I. Kontekst

‍

Cel i zakres Rozporządzenia DORA

‍

Rozporządzenie w sprawie cyfrowej odporności operacyjnej sektora finansowego (DORA, Rozporządzenie (UE) 2022/2554) zostało wprowadzone z myślą o uzyskaniu wspólnego, wysokiego poziomu cyfrowej odporności operacyjnej w całym unijnym sektorze finansowym. Akt ten ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych. Jego zakres obejmuje kluczowe obszary, takie jak zarządzanie ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT), zgłaszanie incydentów, testowanie odporności operacyjnej oraz nadzór nad potencjalnymi zagrożeniami ze strony zewnętrznych dostawców usług ICT.

‍

Przed wprowadzeniem DORA, instytucje finansowe zarządzały ryzykiem operacyjnym głównie poprzez alokację kapitału na pokrycie potencjalnych strat. Działania dotyczące zabezpieczeń w obszarze ICT były rozproszone pomiędzy rozmaite regulacje dotyczące bezpieczeństwa usług płatniczych, operacji kartowych, outsourcingu, wytycznych krajowych organów nadzoru lub regulacji wynikających z unijnych dyrektyw (NIS, CER), a podmioty zachowywały daleko idącą autonomię jeśli chodzi o sposób ich wdrażania.

‍

Podejście to okazało się niewystarczające w kontekście gwałtownie rosnącej zależności sektora od technologii ICT. DORA wprowadza rygorystyczne wytyczne dotyczące cyberbezpieczeństwa i szeroko rozumianej cyfrowej odporności operacyjnej. DORA przy tym wyraźnie podkreśla fakt, że incydenty ICT i brak odporności operacyjnej mogą zagrażać stabilności całego systemu finansowego, nawet jeśli tradycyjne kategorie ryzyka są odpowiednio chronione od strony kapitałowej.

‍

‍

Interesują Cię materiały takie jak ten? 

Zapisz się już teraz do elitarnego grona Forum Ekspertów Odporności Operacyjnej, by m.in. otrzymywać dostęp do materiałów. Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.

Imię i Nazwisko *

Służbowy
adres E-mail *

_* - Pole obowiązkowe

Wyrażam zgodę na otrzymywanie od Davidson Consulting i Wspólnicy Sp. z o. o. informacji handlowych i marketingowych dotyczących produktów i usług własnych za pomocą środków komunikacji elektronicznej, w szczególności na podany przeze mnie adres e-mail, zgodnie z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Zgoda obejmuje również używanie w tym celu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w rozumieniu art. 172 ustawy Prawo telekomunikacyjne.

Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.

Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

‍

‍

Kluczowa rola identyfikacji funkcji krytycznych dla zgodności i zarządzania ryzykiem

‍

DORA w sposób zamierzony nie przedstawia gotowej listy funkcji krytycznych lub istotnych, aby wymóc na podmiotach finansowych podjęcie wysiłku pochylenia się nad własnym zakresem działalności, rolą pełnioną przez siebie w krajowym i europejskim systemie finansowym oraz nad otoczeniem prawnym. Dzięki takiemu podejściu, podmioty finansowe muszą wykazać i uzasadnić kryteria przyjęte do klasyfikacji poszczególnych funkcji.

‍

Wśród podmiotów finansowych można zaobserwować powszechną obawę przed uznaniem za krytyczne lub istotne zbyt szerokiego zakresu funkcji w stosunku do możliwości organizacyjnych i posiadanych zasobów. Należy jednak pamiętać, że błędne uznanie funkcji za niekrytyczną niesie ze sobą poważne ryzyko prawne i reputacyjne, wynikające z braku zgodności organizacji z przepisami DORA. Precyzyjna i proporcjonalna identyfikacja funkcji krytycznych to zatem strategiczna decyzja biznesowa.

‍

Takie podejście przekształca zgodność z DORA z prostego "odhaczania" wymagań w integralny element zarządzania ryzykiem w całej organizacji.

