Urząd Komisji Nadzoru Finansowego planuje uchylenie funkcjonujących obecnie rekomendacji i wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, mających zastosowanie m.in. do ubezpieczeń. Podobny los czeka również komunikat UKNF dotyczący przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej. To efekt zbieżności ich zakresu z obowiązkami wynikającymi z rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) i powiązanych z nim aktów wykonawczych, a także faktu, że są to akty tzw. soft law i nie są źródłami prawa powszechnie obowiązującego, w przeciwieństwie do DORA.
UKNF wyjaśnia, że te działania pozwolą uniknąć wątpliwości interpretacyjnych, które mogłyby wystąpić w przypadku równoczesnego obowiązywania przepisów prawa oraz aktów o charakterze tzw. soft law. Uchylenie wytycznych, rekomendacji i komunikatu przyczynią się także do ograniczenia obciążeń regulacyjnych, jakie w obszarze operacyjnej odporności cyfrowej mają zastosowanie do podmiotów nadzorowanych.
Wśród aktów planowanych do uchylenia i odwołania znajdują się m.in. wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji oraz komunikat Urzędu z dnia 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. O terminie uchylenia nadzór poinformuje w odrębnej informacji.
Spójne podejście UE
Podobne analizy zbieżności zakresu przedmiotowego wytycznych w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT oraz wytycznych w sprawie outsourcingu do dostawców usług w chmurze obliczeniowej z rozporządzeniem DORA przeprowadzane są przez Europejskie Urzędy Nadzoru.
Planowane uchylenie rekomendacji i wytycznych oraz odwołanie komunikatu chmurowego odpowiada na potrzebę podjęcia na szczeblu krajowym działań spójnych z podejściem do definiowania wymogów zarządzania ryzykiem związanym z ICT, jakie w związku z DORA można obserwować na poziomie prawodawstwa europejskiego. UKNF przypomina, że zgodnie z motywem 8 rozporządzenia rozbudowanie jednolitego zbioru przepisów i systemu nadzoru, tak aby uwzględniały one również operacyjną odporność cyfrową, ma na celu wzmocnienie kompetencji właściwych organów – w tym KNF – aby umożliwić im sprawowanie nadzoru w zakresie zarządzania ryzykiem związanym z ICT w sektorze finansowym i chronić integralność oraz efektywność rynku wewnętrznego, a także ułatwić jego należyte funkcjonowanie.
Rozbieżności utrudniają funkcjonowanie rynku
Motyw 9 DORA wskazuje, że rozbieżności legislacyjne i niejednolite krajowe podejścia regulacyjne lub nadzorcze do ryzyka związanego z ICT powodują powstanie przeszkód dla funkcjonowania rynku wewnętrznego usług finansowych, utrudniając sprawne korzystanie ze swobody przedsiębiorczości i swobody świadczenia usług podmiotom finansowym prowadzącym działalność transgraniczną. Brak spójności wynikający ze zmian planowanych na szczeblu krajowym mógłby spowodować dalsze przeszkody dla funkcjonowania rynku wewnętrznego ze szkodą dla uczestników rynku i stabilności finansowej.
Również motyw 11 DORA wskazuje konieczność dalszej harmonizacji najważniejszych wymogów w zakresie operacyjnej odporności cyfrowej dla wszystkich podmiotów finansowych. Sygnalizuje także cel rozporządzenia, którym jest przyczynienie się do sprawnego funkcjonowania rynku wewnętrznego.
W motywie 14 DORA podkreślono, że pomaga ono ograniczyć stopień złożoności regulacyjnej, wspiera spójność w zakresie nadzoru, zwiększa pewność prawa, a także przyczynia się do ograniczenia kosztów przestrzegania przepisów, zwłaszcza dla podmiotów finansowych prowadzących działalność transgraniczną i do zmniejszenia zakłóceń konkurencji. Wybór rozporządzenia na potrzeby ustanowienia wspólnych ram operacyjnej odporności cyfrowej podmiotów finansowych jest odpowiednim sposobem zagwarantowania jednolitego stosowania wszystkich elementów zarządzania ryzykiem związanym z ICT przez unijny sektor finansowy.
DORA już za miesiąc
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym będzie stosowane od 17 stycznia 2025 roku.
AM, news@gu.com.pl
(źródło: KNF )