- DORA weszła w życie 16 stycznia 2023 r. i zacznie obowiązywać, wraz ze środkami poziomu 2 (akty wykonawcze), 17 stycznia 2025 r.
- Rozporządzenie wykonawcze DORA w sprawie standardowych szablonów rejestru informacji zostało opublikowane w Dzienniku Urzędowym UE w dniu 2 grudnia i weszło w życie w dniu 22 grudnia 2024 roku.
- Pośrednicy ubezpieczeniowi będący MŚP i mikroprzedsiębiorstwami są wyłączeni z zakresu stosowania dyrektywy DORA i jej środków poziomu 2I. Wyłączone są również firmy inwestycyjne opt-out na mocy MiFID II. Więksi pośrednicy ubezpieczeniowi są objęci zakresem DORA (ponad 250 osób, roczny obrót ponad 50 mln EUR i/lub roczny bilans ponad 43 mln EUR).
- W niektórych przypadkach pośrednicy, jeśli są uznawani przez ubezpieczycieli za zewnętrznych dostawców ICT (technologii informacyjno-komunikacyjnych) lub w kontekście delegowania uprawnień w ramach Solvency II, mogą być zobowiązani do spełnienia niektórych wymogów DORA.
- W dniu 4 grudnia 2024 r. Europejskie Urzędy Nadzoru wydały oświadczenie w sprawie stosowania DORA. W oświadczeniu zauważono, że DORA oraz jej standardy techniczne i wytyczne będą miały zastosowanie od 17 stycznia 2025 r., a podmioty finansowe i dostawców zewnętrznych wzywa się do przyspieszenia przygotowań w celu zapewnienia gotowości. Podkreślono również znaczenie, jakie dla podmiotów finansowych ma przyjęcie solidnego, ustrukturyzowanego podejścia w celu terminowego wypełnienia obowiązków, biorąc pod uwagę, że DORA nie przewiduje okresu przejściowego.
- Oczekuje się, że podmioty finansowe zidentyfikują i wyeliminują w odpowiednim czasie luki między ich wewnętrznymi konfiguracjami a wymogami DORA.
- Podmioty finansowe powinny przygotować się na nowe obowiązki sprawozdawcze, a w szczególności powinny udostępnić właściwym organom państw członkowskich swoje rejestry uzgodnień umownych z zewnętrznymi dostawcami na początku 2025 r., ponieważ te ostatnie będą musiały zgłosić je do Europejskich Urzędów Nadzoru do dnia 30 kwietnia 2025 r.
- Ponieważ DORA zacznie obowiązywać 17 stycznia 2025 r., podmioty finansowe objęte jej zakresem muszą posiadać kompleksowy rejestr swoich ustaleń umownych z zewnętrznymi dostawcami usług ICT (rejestry informacji – RoI) dostępny na poziomie jednostki, subskonsolidowanym i skonsolidowanym. Aby pomóc podmiotom finansowym w opracowaniu ich RoI zgodnie z wymogami określonymi w ITS w sprawie rejestrów informacji i być gotowym do zgłaszania tych rejestrów od 2025 r., Europejskie Urzędy Nadzoru i właściwe organy przeprowadziły w 2024 r. ćwiczenie typu „dry run”.
- Europejskie Urzędy Nadzoru zapraszają również tych zewnętrznych dostawców usług ICT, którzy spełniają kryteria krytyczności opublikowane w maju 2024 r., do oceny ich konfiguracji operacyjnej pod kątem wymogów DORA. Oczekuje się, że pierwsze wyznaczenie krytycznego zewnętrznego dostawcy usług ICT nastąpi w drugiej połowie 2025 r.
- Według Europejskich Urzędów Nadzoru jakość danych zaobserwowanych w rejestrach przedłożonych przez 1039 podmiotów finansowych w całej UE, w tym 17 pośredników ubezpieczeniowych i reasekuracyjnych, była zgodna z oczekiwaniami Europejskich Urzędów Nadzoru, biorąc pod uwagę „starania na najwyższym poziomie”. Spośród przeanalizowanych rejestrów 6,5% pomyślnie przeszło wszystkie kontrole jakości danych, podczas gdy 50% pozostałych rejestrów nie przeszło mniej niż 5 ze 116 kontroli jakości danych. Spośród podmiotów finansowych, które przekazały najwięcej danych, instytucje kredytowe miały najniższy odsetek błędów jakości danych w odniesieniu do przekazanych punktów danych (1,9%), a następnie firmy inwestycyjne (2,4%) oraz zakłady ubezpieczeń i reasekuracji (3,3%). Odsetek błędów jakości danych pośredników w odniesieniu do przekazanych punktów danych wyniósł 2,8%.
- Europejskie Urzędy Nadzoru opracowały pytania i odpowiedzi, które zawierają odpowiedzi na najczęściej zadawane pytania dotyczące praktycznego charakteru ćwiczenia sprawozdawczego, w tym wypełniania szablonów, przygotowywania plików sprawozdawczych, ich przesyłania i korzystania z narzędzi do „dry run” dostarczonych przez Europejskie Urzędy Nadzoru. Link do pytań i odpowiedzi znajduje się tutaj. Rekomendujemy także konsultację informacji znajdujących się na stronie EIOPA poświęconej
- W dniu 19 grudnia europejski urząd nadzoru ubezpieczeniowego EIOPA ogłosiła, że wycofa dwie wcześniej opublikowane wytyczne i zmieni opinię – wszystkie związane, przynajmniej częściowo, z wykorzystaniem ICT przez przedsiębiorstwa. Podejmując ten krok, EIOPA wyjaśnia, że ma na celu wyeliminowanie nakładania się przepisów i wspieranie ujednoliconych ram regulacyjnych w zakresie cyfrowej odporności operacyjnej w europejskich sektorach ubezpieczeń i pracowniczych funduszy emerytalnych. Uznając kompleksowy charakter DORA, który w pełni obejmuje cele i przepisy dwóch poprzednich wytycznych EIOPA oraz podsekcji opinii organu, EIOPA postanowił:
- wycofać „Wytyczne w sprawie bezpieczeństwa technologii informacyjno-komunikacyjnych i zarządzania” wydane w kontekście Solvency II;
- wycofać „Wytyczne w sprawie outsourcingu do dostawców usług w chmurze” wydane w kontekście Solvency II; oraz
- zmienić „Opinię w sprawie nadzoru nad zarządzaniem ryzykiem operacyjnym ponoszonym przez IORP” wydanej w kontekście IORP II, poprzez usunięcie sekcji dotyczącej ryzyka cybernetycznego wraz ze wszystkimi odniesieniami i załącznikami do niej.
- Należy również zauważyć, że w dniu 19 grudnia Komisja Europejska udostępniła aktualizację statusu wdrażania DORA (patrz link tutaj), a w szczególności poinformowała, że w dniu 16 grudnia przyjęła regulacje w sprawie wspólnych zespołów