REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » Rozporządzenie DORA od 2025 r. Skala zmian podobna do RODO. Duże kary dla firm za brak dostosowania

Rozporządzenie DORA od 2025 r. Skala zmian podobna do RODO. Duże kary dla firm za brak dostosowania

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
06 maja 2024, 06:18
[Data aktualizacji 20 lipca 2024, 15:37]
Rozporządzenie DORA od 2025 roku. Skala zmian podobna do RODO. Surowe kary dla firm za niedostosowanie
Rozporządzenie DORA od 2025 roku. Skala zmian podobna do RODO. Surowe kary dla firm za niedostosowanie
Shutterstock

REKLAMA

REKLAMA

Rozporządzenie DORA to wciąż dla wielu podmiotów finansowych oraz ich dostawców usług z sektora ICT daleka przyszłość. Tymczasem do stycznia 2025 r., kiedy nowe przepisy zaczną obowiązywać, zostało coraz mniej czasu. Te podmioty sektora finansowego, które nie będą zgodne z rozporządzeniem w godzinie zero, boleśnie odczują to m. in. w swoich bilansach. Właśnie opublikowano projekt dostosowujący polskie ustawy do nowego prawa, gdzie określono surowe kary za nieprzestrzeganie DORA. 

Nie jest wiedzą tajemną, że skuteczne egzekwowanie prawa wymaga ustalenia sankcji za jego nierespektowanie. Tak też jest z DORA. Unijne Rozporządzenie o operacyjnej odporności cyfrowej sektora finansowego zawiera szereg artykułów poświęconych zagadnieniom kontroli i nadzoru, a także możliwości zastosowania kar administracyjnych i środków naprawczych. Środki te będą dotyczyć wszystkich podmiotów rynku finansowego, które mają obowiązek stosować przepisy DORA. Osobną kategorią kar zostaną objęci kluczowi zewnętrzni dostawcy usług ICT. W ich przypadku system nadzoru i kar jest nieodłącznym elementem tzw. ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT – jednego z kluczowych filarów DORA. 

REKLAMA

REKLAMA

Dostęp do dokumentów, kontrole i przesłuchania dla „właściwego organu”

Nad przestrzeganiem zasad zgodności z DORA będzie czuwać organ właściwy dla instytucji płatniczych, kredytowych czy ubezpieczycieli, czyli Komisja Nadzoru Finansowego. Na stronie internetowej tej instytucji działa mikroserwis dotyczący informacji o DORA.

O karach administracyjnych i środkach naprawczych za nieprzestrzeganie rozporządzenia DORA będą decydować państwa członkowskie w przyjętych przez siebie aktach prawnych. Te akty jednak nie będą działać w próżni, ponieważ DORA zawiera szereg wytycznych i zasad, które muszą być spełnione w celu prawidłowego sprawowania nadzoru. Wiadomo, że KNF będzie miał szerokie uprawnienia, jeśli chodzi o możliwość ustalenia potencjalnych naruszeń. Będzie on mógł m. in.:

  • mieć dostęp do wszelkich dokumentów lub danych, które uzna za istotne z punktu widzenia wykonywania swoich obowiązków;
  • przeprowadzać dochodzenia lub kontrole na miejscu. W ramach tych czynności przedstawiciele podmiotów finansowych mogą być wzywani do złożenia ustnych lub pisemnych wyjaśnień, a każda osoba fizyczna lub prawna, która będzie miała stosowną wiedzę, będzie mogła być przesłuchana w celu zbierania informacji będących przedmiotem dochodzenia, o ile wyrazi na to zgodę;
  • zastosować środki naprawcze w odniesieniu do naruszeń wymogów rozporządzenia DORA. 

Nakazy, publiczna demaskacja, a nawet 21 mln złotych kary

Organ nadzoru, żeby mógł efektywnie pełnić swoją funkcję, będzie posiadał w swoim arsenale narzędzia umożliwiające mu egzekwowanie należytego stosowania wymogów z DORA. Narzędzia te powinno zapewnić mu państwo członkowskie, które powierzy właściwemu organowi uprawnienie do stosowania kar administracyjnych lub środków naprawczych w przypadku naruszeń rozporządzenia. Ustawodawca unijny daje tu jednak pewne wytyczne, które krajowe prawodawstwo musi wziąć pod uwagę. Rządowe Centrum Legislacji 18 kwietnia opublikowało projekt dostosowujący polskie ustawy do nowego prawa.

