Dostęp do danych i operacyjna odporność cyfrowa, czyli odporność systemów na awarie i cyberzagrożenia, to dziś jedne z kluczowych aspektów świata finansów. Docelowo mają je regulować przede wszystkim dwa unijne rozporządzenia: FIDA, czyli rozporządzenie w sprawie ram dostępu do danych finansowych (obecnie na etapie prac legislacyjnych), oraz DORA, czyli rozporządzenie 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego. Na pierwszy rzut oka regulują one dwa różne obszary. FIDA ma ułatwić dostęp do danych finansowych, natomiast DORA zapewniać, aby systemy finansowe były bezpieczne i odporne na problemy techniczne oraz cyberataki. W praktyce obie regulacje mają jednak działać razem i wzajemnie się uzupełniać. Jak FIDA i DORA na siebie oddziałują? Czy każdy podmiot objęty FIDA będzie musiał spełniać wymogi DORA? I na co szczególnie powinny zwrócić uwagę podmioty działające w obszarze objętym tymi regulacjami?
- Kluczowe założenia FIDA i DORA
- Dostęp do danych i cyberodporność – punkt styku FIDA i DORA
- Czy każdy podmiot objęty FIDA będzie musiał stosować DORA?
- Spełnienie wymogów DORA niezbędne przy uzyskaniu zezwolenia
- Na jakim etapie są prace nad FIDA?
Kluczowe założenia FIDA i DORA
FIDA ma wdrożyć ideę otwartych finansów (open finance), czyli rozszerzyć możliwość udostępniania i ponownego wykorzystywania danych osobowych i nieosobowych w celu świadczenia usług finansowych. Celem wspomnianej idei jest przede wszystkim ulepszanie produktów i usług finansowych oraz tworzenie możliwości dla konsumentów i firm na uzyskanie lepiej ukierunkowanych porad i spersonalizowanych usług. W praktyce chodzi o to, aby klienci instytucji finansowych – zarówno konsumenci, jak i przedsiębiorcy – mogli skuteczniej kontrolować swoje dane oraz mieć realną możliwość zdecydowania o ich wykorzystaniu przez podmioty trzecie. Celem FIDA jest stworzenie systemu pozwalającego na efektywną i bezpieczną wymianę danych finansowych użytkownika, za jego zgodą i na potrzeby tą zgodą objęte. Skutkiem wdrożenia open finance ma być również szeroki dostęp do bezpiecznych innowacji opartych na danych.
DORA stoi natomiast na straży tzw. operacyjnej odporności cyfrowej sektora finansowego i w tym celu nakłada na podmioty finansowe szereg obowiązków związanych z bezpieczeństwem informacji. Jej kluczowym założeniem jest to, aby instytucje finansowe stosowały odpowiednie rozwiązania ograniczające ryzyko cyberataków, awarii systemów IT oraz innych zakłóceń technologicznych. Dzięki temu informacje przetwarzane przez podmioty finansowe, w tym dane klientów i użytkowników ich usług, mają być lepiej chronione przed wyciekami i innymi incydentami.
Dostęp do danych i cyberodporność – punkt styku FIDA i DORA
Choć FIDA i DORA dotyczą na pozór różnych kwestii, ich powiązanie jest konieczne dla spójności regulacji i ochrony klientów, których dane są wykorzystywane przez instytucje finansowe. Jeżeli dane mają być szerzej i systemowo udostępniane na podstawie FIDA, muszą być jednocześnie odpowiednio zabezpieczone. Bez tego elementu system otwartych finansów nie będzie działał efektywnie i nie zrealizuje swoich celów, ponieważ aby klient zgadzał się na wykorzystywanie jego danych w ramach takiego systemu, musi obdarzać go wysokim zaufaniem. Temu służą wymogi stawiane przez DORA. FIDA odwołuje się do obowiązującego już rozporządzenia DORA i określa wpływ DORA na tworzenie i funkcjonowanie open finance.
Czy każdy podmiot objęty FIDA będzie musiał stosować DORA?
Głównymi bohaterami w FIDA są posiadacze danych, użytkownicy danych oraz klienci. Posiadacze danych udostępniają informacje finansowe użytkownikom, takim jak np. banki, za zgodą klientów. Zakres podmiotowy FIDA i DORA został ściśle powiązany. Posiadacze danych są jednocześnie podmiotami finansowymi, które to zostały uwzględnione w katalogu podmiotów objętych zakresem zastosowania DORA. Projekt FIDA (z uwzględnieniem zmian proponowanych przez Radę (UE) w stanowisku obejmującym zmiany do pierwotnego projektu) przewiduje także, że użytkownicy danych upoważnieni do uzyskiwania dostępu do danych finansowych klienta powinni podlegać wymogom DORA. W praktyce takie podmioty będą musiały posiadać solidne standardy cyberodporności, w szczególności powinny wdrożyć odpowiednie procedury i polityki zarządzania ryzykiem ICT, w tym mechanizmy obsługi i zgłaszania incydentów ICT. Projekt FIDA zakłada również zmianę DORA poprzez dodanie dostawców usług z zakresu informacji finansowych do katalogu podmiotów zobowiązanych do stosowania tego rozporządzenia. Projekt FIDA przewiduje też wprost, że rozporządzenie nie będzie miało zastosowania m.in. do większości podmiotów zwolnionych ze stosowania DORA. Dotyczy to m.in. zakładów ubezpieczeń i zakładów reasekuracji zwolnionych ze względu na wielkość, zarządzających alternatywnymi funduszami inwestycyjnymi zwolnionych ze względu na łączną wartość zarządzanych aktywów, instytucji pracowniczych programów emerytalnych obsługujących programy liczące łącznie nie więcej niż 15 uczestników, a także pośredników ubezpieczeniowych, reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające, jeżeli są mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami.
