Katalog kar za naruszenia DORA. Jak się ich ustrzec

Jak ograniczyć ryzyko odpowiedzialności związanej z wykorzystaniem nowych technologii w sektorze finansowym? Na pewno już teraz każda istotna decyzja biznesowa powinna być podejmowana na podstawie rzetelnych analiz ryzyka dotyczących zarówno dostawcy ICT, jak i samej usługi ICT

Jakie są przesłanki odpowiedzialności
Co w projekcie ustawy wdrażającej DORA
Dlaczego warto skorzystać z postępowania ugodowego
Na co zwrócić uwagę już teraz

Unijne rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej: DORA lub rozporządzenie) zaczęło obowiązywać 17 stycznia 2025 r. Założeniem regulacji jest m.in. harmonizacja oraz zapewnienie cyberbezpieczeństwa podmiotów finansowych. Dla instytucji finansowych oraz kadry kierowniczej jednym z istotniejszych aspektów rozporządzenia jest odpowiedzialność administracyjna, która dodatkowo zostanie doprecyzowana w projektowanej ustawie wdrażającej DORA (ustawie o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego).

Sektor finansowy odgrywa kluczową rolę w polskim sektorze innowacji. Współpraca sektorów technologicznego i finansowego wpisuje się w postulat rozwoju europejskiego środowiska technologicznego. Jest to szczególnie ważne w kontekście zwiększenia konkurencyjności polskich lub europejskich rozwiązań technologicznych. Czy jednak rozbudowane obowiązki nadzorcze i dotyczące zgodności ICT (ang. Information and Communications Technology ) nie zastopują tej współpracy? Czy skutkiem ubocznym nie będzie zahamowanie współpracy sektorów finansowego i technologicznego?

Jakie są przesłanki odpowiedzialności

DORA wskazuje w art. 5, że organ zarządzający ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem ICT, przez które rozumie „każdą dającą się racjonalnie określić okoliczność związaną z użytkowaniem sieci i systemów informatycznych, która – jeżeli dojdzie do jej urzeczywistnienia – może zagrozić bezpieczeństwu sieci i systemów informatycznych, dowolnego narzędzia lub procesu zależnego od technologii, bezpieczeństwu operacji i procesów lub świadczeniu usług poprzez wywoływanie negatywnych skutków w środowisku cyfrowym lub fizycznym”. Przez organ należy rozumieć organ zarządzający lub osoby, które faktycznie zarządzają lub pełnią kluczowe funkcje zgodnie z odpowiednimi przepisami.

Zgodnie z art. 51 ust. 2 DORA przy wymierzaniu kary administracyjnej należy wziąć pod uwagę to, czy dane naruszenie ma charakter umyślny, czy jest wynikiem zaniedbania, oraz inne stosowne okoliczności, w tym m.in.:

istotność i wagę naruszenia oraz czas jego trwania,
stopień przyczynienia się do naruszenia,
sytuację finansową osoby odpowiedzialnej,
skalę korzyści uzyskanych lub strat unikniętych, o ile można je ustalić,
poniesione straty, o ile można je ustalić,
współpracę z właściwym organem,
uprzednie popełnione naruszenia.

Co w projekcie ustawy wdrażającej DORA

Polski ustawodawca skonkretyzował odpowiedzialność przewidzianą rozporządzeniem. Projekt ustawy wdrażającej DORA wprowadza rozbudowany katalog kar, także pieniężnych, nakładanych na instytucje finansowe oraz członków zarządu.

Zgodnie z projektem ustawy Komisja Nadzoru Finansowego będzie mogła w drodze decyzji m.in.:

nakazać zaprzestanie oraz powstrzymanie się od określonego zachowania,
zakazać pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu od miesiąca do roku,
nałożyć karę pieniężną na osobę prawną do 20 869 500 zł lub 10 proc. przychodów netto, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji 10 proc. składki,
nałożyć karę pieniężną na osobę fizyczną, w tym odpowiedzialną za to naruszenie, która w tym okresie pełniła obowiązki członka zarządu, do 3 042 410 zł.

Wymienione środki administracyjne dotyczą praktycznie każdego obowiązku DORA.

