Rozporządzenie DORA, jak każdy akt prawny, nakłada obowiązki na podmioty, które obejmuje swoim działaniem. Niewywiązanie się z tych zadań może łączyć się z pewnymi sankcjami, którymi poddany może być podmiot nie zachowujący zgodności z rozporządzeniem DORA.
Zasada proporcjonalności
Zanim przejdziemy do omówienia sankcji wynikających z niezgodności z rozporządzeniem DORA, warto omówić zasadę proporcjonalności, która została bezpośrednio wspomniana w akcie prawnym w artykule 4. Z jego treści wynika, że podmioty finansowe stosując przepisy rozdziałów: II, III, IV oraz V uwzględniają swoją wielkość i ogólny profil ryzyka. Biorą również pod uwagę charakter, skalę i stopień złożoności swoich usług, działań i operacji. Zadaniem właściwych organów jest weryfikacja poprawności stosowania zasady proporcjonalności. Dzieje się to przy dokonywaniu przeglądu spójności ram zarządzania ryzykiem związanym z ICT na podstawie sprawozdań podmiotów finansowych.
Odpowiedzialność spoczywająca na zarządzie
Ostatecznym ciałem, na którego nałożona jest odpowiedzialność za zgodność z rozporządzeniem, jest organ zarządzający podmiotu finansowego. Jest on odpowiedzialny za określanie, zatwierdzanie i nadzorowanie wdrożenia ustaleń dotyczących zarządzania ryzykiem związanym z ICT oraz ponosi pełną odpowiedzialność za realizację tych ustaleń. W celu skutecznego zarządzania ryzykiem związanym z ICT organ zarządzający podmiotu finansowego musi wprowadzać różne polityki, procedury i plany, a także odpowiednie budżety oraz kanały zgłaszania informacji. Ponadto członkowie organu zarządzającego muszą aktywnie aktualizować swoją wiedzę i umiejętności w zakresie ryzyka związanego z ICT poprzez regularne szkolenia. Dodatkowo podmioty finansowe, które nie są mikroprzedsiębiorstwami, ustanawiają funkcję monitorowania i nadzoru nad ryzykiem związanym z usługami ICT. Mogą w tym celu wyznaczyć członka kadry kierowniczej, jako osobę odpowiedzialną za ten obszar oraz dokumentację z nim związanej.
NIS2, podobnie jak DORA, zawiera nowe środki umożliwiające osobistą odpowiedzialność najwyższego kierownictwa za rażące zaniedbanie w kontekście incydentów bezpieczeństwa. Dzięki temu organy zarządzające muszą zwrócić szczególną uwagę na zapewnienie wysokiego poziomu cyber bezpieczeństwa organizacji.
Instrukcja do wytycznych RTS JC 2023 86, która może pomóc w dokumentowaniu cyberzabezpieczeń w podmiotach finansowych i dostawcach usług ICT.
DORA i NIS2 – podobieństwa
W 2023 roku weszło w życie wiele unijnych przepisów, w tym dotyczących cyberbezpieczeństwa i odporności cyfrowej. Duże znaczenie w tej grupie mają DORA i NIS 2. DORA skupia się na sektorze finansowym nakładając na podmioty w nim działające konieczność przestrzegania standardów odporności cyfrowej. Za nieprzestrzeganie jej zapisów mogą zostać nałożone surowe kary, takie jak grzywny liczone jako procent rocznych przychodów firmy. Natomiast konsekwencje naruszenia NIS 2, które dotyczy szerokiego spektrum organizacji i naruszenia tej dyrektywy, mogą prowadzić do kar finansowych sięgających milionów euro oraz innych sankcji, takich jak zakaz działalności. Niedostosowanie się do wymagań DORA i NIS 2 może prowadzić do poważnych konsekwencji dla przedsiębiorstw, dlatego warto zwrócić uwagę na odpowiednie środki bezpieczeństwa.
