Jakie są kary za brak zgodności z rozporządzeniem DORA?

Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza surowe kary za brak zgodności z jego wymaganiami. Sankcje mogą obejmować wysokie grzywny oraz inne działania administracyjne, takie jak ograniczenia działalności instytucji finansowych. Kary są wymierzane za niedopełnienie obowiązków związanych z zarządzaniem ryzykiem ICT, niewłaściwe raportowanie incydentów lub brak odpowiednich procedur dotyczących odporności cyfrowej.

Czym jest rozporządzenie DORA i kogo dotyczy?

Rozporządzenie DORA (Digital Operational Resilience Act) to kluczowy akt prawny Unii Europejskiej, mający na celu wzmocnienie odporności cyfrowej sektora finansowego. Wprowadza ono jednolite wymagania dotyczące bezpieczeństwa sieci i systemów informatycznych dla podmiotów finansowych działających na terenie UE.DORA obejmuje szeroki zakres instytucji finansowych, niezależnie od ich wielkości czy złożoności operacji. Do podmiotów objętych rozporządzeniem należą:

  • Banki i instytucje kredytowe
    • Firmy inwestycyjne
    • Zakłady ubezpieczeń i reasekuracji
    • Instytucje płatnicze i pieniądza elektronicznego
    • Giełdy i platformy obrotu
    • Fundusze inwestycyjne i emerytalne
    • Agencje ratingowe
    • Dostawcy usług kryptoaktywów

Co istotne, DORA dotyczy nie tylko samych instytucji finansowych, ale również ich kluczowych dostawców usług ICT. Oznacza to, że firmy technologiczne obsługujące sektor finansowy również muszą dostosować się do wymagań rozporządzenia.

DORA weszło w życie 16 stycznia 2023 roku, ale pełne wdrożenie jego wymogów jest wymagane od 17 stycznia 2025 roku. Daje to podmiotom objętym regulacją czas na dostosowanie swoich systemów i procesów do nowych wymagań.

Rozporządzenie DORA stanowi odpowiedź na rosnące zagrożenia cybernetyczne w sektorze finansowym. Jego celem jest zapewnienie, że instytucje finansowe będą w stanie skutecznie przeciwdziałać atakom, wykrywać incydenty i szybko przywracać normalne funkcjonowanie w przypadku zakłóceń.

Jakie są główne cele wprowadzenia kar w rozporządzeniu DORA?

Wprowadzenie systemu kar w rozporządzeniu DORA ma kilka kluczowych celów, które mają zapewnić skuteczne wdrożenie i przestrzeganie nowych wymogów w zakresie odporności cyfrowej sektora finansowego.

Przede wszystkim, kary mają pełnić funkcję odstraszającą. Wysokie sankcje finansowe mają zniechęcać instytucje finansowe i dostawców usług ICT do lekceważenia wymogów DORA. Perspektywa dotkliwych konsekwencji finansowych ma motywować podmioty do priorytetowego traktowania kwestii cyberbezpieczeństwa i inwestowania w odpowiednie rozwiązania techniczne i organizacyjne.

Drugim istotnym celem jest zapewnienie równych warunków konkurencji na rynku finansowym UE. Jednolity system kar ma gwarantować, że wszystkie podmioty będą traktowane w ten sam sposób, niezależnie od kraju członkowskiego, w którym działają. Zapobiega to sytuacji, w której niektóre instytucje mogłyby zyskać przewagę konkurencyjną poprzez niestosowanie się do wymogów DORA.

Kary mają również na celu ochronę stabilności systemu finansowego UE. Poprzez egzekwowanie wysokich standardów cyberbezpieczeństwa, DORA dąży do minimalizacji ryzyka poważnych incydentów, które mogłyby zagrozić funkcjonowaniu całego sektora finansowego.

Istotnym aspektem jest także budowanie zaufania klientów i inwestorów. Surowe kary za naruszenia DORA mają pokazać, że UE poważnie traktuje kwestie bezpieczeństwa cyfrowego w sektorze finansowym, co ma przełożyć się na większe zaufanie do instytucji finansowych działających na terenie Unii.

Wreszcie, system kar ma zapewnić skuteczne egzekwowanie przepisów DORA. Daje on organom nadzorczym narzędzia do wymuszania przestrzegania rozporządzenia i szybkiego reagowania na wykryte naruszenia.

Podsumowując, kary w DORA mają nie tylko karać za naruszenia, ale przede wszystkim stymulować proaktywne podejście do cyberbezpieczeństwa w sektorze finansowym UE.

Kto jest uprawniony do nakładania kar za naruszenie DORA?

Uprawnienia do nakładania kar za naruszenie rozporządzenia DORA zostały przyznane kilku kluczowym instytucjom na poziomie Unii Europejskiej oraz organom nadzorczym w poszczególnych państwach członkowskich. Taka struktura ma zapewnić skuteczne egzekwowanie przepisów na różnych poziomach i w różnych sektorach rynku finansowego.

Na poziomie unijnym, kluczową rolę odgrywają Europejskie Urzędy Nadzoru (ESAs – European Supervisory Authorities):

  • Europejski Urząd Nadzoru Bankowego (EBA)
  • Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA)
  • Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA)

Te instytucje mają uprawnienia do nakładania kar na kluczowych dostawców usług ICT, którzy zostali uznani za „krytycznych” w rozumieniu DORA. Mogą one przeprowadzać audyty, żądać informacji i dokumentacji oraz nakładać kary finansowe w przypadku stwierdzenia naruszeń.

Na poziomie krajowym, uprawnienia do nakładania kar posiadają właściwe organy nadzorcze w każdym państwie członkowskim UE. W przypadku Polski może to być na przykład Komisja Nadzoru Finansowego (KNF). Organy te są odpowiedzialne za nadzór nad instytucjami finansowymi działającymi na ich terytorium i mają prawo do nakładania kar za naruszenia DORA.

Warto podkreślić, że DORA wprowadza mechanizm współpracy między organami krajowymi a ESA. W przypadku transgranicznych naruszeń lub kwestii dotyczących krytycznych dostawców usług ICT, organy krajowe mogą współpracować z ESA w celu koordynacji działań nadzorczych i sankcyjnych.

DORA przewiduje również możliwość delegowania niektórych uprawnień nadzorczych i sankcyjnych między organami. Ma to zapewnić elastyczność i skuteczność w egzekwowaniu przepisów, szczególnie w przypadku podmiotów działających w wielu jurysdykcjach.

