Bezpieczne otwarte finanse – gdzie DORA spotyka FIDA? UE szykuje nowe przepisy

KWKR Konieczny Wierzbicki i Partnerzy
Kancelaria prawna
rozwiń więcej
Bezpieczne otwarte finanse – gdzie DORA spotyka FIDA? UE szykuje nowe przepisy / Shutterstock

Dostęp do danych i operacyjna odporność cyfrowa, czyli odporność systemów na awarie i cyberzagrożenia, to dziś jedne z kluczowych aspektów świata finansów. Docelowo mają je regulować przede wszystkim dwa unijne rozporządzenia: FIDA, czyli rozporządzenie w sprawie ram dostępu do danych finansowych (obecnie na etapie prac legislacyjnych), oraz DORA, czyli rozporządzenie 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego. Na pierwszy rzut oka regulują one dwa różne obszary. FIDA ma ułatwić dostęp do danych finansowych, natomiast DORA zapewniać, aby systemy finansowe były bezpieczne i odporne na problemy techniczne oraz cyberataki. W praktyce obie regulacje mają jednak działać razem i wzajemnie się uzupełniać. Jak FIDA i DORA na siebie oddziałują? Czy każdy podmiot objęty FIDA będzie musiał spełniać wymogi DORA? I na co szczególnie powinny zwrócić uwagę podmioty działające w obszarze objętym tymi regulacjami?

Kluczowe założenia FIDA i DORA

FIDA ma wdrożyć ideę otwartych finansów (open finance), czyli rozszerzyć możliwość udostępniania i ponownego wykorzystywania danych osobowych i nieosobowych w celu świadczenia usług finansowych. Celem wspomnianej idei jest przede wszystkim ulepszanie produktów i usług finansowych oraz tworzenie możliwości dla konsumentów i firm na uzyskanie lepiej ukierunkowanych porad i spersonalizowanych usług. W praktyce chodzi o to, aby klienci instytucji finansowych – zarówno konsumenci, jak i przedsiębiorcy – mogli skuteczniej kontrolować swoje dane oraz mieć realną możliwość zdecydowania o ich wykorzystaniu przez podmioty trzecie. Celem FIDA jest stworzenie systemu pozwalającego na efektywną i bezpieczną wymianę danych finansowych użytkownika, za jego zgodą i na potrzeby tą zgodą objęte. Skutkiem wdrożenia open finance ma być również szeroki dostęp do bezpiecznych innowacji opartych na danych.

DORA stoi natomiast na straży tzw. operacyjnej odporności cyfrowej sektora finansowego i w tym celu nakłada na podmioty finansowe szereg obowiązków związanych z bezpieczeństwem informacji. Jej kluczowym założeniem jest to, aby instytucje finansowe stosowały odpowiednie rozwiązania ograniczające ryzyko cyberataków, awarii systemów IT oraz innych zakłóceń technologicznych. Dzięki temu informacje przetwarzane przez podmioty finansowe, w tym dane klientów i użytkowników ich usług, mają być lepiej chronione przed wyciekami i innymi incydentami.

Dostęp do danych i cyberodporność – punkt styku FIDA i DORA

Choć FIDA i DORA dotyczą na pozór różnych kwestii, ich powiązanie jest konieczne dla spójności regulacji i ochrony klientów, których dane są wykorzystywane przez instytucje finansowe. Jeżeli dane mają być szerzej i systemowo udostępniane na podstawie FIDA, muszą być jednocześnie odpowiednio zabezpieczone. Bez tego elementu system otwartych finansów nie będzie działał efektywnie i nie zrealizuje swoich celów, ponieważ aby klient zgadzał się na wykorzystywanie jego danych w ramach takiego systemu, musi obdarzać go wysokim zaufaniem. Temu służą wymogi stawiane przez DORA. FIDA odwołuje się do obowiązującego już rozporządzenia DORA i określa wpływ DORA na tworzenie i funkcjonowanie open finance.

Czy każdy podmiot objęty FIDA będzie musiał stosować DORA?