Sankcje wynikające z niezgodności z DORA dla podmiotu finansowego
DORA przewiduje surowe kary za nieprzestrzeganie postanowień tego rozporządzenia. Właściwe organy mają szereg narzędzi, które mogą zastosować względem podmiotów, które nie podporządkowują się przepisom. Najmniej dotkliwym z nich jest możliwość nałożenia publicznej nagany, która może szkodzić wiarygodności marki i prowadzić do utraty klientów i przychodów. Innym narzędziem jest możliwość nałożenia grzywny do 1% dziennego obrotu za każdy dzień niezgodności. Ostatecznie w skrajnych przypadkach to nieprzestrzeganie może skutkować wycofaniem licencji na działalność nadzorowaną, co może doprowadzić do wyeliminowania firmy z rynku.
Mimo że DORA to regulacja UE, jej wpływ jest globalny, co oznacza, że instytucje finansowe działające w UE lub współpracujące z klientami z UE muszą przestrzegać DORA, niezależnie od lokalizacji siedziby firmy. Dostawcy usług ICT muszą pamiętać, że DORA rozszerza wymagania dotyczące zgodności na dostawców zewnętrznych. Oznacza to, że firmy są odpowiedzialne nie tylko za własną zgodność, ale także za zgodność swoich dostawców. Zewnętrzni dostawcy usług ICT określeni jako „kluczowi” przez Europejskie Urzędy Nadzoru mogą zostać obciążeni karą do 5 000 000 euro lub maksymalną grzywną w wysokości 500 000 euro za niezgodność z wymaganiami ustawy.
Projekt ustawy o operacyjnej odporności cyfrowej
Temat został doprecyzowany w ogłoszonym w kwietniu projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego (https://legislacja.rcl.gov.pl/projekt/12384252). Projekt określa konkretne kary związane z działaniem niezgodnym z DORA, które może nałożyć Komisja Nadzoru Finansowego. Są to:
- nakaz zaprzestania danego zachowania oraz powstrzymania się od takiego zachowania w przyszłości;
- zakaz pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej podmiotu na okres między miesiąc a rok osobie kierującej przedsiębiorstwem, w szczególności pełniącej funkcję kierowniczą lub wchodzącej w skład organu zarządzającego, która w ramach sprawowania swojej funkcji dopuściła się do działania lub zaniechania które skutkowało naruszeniem przepisów;
- kara pieniężna do wysokości nieprzekraczającej:
– w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej:
a) kwoty 20 869 500 zł lub 10% przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji 10% składki przypisanej brutto, wykazanych w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, albo
b) dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku tego naruszenia – w przypadku gdy jest możliwe ich ustalenie,
– w przypadku osoby fizycznej, w tym odpowiedzialnej za to naruszenie, która w tym okresie pełniła obowiązki członka zarządu tego podmiotu – kwoty 3 042 410 zł.
Oprócz kar finansowych, projekt zakłada również nakaz zaprzestania działania niezgodnego z rozporządzeniem. Kolejną możliwością jest nałożenie zakazu pełnienia funkcji członka zarządu lub funkcji kierowniczej.Ważne jest zwrócenie uwagi na stwierdzenie “funkcja kierownicza”. Oznacza to, że odpowiedzialność administracyjna nie jest nałożona wyłącznie na zarząd, ale może być również na dyrektorów, czy konkretnych managerów, którzy są odpowiedzialni za działania niezgodne z DORA.
Sankcje wynikające z NIS2
NIS2, podobnie jak DORA, reguluje zagadnienia cyberbezpieczeństwa. Z tego powodu podmioty finansowe, które nie są zgodne z DORA, mogą prawdopodobnie również nie być zgodne z NIS2. Kary finansowe za nieprzestrzeganie dyrektywy NIS2 różnią się w zależności od kategorii podmiotów i są przedmiotem indywidualnego uznania poszczególnych państw członkowskich UE w ramach określonego przez dyrektywę ramowego systemu. NIS2 wprowadza podział na podmioty kluczowe i ważne. Sektory kluczowe wymienione zostały w załączniku I do dyrektywy, zaś ważne w załączniku II. Podmioty kluczowe obejmują publiczne i prywatne firmy w sektorach takich jak transport, finanse, energia, woda, przestrzeń powietrzna i kosmiczna, zdrowie, administracja publiczna i infrastruktura cyfrowa. Podmioty ważne zostały określone publiczne i prywatne firmy w branżach m.in spożywczej, usług cyfrowych, chemii, usług pocztowych, gospodarki odpadami, badań oraz produkcji.