‍

‍

II. Definicja funkcji krytycznej lub istotnej w rozumieniu DORA

‍

Szczegółowa analiza art. 3 pkt. 22 DORA

‍

Zgodnie z Art. 3 pkt. 22 Rozporządzenia DORA, za funkcję krytyczną lub istotną uznaje się taką, której zakłócenie mogłoby w istotny sposób wpłynąć na:

‍

• Wyniki finansowe instytucji finansowej
• Bezpieczeństwo lub ciągłość usług i działalności podmiotu.
• Zdolność instytucji do realizacji obowiązków regulacyjnych, w tym wypełniania warunków i obowiązków wynikających z udzielonego jej zezwolenia.

‍

Definicja ta jest celowo szeroka i ogólna, co przekłada odpowiedzialność za ocenę i wybór funkcji krytycznych bezpośrednio na podmioty finansowe. Rozporządzenie podaje jedynie ogólne kryteria, które wymagają pogłębionej analizy w kontekście specyfiki każdej organizacji.

‍

‍

Rozszerzająca interpretacja: Rola Motywu 70 DORA i odniesienie do definicji BRRD (wpływ systemowy)

‍

Kluczowym elementem rozszerzającej interpretacji definicji funkcji krytycznych lub istotnych w DORA jest odniesienie zawarte w Motywie 70 DORA do definicji funkcji krytycznych z Art. 2 ust. 1 pkt. 35 dyrektywy 2014/59/UE (BRRD – Bank Recovery and Resolution Directive). To odwołanie jest konieczne dla pełnego zrozumienia celu i zakresu DORA.

‍

Definicja BRRD precyzuje, że funkcje krytyczne to działania, usługi lub operacje, których zaprzestanie mogłoby prowadzić do poważnych zakłóceń w kluczowych usługach finansowych lub destabilizacji całego systemu finansowego. BRRD wskazuje, że te zakłócenia mogą wynikać z takich czynników, jak wielkość instytucji, jej udział w rynku, złożoność działalności, powiązania z innymi podmiotami czy działalność transgraniczna. Dodatkowo, kluczowym aspektem jest możliwość zastąpienia danej funkcji przez inne podmioty na rynku (substytucyjność), co jest istotne w ocenie jej krytyczności.

‍

Skutki płynące z Motywu 70 dla interpretacji wymagań DORA są znaczące. Choć Art. 3 pkt. 22 DORA koncentruje się na wpływie zakłóceń na pojedynczą instytucję finansową (jej wyniki finansowe, ciągłość działalności, zgodność regulacyjną), to odwołanie do BRRD, która wyraźnie mówi o wpływie na system finansowy lub gospodarkę realną, rozszerza ten zakres. Oznacza to, że choć DORA jest regulacją dotyczącą odporności cyfrowej na poziomie podmiotu, definicja funkcji krytycznych lub istotnych musi być interpretowana w szerszym, systemowym kontekście. Nie wystarczy ocenić, czy awaria funkcji wpłynie na dany bank; należy także ocenić, czy wpłynie na cały rynek płatności, dostęp do kredytu w regionie, czy stabilność innych instytucji finansowych. Jest to kluczowe dla zrozumienia, że DORA powstała z myślą o stabilności całego systemu finansowego Unii Europejskiej. Podmioty objęte rozporządzeniem muszą zatem w swojej analizie krytyczności funkcji wykraczać poza wewnętrzne konsekwencje i uwzględniać potencjalny wpływ na szerszy rynek i jego stabilność finansową, co wymaga głębszej analizy ich pozycji rynkowej i wzajemnych powiązań.

‍

Przykładowo, zakłócenia w systemach rozliczeniowych jednej instytucji mogą uniemożliwić realizację płatności na szeroką skalę, wpływając nie tylko na jej klientów, ale również na inne podmioty finansowe, a w konsekwencji na cały rynek. To prowadzi do konieczności stosowania dwóch perspektyw podczas oceny krytyczności. Z jednej strony są to kryteria z art. 3 pkt. 22 DORA (mikro), z drugiej te z BRRD (makro), wprowadzone przez Motyw 70. Czyli bank musi zadać sobie pytanie: "Czy ta funkcja jest krytyczna dla mnie?" (zgodnie z DORA Art. 3.22) oraz "Czy jej zakłócenie może zagrozić systemowi finansowemu?" (zgodnie z DORA Motyw 70 / BRRD).