Istotne jest, że podmioty uprawnione do nakładania kar muszą działać zgodnie z zasadami proporcjonalności i efektywności. Oznacza to, że kary powinny być adekwatne do wagi naruszenia i skuteczne w zapobieganiu podobnym incydentom w przyszłości.

Za jakie konkretne naruszenia DORA grożą kary?

Rozporządzenie DORA przewiduje szereg konkretnych naruszeń, za które mogą zostać nałożone kary. Obejmują one różne aspekty zarządzania ryzykiem IT, bezpieczeństwa informacji i odporności operacyjnej. Oto najważniejsze kategorie naruszeń:

  1. Niedostosowanie się do wymogów zarządzania ryzykiem ICT. Dotyczy to braku wdrożenia odpowiednich ram zarządzania ryzykiem, nieadekwatnej identyfikacji i oceny ryzyka czy niewystarczających środków kontroli.
  2. Naruszenia związane z raportowaniem incydentów. Kary grożą za nieterminowe zgłaszanie poważnych incydentów związanych z ICT lub brak odpowiednich procedur raportowania.
  3. Nieprzestrzeganie wymogów dotyczących testów odporności cyfrowej. DORA wymaga regularnego przeprowadzania testów, w tym testów penetracyjnych i symulacji ataków. Brak takich testów lub nieodpowiednie ich przeprowadzanie może skutkować karami.
  4. Naruszenia w zakresie zarządzania ryzykiem związanym z dostawcami usług ICT. Dotyczy to braku odpowiednich procedur wyboru dostawców, niewystarczającego monitorowania ich działalności czy braku planów awaryjnych.
  5. Nieprzestrzeganie wymogów dotyczących wymiany informacji o zagrożeniach i podatnościach. DORA zachęca do dzielenia się informacjami w celu zwiększenia ogólnej odporności sektora.
  6. Brak odpowiednich planów ciągłości działania i odtwarzania po awarii. Kary mogą zostać nałożone za nieposiadanie lub nieaktualizowanie takich planów.
  7. Naruszenia związane z ochroną danych i bezpieczeństwem informacji. Obejmuje to niewystarczające środki ochrony danych klientów czy brak odpowiednich procedur zarządzania dostępem do systemów.
  8. Nieprzestrzeganie wymogów dotyczących zarządzania zmianami w systemach ICT. DORA wymaga kontrolowanego procesu wprowadzania zmian w celu minimalizacji ryzyka.
  9. Brak odpowiedniego nadzoru ze strony kierownictwa nad kwestiami związanymi z odpornością cyfrową. DORA kładzie nacisk na zaangażowanie najwyższego kierownictwa w te kwestie.
  10. Naruszenia związane z outsourcingiem usług ICT. Dotyczy to braku odpowiednich umów, niewystarczającego nadzoru nad dostawcami czy braku planów wyjścia.

Warto podkreślić, że lista ta nie jest wyczerpująca, a organy nadzorcze mają pewną elastyczność w interpretacji naruszeń DORA. Kluczowe jest, aby podmioty objęte rozporządzeniem aktywnie monitorowały swoje systemy i procesy pod kątem zgodności z wymogami DORA, aby uniknąć potencjalnych kar.

Jakie rodzaje kar przewiduje rozporządzenie DORA?

Rozporządzenie DORA wprowadza szeroki wachlarz kar, które mogą być nakładane na podmioty naruszające jego przepisy. Różnorodność sankcji ma na celu zapewnienie elastyczności w egzekwowaniu przepisów i dostosowanie kary do wagi naruszenia. Oto główne rodzaje kar przewidzianych w DORA:

  1. Kary finansowe – są to najbardziej dotkliwe sankcje, które mogą sięgać milionów euro lub stanowić znaczący procent rocznego obrotu podmiotu. Wysokość kar finansowych ma być na tyle znacząca, aby skutecznie odstraszać od naruszeń.
  2. Nakazy administracyjne – organy nadzorcze mogą wydawać wiążące nakazy, zobowiązujące podmiot do podjęcia określonych działań naprawczych lub zaprzestania pewnych praktyk. Mogą one dotyczyć na przykład wdrożenia konkretnych środków bezpieczeństwa czy zmiany procesów zarządzania ryzykiem.
  3. Publiczne ostrzeżenia – w przypadku mniej poważnych naruszeń, organ nadzorczy może wydać publiczne ostrzeżenie, identyfikujące podmiot i opisujące charakter naruszenia. Taka sankcja może mieć istotny wpływ na reputację instytucji.
  4. Czasowe zawieszenie działalności – w skrajnych przypadkach, gdy naruszenia są poważne i powtarzające się, organ nadzorczy może nakazać czasowe zawieszenie określonych działań lub usług związanych z ICT.
  5. Cofnięcie zezwolenia na działalność – jest to najsurowsza sankcja, stosowana w przypadku najpoważniejszych i systematycznych naruszeń. Może ona skutkować całkowitym zakazem prowadzenia działalności w sektorze finansowym.
  6. Zakaz pełnienia funkcji kierowniczych – DORA przewiduje możliwość nałożenia czasowego lub stałego zakazu pełnienia funkcji kierowniczych w instytucjach finansowych dla osób odpowiedzialnych za poważne naruszenia.
  7. Nakaz przeprowadzenia audytu – organ nadzorczy może nakazać przeprowadzenie niezależnego audytu systemów ICT i procesów zarządzania ryzykiem na koszt podmiotu naruszającego przepisy.
  8. Nakaz wdrożenia planu naprawczego – podmiot może zostać zobowiązany do opracowania i wdrożenia szczegółowego planu naprawczego, mającego na celu usunięcie stwierdzonych nieprawidłowości.
  9. Okresowe kary pieniężne – w przypadku trwających naruszeń, organ nadzorczy może nakładać okresowe kary pieniężne, naliczane za każdy dzień trwania naruszenia.
  10. Ograniczenie lub zawieszenie określonych usług ICT – w przypadku stwierdzenia poważnych zagrożeń związanych z konkretnymi usługami ICT, organ nadzorczy może nakazać ich ograniczenie lub czasowe zawieszenie.

Warto podkreślić, że organy nadzorcze mają pewną swobodę w doborze odpowiednich sankcji, kierując się zasadą proporcjonalności. Oznacza to, że kary powinny być adekwatne do wagi naruszenia, wielkości podmiotu i potencjalnych skutków dla stabilności finansowej. Celem jest nie tylko ukaranie za naruszenia, ale przede wszystkim skłonienie podmiotów do poprawy ich praktyk w zakresie odporności cyfrowej.