Obowiązek stosowania DORA przez podmioty objęte zakresem FIDA został również wskazany w stanowisku Rady (UE) obejmującym zmiany do pierwotnego projektu FIDA. W ramach regulacji uprawnienia państwa członkowskiego do objęcia zakresem FIDA danych klientów dotyczących praw emerytalnych w pracowniczych programach emerytalnych, zaznaczono, że decyzja ta powinna dotyczyć wyłącznie podmiotów podlegających wymogom DORA.
Takie rozwiązanie odpowiada założeniu prawodawcy, zgodnie z którą wymiana danych w ramach FIDA powinna być możliwa wyłącznie między posiadaczami danych a użytkownikami danych, którzy spełniają wymogi DORA.
Spełnienie wymogów DORA niezbędne przy uzyskaniu zezwolenia
FIDA przewiduje powstanie nowego podmiotu na rynku FinTech – dostawcy usług z zakresu informacji finansowych (FISP). FISP należy do kategorii użytkowników danych a jego szczególna sytuacja wynikaj z faktu, że w przeciwieństwie do pozostałych podmiotów w tej kategorii nie występuje jednocześnie w roli nadzorowanego podmiotu finansowego świadczącego, objęte regulacjami sektorowymi, usługi płatnicze. Działalność jako FISP podlega nadzorowi regulacyjnemu i wymaga uzyskania odpowiedniego zezwolenia. Już na etapie składania wniosku niezbędne jest udokumentowanie spełnienia przez FISP wymogów DORA. Dokumentacja zapewniająca zgodność z DORA będzie więc częścią procesu uzyskiwania zezwolenia na działanie jako FISP.
Do obligatoryjnych elementów wniosku należą m.in.:
1) opis zasad zarządzania i mechanizmów kontroli wewnętrznej, w tym, ustaleń dot. korzystania z usług ICT zgodnie z DORA, wykazującym, że te zasady zarządzania, mechanizmy kontroli i procedury są proporcjonalne, właściwe, rzetelne i adekwatne;
2) opis procedury monitorowania, obsługi i działań następczych w przypadku incydentów zw. z bezpieczeństwem oraz skarg klientów dotyczących bezpieczeństwa, w tym mechanizm zgłaszania incydentów uwzględniający określone obowiązki zawarte w rozdziale III DORA;
3) opis rozwiązań w zakresie ciągłości działania, w tym planów ciągłości działania i procedur na potrzeby regularnego testowania i przeglądu takich planów, zgodnie z DORA;
4) dokument dotyczący strategii w zakresie bezpieczeństwa, łącznie z oceną ryzyka w odniesieniu do prowadzonej działalności oraz opisem środków kontroli bezpieczeństwa i ograniczania ryzyka wprowadzonych w celu odpowiedniej ochrony jego klientów przed zidentyfikowanymi ryzykami (to właśnie ten dokument ma wskazywać sposób zapewnienia wysokiego poziomu operacyjnej odporności cyfrowej zgodnie z rozdziałem II DORA).
FIDA wprowadza również szereg wymogów organizacyjnych dla FISP, w tym w obszarze monitorowania i obsługi incydentów związanych z bezpieczeństwem i skarg klientów dotyczących bezpieczeństwa oraz prowadzenia działań następczych w przypadku takich incydentów i skarg, łącznie z mechanizmem zgłaszania uwzględniającym wymogi wynikające z DORA.
DORA nie pojawia się więc jedynie na etapie procesu uzyskiwania zezwolenia, a tworzy wymóg stałych ram organizacyjnych, które FISP musi spełniać w całym cyklu swojej działalności.
Na jakim etapie są prace nad FIDA?
DORA jest stosowana od 17 stycznia 2025 r., natomiast prace legislacyjne nad FIDA nadal trwają. Obecnie projekt jest przedmiotem trilogu, czyli trójstronnych negocjacji między Komisją Europejską, Parlamentem Europejskim i Radą UE.
Autorki:
Gabriela Kocurek – Managing Senior Associate w KWKR, radca prawny,
Marta Czepiel – Associate w KWKR, aplikant radcowski,