‍

‍

III. Metodyka identyfikacji funkcji krytycznych lub istotnych

‍

Dotychczasowe kryteria w standardach sektora finansowego vs. kryteria DORA

‍

W procesie oceny krytyczności funkcji banki powinny wykorzystywać dwa zestawy kryteriów:
‍

• Dotychczasowe kryteria sektora finansowego. Kryteria stosowane do tej pory w celu identyfikacji procesów krytycznych wynikają z regulacji unijnych i krajowych (np. Rekomendacje H i M Komisji Nadzoru Finansowego) oraz wewnętrznych standardów danej organizacji. Uwzględniają one elementy takie jak wpływ procesu na stabilność finansową podmiotu finansowego, rola procesu w zapewnieniu ciągłości operacyjnej, czy znaczenie procesu dla adekwatności kapitałowej. Procesy spełniające te kryteria są oznaczane jako „procesy krytyczne”.
• Kryteria wynikające z regulacji DORA. Funkcje powinny być ocenione pod kątem tego, czy ich zakłócenie może spowodować istotny negatywny wpływ na wyniki finansowe podmiotu, jego bezpieczeństwo i ciągłość działania oraz możliwość spełniania wymogów regulacyjnych, w tym warunków udzielonego zezwolenia. Funkcje, spełniające te kryteria, powinny zostać oznaczone jako „funkcje krytyczne lub istotne”.

‍

Dodatkowo, należy uwzględnić przesłankę wpływu zaburzeń w wykonywaniu danej funkcji na krajowy i europejski system finansowy. Odwołanie do definicji funkcji krytycznych z dyrektywy BRRD, na którą wskazuje Motyw 70 DORA, podkreśla, że ocena krytyczności powinna uwzględniać takie czynniki, jak udział instytucji w rynku, złożoność operacji czy trudność zastąpienia określonych funkcji. Dzięki temu instytucje finansowe są w stanie efektywnie zarządzać ryzykiem systemowym.

‍

W praktyce wiele procesów w organizacji może spełniać różne zestawy kryteriów jednocześnie. W takich przypadkach wskazane może być przypisanie wielu etykiet, np. oznaczenie funkcji zarówno jako funkcji krytycznej” w kontekście BRRD, jak i jako „funkcji krytycznej lub istotnej” w odniesieniu do wymogów DORA.

‍

‍

Odwołanie do Art. 5 Prawa Bankowego jako punktu wyjścia dla obowiązków wynikających z udzielonego zezwolenia

‍

W procesie identyfikacji funkcji krytycznych i istotnych, szczególnie dla polskich banków komercyjnych, niezbędna jest weryfikacja zdolności podmiotu finansowego do wypełniania warunków i obowiązków wynikających z udzielonego mu zezwolenia, czyli tzw. licencji bankowej. W tym kontekście, Art. 5 Prawa Bankowego stanowi kluczowy punkt wyjścia. Określa on katalog tzw. czynności bankowych, które są prawnie zarezerwowane wyłącznie dla banków. Są to między innymi:
‍

• Przyjmowanie wkładów pieniężnych płatnych na żądanie lub z nadejściem oznaczonego terminu oraz prowadzenie rachunków tych wkładów.
• Prowadzenie innych rachunków bankowych.
• Udzielanie kredytów.
• Przeprowadzanie bankowych rozliczeń pieniężnych.
• Emitowanie bankowych papierów wartościowych.
• Udzielanie pożyczek pieniężnych.
• Operacje czekowe, wekslowe oraz operacje, których przedmiotem są warranty.
• Świadczenie usług płatniczych i wydawanie pieniądza elektronicznego.
• Pośrednictwo w przekazach pieniężnych oraz rozliczeniach dewizowych.

‍

Czynności bankowe są to funkcje prawnie zastrzeżone, co oznacza, że wszelkie zakłócenia w ich realizacji bezpośrednio wpływają na zdolność banku do działania na podstawie posiadanej licencji, a więc wpisują się one w jedno z podstawowych kryteriów krytyczności DORA (Art. 3 pkt. 22: "istotnie wpłynąć na… zdolność instytucji finansowej do ciągłego przestrzegania obowiązków regulacyjnych").