Głównymi bohaterami w FIDA są posiadacze danych, użytkownicy danych oraz klienci. Posiadacze danych udostępniają informacje finansowe użytkownikom, takim jak np. banki, za zgodą klientów. Zakres podmiotowy FIDA i DORA został ściśle powiązany. Posiadacze danych są jednocześnie podmiotami finansowymi, które to zostały uwzględnione w katalogu podmiotów objętych zakresem zastosowania DORA. Projekt FIDA (z uwzględnieniem zmian proponowanych przez Radę (UE) w stanowisku obejmującym zmiany do pierwotnego projektu) przewiduje także, że użytkownicy danych upoważnieni do uzyskiwania dostępu do danych finansowych klienta powinni podlegać wymogom DORA. W praktyce takie podmioty będą musiały posiadać solidne standardy cyberodporności, w szczególności powinny wdrożyć odpowiednie procedury i polityki zarządzania ryzykiem ICT, w tym mechanizmy obsługi i zgłaszania incydentów ICT. Projekt FIDA zakłada również zmianę DORA poprzez dodanie dostawców usług z zakresu informacji finansowych do katalogu podmiotów zobowiązanych do stosowania tego rozporządzenia. Projekt FIDA przewiduje też wprost, że rozporządzenie nie będzie miało zastosowania m.in. do większości podmiotów zwolnionych ze stosowania DORA. Dotyczy to m.in. zakładów ubezpieczeń i zakładów reasekuracji zwolnionych ze względu na wielkość, zarządzających alternatywnymi funduszami inwestycyjnymi zwolnionych ze względu na łączną wartość zarządzanych aktywów, instytucji pracowniczych programów emerytalnych obsługujących programy liczące łącznie nie więcej niż 15 uczestników, a także pośredników ubezpieczeniowych, reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające, jeżeli są mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami.

Obowiązek stosowania DORA przez podmioty objęte zakresem FIDA został również wskazany w stanowisku Rady (UE) obejmującym zmiany do pierwotnego projektu FIDA. W ramach regulacji uprawnienia państwa członkowskiego do objęcia zakresem FIDA danych klientów dotyczących praw emerytalnych w pracowniczych programach emerytalnych, zaznaczono, że decyzja ta powinna dotyczyć wyłącznie podmiotów podlegających wymogom DORA.

Takie rozwiązanie odpowiada założeniu prawodawcy, zgodnie z którą wymiana danych w ramach FIDA powinna być możliwa wyłącznie między posiadaczami danych a użytkownikami danych, którzy spełniają wymogi DORA.

Spełnienie wymogów DORA niezbędne przy uzyskaniu zezwolenia

FIDA przewiduje powstanie nowego podmiotu na rynku FinTech – dostawcy usług z zakresu informacji finansowych (FISP). FISP należy do kategorii użytkowników danych a jego szczególna sytuacja wynikaj z faktu, że w przeciwieństwie do pozostałych podmiotów w tej kategorii nie występuje jednocześnie w roli nadzorowanego podmiotu finansowego świadczącego, objęte regulacjami sektorowymi, usługi płatnicze. Działalność jako FISP podlega nadzorowi regulacyjnemu i wymaga uzyskania odpowiedniego zezwolenia. Już na etapie składania wniosku niezbędne jest udokumentowanie spełnienia przez FISP wymogów DORA. Dokumentacja zapewniająca zgodność z DORA będzie więc częścią procesu uzyskiwania zezwolenia na działanie jako FISP.

Do obligatoryjnych elementów wniosku należą m.in.:

1) opis zasad zarządzania i mechanizmów kontroli wewnętrznej, w tym, ustaleń dot. korzystania z usług ICT zgodnie z DORA, wykazującym, że te zasady zarządzania, mechanizmy kontroli i procedury są proporcjonalne, właściwe, rzetelne i adekwatne;

2) opis procedury monitorowania, obsługi i działań następczych w przypadku incydentów zw. z bezpieczeństwem oraz skarg klientów dotyczących bezpieczeństwa, w tym mechanizm zgłaszania incydentów uwzględniający określone obowiązki zawarte w rozdziale III DORA;

3) opis rozwiązań w zakresie ciągłości działania, w tym planów ciągłości działania i procedur na potrzeby regularnego testowania i przeglądu takich planów, zgodnie z DORA;

4) dokument dotyczący strategii w zakresie bezpieczeństwa, łącznie z oceną ryzyka w odniesieniu do prowadzonej działalności oraz opisem środków kontroli bezpieczeństwa i ograniczania ryzyka wprowadzonych w celu odpowiedniej ochrony jego klientów przed zidentyfikowanymi ryzykami (to właśnie ten dokument ma wskazywać sposób zapewnienia wysokiego poziomu operacyjnej odporności cyfrowej zgodnie z rozdziałem II DORA).

FIDA wprowadza również szereg wymogów organizacyjnych dla FISP, w tym w obszarze monitorowania i obsługi incydentów związanych z bezpieczeństwem i skarg klientów dotyczących bezpieczeństwa oraz prowadzenia działań następczych w przypadku takich incydentów i skarg, łącznie z mechanizmem zgłaszania uwzględniającym wymogi wynikające z DORA.

