania odporności na podstawie wcześniejszej oceny ryzyka wystąpienia danych incydentów.

  • Wymianę informacji:

DORA wprowadza możliwość i zachęca do wymiany informacji o cyberzagrożeniach i słabościach systemowych, dąży do tego, aby cała branża stała się bardziej świadoma i przygotowana do obrony przed cyberzagrożeniami.

  • Outsourcing usług ICT:


DORA reguluje minimalne wymagania kontraktowe instytucji finansowych z ich dostawcami. Instytucje są również zobowiązane do posiadania strategii zarządzania ryzykiem ze strony dostawców. Artykuły 25-39 Rozporządzenia określają szczegółowe wymogi dotyczące sposobu, w jaki podmioty finansowe mają zarządzać ryzykiem tzw. stron trzecich świadczących usługi ICT.

  • Zgłaszanie incydentów:

DORA rozszerza zakres zgłaszania incydentów i stara się usprawnić proces zgłaszania. Szybsze raportowanie ma za zadanie zachęcić do szybkiej identyfikacji, badania i reagowania, co również ma ułatwić wymianę informacji.

Ponadto DORA umożliwi organom nadzorczym kontrolę krytycznych dostawców zewnętrznych ICT (CTTP).

Dostawcy, którzy zostali określeni jako krytyczni dostawcy zewnętrzni ICT, którzy nie zastosują się do żądania nadzorcy w zakresie dotyczącym informacji i dokumentacji, mogą zostać ukarani grzywną w wysokości do 1% ich średniego dziennego światowego obrotu za każdy dzień, do sześciu miesięcy (art. 31 ust. 4 – 9).

W odniesieniu do innych podmiotów niż dostawcy krytyczni – w zakresie nałożenia kar pozostawiono swobodę państwom członkowskim. Ustalone sankcje i środki muszą być jednak skuteczne, proporcjonalne i odstraszające i obejmujące co najmniej:

  • wydanie nakazu zaprzestania danego postępowania oraz do powstrzymania się od ponownego podjęcia;
  • wymaganie tymczasowego lub stałego zaprzestania wszelkiej praktyki lub postępowania;
  • przyjęcie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych przez podmioty finansowe;
  • wymaganie, udostępnienia istniejących rejestrów przesyłu danych będących w posiadaniu operatora telekomunikacyjnego;
  • wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.

 

*W przypadku, gdy przepisy mają zastosowanie do osób prawnych, powyższe ma zastosowanie wobec członków organu zarządzającego oraz innych osób fizycznych, które w świetle prawa krajowego ponoszą odpowiedzialność za naruszenie.

Ponadto, Państwa członkowskie mogą ustanowić sankcje karne za nieprzestrzeganie przepisów Rozporządzenia oraz zapewnić ich poprawne wdrożenie.

Dla części największych dostawców usług finansowych wprowadzenie DORA nie zmieni zbyt wiele, a będzie wymagało jedynie audytu obowiązujących procedur, możliwie drobną ich ewolucję i zwiększenie poziomu uprawnień instytucji nadzorczych. Dla części mniejszych podmiotów, w szczególności podmiotów korzystających z outsourcingu usług informatycznych, wprowadzenie DORA może okazać się rewolucją, gdyż system nadzorczy nad podmiotami rynku finansowego i wymiana informacji na poziomie międzynarodowym ulegnie wzmocnieniu. Podobnie jak z RODO, wprowadzenie realnych i konkretnych sankcji dla takich podmiotów powinno spowodować zmiany i zwiększenie bezpieczeństwa świadczonych usług, a tym samym zwiększenie bezpieczeństwa ich klientów i kontrahentów.

Dorota Piekarska

Senior Marketing Manager

 

Manager z wieloletnim doświadczeniem w różnych obszarach biznesu, w tym w komunikacji i marketingu, sprzedaży, zarządzaniu projektami, organizacji wydarzeń oraz zarządzaniu zasobami ludzkimi. Jej podejście do pracy charakteryzuje pasja do nowych projektów i wyzwań, a także pozytywna energia, którą stara się wnosić do każdego działania.