‍

Podkreśla to również konieczność zaangażowania przez instytucje finansowe ekspertów wewnętrznych w zakresie krajowego otoczenia regulacyjnego, ponieważ ta wiedza może znacznie zwiększyć efektywność i dokładność wdrażania DORA.

‍

Tabela1: Kryteria Identyfikacji Funkcji Krytycznych/Istotnych w KontekścieDORA

‍

Poniższa tabela syntetyzuje kluczowe kryteria, które banki komercyjne powinnyuwzględniać w procesie identyfikacji funkcji krytycznych lubistotnych, zgodnie z wymogami Rozporządzenia DORA orazpowiązanymi regulacjami.

‍

‍

IV. Lista funkcji krytycznych lub istotnych dla banku komercyjnego i ich uzasadnienie (zgodnie z DORA)

‍

Wprowadzenie

‍

Poniższa lista funkcji krytycznych lub istotnych stanowi propozycję klasyfikacji funkcji i procesów wykonywanych w ramach instytucji finansowej. Jest ona spójna z listą funkcji krytycznych Bankowego Funduszu Gwarancyjnego (BFG) oraz uwzględnia najważniejsze obszary operacyjne, których zakłócenie mogłoby mieć istotny wpływ na stabilność finansową, zgodność regulacyjną oraz ciągłość działania przedsiębiorstwa.

‍

Należy podkreślić, że ta lista ma charakter przykładowy i nie może zostać bezpośrednio przyjęta przez podmiot finansowy bez przeprowadzenia szczegółowej analizy wpływu na działalność danego przedsiębiorstwa. Ostateczna klasyfikacja funkcji w ramach każdego banku powinna uwzględniać jego specyfikę, w tym zakres działania, organizację przedsiębiorstwa, powiązania wewnętrzne i zewnętrzne oraz konkretne otoczenie regulacyjne.

‍

• Finansowanie (kredyty, pożyczki)
  ‍
  • Grupa procesów wchodzących w skład funkcji to przyznawanie i obsługa kredytów (dla sektora rządowego i samorządowego, dużych przedsiębiorstw, MŚP, gospodarstw domowych)
    ‍
  • Uzasadnienie krytyczności (Art. 3 pkt. 22 DORA):
    ‍
    • Wpływ na wyniki finansowe: Działalność kredytowa jest jednym z głównych źródeł przychodów dla banków komercyjnych, generującym znaczące dochody odsetkowe i prowizje. Jakiekolwiek zakłócenia w tych funkcjach prowadziłyby do bezpośredniej i znaczącej utraty tych podstawowych strumieni przychodów.
      ‍
    • Wpływ na bezpieczeństwo lub ciągłość usług i działalności: Funkcja ta jest kluczowa dla utrzymania własnej płynności i stabilności operacyjnej banku, a także dla zapewnienia ciągłości usług świadczonych przez bank. Zakłócenie funkcji bezpośrednio wpływa na zdolność banku do bezpiecznego i nieprzerwanego działania, co z kolei może prowadzić do zakłócenia dostępu do kapitału dla przedsiębiorstw.
      ‍
    • Wpływ na zdolność do realizacji obowiązków regulacyjnych: Udzielanie kredytów i pożyczek jest wyraźnie zdefiniowane jako "czynności bankowe" w Art. 5 Prawa Bankowego, wymagające posiadania specyficznej licencji bankowej. Brak możliwości wykonywania tych podstawowych, licencjonowanych czynności bezpośrednio zagroziłby statusowi regulacyjnemu banku, a w dłuższej perspektywie nawet jego licencji.
      
      
      ‍
• Przyjmowanie i obsługa depozytów
  ‍
  • Grupa procesów wchodzących w skład funkcji to gromadzenie i zarządzanie depozytami (w tym depozyty sektora rządowego i samorządowego, obsługa lokat terminowych).
    ‍
  • Uzasadnienie krytyczności (Art. 3 pkt. 22 DORA):
    ‍
    • Wpływ na wyniki finansowe: Depozyty stanowią najważniejsze źródło finansowania i płynności dla banków. Zakłócenie w przyjmowaniu lub zarządzaniu depozytami bezpośrednio pogorszyłoby pozycję płynnościową banku, prowadząc do niestabilności finansowej.
      ‍
    • Wpływ na bezpieczeństwo lub ciągłość usług i działalności: Funkcja ta jest kluczowa dla podstawowej usługi banku jako instytucji zaufania publicznego, a jej zakłócenia mają ogromny wpływ na jego wizerunek. Zakłócenia procesów wchodzących w zakres tej funkcji powodują natychmiastowy negatywny wpływ na płynność finansową i stabilność klientów, zarówno indywidualnych, jak i instytucjonalnych. Ponadto, depozyty sektora rządowego i samorządowego są kluczowe dla zarządzania funduszami publicznymi, co sprawia, że zakłócenie może stać się problemem systemowym.
      ‍
    • Wpływ na zdolność do realizacji obowiązków regulacyjnych: Przyjmowanie wkładów pieniężnych i prowadzenie rachunków bankowych to podstawowe "czynności bankowe" wyraźnie wymienione w Art. 5 Prawa Bankowego. Banki podlegają również systemowi gwarantowania depozytów zarządzanemu przez Bankowy Fundusz Gwarancyjny (BFG), co wymaga ciągłej zgodności z powiązanymi regulacjami.
      
      
      ‍
• Rozliczenia i płatności
  ‍
  • Grupa procesów wchodzących w skład funkcji to obsługa transakcji międzybankowych, przetwarzanie płatności krajowych, bankowość elektroniczna, usługi wymiany walut, obsługa transakcji kart płatniczych, obsługa systemów płatności mobilnych, obsługa terminali płatniczych.
    ‍
  • Uzasadnienie krytyczności (Art. 3 pkt. 22 DORA):
    ‍
    • Wpływ na wyniki finansowe: Usługi płatnicze generują znaczące przychody z opłat i prowizji dla banków. Zakłócenia prowadziłyby do bezpośrednich strat finansowych z powodu zmniejszenia wolumenu transakcji i potencjalnej utraty klientów.
      ‍
    • Wpływ na bezpieczeństwo lub ciągłość usług i działalności: Funkcja ta jest absolutnie krytyczna dla realizacji usług bankowych oraz płynności finansowej całego rynku, realizacji codziennych transakcji przez osoby fizyczne i przedsiębiorstwa oraz sprawnego funkcjonowania handlu detalicznego. Zakłócenia mogą powodować poważne przeszkody w przepływach pieniężnych, przerywać handel i podważać zaufanie publiczne do banku. Brak dostępu klientów do gotówki za pośrednictwem bankomatów lub dokonywania zakupów za pośrednictwem terminali POS bezpośrednio wpływa na codzienną aktywność gospodarczą i może być traktowana przez klientów na równi z brakiem dostępu do środków zgromadzonych na rachunkach (patrz punkt 2 powyżej).
      ‍
    • Wpływ na zdolność do realizacji obowiązków regulacyjnych: Przeprowadzanie bankowych rozliczeń pieniężnych i świadczenie usług płatniczych to podstawowe "czynności bankowe" zgodnie z Art. 5 Prawa Bankowego. Funkcje te są również ściśle regulowane w ramach takich jak PSD3/PSR, nakładając surowe wymogi dotyczące bezpieczeństwa i przejrzystości transakcji.
      
      
      ‍
• Obsługa rynku kapitałowego
  ‍
  • Grupa procesów wchodzących w skład funkcji to rozrachunek papierów wartościowych, obsługa obligacji i instrumentów pochodnych, emisja papierów wartościowych, zarządzanie inwestycjami, obrót instrumentami finansowymi, usługi powiernictwa.
    ‍
  • Uzasadnienie krytyczności (Art. 3 pkt. 22 DORA):
    ‍
    • Wpływ na wyniki finansowe: Usługi te generują znaczące przychody z opłat i zyski z handlu dla banków. Zakłócenia mogą prowadzić do znacznych strat finansowych zarówno dla instytucji, jak i jej inwestorów.
      ‍
    • Wpływ na bezpieczeństwo lub ciągłość usług i działalności: Funkcja ta jest ściśle regulowana przez odrębne ustawy, a procesy wchodzące w jej skład mają znaczący wpływ dla prawidłowego funkcjonowania rynków kapitałowych - niezwykle wrażliwych na wszelkie zakłócenia oraz efektywnego zarządzania ryzykiem na rynku finansowym i zdolności przedsiębiorstw i instytucji do pozyskiwania kapitału. Zakłócenia mogą poważnie wpłynąć na płynność rynku, ogólną stabilność finansową i zaufanie inwestorów.
      ‍
    • Wpływ na zdolność do realizacji obowiązków regulacyjnych: Działalność na rynkach kapitałowych jest ściśle regulowana w ramach takich jak MiFID II, co nakłada rygorystyczne wymogi zgodności związane z ochroną inwestorów, integralnością rynku i przejrzystością.
      
      
      ‍
• Zarządzanie cyberbezpieczeństwem
  ‍
  • Grupa procesów wchodzących w skład funkcji to ochrona przed cyberatakami, zarządzanie incydentem, zarządzanie tożsamością cyfrową.
    ‍
  • Uzasadnienie krytyczności (Art. 3 pkt. 22 DORA):
    ‍
    • Wpływ na wyniki finansowe instytucji: Cyberataki mogą prowadzić do katastrofalnych strat finansowych, w tym bezpośrednich kradzieży, kosztów odzyskiwania danych, kar regulacyjnych i poważnych szkód reputacyjnych, które wpływają na przyszłą działalność.
      ‍
    • Wpływ na bezpieczeństwo lub ciągłość usług i działalności: Funkcja ta jest krytyczna dla ochrony danych klientów oraz utrzymania integralności i dostępności systemów bankowych. Nieautoryzowany dostęp do systemów, utrata danych klientów lub zakłócenia w uwierzytelnianiu mogą mieć katastrofalne skutki operacyjne i finansowe.
      ‍
    • Wpływ na zdolność do realizacji obowiązków regulacyjnych: DORA kładzie nacisk na zarządzanie ryzykiem ICT, testowanie odporności i zgłaszanie incydentów. Funkcje cyberbezpieczeństwa są kluczowe dla spełnienia tych wymogów, a ich niewydolność może skutkować sankcjami regulacyjnymi i utratą licencji. Dodatkowo, zarządzanie danymi klientów, w tym obsługa zgód na przetwarzanie danych, jest kluczowe dla zgodności z regulacjami dotyczącymi ochrony danych, takimi jak RODO.
      
      
      ‍
• Zarządzanie ryzykiem
  ‍
  • Grupa procesów wchodzących w skład funkcji to monitorowanie ryzyka kredytowego, modelowanie ryzyka operacyjnego, zarządzanie ryzykiem płynności, usługi analizy i monitorowania kredytów.
    ‍
  • Uzasadnienie krytyczności (Art. 3 pkt. 22 DORA):
    ‍
    • Wpływ na wyniki finansowe: Niewłaściwe zarządzanie ryzykiem kredytowym, operacyjnym czy płynnościowym może prowadzić do znacznych strat finansowych, utraty kapitału i problemów z płynnością. Bez skutecznego monitorowania i modelowania ryzyka, bank jest narażony na niekontrolowane ekspozycje.
      ‍
    • Wpływ na bezpieczeństwo lub ciągłość usług i działalności: Funkcja ta jest kluczowa dla ochrony kapitału banku, jego stabilności operacyjnej i finansowej oraz stabilności całego systemu finansowego. Zakłócenia w zarządzaniu płynnością mogą prowadzić do kryzysu płynnościowego w banku i mieć szersze konsekwencje systemowe.
      ‍
    • Wpływ na zdolność do realizacji obowiązków regulacyjnych: Banki podlegają rygorystycznym wymogom kapitałowym i płynnościowym (np. CRR/CRD V). Skuteczne zarządzanie ryzykiem jest warunkiem utrzymania zgodności z tymi regulacjami i uniknięcia sankcji nadzorczych.
      
