12 grudnia 2024

Planowane uchylenie rekomendacji i wytycznych dot. zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz odwołanie komunikatu chmurowego w 

Zdjęcie do artykułu: Planowane uchylenie rekomendacji i wytycznych dot. zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz odwołanie komunikatu chmurowego w 

Planowane jest uchylenie obecnych rekomendacji i wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, które mają zastosowanie do podmiotów finansowych objętych wymogami Rozporządzenia DORA(1). Zaplanowane jest również odwołanie komunikatu UKNF dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej („Komunikat chmurowy”).

Powód uchylenia

Uchylenie wspomnianych aktów oraz odwołanie Komunikatu chmurowego wynika ze zbieżności ich zakresu przedmiotowego z obowiązkami wynikającymi z Rozporządzenia DORA oraz powiązanych z nim aktów wykonawczych. Dodatkowo są to akty tzw. soft law i nie są źródłami prawa powszechnie obowiązującego, w przeciwieństwie do Rozporządzenia DORA. 

Planowane przez UKNF działania pozwolą zatem uniknąć wątpliwości interpretacyjnych, które mogłyby wystąpić w przypadku obowiązywania przepisów prawa powszechnie obowiązującego oraz dotychczasowych aktów o charakterze tzw. soft law. Przyczynią się także do ograniczenia obciążeń regulacyjnych, jakie w obszarze operacyjnej odporności cyfrowej mają zastosowanie do podmiotów nadzorowanych przez KNF.

Akty planowane do uchylenia i odwołania

  • Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach,
  • Rekomendacja D-SKOK dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w firmach inwestycyjnych,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego,
  • Komunikat Urzędu Komisji Nadzoru Finansowego z dnia 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

O terminie uchylenia UKNF poinformuje w odrębnej informacji.

Spójne podejście UE

Podobne analizy zbieżności zakresu przedmiotowego wytycznych w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT oraz wytycznych w sprawie outsourcingu do dostawców usług w chmurze obliczeniowej z Rozporządzeniem DORA przeprowadzane są przez Europejskie Urzędy Nadzoru.

Planowane uchylenie Rekomendacji i wytycznych oraz odwołanie Komunikatu chmurowego odpowiada na potrzebę podjęcia na szczeblu krajowym działań spójnych z podejściem do definiowania wymogów zarządzania ryzykiem związanym z ICT, jakie w związku z Rozporządzeniem DORA można obserwować na poziomie prawodawstwa europejskiego.

Zgodnie z motywem 8 Rozporządzenia DORA, rozbudowanie jednolitego zbioru przepisów i systemu nadzoru, tak aby uwzględniały one również operacyjną odporność cyfrową, ma na celu wzmocnienie kompetencji właściwych organów – w tym KNF – aby umożliwić im sprawowanie nadzoru w zakresie zarządzania ryzykiem związanym z ICT w sektorze finansowym i chronić integralność oraz efektywność rynku wewnętrznego, a także ułatwić jego należyte funkcjonowanie. 

Motyw  9 Rozporządzenia DORA wskazuje, że rozbieżności legislacyjne i niejednolite krajowe podejścia regulacyjne lub nadzorcze do ryzyka związanego z ICT powodują powstanie przeszkód dla funkcjonowania rynku wewnętrznego usług finansowych, utrudniając sprawne korzystanie ze swobody przedsiębiorczości i swobody świadczenia usług podmiotom finansowym prowadzącym działalność transgraniczną. Brak spójności wynikający ze zmian planowanych na szczeblu krajowym mógłby spowodować dalsze przeszkody dla funkcjonowania rynku wewnętrznego ze szkodą dla uczestników rynku i stabilności finansowej. 

Również motyw 11 Rozporządzenia DORA wskazuje konieczność dalszej harmonizacji najważniejszych wymogów w zakresie operacyjnej odporności cyfrowej dla wszystkich podmiotów finansowych. Sygnalizuje także cel Rozporządzenia DORA, którym jest przyczynienie się do sprawnego funkcjonowania rynku wewnętrznego. 

W motywie 14 Rozporządzenia DORA podkreślono, że pomaga ono ograniczyć stopień złożoności regulacyjnej, wspiera spójność w zakresie nadzoru, zwiększa pewność prawa, a także przyczynia się do ograniczenia kosztów przestrzegania przepisów, zwłaszcza dla podmiotów finansowych prowadzących działalność transgraniczną i do zmniejszenia zakłóceń konkurencji. 

Wybór rozporządzenia na potrzeby ustanowienia wspólnych ram operacyjnej odporności cyfrowej podmiotów finansowych jest odpowiednim sposobem zagwarantowania jednolitego stosowania wszystkich elementów zarządzania ryzykiem związanym z ICT przez unijny sektor finansowy.

______________________
(1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

Klikając zgoda akceptujesz zapisywanie wszystkich danych cookie na Twoim urządzeniu. Kliknięcie odmowa oznacza zapisywanie tylko danych niezbędnych do funkcjonowania strony. Więcej informacji o cookie w polityce prywatności.
Ustawienia Odmowa Zgadzam się
×

Niezbędne pliki cookies

Te pliki cookie są niezbędne do działania strony i nie można ich wyłączyć. Służą na przykład do utrzymania zawartości koszyka użytkownika. Możesz ustawić przeglądarkę tak, aby blokowała te pliki cookie, ale wtedy strona nie będzie działała poprawnie.

Zawsze aktywne

Analityczne pliki cookie

Te pliki cookie pozwalają liczyć wizyty i źródła ruchu. Dzięki tym plikom wiadomo, które strony są bardziej popularne i w jaki sposób poruszają się odwiedzający stronę. Wszystkie informacje gromadzone przez te pliki cookie są anonimowe.