Jaka jest maksymalna wysokość kar finansowych za naruszenie DORA?

Rozporządzenie DORA przewiduje surowe kary finansowe za naruszenia jego przepisów, ustanawiając maksymalne limity, które mogą być nakładane na podmioty nieprzestrzegające wymogów. Wysokość tych kar ma na celu skuteczne odstraszanie od naruszeń i podkreślenie wagi cyberbezpieczeństwa w sektorze finansowym.

Maksymalna wysokość kar finansowych w DORA jest określona na dwóch poziomach:

  1. Kara wyrażona kwotowo:
    Maksymalna kara może wynieść do 10 000 000 euro (dziesięć milionów euro). Jest to bezwzględna górna granica kary, niezależna od wielkości czy obrotów podmiotu.
  2. Kara wyrażona jako procent rocznego obrotu:
    Alternatywnie, kara może wynieść do 2% całkowitego rocznego obrotu podmiotu w skali światowej za poprzedni rok obrotowy. Ta opcja jest szczególnie istotna dla dużych instytucji finansowych, gdzie kara oparta na obrocie może znacznie przekroczyć limit 10 milionów euro.

W praktyce organ nakładający karę wybiera wyższą z tych dwóch kwot. Oznacza to, że dla dużych instytucji finansowych potencjalne kary mogą sięgać dziesiątek, a nawet setek milionów euro.Warto podkreślić, że są to maksymalne limity, a rzeczywista wysokość kary będzie zależeć od wielu czynników, w tym wagi naruszenia, jego skutków, współpracy podmiotu z organami nadzoru czy podjętych działań naprawczych.

DORA przewiduje również możliwość nakładania kar na osoby fizyczne odpowiedzialne za naruszenia. W takich przypadkach maksymalna kara może wynieść do 5 000 000 euro (pięć milionów euro).Dla niektórych rodzajów naruszeń, szczególnie tych związanych z kluczowymi wymogami DORA, takich jak zarządzanie ryzykiem ICT czy raportowanie poważnych incydentów, kary mogą być jeszcze wyższe. W takich przypadkach maksymalna kara może sięgnąć nawet 3% całkowitego rocznego obrotu podmiotu w skali światowej.

Należy pamiętać, że oprócz kar finansowych, DORA przewiduje również inne sankcje, które mogą być stosowane łącznie z karami pieniężnymi lub niezależnie od nich. Mogą one obejmować publiczne ostrzeżenia, nakazy administracyjne czy nawet zawieszenie lub cofnięcie zezwolenia na działalność.

Wysokość maksymalnych kar w DORA odzwierciedla rosnące znaczenie cyberbezpieczeństwa w sektorze finansowym i determinację UE do zapewnienia wysokiego poziomu odporności cyfrowej instytucji finansowych.

Od czego zależy wysokość nakładanych kar?

Wysokość kar nakładanych za naruszenia rozporządzenia DORA nie jest arbitralna, lecz zależy od szeregu czynników, które organy nadzorcze muszą wziąć pod uwagę przy ustalaniu konkretnej sankcji. Ta elastyczność ma na celu zapewnienie, że kary będą proporcjonalne i skuteczne. Oto kluczowe czynniki wpływające na wysokość nakładanych kar:

  1. Waga i czas trwania naruszenia:
    Poważniejsze naruszenia, które trwały dłuższy czas, będą karane surowiej. Organy nadzorcze ocenią potencjalny wpływ naruszenia na stabilność finansową i bezpieczeństwo danych klientów.
  2. Stopień odpowiedzialności podmiotu:
    Brane pod uwagę będzie, czy naruszenie było wynikiem celowego działania, zaniedbania, czy też czynników pozostających poza bezpośrednią kontrolą podmiotu.
  3. Sytuacja finansowa podmiotu:
    Kara powinna być dotkliwa, ale nie powinna zagrażać stabilności finansowej instytucji. Organy nadzorcze wezmą pod uwagę wielkość i obroty podmiotu.
  4. Zyski osiągnięte lub straty uniknięte w wyniku naruszenia:
    Jeśli podmiot osiągnął korzyści finansowe w wyniku naruszenia, kara może być odpowiednio zwiększona, aby zniwelować te zyski.
  5. Współpraca z organem nadzorczym:
    Podmioty, które aktywnie współpracują z organami nadzoru, zgłaszają naruszenia i podejmują szybkie działania naprawcze, mogą liczyć na łagodniejsze traktowanie.
  6. Wcześniejsze naruszenia:
    Powtarzające się naruszenia lub historia wcześniejszych kar może prowadzić do surowszych sankcji.
  7. Środki podjęte w celu zapobieżenia podobnym naruszeniom w przyszłości:
    Organy nadzorcze wezmą pod uwagę, jakie kroki podmiot podjął, aby wzmocnić swoje systemy i procesy w celu uniknięcia podobnych incydentów.
  8. Wpływ na klientów i rynek:
    Naruszenia, które miały bezpośredni negatywny wpływ na klientów lub stabilność rynku finansowego, będą traktowane surowiej.
  9. Systemowe znaczenie podmiotu:
    Większe i bardziej znaczące instytucje finansowe mogą być traktowane surowiej ze względu na potencjalnie większy wpływ ich naruszeń na system finansowy.
  10. Okoliczności łagodzące lub obciążające:
    Organy nadzorcze wezmą pod uwagę wszelkie dodatkowe czynniki, które mogą wpłynąć na ocenę naruszenia.

Warto podkreślić, że organy nadzorcze mają obowiązek kierować się zasadą proporcjonalności przy nakładaniu kar. Oznacza to, że sankcje powinny być adekwatne do naruszenia i skuteczne w zapobieganiu podobnym incydentom w przyszłości, ale nie powinny być nadmiernie uciążliwe.

DORA wymaga również, aby organy nadzorcze publikowały wytyczne dotyczące stosowania kar, co ma zapewnić większą przejrzystość i przewidywalność procesu nakładania sankcji. Podmioty objęte DORA powinny dokładnie zapoznać się z tymi wytycznymi, aby lepiej zrozumieć, jakie czynniki mogą wpłynąć na wysokość potencjalnych kar.

Czy kary dotyczą tylko podmiotów finansowych, czy również dostawców usług ICT?