Jedną z sankcji za nieprzestrzeganie rozporządzenia są kary finansowe. Dla podmiotów kluczowych kary finansowe mogą wynosić maksymalnie 10 000 000 euro lub 2% globalnych rocznych przychodów zależnie od tego, która z tych kwot jest większa. Dla podmiotów ważnych kary finansowe mogą wynosić maksymalnie 7 000 000 euro lub 1,4% rocznych globalnych przychodów, ponownie zależnie od tego, która z tych kwot jest większa.
Oprócz kar finansowych dyrektywa NIS2 nadaje organom nadzorczym uprawnienia administracyjne w celu zapewnienia zgodności, w tym:
- informowanie użytkowników, klientów lub osób prawnych o zagrożeniach lub naruszeniach bezpieczeństwa,
- nakazywanie zaprzestania działań niezgodnych z dyrektywą,
- wydawanie ostrzeżeń w związku z nieprzestrzeganiem rozporządzenia,
- wydawanie instrukcji dotyczących cyberbezpieczeństwa, których realizacja jest wymagana,
- wymaganie wprowadzenia konkretnych środków zarządzania ryzykiem lub obowiązków zgłaszania,
- upowszechnianie informacji o aspektach nieprzestrzegania, jeśli jest to konieczne,
- mianowanie oficera monitorującego nadzorującego przestrzeganie,
- zawieszenie odpowiednich certyfikatów lub uprawnień dla podmiotów istotnych, jeśli nie zostaną spełnione terminy działań korygujących,
- tymczasowe zawieszenie pełnienia funkcji kierowniczych przez kadrę kierowniczą do czasu rozwiązania problemów.
W jaki sposób mitygować ryzyko niezgodności?
Nawigowanie w gąszczu regulacji nie jest łatwym zadaniem. Zgodność z DORA oraz NIS2 pozwala zwiększyć poziom operacyjnej odporności cyfrowej i zapewnić wysoki poziom bezpieczeństwa informacji w organizacji. Organizacje powinny z tego powodu nie traktować powyższych regulacyji jako zagrożenie, a jako szansę. Wdrożenie DORA oraz NIS2 może zapewnić wysoki zwrot z inwestycji z racji na zmniejszenie ryzyka wystąpienia kosztownych incydentów bezpieczeństwa. Trzeba jednak zauważyć, że złożoność tego zadania jest bardzo wysoka i obejmuje wiele aspektów. Do tego, wdrożenie rozporządzeń jest pierwszym etapem na drodze do zgodności z nimi, kolejnym są okresowe audyty, w których trzeba uwzględnić wszelkie zmiany w stanie rzeczywistym. Z tego powodu warto skorzystać z automatycznych narzędzi, które upraszczają to zadanie i oszczędzają czas. RIG DORA pomaga przeprowadzić wdrożenie DORA i NIS2 oraz późniejsze utrzymanie zgodności w formie prostego narzędzia, które krok po kroku prowadzi przez zagadnienie.
Jakie sankcje mogą wynikać z niezgodności z regulacjami?
Na generalnym poziomie konsekwencje niezgodności z przepisami zazwyczaj mogą być różnorodne i zależą od wielu czynników, takich jak rodzaj naruszenia, stopień świadomości w zakresie naruszenia oraz właściwość jurysdykcyjna. Częstą karą związaną z niezgodnością są grzywny, które mogą obejmować zwrot zatrzymanych środków oraz dodatkową karę finansową, na przykład w sytuacji nieprawidłowo zadeklarowanych podatków. Osoby uznane za działające niezgodnie z tymi przepisami mogą być skazane na karę więzienia, która może być od kilku miesięcy lub lat, w zależności od jurysdykcji i charakteru przewinienia. Podmioty, które doprowadziły do niezgodności z prawem, mogą być narażone na utratę reputacji, co może prowadzić do trudności w przyciąganiu pozyskaniu klientów i partnerów biznesowych. Poważne naruszenia mogą skutkować natychmiastowym zamknięciem firmy przez organy nadzorcze.
