Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej jako „DORA” lub „Rozporządzenie”) przewiduje jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych nie tylko wobec znacznej większości podmiotów sektora finansowego, ale również względem podmiotów trzecich, które świadczą dla nich usługi ICT.
Pełna lista podmiotów objętych regulacjami DORA została określona w art. 2 Rozporządzenia, natomiast instytucje obowiązane wskazane w art. 2 ust. 1 lit. a)-t) zdefiniowane zostały wspólnie „podmiotami finansowymi” i zgodnie z poniższą tabelą są to:
lit. |
PODMIOT FINANSOWY |
W ROZUMIENIU |
a) |
instytucje kredytowe |
art. 4 ust. 1 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 |
b) |
instytucje płatnicze i instytucje płatnicze zwolnione zgodnie z art. 32 ust. 1 dyrektywy (UE) 2015/2366 |
art. 4 pkt 4 dyrektywy (UE) 2015/2366 i art. 32 ust. 1 dyrektywy (UE) 2015/2366 |
c) |
dostawcy świadczący usługę dostępu do informacji o rachunku |
art. 33 ust. 1 dyrektywy (UE) 2015/2366, |
d) |
instytucje pieniądza elektronicznego oraz instytucje pieniądza elektronicznego korzystające z wyłączenia, o którym mowa w art. 9 ust. 1 dyrektywy 2009/110/WE |
art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady 2009/110/WE i art. 9 ust. 1 dyrektywy 2009/110/WE |
e) |
podmioty prowadzące działalność inwestycyjną |
art. 4 ust. 1 pkt 1 dyrektywy 2014/65/UE |
f) |
dostawcy usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy rozporządzenia 2023/1114 i emitenci tokenów powiązanych z aktywami, |
art. 3 ust. 1 pkt 15 rozporządzenia (UE) 2023/1114 i art. 3 ust. 1 pkt 10 rozporządzenia (UE) 2023/1114 |
g) |
centralne depozyty papierów wartościowych |
art. 2 ust. 1 pkt 1 rozporządzenia (UE) nr 909/2014 |
h) |
kontrahenci centralni |
art. 2 pkt 1 rozporządzenia (UE) nr 648/2012 |
i) |
systemy obrotu |
art. 4 ust. 1 pkt 24 dyrektywy 2014/65/UE |
j) |
repozytoria transakcji |
art. 2 pkt 2 rozporządzenia (UE) nr 648/2012 |
k) |
zarządzający alternatywnymi funduszami inwestycyjnymi |
art. 4 ust. 1 lit. b) dyrektywy 2011/61/UE |
l) |
spółki zarządzające |
art. 2 ust. 1 lit. b) dyrektywy 2009/65/WE |
m) |
dostawcy usług w zakresie udostępniania informacji |
rozporządzenia (UE) nr 600/2014, zgodnie z art. 2 ust. 1 pkt 34–36 tego rozporządzenia |
n) |
zakłady ubezpieczeń i zakłady reasekuracji |
art. 13 pkt 1 dyrektywy 2009/138/WE i art. 13 pkt 4 dyrektywy 2009/138/WE |
o) |
pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające |
art. 2 ust. 1 pkt 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/97, art. 2 ust. 1 pkt 5 dyrektywy (UE) 2016/97 i art. 2 ust. 1 pkt 4 dyrektywy (UE) 2016/97 |
p) |
instytucje pracowniczych programów emerytalnych |
art. 6 pkt 1 dyrektywy (UE) 2016/234 |
q) |
agencje ratingowe |
art. 3 ust. 1 lit. b) rozporządzenia (WE) nr 1060/2009 |
r) |
administratorzy kluczowych wskaźników referencyjnych |
art. 3 pkt 25 rozporządzenia (UE) 2016/1011 |
s) |
podmioty świadczące usługi finansowania społecznościowego |
art. 2 ust. 1 lit. e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2020/1503 |
t) |
repozytoria sekurytyzacji |
art. 2 pkt 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/2402 |
DORA ma na celu wzmocnienie zaufania do systemu finansowego oraz ochrony jego stabilności na terenie UE, wobec czego podmioty finansowe mają stosować się do tych samych przepisów podczas zwalczania ryzyka związanego z ICT, każdorazowo uwzględniając swoją wielkość i ogólny profil ryzyka oraz charakter, a także skalę i stopień złożoności realizowanych działań, operacji i usług.
Zgodnie z art. 2 ust. 1 lit. u) DORA, wymagania wynikające z Rozporządzenia obejmują również zewnętrznych dostawców technologii informacyjno-komunikacyjnych, w tym dostawców usług chmury obliczeniowej, będących kluczowymi partnerami dla sektora finansowego w zakresie usług cyfrowych i infrastruktury.
Co istotne, wyłączeni z zakresu stosowania niniejszego Rozporządzenia są m.in. pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające będący mikro, małymi lub średnimi przedsiębiorstwami (art. 2 ust. 3 lit. e) DORA). Aby zastosować wyłączenie kluczowe jest prawidłowe określenie statusu pośrednika w kontekście zaliczenia do jednej z ww. kategorii, w związku z czym w art. 3 ust. 60), 63) i 64) DORA wskazano definicje mikro, małych i średnich przedsiębiorstw, które należy stosować przy weryfikacji możliwych kryteriów wyłączenia.