Rozporządzenie DORA wprowadza kompleksowe podejście do odporności cyfrowej w sektorze finansowym, obejmując swoim zasięgiem nie tylko podmioty finansowe, ale również kluczowych dostawców usług ICT. Jest to istotna zmiana w porównaniu z wcześniejszymi regulacjami, która odzwierciedla rosnące znaczenie zewnętrznych dostawców technologii w funkcjonowaniu sektora finansowego.

Kary przewidziane w DORA mogą być nakładane zarówno na podmioty finansowe, jak i na dostawców usług ICT, którzy zostali uznani za „krytycznych” w rozumieniu rozporządzenia. Oto kluczowe aspekty dotyczące kar dla dostawców usług ICT:

  1. Definicja krytycznych dostawców:
    DORA wprowadza pojęcie „krytycznych dostawców usług ICT”. Są to firmy technologiczne, których usługi są uznawane za kluczowe dla funkcjonowania sektora finansowego. Mogą to być na przykład dostawcy chmury obliczeniowej, usług przetwarzania danych czy systemów płatności.
  2. Bezpośredni nadzór:
    Krytyczni dostawcy usług ICT podlegają bezpośredniemu nadzorowi ze strony Europejskich Urzędów Nadzoru (ESA). Oznacza to, że mogą być poddawani audytom, kontrolom i innym działaniom nadzorczym.
  3. Zakres odpowiedzialności:
    Dostawcy usług ICT mogą być karani za naruszenia związane z bezpieczeństwem, ciągłością działania czy zarządzaniem ryzykiem w zakresie usług świadczonych podmiotom finansowym.
  4. Wysokość kar:
    Maksymalne kary dla dostawców usług ICT są takie same jak dla podmiotów finansowych – mogą sięgać 10 milionów euro lub 2% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.
  5. Dodatkowe sankcje:
    Oprócz kar finansowych, krytyczni dostawcy usług ICT mogą podlegać innym sankcjom, takim jak nakazy administracyjne czy zakaz świadczenia usług dla sektora finansowego w UE.
  6. Odpowiedzialność kontraktowa:
    DORA wymaga, aby umowy między podmiotami finansowymi a dostawcami usług ICT zawierały klauzule dotyczące zgodności z wymogami rozporządzenia. Naruszenie tych klauzul może prowadzić do odpowiedzialności kontraktowej.
  7. Współpraca międzynarodowa:
    W przypadku dostawców usług ICT spoza UE, DORA przewiduje mechanizmy współpracy międzynarodowej w zakresie nadzoru i egzekwowania przepisów.
  8. Proporcjonalność:
    Podobnie jak w przypadku podmiotów finansowych, kary nakładane na dostawców usług ICT muszą być proporcjonalne do wagi naruszenia i potencjalnych skutków dla sektora finansowego.

Włączenie dostawców usług ICT w zakres DORA i możliwość nakładania na nich kar ma na celu zapewnienie kompleksowego podejścia do cyberbezpieczeństwa w sektorze finansowym. Uznaje się, że bezpieczeństwo łańcucha dostaw ICT jest kluczowe dla ogólnej odporności cyfrowej instytucji finansowych.

Podmioty finansowe powinny być świadome, że wybór i nadzór nad dostawcami usług ICT staje się jeszcze bardziej krytyczny w kontekście DORA. Muszą one upewnić się, że ich dostawcy są w stanie spełnić wymagania rozporządzenia i współpracować w przypadku kontroli czy audytów.

Jakie kary grożą osobom fizycznym odpowiedzialnym za naruszenia?

Rozporządzenie DORA przewiduje możliwość nakładania kar nie tylko na podmioty prawne, ale również na osoby fizyczne odpowiedzialne za naruszenia. Jest to istotny element rozporządzenia, mający na celu zwiększenie osobistej odpowiedzialności osób zarządzających i podejmujących kluczowe decyzje w obszarze cyberbezpieczeństwa i odporności operacyjnej.

Oto kluczowe aspekty dotyczące kar dla osób fizycznych w ramach DORA:

  1. Maksymalna wysokość kar finansowych:
    Dla osób fizycznych maksymalna kara finansowa może wynieść do 5 000 000 euro (pięć milionów euro). Jest to znacząca kwota, mająca na celu skuteczne odstraszanie od zaniedbań i naruszeń.
  2. Zakres odpowiedzialności:
    Kary mogą być nakładane na członków zarządu, kadrę kierowniczą wyższego szczebla oraz inne osoby odpowiedzialne za zarządzanie ryzykiem ICT i podejmowanie decyzji w tym zakresie.
  3. Rodzaje naruszeń:
    Osoby fizyczne mogą być karane za różne naruszenia, w tym za niedopełnienie obowiązków nadzorczych, ignorowanie ostrzeżeń o ryzyku, zaniedbania w zarządzaniu bezpieczeństwem ICT czy nieprzestrzeganie wymogów raportowania incydentów.
  4. Zakaz pełnienia funkcji kierowniczych:
    Oprócz kar finansowych, DORA przewiduje możliwość nałożenia czasowego lub stałego zakazu pełnienia funkcji kierowniczych w instytucjach finansowych dla osób odpowiedzialnych za poważne naruszenia.
  5. Publikacja informacji o karach:
    Informacje o karach nałożonych na osoby fizyczne mogą być podawane do publicznej wiadomości, co może mieć istotny wpływ na reputację zawodową danej osoby.
  6. Odpowiedzialność karna:
    Warto zauważyć, że DORA nie wyklucza możliwości pociągnięcia osób fizycznych do odpowiedzialności karnej, jeśli naruszenia spełniają znamiona przestępstwa według prawa krajowego.
  7. Czynniki wpływające na wysokość kary:
    Przy ustalaniu wysokości kary dla osoby fizycznej brane są pod uwagę takie czynniki jak waga naruszenia, stopień odpowiedzialności, współpraca z organami nadzoru czy wcześniejsze naruszenia.
  8. Prawo do obrony:
    Osoby fizyczne, na które nałożono kary, mają prawo do odwołania się od decyzji i przedstawienia swojego stanowiska przed właściwymi organami.
  9. Ubezpieczenie od odpowiedzialności:
    DORA nie zabrania instytucjom finansowym ubezpieczania swoich pracowników od odpowiedzialności, ale kary nałożone na osoby fizyczne nie mogą być bezpośrednio pokrywane przez podmiot.
  10. Edukacja i świadomość:
    W kontekście potencjalnych kar dla osób fizycznych, instytucje finansowe powinny kłaść nacisk na edukację i podnoszenie świadomości kadry zarządzającej w zakresie wymogów DORA.