DORA nie pojawia się więc jedynie na etapie procesu uzyskiwania zezwolenia, a tworzy wymóg stałych ram organizacyjnych, które FISP musi spełniać w całym cyklu swojej działalności.

Na jakim etapie są prace nad FIDA?

DORA jest stosowana od 17 stycznia 2025 r., natomiast prace legislacyjne nad FIDA nadal trwają. Obecnie projekt jest przedmiotem trilogu, czyli trójstronnych negocjacji między Komisją Europejską, Parlamentem Europejskim i Radą UE.

Autorki:
Gabriela Kocurek – Managing Senior Associate w KWKR, radca prawny,
Marta Czepiel – Associate w KWKR, aplikant radcowski,

oprac. Paweł Huczko
rozwiń więcej
Prawo
Lootboxy w grach komputerowych – między prawem hazardowym a ochroną konsumentów. Analiza regulacyjna na tle prawa polskiego i Unii Europejskiej
16 lip 2026

Czy lootboxy to wyłącznie element współczesnych gier komputerowych, czy już mechanizm wymagający interwencji ustawodawcy? Rosnąca popularność mikropłatności oraz losowych nagród sprawia, że granica pomiędzy modelem biznesowym opartym na monetyzacji a rozwiązaniami przypominającymi klasyczne gry hazardowe staje się coraz mniej wyraźna. Jednocześnie unijne i krajowe organy regulacyjne coraz częściej analizują lootboxy nie tylko przez pryzmat prawa hazardowego, lecz także ochrony konsumentów, bezpieczeństwa dzieci oraz uczciwego projektowania usług cyfrowych. W artykule przedstawiono aktualny stan prawny w Polsce i Unii Europejskiej oraz omówiono kierunki przyszłych zmian regulacyjnych dotyczących jednego z najbardziej kontrowersyjnych mechanizmów współczesnego rynku gier.

Bezpieczne otwarte finanse – gdzie DORA spotyka FIDA? UE szykuje nowe przepisy
15 lip 2026

Dostęp do danych i operacyjna odporność cyfrowa, czyli odporność systemów na awarie i cyberzagrożenia, to dziś jedne z kluczowych aspektów świata finansów. Docelowo mają je regulować przede wszystkim dwa unijne rozporządzenia: FIDA, czyli rozporządzenie w sprawie ram dostępu do danych finansowych (obecnie na etapie prac legislacyjnych), oraz DORA, czyli rozporządzenie 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego. Na pierwszy rzut oka regulują one dwa różne obszary. FIDA ma ułatwić dostęp do danych finansowych, natomiast DORA zapewniać, aby systemy finansowe były bezpieczne i odporne na problemy techniczne oraz cyberataki. W praktyce obie regulacje mają jednak działać razem i wzajemnie się uzupełniać. Jak FIDA i DORA na siebie oddziałują? Czy każdy podmiot objęty FIDA będzie musiał spełniać wymogi DORA? I na co szczególnie powinny zwrócić uwagę podmioty działające w obszarze objętym tymi regulacjami?

Kredyty frankowe. Sąd Najwyższy uwzględnił skargę Rzecznika Finansowego
15 lip 2026

Sąd Najwyższy uwzględnił skargę nadzwyczajną Rzecznika Finansowego w sprawie kredytu frankowego i uchylił niekorzystny dla konsumentów wyrok sądu pierwszej instancji. Sprawa została przekazana do ponownego rozpoznania – poinformował w środę Rzecznik Finansowy.

MS: Chcemy zmienić sposób myślenia o sprawach rodzinnych [WYWIAD]
15 lip 2026

Alimenty podstawowe, nowe przepisy dotyczące pieczy współdzielonej, brak orzekania o winie w sprawach rozwodowych - to niektóre z elementów reformy, proponowanej przez Ministerstwo Sprawiedliwości. O szczegółach pakietu „Prawo do dzieciństwa” opowiadają eksperci resortu: Dorota Łopalewska (sędzia rodzinna i dyrektor Departamentu Spraw Rodzinnych i Nieletnich - DSRiN), Małgorzata Wojciechowska (biegła psycholog i ekspertka z DSRiN) oraz Mateusz Korzeniowski (kurator sądowy, Zastępca Dyrektora DSRiN).

