Regulacja art. 32g ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (dalej: UUP) stanowi wdrożenie do krajowego porządku prawnego art. 96 ust. 1–2 dyrektywy (UE) 2015/2366 – PSD2, w której nałożono na dostawców usług płatniczych obowiązki informacyjne w przypadku zaistnienia poważnych incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami.
W związku z tym, obecnie dostawcy – w rozumieniu art. 4 UUP (w tym MIP, KIP, EMI, AISP) zobowiązani są:
-
- niezwłocznie powiadamiać KNF o ich zaistnieniu ww. incydentów (również w odniesieniu do incydentów o charakterze teleinformatycznym);
- w przypadku, gdy którykolwiek z ww. incydentów ma lub może mieć wpływ na interesy finansowe użytkowników usług płatniczych danego dostawcy usług płatniczych – bez zbędnej zwłoki powiadamiać użytkowników usług płatniczych dostawcy o incydencie oraz informować ich o wszystkich dostępnych środkach, które mogą podjąć w celu ograniczenia negatywnych skutków incydentu.
Przepisy Rozporządzenia (UE) 2022/2554 (dalej: „DORA” lub „Rozporządzenie”) przewidują wyłączenie obowiązku zgłaszania incydentów zgodnie z PSD2 w stosunku do m.in. małych instytucji płatniczych, krajowych instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego.
-
- Wobec tego, od dnia rozpoczęcia stosowania DORA (17 stycznia 2025 r.) raportowanie wszelkich incydentów operacyjnych lub incydentów w zakresie bezpieczeństwa związanych z płatnościami ma odbywać się na zasadach przewidzianych w ww. Rozporządzeniu.
Jakie zasady zgłaszania poważnych incydentów związanych z ICT wprowadza DORA?
W przypadku zaistnienia poważnych incydentów związanych z ICT podmioty finansowe mają przedkładać odpowiedniemu właściwemu organowi następujące dokumenty:
-
- wstępne powiadomienie;
- sprawozdanie śródokresowe po wstępnym powiadomieniu, o którym mowa wyżej, gdy tylko status pierwotnego incydentu ulegnie istotnej zmianie lub gdy w oparciu o nowe informacje zmieni się obsługa danego poważnego incydentu związanego z ICT (w stosownych przypadkach, składa się uaktualnione powiadomienia za każdym razem, gdy dostępna jest odpowiednia aktualizacja statusu, jak również na specjalny wniosek właściwego organu);
- sprawozdanie końcowe, po zakończeniu analizy podstawowych przyczyn (niezależnie od tego, czy wdrożono już środki łagodzące skutki incydentu) oraz po udostępnieniu danych dotyczących rzeczywistego wpływu zastępujących dane szacunkowe.
Terminy dotyczące wstępnego powiadomienia i poszczególnych sprawozdań zostaną określone przez Europejskie Urzędy Nadzoru w projektach regulacyjnych standardów technicznych – RTS (najpóźniej do dnia 17.07.2024 r.). RTS obejmować będą m.in. standardowe formularze, wzory i procedury, które mają być stosowane przez podmioty finansowe do celów zgłaszania poważnych incydentów związanych z ICT i powiadamiania o znaczących cyberzagrożeniach.
Co istotne, zgodnie z art. 19 ust. 5 DORA Podmioty finansowe mogą zlecić zadania związane z obowiązkami sprawozdawczymi na mocy niniejszego artykułu zewnętrznemu dostawcy usług w drodze outsourcingu. W przypadku takiego outsourcingu podmiot finansowy pozostaje w pełni odpowiedzialny za spełnienie wymogów dotyczących zgłaszania incydentów.