Do zestawu narzędzi dostępnych KNF należeć więc będzie m. in. wydanie danemu podmiotowi nakazu zaprzestania działań naruszających rozporządzenie oraz aby powstrzymał się od ponownego podejmowania tego postępowania. Kolejnym jest zakaz pełnienia funkcji członka zarządu, rady nadzorczej albo innej funkcji kierowniczej osobie odpowiedzialnej za naruszenie przez okres od miesiąca do roku. Ostatecznym środkiem, jaki będzie mógł zastosować organ nadzoru w razie notorycznych naruszeń będą kary pieniężne. W przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej może być to nawet kwota 20 869 500 zł lub 10 proc. przychodów netto z ostatniego roku, a w przypadku osoby fizycznej nawet 3 042 410 zł.

DORA przewiduje także wydawanie publicznych ogłoszeń, w ramach których mogą zostać ujawnione do wiadomości publicznej informacje wskazujące tożsamość osoby oraz charakter naruszenia. Dotyczy to także danych osoby fizycznej, na przykład prezesa spółki, w której stwierdzono naruszenie. 

Najwyższa kara? Możliwa, ale nie od razu

Sposób procedowania, stosowania środków naprawczych i kar administracyjnych jest już znany przedsiębiorstwom z innych aktów prawnych. Również rozporządzenie RODO przewiduje ich miarkowaniei takie postępowanie, aby przede wszystkim dążyć do zaprzestania naruszeń i zgodności z rozporządzeniem, a sankcje finansowe stosować dopiero za największą skalę nieprawidłowości. W podobny sposób kwestie te rozstrzyga DORA w odniesieniu do podmiotów finansowych. Stąd ustalając rodzaj i poziom kary administracyjnej lub środka naprawczego, organ nadzoru bierze pod uwagę: zakres, to, czy naruszenie ma charakter umyślny, czy jest wynikiem zaniedbania oraz szereg innych okoliczności.

Dlatego zanim właściwy organ zdecyduje o karze dla podmiotu nieprzestrzegającego lub niedostosowanego do wymagań DORA, w pierwszej kolejności weźmie pod uwagę takie czynniki, jak m. in.:

REKLAMA

  • istotność naruszenia, jego wagę oraz czas trwania;
  • stopień przyczynienia się osoby fizycznej lub prawnej do naruszenia, a także sytuację finansową osoby odpowiedzialnej za doprowadzenie do niezgodności lub naruszenia;
  • skalę korzyści uzyskaną przez podmiot finansowy albo skalę strat, a także, o ile będzie można to ustalić, straty poniesione przez osoby trzecie w wyniku naruszenia. 

Organ będzie brał również pod uwagę, w jakim zakresie podmiot z nim współpracował oraz czy wcześniej już miały miejsce naruszenia, czy jest to może pierwszy taki przypadek.

Dalszy ciąg materiału pod wideo

Szczególne kary dla kluczowych zewnętrznych dostawców usług ICT 

Ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT przewidują postępowanie oraz kary dla szczególnej kategorii podmiotów wyznaczonych zgodnie z odpowiednimi przepisami DORA. Wiodący organ nadzorczy (wskazany przez Europejski Urząd Nadzoru) posiada szczególne uprawnienia wobec wskazanych dostawców usług ICT, które obwarowane są oddzielnym rodzajem kar. To tzw. okresowa kara pieniężna, która jest nakładana za każdy dzień, do czasu zastosowania się do środków wskazanych przez wiodący organ nadzorczy. Jej wysokość może wynieść maksymalnie 1 proc. średniego dziennego światowego obrotu kluczowego dostawcy usług ICT w poprzedzającym roku obrotowym. 

Za co można otrzymać taką karę? Za całkowite lub częściowe niedostosowanie się do środków, które podmiot powinien podjąć w wyniku tego, że wiodący organ nadzorczy np. wystąpi z wnioskiem o przekazanie stosownych informacji i dokumentów, będzie prowadził ogólne dochodzenia i kontrole, wystąpi z wnioskiem o złożenie sprawozdań po zakończeniu działań nadzorczych albo wyda zalecenia dotyczące wskazanych obszarów. Kara ta nie może być stosowana dłużej niż przez sześć miesięcy po powiadomieniu kluczowego zewnętrznego dostawcy usług ICT o decyzji nakładającej tę karę. 

Pociąg z napisem DORA odjeżdża. Pozostało kilka miesięcy

Dokładny zakres kar administracyjnych i środków naprawczych, związanych z nieprzestrzeganiem założeń DORA powinien być znany przed 17 stycznia 2025 roku. Do tej daty państwa członkowskie muszą m. in. powiadomić Komisję o przepisach ustawowych, wykonawczych i administracyjnych wykonujących przepisy rozdziału dotyczącego kar i postępowań w sprawach o naruszenie. Wtedy będzie też wiadomo, czy Polska zdecyduje się na pozostanie przy środkach administracyjnych, czy przyjmie przepisy karne odnoszące się do naruszeń wymogów DORA. 