Magdalena Raniszewska

Partner Zarządzający/ Radca Prawny

 

Prawo nowych technologii to moja pasja, stąd nie ustaję w jego zgłębianiu. By jak najlepiej rozumieć branżę IT i być dla niej wartościowym doradcą, ukończyłam szereg specjalistycznych studiów i szkoleń w zakresie prawa nowych technologii, ale i podstaw IT i programowania (w tym studia podyplomowe „Prawo nowoczesnych technologii” Akademii Leona Koźmińskiego w Warszawie, a także kursy specjalistyczne: „Prawne i techniczne aspekty cyberbezpieczeństwa”, „Szkoła IT dla prawników” oraz „AI&Data; Expert”).

Jestem współautorką publikacji „HR w IT” pod redakcją No Fluff Jobs, a także wykładowcą Wyższej Szkoły Administracji i Biznesu im. E. Kwiatkowskiego w Gdyni, wolontariuszką Fundacji IT Girls i członkiem Komitetu Technicznego Polskiego Komitetu Normalizacyjnego ds. Sztucznej Inteligencji. Wspólnie z Karoliną oraz wspaniałym zespołem od kilku lat buduję naszą kancelarię.
Stawiam na proste i zrozumiałe rozwiązania oraz partnerskie relacje, oparte na zaufaniu.

Żyję sportem i podróżami. Napędza mnie wiatr we włosach. Świat jest moim domem. Moja doba ma 40h.

m.raniszewska@kancelariarbr.pl

Karolina Rychert

Partner Zarządzający/ Doradca Podatkowy

 

Posiadam ponad piętnastoletnie doświadczenie w kwestiach podatkowych i księgowych. Specjalizuję się w podatkach dochodowych, przeglądach podatkowych oraz tworzeniu dokumentacji cen transferowych. Od 2015 r. prowadzę praktykę w zakresie doradztwa podatkowego.

Uczestniczę w pracach Forum Cen Transferowych - zespołu opiniodawczo-doradczego przy Ministrze Finansów. Jestem członkinią Grupy Roboczej ds. opisu zgodności.

Posiadam Certyfikat TPE® – specjalisty w zakresie cen transferowych w ujęciu międzynarodowym i krajowym, wydany przez The Institute of International Tax Accounting and Finance.

Kocham góry, od rodzimych Bieszczad po szkockie Highlands. Tam najlepiej odpoczywam. W wolnych chwilach czytam, czytam i jeszcze raz czytam!

k.rychter@kancelariarbr.pl

dr. Joanna Worona-Vlugt

Adwokat

 

Przez wiele lat pracowałam w dużych warszawskich kancelariach obsługując podmioty z branży leasingowej i bankowej. Nowe technologie zawsze były w kręgu moich zainteresowań zawodowych i naukowych, co w 2017 r. zaskutkowało obroną wyróżnionej przez recenzentów rozprawy doktorskiej „Cyberprzestrzeń a prawo międzynarodowe. Status quo i perspektywy”. Jestem autorką publikacji naukowych i prasowych związanych z tematyką nowych technologii, ochrony danych osobowych i cyberbezpieczeństwa.

 

Wspieram rozwój przedsiębiorstw z branży IT, pomagając w zrozumieniu i zarządzaniu wyzwaniami prawnymi, które wynikają z dynamicznego rozwoju technologii. Moja praca koncentruje się m.in. na doradztwie w zakresie umów IT, ochrony danych oraz własności intelektualnej. Zawsze staram się dostarczać praktyczne rozwiązania, które pozwalają firmom rozwijać się w zgodzie z obowiązującymi regulacjami prawnymi.

 

 

Prywatnie uwielbiam czytać oraz spędzać czas z rodziną i przyjaciółmi.

Aleksandra Kreczmer

Radca Prawny

 

Specjalizuję się w kompleksowej obsłudze prawnej przedsiębiorców, koncentrując się w szczególności na bieżącym doradztwie oraz negocjowaniu umów.

Wspieram przedsiębiorców w rozwiązywaniu codziennych wyzwań prawnych związanych z ich działalnością, kładąc przy tym nacisk na minimalizowanie ryzyka prawnego. Moim priorytetem jest zapewnianie zrozumiałych i dopasowanych do potrzeb klienta rozwiązań, które wspierają rozwój przedsiębiorstwa i realizację założonych celów biznesowych.