Wprowadzenie możliwości nakładania kar na osoby fizyczne w DORA ma na celu wzmocnienie kultury odpowiedzialności w obszarze cyberbezpieczeństwa na najwyższych szczeblach organizacji. Ma to skłonić osoby decyzyjne do traktowania kwestii odporności cyfrowej jako strategicznego priorytetu i aktywnego zaangażowania w zarządzanie ryzykiem ICT.

Osoby pełniące funkcje kierownicze w instytucjach finansowych powinny być świadome potencjalnej osobistej odpowiedzialności wynikającej z DORA i aktywnie angażować się w zapewnienie zgodności z wymogami rozporządzenia.

Czy istnieją okoliczności łagodzące przy wymierzaniu kar?

Rozporządzenie DORA, mimo że wprowadza surowe kary za naruszenia, przewiduje również szereg okoliczności łagodzących, które mogą wpłynąć na ostateczną wysokość sankcji. Uwzględnienie tych czynników ma na celu zapewnienie sprawiedliwego i proporcjonalnego podejścia do nakładania kar. Oto kluczowe okoliczności łagodzące, które mogą być brane pod uwagę:

  1. Aktywna współpraca z organami nadzoru:
    Podmioty, które w pełni współpracują z organami nadzorczymi podczas dochodzenia i dobrowolnie ujawniają informacje o naruszeniach, mogą liczyć na łagodniejsze traktowanie.
  2. Szybkie podjęcie działań naprawczych:
    Jeśli podmiot niezwłocznie po wykryciu naruszenia podejmuje skuteczne działania naprawcze i wdraża środki zapobiegające podobnym incydentom w przyszłości, może to być uznane za okoliczność łagodzącą.
  3. Brak wcześniejszych naruszeń:
    Podmioty, które nie miały wcześniej historii naruszeń przepisów dotyczących cyberbezpieczeństwa i odporności operacyjnej, mogą być traktowane łagodniej.
  4. Nieumyślny charakter naruszenia:
    Jeśli naruszenie było wynikiem nieumyślnego błędu lub przeoczenia, a nie celowego działania lub rażącego zaniedbania, może to wpłynąć na złagodzenie kary.
  5. Ograniczony wpływ naruszenia:
    W przypadku gdy skutki naruszenia były ograniczone i nie miały istotnego wpływu na klientów, stabilność finansową czy integralność rynku, może to być uznane za okoliczność łagodzącą.
  6. Proaktywne zgłoszenie naruszenia:
    Podmioty, które same wykryją i zgłoszą naruszenie organom nadzorczym, zanim zostanie ono odkryte w inny sposób, mogą liczyć na bardziej przychylne traktowanie.
  7. Wdrożenie zaawansowanych systemów bezpieczeństwa:
    Jeśli podmiot zainwestował znaczące środki w zaawansowane systemy bezpieczeństwa i zarządzania ryzykiem ICT, wykraczające poza minimalne wymogi DORA, może to być uznane za czynnik łagodzący.
  8. Transparentność i otwartość:
    Pełna transparentność w komunikacji z organami nadzoru i gotowość do udostępnienia wszystkich istotnych informacji może przyczynić się do złagodzenia potencjalnych sankcji.
  9. Trudna sytuacja finansowa:
    W wyjątkowych przypadkach, gdy nałożenie pełnej kary mogłoby zagrozić stabilności finansowej podmiotu, organy nadzorcze mogą wziąć to pod uwagę przy ustalaniu wysokości sankcji.
  10. Aktywne uczestnictwo w inicjatywach branżowych:
    Zaangażowanie podmiotu w inicjatywy branżowe mające na celu poprawę cyberbezpieczeństwa i wymianę informacji o zagrożeniach może być postrzegane pozytywnie.
  11. Kompleksowe programy szkoleniowe:
    Wdrożenie rozbudowanych programów szkoleniowych dla pracowników w zakresie cyberbezpieczeństwa i wymogów DORA może być uznane za okoliczność łagodzącą.
  12. Dobrowolne ujawnienie informacji o incydentach:
    Podmioty, które dobrowolnie ujawniają informacje o incydentach bezpieczeństwa, nawet jeśli nie są do tego zobowiązane, mogą liczyć na bardziej przychylne traktowanie.

Warto podkreślić, że ocena okoliczności łagodzących jest dokonywana indywidualnie dla każdego przypadku. Organy nadzorcze mają pewną swobodę w interpretacji i ważeniu różnych czynników. Podmioty objęte DORA powinny być świadome tych potencjalnych okoliczności łagodzących i aktywnie dążyć do ich spełnienia, nie tylko w celu uniknięcia surowych kar, ale przede wszystkim dla poprawy swojej ogólnej odporności cyfrowej.

Jednocześnie należy pamiętać, że istnienie okoliczności łagodzących nie gwarantuje automatycznego złagodzenia kary. Ostateczna decyzja zawsze należy do organu nadzorczego, który musi rozważyć wszystkie aspekty naruszenia i jego potencjalne skutki dla sektora finansowego.

Jak wygląda procedura nakładania kar za naruszenie DORA?

Procedura nakładania kar za naruszenie rozporządzenia DORA jest złożonym procesem, który ma na celu zapewnienie sprawiedliwości, transparentności i skuteczności egzekwowania przepisów. Oto kluczowe etapy tej procedury:

  1. Wykrycie naruszenia:
    Proces rozpoczyna się od wykrycia potencjalnego naruszenia. Może to nastąpić w wyniku rutynowych kontroli, audytów, zgłoszeń od podmiotów trzecich lub samoujawnienia przez instytucję finansową.
  2. Wstępna analiza:
    Właściwy organ nadzorczy przeprowadza wstępną analizę zebranych informacji, aby ocenić, czy istnieją podstawy do wszczęcia formalnego postępowania.
  3. Wszczęcie postępowania:
    Jeśli wstępna analiza wskazuje na możliwość naruszenia, organ nadzorczy formalnie wszczyna postępowanie. Podmiot, którego dotyczy postępowanie, jest o tym informowany.
  4. Gromadzenie dowodów:
    Organ nadzorczy zbiera szczegółowe informacje i dowody dotyczące naruszenia. Może to obejmować żądanie dokumentacji, przeprowadzanie inspekcji na miejscu czy przesłuchania świadków.
  5. Prawo do bycia wysłuchanym:
    Podmiot, wobec którego toczy się postępowanie, ma prawo do przedstawienia swojego stanowiska i wyjaśnień. Może to obejmować pisemne oświadczenia lub ustne przesłuchania.
  6. Ocena naruszenia:
    Organ nadzorczy dokonuje szczegółowej oceny zebranych dowodów, biorąc pod uwagę wagę naruszenia, jego skutki, okoliczności łagodzące i obciążające.
  7. Konsultacje:
    W przypadku transgranicznych naruszeń lub kwestii dotyczących krytycznych dostawców usług ICT, organ nadzorczy może konsultować się z innymi właściwymi organami lub Europejskimi Urzędami Nadzoru (ESAs).
  8. Decyzja o nałożeniu kary:
    Na podstawie przeprowadzonej oceny, organ nadzorczy podejmuje decyzję o nałożeniu kary. Decyzja ta zawiera uzasadnienie, wysokość kary oraz informacje o prawie do odwołania.
  9. Powiadomienie o karze:
    Podmiot jest oficjalnie powiadamiany o nałożonej karze. Powiadomienie zawiera szczegółowe informacje o naruszeniu, wysokości kary i uzasadnieniu decyzji.
  10. Prawo do odwołania:
    Podmiot ma prawo do odwołania się od decyzji o nałożeniu kary. Procedura odwoławcza może obejmować wewnętrzny przegląd decyzji przez organ nadzorczy lub odwołanie do właściwego sądu.
  11. Publikacja informacji o karze:
    Zgodnie z wymogami DORA, informacje o nałożonych karach są zazwyczaj podawane do publicznej wiadomości, chyba że publikacja mogłaby zagrozić stabilności rynków finansowych lub trwającemu dochodzeniu.
  12. Egzekucja kary:
    Po uprawomocnieniu się decyzji, organ nadzorczy przystępuje do egzekucji nałożonej kary. W przypadku kar finansowych, podmiot ma określony czas na uiszczenie nałożonej kwoty.
  13. Monitorowanie działań naprawczych:
    Organ nadzorczy monitoruje, czy podmiot wdraża wymagane działania naprawcze i dostosowuje się do wymogów DORA.

Warto podkreślić, że procedura nakładania kar może się różnić w zależności od jurysdykcji i specyfiki danego przypadku. DORA wymaga, aby organy nadzorcze publikowały szczegółowe wytyczne dotyczące procedur nakładania kar, co ma zapewnić większą przejrzystość i przewidywalność procesu.

Podmioty objęte DORA powinny być świadome tej procedury i przygotowane na aktywne uczestnictwo w każdym jej etapie. Kluczowe jest zachowanie pełnej transparentności, współpraca z organami nadzoru oraz gotowość do szybkiego wdrożenia działań naprawczych w przypadku wykrycia naruszeń.

Czy od nałożonej kary przysługuje odwołanie?

Tak, rozporządzenie DORA przewiduje prawo do odwołania się od nałożonej kary. Jest to kluczowy element procedury, zapewniający sprawiedliwość i możliwość ponownego rozpatrzenia sprawy. Oto najważniejsze aspekty dotyczące procesu odwoławczego:

  1. Prawo do odwołania:
    Każdy podmiot, na który nałożono karę w ramach DORA, ma prawo do odwołania się od tej decyzji. Dotyczy to zarówno podmiotów prawnych, jak i osób fizycznych.
  2. Termin odwołania:
    DORA określa konkretny termin na złożenie odwołania, zazwyczaj jest to 30 dni od daty otrzymania decyzji o nałożeniu kary. Dokładny termin powinien być jasno określony w decyzji o nałożeniu kary.
  3. Forma odwołania:
    Odwołanie musi być złożone na piśmie i zawierać szczegółowe uzasadnienie, dlaczego podmiot uważa, że decyzja o nałożeniu kary powinna zostać zmieniona lub uchylona.
  4. Organy rozpatrujące odwołanie:
    W zależności od jurysdykcji i charakteru sprawy, odwołanie może być rozpatrywane przez:
    • Wewnętrzny organ odwoławczy w ramach instytucji nadzorczej
    • Niezależny trybunał administracyjny
    • Właściwy sąd krajowy
  5. Zawieszenie wykonania kary:
    Złożenie odwołania nie zawsze automatycznie zawiesza wykonanie nałożonej kary. Podmiot może jednak wnioskować o zawieszenie wykonania kary do czasu rozpatrzenia odwołania.
  6. Procedura rozpatrywania odwołania:
    Organ rozpatrujący odwołanie analizuje całość sprawy, w tym argumenty przedstawione przez podmiot odwołujący się oraz stanowisko organu nadzorczego. Może to obejmować dodatkowe przesłuchania lub żądanie dodatkowych dokumentów.
  7. Możliwe wyniki odwołania:
    Po rozpatrzeniu odwołania, organ odwoławczy może:
    • Utrzymać pierwotną decyzję o nałożeniu kary
    • Zmniejszyć wysokość kary
    • Uchylić karę w całości
    • Skierować sprawę do ponownego rozpatrzenia przez organ nadzorczy
  8. Uzasadnienie decyzji:
    Decyzja w sprawie odwołania musi być szczegółowo uzasadniona, z wyjaśnieniem powodów utrzymania, zmiany lub uchylenia pierwotnej kary.
  9. Dalsze środki odwoławcze:
    W przypadku niezadowolenia z wyniku odwołania, podmiot może mieć prawo do dalszych środków odwoławczych, w tym do sądów wyższej instancji czy trybunałów europejskich.
  10. Koszty odwołania:
    Podmiot odwołujący się zazwyczaj ponosi koszty związane z procesem odwoławczym. Jednak w przypadku pozytywnego rozpatrzenia odwołania, może być możliwe odzyskanie tych kosztów.
  11. Transparentność procesu:
    DORA wymaga, aby proces odwoławczy był transparentny. Informacje o wynikach odwołań mogą być publikowane, z zachowaniem odpowiednich środków ochrony poufności.
  12. Wpływ na reputację:
    Warto pamiętać, że sam fakt odwołania się od kary może mieć wpływ na reputację podmiotu. Dlatego ważne jest staranne rozważenie, czy odwołanie jest uzasadnione i ma szanse powodzenia.

