Wróć do bloga
14 maja 2024Maja Góral-Pawelczyk, Radca Prawny

Wdrożenie DORA w Polsce cz. I – czyli kto będzie egzekwował dostosowanie się do przepisów?

Rozporządzenie (UE) 2022/2554 (DORA) nakazuje państwom członkowskim ustanowienie właściwego państwowego organu nadzoru – w tym zakresie nikogo nie zdziwi, że Polski ustawodawca planuje wyznaczyć Komisję Nadzoru Finansowego (KNF) jako tzw. właściwy organ państwowy.

Rozporządzenie (UE) 2022/2554 (DORA) nakazuje państwom członkowskim ustanowienie właściwego państwowego organu nadzoru – w tym zakresie nikogo nie zdziwi, że Polski ustawodawca planuje wyznaczyć Komisję Nadzoru Finansowego (KNF) jako tzw. właściwy organ państwowy.

Zgodnie z DORA właściwe organy posiadają wszelkie uprawnienia do sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji niezbędne do wykonywania swoich obowiązków wynikających z rozporządzenia (art. 50 ust. 1 DORA) w tym:

  • dostęp do dokumentów
  • przeprowadzanie kontroli na miejscu
  • przeprowadzanie dochodzeń
  • wymaganie zastosowanie środków naprawczych


KNF oceni czy każdy z zewnętrznych dostawców usług ICT uznany za kluczowy wprowadził kompleksowe, solidne i skuteczne zasady, procedury, mechanizmy i ustalenia służące do zarządzania ryzykiem związanym z ICT, które dostawca ten może stanowić dla podmiotów finansowych.

Do celów wykonywania obowiązków wiodący organ nadzorczy będzie posiadać w odniesieniu do kluczowych zewnętrznych dostawców usług ICT uprawnienia do:
1. występowania z wnioskiem o przekazanie wszystkich stosownych informacji i dokumentów
2. prowadzenia ogólnych dochodzeń i kontroli
3. występowania z wnioskiem o złożenie sprawozdań po zakończeniu działań nadzorczych, w których omówione są działania podjęte lub środki zaradcze wdrożone przez kluczowych zewnętrznych dostawców usług ICT w związku z zaleceniami
4. wydawania zaleceń (art. 35 DORA)

KNF będzie też uprawniony do nałożenia wysokich kar – każdorazowo będzie jednak musiał ją miarkować z uwagi na:

  • istotność naruszenia, jego wagę oraz czas trwania;
  • stopień przyczynienia się osoby fizycznej lub prawnej do naruszenia, a także sytuację finansową osoby odpowiedzialnej za doprowadzenie do niezgodności lub naruszenia;
  • skalę korzyści uzyskaną przez podmiot finansowy albo skalę strat, a także straty poniesione przez osoby trzecie w wyniku naruszenia;
  • zakres współpracy podmiotu oraz czy wcześniej już miały miejsce naruszenia

Więcej o karach czyt. w cz. II.