 

Wolny czas spędzam aktywnie razem z rodziną i przyjaciółmi.

Klaudia Maciejewska

Prawnik, Partner AI

Z branżą IT jestem związana od prawie 6 lat. Łączę obszar prawa, nauki i nowymi technologii, co przejawia się moich aktywnościami w Polskim Komitecie Normalizacyjnym, Komitecie Technicznym ds. Sztucznej Inteligencji oraz Grupie Roboczej ds. Sztucznej Inteligencji. W 2022 r. zostałam nominowana przez Perspektywy Women in Tech do Top 100 Women in AI in Poland w kategorii Leading Projects where AI s an important element.

Moje zawodowe działania skupiają się na prawnych aspektach wykorzystania rozwiązań sztucznej inteligencji w obszarze IT/ICT oraz audytowaniu systemów sztucznej inteligencji. Profesjonalizm, pasja, zaangażowanie, a także interdyscyplinarne spojrzenie na obszar nowych technologii i prawa – to cechy, które opisują mój stosunek do wszelkich zadań, których się podejmuje.

 

Cenię pracę z ludźmi, przestrzeń i nowe wyzwania.

Anna Jankowiak

Partner ds. ESG

Założycielka marki ESG ASSURED i twórczyni aplikacji mobilnych wspierających ESG i dekarbonizację w organizacjach oraz aplikacji zrzeszających społeczność ESG w Polsce oraz w innych krajach Certyfikowana Ekspertka ESG i zrównoważonego rozwoju. Główne obszary ekspertyzy: CBAM, ślad węglowy, badanie istotności i dialog z interesariuszami, strategia ESG, raportowanie ESG, dekarbonizacja i offsetowanie, w tym angażowanie pracowników, klientów i dostawców w działania na rzecz dekarbonizacji.

Trenerka i mentorka z 20letnim stażem. Wykładowczyni na studiach podyplomowych ESG oraz z grywalizacji. Prelegentka na polskich i międzynarodowych wydarzeniach ESG

Filip Jeżewski

Doradca Podatkowy

 

Swoje dotychczasowe doświadczenie zawodowe zdobywałem w kancelariach podatkowych w Toruniu i Warszawie, w których zajmowałem się bieżącym doradztwem w zakresie prawa podatkowego oraz pomocą we wdrożeniu ulg podatkowych dla przedsiębiorców w podatkach dochodowych. W swojej karierze pomogłem setkom przedsiębiorców we wdrożeniu innowacyjnych ulg, takich jak IP Box.

Prywatnie interesuję się koszykówką oraz wszelkimi newsami związanymi z prawem podatkowym.

 

f.jezewski@kancelariarbr.pl
 

Maria Owczarska

Doradca Podatkowy

 

Swoje doświadczenie zdobywałam dzięki pracy w biurze rachunkowym, a następnie w kancelarii RBR, z którą współpracuję od początku jej powstania. Zajmuję się bieżącą obsługą naszych klientów w zakresie CIT, PIT i VAT, jednak w największym stopniu upodobałam sobie zagadnienia związane z podatkami dochodowymi, w szczególności w zakresie cen transferowych.

Prywatnie jestem miłośniczką psów, spacerów na łonie natury oraz spokojnych chwil w gronie przyjaciół i rodziny. Najchętniej odpoczywam przy dobrej książce, a moim guilty pleasure jest granie w gry RPG – najlepiej te z otwartym światem i obszerną fabułą.

 

m.owczarska@kancelariarbr.pl
 

Maja Góral-Pawelczyk

Radca prawny

 

Zawodowo rozwijam się w zakresie prawa międzynarodowego, prawa nowych technologii oraz cyberbezpieczeństwa. Klientom RBR pomagam w rozwiązywaniu zawiłości prawnych, dostosowaniu umów i dokumentów korporacyjnych, a także reprezentuję ich w sądzie oraz przed innymi organami administracji publicznej.

Prywatnie jestem miłośniczką wycieczek górskich i wszelakich aktywności z moim labradorem.