Prawo do odwołania jest kluczowym elementem zapewniającym sprawiedliwość i równowagę w procesie nakładania kar w ramach DORA. Podmioty objęte rozporządzeniem powinny być świadome tego prawa i przygotowane do jego skutecznego wykorzystania w razie potrzeby. Jednocześnie, najlepszą strategią jest dążenie do pełnej zgodności z wymogami DORA, aby uniknąć sytuacji, w której konieczne byłoby odwoływanie się od nałożonych kar.

Jakie są konsekwencje niezapłacenia nałożonej kary?

Niezapłacenie kary nałożonej w ramach rozporządzenia DORA może prowadzić do poważnych konsekwencji dla podmiotu. Organy nadzorcze dysponują szeregiem narzędzi egzekucyjnych, aby zapewnić skuteczne wykonanie nałożonych sankcji. Oto kluczowe konsekwencje, z jakimi musi liczyć się podmiot, który nie uiści nałożonej kary:

  1. Dodatkowe kary finansowe:
    Niezapłacenie kary w wyznaczonym terminie może skutkować nałożeniem dodatkowych kar finansowych, w tym odsetek za zwłokę. Może to znacząco zwiększyć całkowitą kwotę do zapłaty.
  2. Przymusowa egzekucja:
    Organy nadzorcze mogą wszcząć procedurę przymusowej egzekucji kary. Może to obejmować zajęcie aktywów podmiotu, blokadę kont bankowych czy inne środki prawne mające na celu wyegzekwowanie płatności.
  3. Zawieszenie lub cofnięcie licencji:
    W skrajnych przypadkach, uporczywe uchylanie się od zapłaty kary może prowadzić do zawieszenia lub nawet cofnięcia licencji na prowadzenie działalności w sektorze finansowym.
  4. Publiczne ogłoszenie o niezapłaceniu kary:
    Organy nadzorcze mogą publicznie ogłosić informację o niezapłaceniu kary przez dany podmiot. Może to mieć poważne konsekwencje reputacyjne i wpłynąć na zaufanie klientów oraz partnerów biznesowych.
  5. Osobista odpowiedzialność kierownictwa:
    W niektórych przypadkach, odpowiedzialność za niezapłacenie kary może zostać rozszerzona na członków zarządu lub kadrę kierowniczą wyższego szczebla. Może to prowadzić do osobistych sankcji finansowych lub zawodowych.
  6. Wpływ na rating kredytowy:
    Niezapłacenie kary może negatywnie wpłynąć na rating kredytowy podmiotu, co może utrudnić dostęp do finansowania i zwiększyć koszty pożyczek.
  7. Dodatkowe audyty i kontrole:
    Podmiot, który nie płaci nałożonych kar, może zostać poddany częstszym i bardziej rygorystycznym audytom i kontrolom ze strony organów nadzorczych.
  8. Ograniczenia w działalności:
    Organy nadzorcze mogą nałożyć ograniczenia na niektóre aspekty działalności podmiotu, na przykład zakazać wprowadzania nowych produktów lub usług, dopóki kara nie zostanie uregulowana.
  9. Wpływ na relacje z regulatorami:
    Niezapłacenie kary może znacząco pogorszyć relacje podmiotu z organami nadzorczymi, co może mieć długotrwałe negatywne konsekwencje dla działalności.
  10. Postępowanie sądowe:
    W ostateczności, sprawa niezapłaconej kary może trafić do sądu, co wiąże się z dodatkowymi kosztami prawnymi i potencjalnie surowszymi sankcjami.
  11. Wpływ na transakcje korporacyjne:
    Niezapłacone kary mogą stanowić istotną przeszkodę w przeprowadzaniu transakcji korporacyjnych, takich jak fuzje czy przejęcia.
  12. Międzynarodowe konsekwencje:
    W przypadku podmiotów działających w wielu jurysdykcjach, niezapłacenie kary w jednym kraju może mieć konsekwencje dla działalności w innych krajach UE.

Warto podkreślić, że konsekwencje niezapłacenia kary mogą być znacznie poważniejsze i bardziej kosztowne niż sama kara. Dlatego też, nawet jeśli podmiot nie zgadza się z nałożoną karą, zazwyczaj bardziej opłacalne jest jej zapłacenie (z zastrzeżeniem prawa do odwołania) niż narażanie się na dodatkowe sankcje i komplikacje.

Podmioty objęte DORA powinny traktować nałożone kary jako priorytet i w miarę możliwości uregulować je w wyznaczonym terminie. W przypadku trudności finansowych, warto rozważyć negocjacje z organem nadzorczym w sprawie możliwości rozłożenia płatności na raty lub innych form ugody.

Czy informacje o nałożonych karach są podawane do publicznej wiadomości?

Tak, rozporządzenie DORA przewiduje, że informacje o nałożonych karach są co do zasady podawane do publicznej wiadomości. Jest to istotny element transparentności i ma na celu zwiększenie skuteczności odstraszającego działania kar. Oto kluczowe aspekty dotyczące publicznego ujawniania informacji o karach:

  1. Obowiązek publikacji:
    Organy nadzorcze są zobowiązane do publikowania informacji o nałożonych karach na swoich oficjalnych stronach internetowych. Informacje te powinny być łatwo dostępne i aktualizowane na bieżąco.
  2. Zakres publikowanych informacji:
    Publikowane informacje zazwyczaj obejmują:
    • Nazwę podmiotu lub osoby, na którą nałożono karę
    • Rodzaj i charakter naruszenia
    • Wysokość nałożonej kary
    • Podjęte działania naprawcze
  3. Termin publikacji:
    Informacje o karach powinny być opublikowane niezwłocznie po tym, jak decyzja o nałożeniu kary stanie się ostateczna (tj. po wyczerpaniu środków odwoławczych lub upływie terminu na odwołanie).
  4. Czas dostępności informacji:
    DORA wymaga, aby informacje o karach pozostawały dostępne publicznie przez co najmniej pięć lat od daty publikacji.
  5. Anonimizacja:
    W pewnych okolicznościach, organy nadzorcze mogą zdecydować o publikacji informacji o karze w sposób zanonimizowany, szczególnie gdy ujawnienie tożsamości podmiotu mogłoby spowodować nieproporcjonalne szkody.
  6. Ochrona danych osobowych:
    Przy publikacji informacji o karach nałożonych na osoby fizyczne, organy nadzorcze muszą przestrzegać przepisów o ochronie danych osobowych, w tym RODO.
  7. Wyjątki od obowiązku publikacji:
    W wyjątkowych przypadkach, publikacja informacji o karze może zostać opóźniona lub całkowicie pominięta, jeśli mogłoby to:
    • Zagrozić stabilności rynków finansowych
    • Zaszkodzić trwającemu dochodzeniu
    • Spowodować nieproporcjonalne szkody dla zaangażowanych stron
  8. Prawo do sprzeciwu:
    Podmiot, na który nałożono karę, ma prawo wnieść sprzeciw wobec publikacji informacji o karze, jeśli uważa, że publikacja mogłaby spowodować nieproporcjonalne szkody.
  9. Aktualizacja informacji:
    Organy nadzorcze są zobowiązane do aktualizacji opublikowanych informacji, na przykład w przypadku pomyślnego odwołania od kary lub jej zmiany.
  10. Wpływ na reputację:
    Publiczne ujawnienie informacji o karze może mieć znaczący wpływ na reputację podmiotu. Może to prowadzić do utraty zaufania klientów, partnerów biznesowych czy inwestorów.
  11. Kontekst branżowy:
    Publikacja informacji o karach pozwala innym podmiotom w sektorze na wyciągnięcie wniosków i podjęcie działań prewencyjnych w swoich organizacjach.
  12. Międzynarodowy zasięg:
    Ze względu na transgraniczny charakter wielu instytucji finansowych, informacje o karach mogą mieć wpływ na reputację i działalność podmiotu w skali międzynarodowej.