Wszyscy pamiętamy, jaką rewolucję kilka lat temu wywołało wejście w życie rozporządzenia RODO. Zmiany wprowadzone przez DORA będą podobnej skali, bo jest to akt będący ważnym elementem transformacji cyfrowej i cyberbezpieczeństwa całej Unii Europejskiej. Największe podmioty finansowe oraz ich podwykonawcy od dawna pracują już nad audytem swoich procedur i szkolą swoje zespoły wiedząc, że do wymaganych zmian nie da się dostosować w miesiąc czy dwa. Zwlekanie w tej sprawie może wywołać poważne konsekwencje w obszarze odporności cyfrowej, a potencjalna kara pieniężna jest tylko jedną z nich.

Katarzyna Armińska-Waszczyk, radca prawny i właścicielka gdańskiej kancelarii armińska radcowie prawni. 
Współpracuje z dużymi spółkami z branży technologicznej. Entuzjastka nowych technologii, prawa własności intelektualnej i prawa do prywatności. Pomaga spółkom w ułożeniu, wdrożeniu i optymalizacji ich procesów prawno-biznesowych oraz procedur bezpieczeństwa. Świadoma wyzwań, jakie stoją przed podmiotami finansowymi zobowiązanymi wdrożyć u siebie wymogi DORA, pomaga im w zaplanowaniu tego procesu

oprac. Paweł Huczko
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Międzynarodowy kontrakt: Jak uniknąć najczęstszych pułapek prawnych i komunikacyjnych?
09 mar 2026

Globalizacja rynku oraz swoboda przepływu towarów i usług w ramach Unii Europejskiej stwarzają wiele możliwości międzynarodowej współpracy biznesowej dla polskich firm i powodują, że coraz więcej polskich podmiotów nawiązuje relacje biznesowe z partnerami zagranicznymi. Taka kooperacja to z jednaj strony ogromna szansa na dynamiczny rozwój przedsiębiorstwa, a z drugiej konieczność stawienia czoła nowym wyzwaniom prawnym i organizacyjnym. To, co w relacjach krajowych wydaje się oczywiste, na gruncie międzynarodowym może stać się źródłem zupełnie niepotrzebnych i skomplikowanych sporów. Wybór prawa i sądu, forma dokumentów i podpisów czy kwestie językowe to fundamenty, które muszą zostać precyzyjnie określone w umowie, aby obydwie strony międzynarodowej transakcji czuły się komfortowo na gruncie praktycznej współpracy.
Paragraf na emocje: art. 190 Kodeksu karnego (groźba karalna) stał się systemowym „gotowcem”. A przecież nie każda inwektywa to zamach na życie
09 mar 2026

Państwo ma specyficzny talent do oszczędności tam, gdzie oszczędzać nie wolno. Najtańszy sukces statystyczny to „ściganie słów”. Wystarczy zrzut ekranu, protokół i jedno zdanie: „Bałem się”. I już mamy sprawę, która „się kręci”. Problem w tym, że art. 190 § 1 Kodeksu karnego (KK) nie powstał po to, by karać za brak kultury osobistej. Ten przepis ma chronić przed realnym zagrożeniem, a nie służyć jako gaśnica do tłumienia sąsiedzkich czy internetowych emocji. Państwo prawa nie może udawać, że każda inwektywa to zamach na życie - piszą adwokaci Karol Pachnik i Grzegorz Prigan.
Ograniczenie prac domowych w podstawówkach bez uprzednich analiz. Poseł sprawdził dokumenty w MEN. Rodzic nie może zaskarżyć rozporządzenia a instytucje milczą
09 mar 2026

Rozporządzenie ograniczające prace domowe w szkołach podstawowych było jedną z najbardziej medialnych decyzji w polskiej edukacji ostatnich lat. Zmiana objęła kilka milionów uczniów i tysiące szkół w całym kraju. Jednak z informacji ujawnionych po kontroli poselskiej w Ministerstwie Edukacji wynika, że reforma mogła zostać wprowadzona bez podstawowych analiz systemowych. Kontrolę dokumentacji w tej sprawie przeprowadził poseł Marcin Józefaciuk, który poinformował publicznie, że sprawdził materiały znajdujące się w MEN dotyczące procesu przygotowania rozporządzenia. Wnioski – jak sam napisał – są „szokujące”.
Co dalej z zatrudnianiem obywateli Ukrainy? Od 5 marca 2026 r. obowiązują nowe przepisy
09 mar 2026

Jak wynika z danych podawanych przez GUS pod koniec 2025 r., udział cudzoziemców w ogólnej liczbie osób wykonujących w Polsce pracę wynosił 6,5 proc. Znaczną większość w tej grupie stanowią obywatele Ukrainy. Tymczasem w odniesieniu do powierzania im pracy weszły w życie nowe przepisy.