 

m.goral@kancelariarbr.pl
 

Karolina Gałka

Radca Prawny

 

Swoje doświadczenie zdobywałam już w trakcie studiów podczas pracy w korporacjach oraz w trójmiejskich kancelariach. Zajmowałam się zarówno obsługą prawną przedsiębiorców, jak i sporami sądowymi. Doświadczenia zdobyte na sali sądowej wykorzystuję przy projektowaniu nowych rozwiązań dla klientów kancelarii.

Wolne chwile przeznaczam na odpoczynek, podróże (lub ich planowanie) oraz rozwój osobisty. Zawsze stąpam twardo po ziemi, dlatego wolę literaturę faktu, reportaże czy książki psychologiczne niż sci-fi.

 

k.galka@kancelariarbr.pl
 

Maria Chmielewska

Aplikant Radcowski

 

Dotychczasowe doświadczenie zawodowe zaczęłam zdobywać w trakcie studiów, pracując jako asystentka prawna w warszawskich kancelariach. Zajmowałam się obsługą przedsiębiorców, brałam udział w obsłudze prawnej procesów budowlanych oraz wspomagałam prawników w prowadzonych przez nich postępowaniach sądowych.
Interesuję się szeroko rozumianym prawem cywilnym, handlowym oraz zagadnieniami związanymi z odpowiedzialnością cywilną za błędy medyczne.
W styczniu 2024 roku rozpoczęłam aplikację radcowską w Okręgowej Izbie Radców Prawnych w Gdańsku.

W wolnym czasie lubię biegać, spacerować oraz czytać newsy.

 

m.chmielewska@kancelariarbr.pl
 

Jolanta Sasin

Office Administrator

 
Mam doświadczenie w zakresie prawa administracyjnego, które nabyłam pracując w Urzędzie m.st. Warszawy - w Biurze Geodezji i Katastru oraz dzięki bliskiej współpracy z radcami prawnymi Urzędu. Brałam udział w opiniowaniu projektów rządowych aktów prawnych, opracowaniu oraz opiniowaniu projektów aktów prawa miejscowego w Warszawie, w projektach i procesach cyfryzacji zasobu geodezyjnego (w Gdańsku, Gdyni i Warszawie). Przez 10 lat prowadziłam własną działalność gospodarczą. Jestem licencjonowanym rzeczoznawcą majątkowym ds. wycen nieruchomości i posiadam uprawnienia z dwóch zakresów geodezji. Prywatnie interesuję się wszystkim, co dotyczy ochrony środowiska. Kibicuję start-up'om, których pomysły wpisują się w trendy ekologiczne. Bardzo obchodzi mnie los zwierząt (mam dwie kotki ze schroniska). Lubię jogę i kilometrowe spacery, szczególnie nad morzem.  
sekretariat@kancelariarbr.pl

Martyna Trojan

Starszy Konsultant Podatkowy

 

Doświadczenie zdobywałam w trójmiejskich kancelariach i międzynarodowych korporacjach m. in. wielkiej czwórce, zajmując się bieżącą analizą przepisów podatkowych. W kancelarii zajmuję się bieżącą obsługą spółek w zakresie VAT, CIT i PIT oraz analizą umów i orzecznictwa. Moim największym obszarem zainteresowań są ulgi dla innowacyjnych przedsiębiorców w podatkach dochodowych oraz podatek od towarów i usług.

W wolnym czasie tańczę salsę lub spędzam czas z rodziną i przyjaciółmi. Wieczory poświęcam dobrej książce i wypiekaniu słodkich pyszności.

 

m.trojan@kancelariarbr.pl
 

Oktawia Ostrowska

Starszy Prawnik

 

W dotychczasowej praktyce zajmowałam się prawem cywilnym w zakresie zobowiązań oraz procedurą windykacyjną z uwzględnieniem specyfiki postępowania egzekucyjnego.

 

Dodatkowo interesuję się prawem handlowym oraz nowymi technologiami. Rozwijam się, pomagając naszym klientom w sprawach z zakresu prawa handlowego, cywilnego. Odpoczywam podczas wspinaczek górskich i na snowboardzie.

o.ostrowska@kancelariarbr.pl