      
      ‍
• Raportowanie regulacyjne
  ‍
  • Grupa procesów wchodzących w skład funkcji to sprawozdawczość do organów nadzoru, raportowanie wskaźników ryzyka, raportowanie transakcji podejrzanych, zgłaszanie incydentów poważnych.
    ‍
  • Uzasadnienie krytyczności (Art. 3 pkt. 22 DORA):
    ‍
    • Wpływ na wyniki finansowe: Błędy lub opóźnienia w raportowaniu regulacyjnym mogą skutkować nałożeniem wysokich kar finansowych przez organy nadzoru, co bezpośrednio wpływa na wyniki finansowe banku. W niektórych przypadkach - np. w obszarze AML – brak terminowego raportowania może wiązać się z odpowiedzialnością karną dla osób odpowiedzialnych.
      ‍
    • Wpływ na bezpieczeństwo lub ciągłość usług i działalności: Precyzyjne i terminowe raportowanie jest kluczowe dla monitorowania stabilności instytucji finansowych i podejmowania decyzji strategicznych. Brak dostępu do danych lub ich nieprawidłowość może utrudnić efektywne zarządzanie bankiem. Należy pamiętać, że w sytuacjach kryzysowych organy nadzoru mogą zwiększyć częstotliwość raportowania, w celu zapewnienia sobie informacji odnośnie do aktualnej sytuacji banku.
      ‍
    • Wpływ na zdolność do realizacji obowiązków regulacyjnych: Sprawozdawczość do organów nadzoru jest jednym z podstawowych obowiązków regulacyjnych banku. Jej niewypełnienie może prowadzić do poważnych sankcji, w tym utraty licencji bankowej.
      
      ‍

V. Zgodność z Funkcjami Krytycznymi BFG i Harmonizacja Regulacyjna
‍

Analiza Modelu Identyfikacji Funkcji Krytycznych BFG
‍

Bankowy Fundusz Gwarancyjny (BFG) odgrywa kluczową rolę w zapewnienia stabilności finansowej w Polsce, w szczególności poprzez opracowywanie planów przymusowej restrukturyzacji banków. Jednym z głównych celów przymusowej restrukturyzacji jest zapewnienie kontynuacji realizowanych przez podmiot funkcji krytycznych. BFG opracował i cyklicznie aktualizuje Model Identyfikacji Funkcji Krytycznych, aby skuteczniej określać te funkcje w bankach krajowych.
‍

Model BFG wskazuje listę funkcji poddawanych analizie pod kątem oceny ich krytyczności, które stanowią główny przedmiot działalności banków krajowych. Obejmują one m.in. kredyty (dla sektora rządowego i samorządowego, dużych przedsiębiorstw, MŚP, gospodarstw domowych), depozyty (sektora rządowego i samorządowego, przedsiębiorstw, gospodarstw domowych) oraz rozliczenia i płatności. BFG stosuje różne metody pomiaru i kryteria oceny wpływu na rynek, takie jak udział w rynku, pozycja rynkowa, udział w liczbie klientów, a także specyficzne progi wartościowe (np. średnioroczne saldo depozytów sektora rządowego i samorządowego, które w 2024 roku zostało podwyższone z 80 mln zł do 100 mln zł). Model BFG uwzględnia również stopień zastępowalności funkcji, oceniając, czy dana usługa jest łatwo zastępowalna, czy też trudno zastępowalna.

‍

Porównanie z funkcjami krytycznymi BFG
‍

Analiza porównawcza funkcji krytycznych lub istotnych w kontekście DORA i Modelu Identyfikacji Funkcji Krytycznych BFG, a także innych regulacji (BRRD, MiFID II, Wytyczne EBA, Rekomendacje KNF), ujawnia zarówno obszary spójności, jak i znaczące rozbieżności.