Publiczne ujawnianie informacji o karach jest ważnym narzędziem w egzekwowaniu przepisów DORA. Z jednej strony służy ono jako środek odstraszający, motywujący podmioty do przestrzegania regulacji. Z drugiej strony, zapewnia transparentność działań organów nadzorczych i pozwala opinii publicznej na ocenę skuteczności egzekwowania przepisów.

Dla podmiotów objętych DORA oznacza to, że naruszenia mogą mieć konsekwencje wykraczające poza same kary finansowe. Potencjalny wpływ na reputację i zaufanie interesariuszy może być równie, jeśli nie bardziej, dotkliwy niż sama kara. Dlatego też, zapewnienie zgodności z DORA powinno być traktowane jako priorytet nie tylko z perspektywy regulacyjnej, ale także jako element zarządzania ryzykiem reputacyjnym.

Jak długo podmiot musi się liczyć z możliwością nałożenia kary po wykryciu naruszenia?

Kwestia okresu, w jakim podmiot może zostać pociągnięty do odpowiedzialności za naruszenie DORA, jest istotna zarówno z perspektywy prawnej, jak i operacyjnej. Rozporządzenie DORA wprowadza pewne ramy czasowe, ale warto pamiętać, że mogą one być interpretowane w kontekście prawa krajowego poszczególnych państw członkowskich UE. Oto kluczowe aspekty dotyczące tego zagadnienia:

  1. Okres przedawnienia:
    DORA wprowadza ogólny okres przedawnienia dla naruszeń. Zazwyczaj wynosi on 5 lat od momentu wykrycia naruszenia przez organ nadzorczy.
  2. Początek biegu przedawnienia:
    Okres przedawnienia rozpoczyna się w momencie, gdy organ nadzorczy dowiaduje się o naruszeniu lub ma uzasadnione podstawy, aby podejrzewać, że naruszenie miało miejsce.
  3. Przerwanie biegu przedawnienia:
    Bieg przedawnienia może zostać przerwany przez działania organu nadzorczego związane z dochodzeniem lub postępowaniem dotyczącym danego naruszenia. Po każdym takim działaniu, okres przedawnienia zaczyna biec od nowa.
  4. Maksymalny okres:
    DORA ustanawia maksymalny okres, po którym naruszenie nie może być już ścigane. Wynosi on zazwyczaj 10 lat od daty popełnienia naruszenia, niezależnie od momentu jego wykrycia.
  5. Naruszenia ciągłe:
    W przypadku naruszeń o charakterze ciągłym lub powtarzającym się, okres przedawnienia może być liczony od momentu ustania naruszenia.
  6. Różnice w prawie krajowym:
    Państwa członkowskie UE mogą wprowadzić dłuższe okresy przedawnienia w swoim prawie krajowym, ale nie mogą ich skrócić poniżej minimum określonego w DORA.
  7. Dokumentacja i dowody:
    Podmioty powinny przechowywać odpowiednią dokumentację i dowody zgodności z DORA przez okres wykraczający poza potencjalny okres przedawnienia, aby móc się bronić w przypadku ewentualnych zarzutów.
  8. Obowiązek zgłaszania naruszeń:
    DORA nakłada na podmioty obowiązek zgłaszania pewnych rodzajów naruszeń. Niezgłoszenie naruszenia może być traktowane jako osobne naruszenie, z własnym okresem przedawnienia.
  9. Wpływ na planowanie biznesowe:
    Długi okres potencjalnej odpowiedzialności oznacza, że podmioty muszą uwzględniać ryzyko związane z naruszeniami DORA w swoim długoterminowym planowaniu finansowym i operacyjnym.
  10. Zmiany organizacyjne:
    W przypadku fuzji, przejęć lub innych istotnych zmian organizacyjnych, odpowiedzialność za wcześniejsze naruszenia DORA może przejść na nowy podmiot.
  11. Współpraca międzynarodowa:
    W przypadku podmiotów działających w wielu jurysdykcjach, organy nadzorcze mogą współpracować w zakresie ścigania naruszeń, co może wpływać na praktyczne aspekty przedawnienia.
  12. Ciągłe doskonalenie:
    Długi okres potencjalnej odpowiedzialności podkreśla znaczenie ciągłego monitorowania i doskonalenia procesów związanych z DORA, nawet jeśli nie wykryto żadnych naruszeń.

Długi okres, w którym podmiot musi liczyć się z możliwością nałożenia kary, podkreśla wagę, jaką UE przywiązuje do kwestii odporności cyfrowej w sektorze finansowym. Dla podmiotów objętych DORA oznacza to konieczność utrzymywania wysokich standardów cyberbezpieczeństwa i zarządzania ryzykiem ICT przez długi czas, nawet jeśli nie ma bezpośrednich sygnałów o naruszeniach.

Warto również zauważyć, że aktywne podejście do zgodności z DORA, w tym regularne audyty, szkolenia pracowników i aktualizacje systemów, może być postrzegane jako okoliczność łagodząca w przypadku ewentualnego postępowania, nawet jeśli zostanie ono wszczęte wiele lat po domniemanym naruszeniu.

Udostępnij swoim znajomym