Odpowiedzialność powinna być zindywidualizowana, jednak przypisanie odpowiedzialności konkretnemu członkowi zarządu może być problematyczne. W instytucji finansowej trudno jednoznacznie wskazać osoby odpowiedzialne za finalną decyzję w obszarze ICT, ponieważ proces decyzyjny jest rozbudowany i wymaga akceptacji wielu jednostek organizacyjnych. Efektywność tego przepisu może zatem być ograniczona z uwagi na trudność przypisania odpowiedzialności danej osobie.

Warto odnotować, że kary pieniężne dotyczą tylko członka zarządu, a nie osoby pełniącej funkcję kierowniczą.

Ubocznym rezultatem wprowadzenia wysokich kar pieniężnych wobec poszczególnych osób fizycznych może być paraliż decyzyjny. Zwłaszcza w przypadku korzystania z najnowszych rozwiązań ICT, np. bazujących na AI, które nadal są postrzegane jako obarczone wysokim ryzykiem reputacyjnym i ekonomicznym. Wątpliwości budzi także wysokość maksymalnej kary finansowej przewidzianej dla osoby fizycznej. Tak wysokie kwoty mogłyby być zrozumiałe w celu zapewnienia ochrony konsumentów. Przykładowo w zakresie odpowiedzialności np. za lokatę inwestycyjną wprowadzającą potencjalnego klienta w błąd lub wykorzystującą brak wiedzy klienta. W sumie przewidywane w projekcie kary finansowe ustawy mogą być trudne do wymierzenia z uwagi na złożony proces decyzyjny w obszarze ICT i – z uwagi na wysokość – spowodować paraliż decyzyjny na poziomie zarządczym.

Dlaczego warto skorzystać z postępowania ugodowego

Co zrobić, gdy się okaże, że w wyniku wewnętrznego audytu lub kontroli Komisji Nadzoru Finansowego stwierdzono nieprawidłowości, które mogą skutkować nałożeniem kary administracyjnej? Warto skorzystać z układu z KNF. Układ jest instytucją wprowadzoną ustawą z 16 sierpnia 2023 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku (Dz.U. z 2023 r. poz. 1723, tzw. ustawa warzywniak). Celem układu/postępowania ugodowego jest przyspieszenie postępowania administracyjnego. Z inicjatywą rozpoczęcia postępowania ugodowego może wystąpić podmiot finansowy lub KNF. Postępowanie kończy się decyzją administracyjną. Szczególnie istotna jest możliwość obniżenia wysokości kary pieniężnej o 20–90 proc., a jeśli podmiot sam zgłosił uchybienie, to o 30–90 proc. KNF może również odstąpić od cofnięcia zezwolenia lub nałożenia zakazu.

Na co zwrócić uwagę już teraz

Warto w szczególności:

stosować metodyki oceny odpowiedniości członków organów podmiotów nadzorowanych przez KNF oraz Rekomendację Z KNF z odpowiednim zastosowaniem w innych sektorach niż bankowy, a także
monitorować dodatkowe wyjaśnienia europejskich organów nadzoru dot. DORA oraz aktów wykonawczych.

Każda istotna decyzja biznesowa powinna być podejmowana na podstawie rzetelnej analizy obejmującej m.in.:

analizę ryzyka dostawcy ICT,
analizę ryzyka usługi ICT.

Takie podejście wykaże działanie w granicach uzasadnionego ryzyka gospodarczego wzorowanego na przyjętej w kodeksie spółek handlowych zasady business judgement rule. Pozwoli również na innowacyjne prowadzenie działalności gospodarczej. ©℗

Zaloguj się

Nie masz konta? Zarejestruj się

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję

Źródło: Dziennik Gazeta Prawna

Marek Dzięciołowski

adwokat, specjalizuje się w tematyce TMT, prywatności, cyberbezpieczeństwie. Współtworzył Q&A do komunikatu chmurowego UKNF, opracowania ZBP  dotyczące ICT, fot. Tomasz Boniecki/Materiały prasowe

Zobacz wszystkie artykuły tego autora

Katalog kar za naruszenia DORA. Jak się ich ustrzec »