REKLAMA

Urodziło ci się dziecko? Zapomnij o kolejce w urzędzie. Wystarczy telefon i kilka minut
09 mar 2026

Od 5 marca 2026 r. narodziny dziecka można zgłosić przez aplikację mObywatel - bez wizyty w urzędzie, bez kolejek, o dowolnej porze. Wystarczy smartfon i Internet. Informujemy, jak działa nowa usługa, co trzeba przygotować i ile zajmuje czasu.
Tysiące osób rezygnują z sanatorium. NFZ podał zaskakujące liczby
09 mar 2026

Leczenie uzdrowiskowe nazywane potocznie pobytem w sanatorium niezmiennie cieszy się dużym zainteresowaniem pacjentów. Kolejka oczekujących jest długa i nie każdy ma możliwość skorzystania z niego od razu. Mimo tego NFZ obserwuje zaskakującą tendencję – tysiące pacjentów rezygnują z leczenia w ostatniej chwili.
Kiedy przedawnia się karalność przestępstwa? Najważniejsze przepisy i orzeczenia
09 mar 2026

Odpowiedzialność karna za popełnienie czynu zabronionego jest surowa oraz bardzo potrzebna w społeczeństwie. Nie zawsze jednak możliwe jest pociągnięcie sprawcy do odpowiedzialności. Jednym z takich przypadków jest przedawnienie karalności czynu, kiedy to od momentu popełnienia czynu upłynęło bardzo dużo czasu.
UE sięga po zapomnianą klauzulę obrony. Jeden atak drona wystarczył, by wrócił przepis z Traktatu Lizbońskiego
09 mar 2026

Czy Unia Europejska jest o krok od uruchomienia rzadko używanego mechanizmu obronnego? Po ataku irańskiego drona na bazę wojskową na Cyprze w Brukseli wróciła dyskusja o klauzuli wzajemnej obrony. Przepis, który ostatni raz zastosowano dekadę temu, może nagle odegrać kluczową rolę w bezpieczeństwie Europy.

REKLAMA

30 tys. zł grzywny i 5 tys. (a nie 500 zł) mandatu za rozniecenie ogniska na własnej działce wiosną 2026 r. Nowe przepisy obowiązują już od 2 stycznia 2026 r.
10 mar 2026

Rozniecenie ogniska w celu wypalania trawy, słomy lub pozostałości roślinnych, nawet jeżeli dokonywane jest w obrębie własnej nieruchomości – w określonych w ustawie przypadkach – jest kategorycznie zabronione. Do procederu tego – na temat którego, nadal krąży mit, iż może on mieć pozytywne skutki w postaci bujniejszego odrostu traw i użyźnienia gleby, a tak naprawdę jest katastrofalny w skutkach dla ekosystemu i może sprowadzić poważne zagrożenie dla ludzi – dochodzi najczęściej na przełomie zimy i wiosny. Od 2 stycznia 2026 r. Ministerstwo Sprawiedliwości zaostrzyło sankcje za wypalanie, aby „wzmocnić ochronę środowiska i bezpieczeństwo mieszkańców”.
Czego naprawdę boją się banki w sporze o WIBOR? Kwestionowania umów czy samej stawki? Problemy dowodowe w sprawach WIBOR-owych
08 mar 2026

Debata dotycząca kredytów złotowych opartych na WIBOR bardzo często koncentruje się na konstrukcji umów kredytowych. W przestrzeni publicznej można odnieść wrażenie, że głównym przedmiotem sporu jest sposób implementacji WIBOR do umowy, obowiązki informacyjne banku czy przejrzystość klauzuli zmiennego oprocentowania. To jednak tylko część rzeczywistego problemu. Z perspektywy systemowej najpoważniejsze ryzyko dla sektora bankowego – ale także dla całego systemu finansowego – nie dotyczy wcale samej konstrukcji umów, lecz możliwości zakwestionowania sposobu ustalania samej stawki WIBOR w okresie sprzed pełnego reżimu nadzorczego wynikającego z rozporządzenia BMR. Jeżeli bowiem pojawiłoby się przekonujące wykazanie nieprawidłowości w funkcjonowaniu samego benchmarku, konsekwencje mogłyby być znacznie poważniejsze niż w sporach dotyczących jedynie treści umów.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA