Ustawa o cyfrowej odporności operacyjnej (DORA) oraz dyrektywa NIS2 – postępy prac legislacyjnych

Szanowni Członkowie,

1/ W dniu 28 listopada, dwa tygodnie po przyjęciu go przez plenum Parlamentu Europejskiego, ustawa o cyfrowej odporności operacyjnej (DORA) została przyjęta przez Radę. Przyjęcie to jest ostatnim krokiem w procesie legislacyjnym. Rozporządzenie ma zostać opublikowane w Dzienniku Urzędowym Unii Europejskiej w najbliższych dniach i wejdzie w życie dwudziestego dnia po tej publikacji. Będzie ono stosowane od 24 miesięcy od daty wejścia w życie. Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

We wstępie do ogłoszenia przyjęcia tych aktów Zbyněk Stanjura, Minister Finansów Republiki Czeskiej powiedział:

Żyjemy w niepewnych czasach. Banki i inne firmy świadczące usługi finansowe w Europie mają już plany dotyczące ich bezpieczeństwa informatycznego, ale musimy pójść o krok dalej. Dzięki zharmonizowanym wymogom prawnym, które dziś przyjęliśmy, nasz sektor finansowy będzie mógł lepiej funkcjonować przez cały czas. Jeśli dojdzie do ataku na dużą skalę na europejski sektor finansowy, będziemy na niego przygotowani

Odpowiednie europejskie organy nadzoru (ESA) (Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA)) opracują teraz standardy techniczne, których będą musiały przestrzegać instytucje świadczące usługi finansowe w zakresie objętym programem DORA. Odpowiednie właściwe organy krajowe będą pełnić rolę nadzoru nad przestrzeganiem przepisów i egzekwować je w razie potrzeby.

Tytułem przypomnienia, system DORA ma wpływ na pośredników ubezpieczeniowych: 

  1. Pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pomocniczy pośrednicy ubezpieczeniowi – zgodnie z definicją zawartą w IDD – którzy są mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami, nie są objęci zakresem DORA.
  2. Firmy inwestycyjne MiFID II („opt out”) są wyłączone z DORA. Oznacza to, że jeżeli państwo członkowskie wyłączyło swoich pośredników finansowych z zakresu MIFID II, wówczas ci pośrednicy finansowi nie będą wchodzić w zakres DORA. W przypadku firm inwestycyjnych, które nie są objęte przepisem o wyłączeniu z zakresu stosowania dyrektywy MiFID II, obowiązuje łagodniejszy system DORA w przypadku, gdy są to małe i niepowiązane ze sobą firmy (małe i niepowiązane ze sobą firmy są zdefiniowane i korzystają z łagodniejszego systemu w ramach „Ramowych zasad dotyczących firm inwestycyjnych – IFD i IFR”).)
  3. Instytucje kredytowe wchodzą w zakres DORA. W tekście nie ma odniesienia do pośredników kredytowych, a zatem pośrednicy kredytowi nie są objęci definicją instytucji kredytowych, a zatem zgodnie z naszą interpretacją pośrednicy kredytowi nie są objęci zakresem DORA.
  4. W przypadku dużych pośredników ubezpieczeniowych (ponad 250 pracowników), DORA ma zastosowanie. Będą oni jednak wdrażać przepisy DORA zgodnie z zasadą proporcjonalności, biorąc pod uwagę ich wielkość, charakter, skalę i złożoność ich usług, działalności i operacji oraz ich ogólny profil ryzyka.

2/ Również 28 listopada, dwa tygodnie po przyjęciu jej przez plenum Parlamentu Europejskiego, Rada przyjęła dyrektywę NIS2, czyli przepisy dotyczące wysokiego wspólnego poziomu bezpieczeństwa cybernetycznego w całej Unii, mające na celu dalszą poprawę odporności i zdolności reagowania na incydenty zarówno w sektorze publicznym, jak i prywatnym oraz w całej UE. NIS2 zastąpi obecną dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa NIS).

 

Oczekuje się, że dyrektywa zostanie opublikowana w Dzienniku Urzędowym Unii Europejskiej w najbliższych dniach i wejdzie w życie dwudziestego dnia po tej publikacji. Państwa członkowskie będą miały 21 miesięcy od wejścia w życie dyrektywy na włączenie jej przepisów do swojego prawa krajowego (tj. styczeń 2025 r.).

We wstępie do ogłoszenia przyjęcia tych aktów Ivan Bartoš, czeski wicepremier ds. cyfryzacji i minister rozwoju regionalnego powiedział: „Nie ma wątpliwości, że bezpieczeństwo cybernetyczne pozostanie kluczowym wyzwaniem w nadchodzących latach. Stawka dla naszych gospodarek i obywateli jest ogromna. Dziś zrobiliśmy kolejny krok w kierunku poprawy naszej zdolności do przeciwdziałania temu zagrożeniu.”

NIS2 ustanowi poziom odniesienia dla środków zarządzania ryzykiem cybernetycznym i obowiązków sprawozdawczych we wszystkich sektorach, które są objęte dyrektywą, takich jak energia, transport, zdrowie i infrastruktura cyfrowa. Zmieniona dyrektywa ma na celu zharmonizowanie wymogów dotyczących bezpieczeństwa cybernetycznego i wdrażania środków bezpieczeństwa cybernetycznego w różnych państwach członkowskich. Aby to osiągnąć, określa ona minimalne zasady dotyczące ram regulacyjnych i ustanawia mechanizmy skutecznej współpracy między odpowiednimi organami w każdym państwie członkowskim. Aktualizuje ona wykaz sektorów i działań podlegających obowiązkom w zakresie bezpieczeństwa cybernetycznego oraz przewiduje środki zaradcze i sankcje w celu zapewnienia egzekwowania przepisów.

Na mocy dyrektywy zostanie formalnie ustanowiona europejska sieć łącznikowa ds. kryzysów cybernetycznych (EU-CyCLONe), która będzie wspierać skoordynowane zarządzanie incydentami i kryzysami cybernetycznymi na dużą skalę. Nowa dyrektywa NIS2 wprowadza zasadę size-cap jako ogólną zasadę identyfikacji podmiotów regulowanych. Oznacza to, że wszystkie średnie i duże podmioty działające w sektorach lub świadczące usługi objęte dyrektywą będą objęte jej zakresem.

System NIS2 a pośrednicy ubezpieczeniowi/finansowi

  • System NIS 2 ma zastosowanie do publicznych i prywatnych istotnych i ważnych podmiotów, które świadczą swoje usługi lub prowadzą działalność w Unii. Sektory, do których stosuje się system NIS 2, są wymienione w załącznikach do dyrektywy (załącznik 1: sektory o wysokim stopniu krytyczności, takie jak energia, transport, a załącznik 2 dla „innych sektorów krytycznych”, takich jak usługi pocztowe itp.) System NIS 2 będzie miał do nich zastosowanie, gdy osiągną lub przekroczą próg dla średnich przedsiębiorstw.
  • W sektorze finansowym załącznik 1 obejmuje sektor bankowy, a w szczególności instytucje kredytowe oraz sektor infrastruktury rynku finansowego, a w szczególności operatorów systemów obrotu w ramach MiFID II i partnerów centralnych (CCP) w ramach EMIR .
  • Pośrednicy ubezpieczeniowi czy doradcy finansowi nie zostali wymienieni w załącznikach.

Chcielibyśmy jednak zwrócić uwagę na fakt, że NIS 2 jest dyrektywą o minimalnej harmonizacji, co oznacza, że państwa członkowskie mogą wyjść poza nią i rozszerzyć zakres jej stosowania.