‍

‍

Wnioski dotyczące spójności i rozbieżności regulacyjnych
‍

Analiza funkcji krytycznych i istotnych wskazuje na ogólną spójność w definiowaniu krytyczności pomiędzy regulacjami takimi jak DORA, BRRD, Wytyczne outsourcingu EBA oraz Ustawa o BFG. Wszystkie te akty prawne odnoszą się do konsekwencji zakłóceń kluczowych obszarów działalności przedsiębiorstwa lub świadczonych przez nich usług. Niemniej jednak, istnieją istotne różnice w zakresie i szczegółowości podejścia.
‍

• DORA wprowadza bardziej kompleksowe ramy obejmujące operacyjną odporność cyfrową, co czyni ją centralnym aktem dla zarządzania ryzykiem ICT. Rozporządzenie łączy aspekty, które wcześniej występowały w różnych regulacjach sektorowych, tworząc jedną, szeroką definicję funkcji krytycznych lub istotnych. Kładzie również nacisk na ryzyko wynikające z zarządzania infrastrukturą informacyjno-komunikacyjną, globalnych łańcuchów dostaw usług ICT, systemowego charakteru dostawców oraz stopnia zależności instytucji finansowych od usług technologicznych.
  ‍
• BRRD i Ustawa o BFG skupiają się głównie na funkcjach mających wpływ na stabilność systemu finansowego, pozostawiając mniej miejsca na szczegółowe kwestie operacyjne. Ich definicje krytyczności są rozumiane w kategoriach wpływu na stabilność finansową przedsiębiorstwa i gospodarki.
  ‍
• MiFID II koncentruje się na usługach inwestycyjnych i ich operacyjnym wsparciu, definiując krytyczność w kontekście wpływu wadliwego działania funkcji na wyniki finansowe, ciągłość świadczonych usług oraz zgodność z wymogami licencyjnymi. Tabela porównawcza wyraźnie pokazuje, że MiFID II nie obejmuje takich obszarów jak kredyty czy klasyczne depozyty. Choć MiFID II nie porusza wprost kwestii operacyjnej odporności cyfrowej, stanowi istotny punkt odniesienia dla identyfikacji funkcji krytycznych lub istotnych w sektorze inwestycyjnym. Jednocześnie różnice te uwypuklają lukę w uwzględnianiu ryzyk ICT w ramach MiFID II, co czyni koniecznym komplementarne podejście obejmujące przepisy DORA.
  ‍
• Rekomendacje KNF (np. H i M), które uwzględniają lokalne realia, stanowią cenne uzupełnienie unijnych regulacji, kładąc nacisk na szczegółową identyfikację i zarządzanie procesami krytycznymi lub istotnymi w bankach krajowych.

Kluczowym wnioskiem płynącym z powyższej analizy jest potrzeba ujednolicenia ram zarządzania funkcjami krytycznymi lub istotnymi. Rozbieżność przesłanek regulacyjnych prowadzi do niepotrzebnego obciążenia operacyjnego przedsiębiorstw sektora finansowego oraz zwiększa ryzyko prawne wynikające z braku zgodności instytucji finansowych z DORA i innymi regulacjami.
‍

‍

VI. Podsumowanie

‍

Analiza wykazała, że definicja krytyczności w DORA wykracza poza bezpośredni wpływ na samą instytucję, obejmując również perspektywę systemową, co wynika z odniesienia do dyrektywy BRRD. Wykorzystanie Art. 5 Prawa Bankowego jako punktu wyjścia dla identyfikacji kluczowych czynności bankowych stanowi praktyczne narzędzie dla polskich banków, umożliwiające ugruntowanie oceny krytyczności w istniejących ramach prawnych.

‍

Interesują Cię materiały takie jak ten? 

Zapisz się już teraz do elitarnego grona Forum Ekspertów Odporności Operacyjnej, by m.in. otrzymywać dostęp do materiałów. Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.

Imię i Nazwisko *

Służbowy
adres E-mail *

_* - Pole obowiązkowe

Wyrażam zgodę na otrzymywanie od Davidson Consulting i Wspólnicy Sp. z o. o. informacji handlowych i marketingowych dotyczących produktów i usług własnych za pomocą środków komunikacji elektronicznej, w szczególności na podany przeze mnie adres e-mail, zgodnie z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Zgoda obejmuje również używanie w tym celu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w rozumieniu art. 172 ustawy Prawo telekomunikacyjne.

Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.

Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.