Testament, akt poświadczenia dziedziczenia i inne sprawy związane ze spadkiem u notariusza – będzie drożej nawet o 400 proc.
15 lip 2026

Po przeszło 20 latach z inicjatywy Ministra Sprawiedliwości zostały przygotowane zmiany do rozporządzenia w sprawie maksymalnej taksy notarialnej. Modyfikacje mają dotyczyć między innymi opłat związanych z testamentami oraz innymi czynnościami dotyczącymi spraw spadkowych.

Odczytanie wyniku egzaminu to przetwarzanie danych. Uczelnie muszą uważać
15 lip 2026

Nauczyciel akademicki nie może publicznie odczytać Twojego wyniku z egzaminu bez Twojej wyraźnej zgody. Naczelny Sąd Administracyjny w przełomowym wyroku z 1 lipca 2026 r. orzekł, że ocena studenta to dana osobowa podlegająca pod reżim RODO. Próba przemycenia tzw. „milczącej zgody” przez wykładowcę podczas zajęć online zakończyła się dla uczelni karą od prezesa Urzędu Ochrony Danych Osobowych.

Spadek 1 mln zł. 1/2 dla syna i 1/2 dla córki. Ale on otrzymuje 700 000 zł, a ona 300 000 zł. Przez schedę i darowizny
15 lip 2026

Scheda spadkowa i zachowek to dwie różne instytucje pojęcia prawa spadkowego. Scheda chroni przed darowiznami za życia spadkodawcy, które krzywdzą innych spadkobierców (np. ojciec za życia wyróżnił darowizną córkę krzywdząc syna). Scheda nie działa przy zachowku. Przy zachowku darowizny za życia spadkodawcy krzywdzące finansowo rodzinę uwzględnia się przy pomocy innych przepisów niż o schedzie (art. 993. § 1 k.c.)

Nowa decyzja WZON. Czy można dostać mniej punktów do świadczenia wspierającego?
14 lip 2026

Osoby z niepełnosprawnościami chciałyby ustawowej gwarancji dotyczącej kolejnej decyzji ustalającej poziom potrzeby wsparcia. Chodzi o to, by w przypadku pogorszenia się stanu zdrowia, w nowej decyzji komisja przyznała odpowiednio większą liczbę punktów.

Najważniejsze w zasiedzeniu to 20 albo 30 lat. Ważne żeby sąsiedzi widzieli [Przykłady]
14 lip 2026

Sąsiedzi muszą widzieć jak ogrodziłeś cudzy teren. Jak chodzisz po nim jak po swoim. Otoczenie musi widzieć, że traktujesz ten teren jak swój. Tak można zasiedzieć nie tylko całą nieruchomość, ale również udział we współwłasności. Dotyczy to także działek budowlanych (zwłaszcza niezabudowanych) , gdzie łatwiej wykazać, że jeden ze współwłaścicieli przez lata faktycznie przejął pełne władztwo nad nieruchomością. Aby doszło do zasiedzenia udziału, samo korzystanie z nieruchomości nie wystarczy. Współwłaściciel musi zamanifestować na zewnątrz, że traktuje całą nieruchomość jak wyłączny właściciel, a pozostali współwłaściciele akceptują taki stan. Może o tym świadczyć np. ogrodzenie całej działki, samodzielne ponoszenie wszystkich kosztów związanych z nieruchomością, w tym podatku i opłat, przy jednoczesnym braku sprzeciwu pozostałych współwłaścicieli.

Nie wynajmiesz już mieszkania bez zgody sąsiadów – Ministerstwo Rozwoju i Technologii wprowadza nową regulację
15 lip 2026

W projekcie ustawy o zmianie ustawy o własności lokali, nad którym pracuje obecnie rząd – Ministerstwo Rozwoju i Technologii (po zakończonych uzgodnieniach międzyresortowych, konsultacjach publicznych i opiniowaniu projektu) dodało regulację, która istotnie ograniczy swobodę właścicieli nieruchomości w zakresie zmiany przeznaczenia lokalu mieszkalnego. Tak ową zmianą przeznaczenia – jak poinformował wiceminister rozwoju i technologii Tomasz Lewandowski, który jest osobą odpowiedzialną za ww. projekt – jest również przeznaczenie mieszkania pod najem krótkoterminowy. Zmiana taka – wymagać będzie zgody właścicieli pozostałych lokali mieszkalnych (a więc innych sąsiadów), która będzie musiała zostać wyrażona w formie uchwały. To jednak nie jedyna projektowana przez rząd regulacja, która ma ograniczyć w Polsce „szarą strefę” najmu krótkoterminowego.

pokaż więcej
Proszę czekać...