DORA tuż za rogiem: sankcje za niedotrzymanie terminów coraz bliżej
Dla wielu instytucji finansowych i ich dostawców usług ICT Rozporządzenie DORA wciąż pozostaje odległą abstrakcją. Czas jednak mija bezlitośnie - do stycznia 2025 roku, kiedy nowe przepisy wejdą w życie, pozostało niewiele. Te podmioty sektora finansowego, które nie będą gotowe na czas, boleśnie odczują to w swoich portfelach. Właśnie opublikowano projekt dostosowujący polskie ustawy do unijnych wymogów, ujawniając surowe kary za złamanie DORA.
Kary za brak zgodności
Nad przestrzeganiem zasad zgodności z DORA czuwać będzie Komisja Nadzoru Finansowego (KNF) - organ właściwy dla instytucji płatniczych, kredytowych i ubezpieczeniowych. Na stronie internetowej KNF działa już mikroserwis poświęcony DORA.
O karach administracyjnych i środkach naprawczych za łamanie rozporządzenia decydować będą państwa członkowskie w swoich aktach prawnych. Jednakże DORA wyznacza szereg wytycznych i zasad, które muszą zostać spełnione dla prawidłowego sprawowania nadzoru. Wiadomo, że KNF będzie dysponować szerokim wachlarzem uprawnień w zakresie identyfikacji potencjalnych naruszeń. Obejmą one m.in.:
- Dostęp do wszelkich dokumentów lub danych uznanych za istotne dla wypełniania obowiązków nadzorczych
- Przeprowadzanie dochodzeń lub kontroli na miejscu, w ramach których przedstawiciele podmiotów finansowych mogą zostać zobowiązani do złożenia ustnych lub pisemnych wyjaśnień, a osoby posiadające stosowną wiedzę mogą zostać przesłuchane w celu pozyskania informacji
- Zastosowanie środków naprawczych w przypadku naruszenia wymogów DORA
Narzędzia w ręku nadzoru
Aby móc skutecznie wypełniać swoją funkcję, nadzór dysponować będzie zestawem narzędzi egzekwowania zgodności z DORA. Państwa członkowskie zobowiązane są zapewnić mu niezbędne uprawnienia do stosowania kar administracyjnych lub środków naprawczych w razie naruszeń rozporządzenia. Ustawodawca unijny wyznacza przy tym pewne wytyczne, które muszą zostać uwzględnione w krajowych regulacjach.
Rządowe Centrum Legislacji 18 kwietnia opublikowało projekt dostosowujący polskie ustawy do nowych wymogów. Do zestawu narzędzi nadzorczych KNF należeć będą m.in.:
- Nakazanie podmiotowi zaprzestania działań naruszających rozporządzenie oraz powstrzymania się od ich ponawiania
- Zakaz pełnienia funkcji członka zarządu, rady nadzorczej lub innej funkcji kierowniczej osobie odpowiedzialnej za naruszenie na okres od miesiąca do roku
- Kary pieniężne - w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej może to być nawet kwota 20 869 500 zł lub 10% przychodów netto z ostatniego roku, a w przypadku osoby fizycznej nawet 3 042 410 zł
DORA przewiduje również możliwość publikowania ogłoszeń zawierających informacje o tożsamości osoby naruszającej i charakterze naruszenia. Dotyczyć to może również danych osoby fizycznej, np. prezesa zarządu spółki, w której stwierdzono naruszenie.
