| To musisz wiedzieć | |
|---|---|
| Co to jest operacyjna odporność cyfrowa? | Jest to zdolność instytucji finansowej do utrzymania ciągłości działania mimo cyberzagrożeń i awarii ICT. |
| Jak wprowadzenie DORA wpłynie na bezpieczeństwo cyfrowe polskich banków w 2025? | DORA wymusi systematyczne testy i zarządzanie ryzykiem ICT, co poprawi ochronę i skróci czas reakcji na incydenty. |
| Czym są europejskie zielone obligacje i jaki mają cel? | To papiery wartościowe finansujące projekty ekologiczne, wspierające transformację energetyczną zgodnie z unijną taksonomią. |
W dobie dynamicznej cyfrowej transformacji i rosnących wyzwań związanych ze zrównoważonym rozwojem, Rada Ministrów Polski podjęła ważny krok legislacyjny. W kwietniu 2024 roku zatwierdzono projekt ustawy implementującej rozporządzenie DORA oraz regulującej emisję europejskich zielonych obligacji. Celem nowych przepisów jest nie tylko zwiększenie operacyjnej odporności cyfrowej sektora finansowego, ale również wsparcie transformacji energetycznej kraju poprzez innowacyjne instrumenty finansowe. Ustawa ma wejść w życie od stycznia 2025 roku, otwierając nowy rozdział dla bezpieczeństwa cyfrowego oraz ekologicznego finansowania w Polsce.
Spis treści:
Kontekst Regulacyjny i Cel Ustawy
Rozporządzenie Digital Operational Resilience Act (DORA) zostało przyjęte przez Unię Europejską w 2022 roku jako odpowiedź na rosnące zagrożenia cybernetyczne, które coraz częściej dotykają sektor finansowy. Jego głównym celem jest zapewnienie jednolitych standardów zarządzania ryzykiem ICT oraz utrzymania ciągłości działania instytucji finansowych nawet podczas poważnych incydentów cyfrowych. Polska rozpoczęła proces implementacji tego rozporządzenia dopiero w 2024 roku, co wzbudziło reakcję Komisji Europejskiej, która podkreśliła konieczność szybkiego dostosowania prawa krajowego do wymogów unijnych.
Projekt ustawy obejmuje zmiany w kilkunastu ustawach sektorowych, w tym kluczowych dla rynku finansowego oraz cyberbezpieczeństwa. Nowe przepisy przewidują między innymi rozszerzone kompetencje Komisji Nadzoru Finansowego (KNF), która będzie nadzorować wdrażanie zasad DORA oraz egzekwować ich przestrzeganie poprzez sankcje finansowe. Równocześnie projekt uwzględnia regulacje dotyczące emisji europejskich zielonych obligacji, które wpisują się w strategię transformacji energetycznej Polski oraz realizację unijnej taksonomii zrównoważonego rozwoju.
Struktura i Kluczowe Zapisy Projektowanej Ustawy
Operacyjna Odporność Cyfrowa Sektora Finansowego
Projekt ustawy nakłada na instytucje finansowe nowe obowiązki z zakresu zarządzania ryzykiem ICT. Banki, firmy ubezpieczeniowe oraz inne podmioty rynku muszą opracować polityki identyfikacji zagrożeń i minimalizacji ryzyka. W praktyce oznacza to regularne audyty systemów informatycznych oraz wdrażanie mechanizmów reagowania na incydenty cybernetyczne. Przykładowo, instytucje korzystające z usług chmurowych muszą współpracować wyłącznie z dostawcami spełniającymi normy ISO/IEC 27001 oraz posiadającymi certyfikaty EUCS.
Kolejnym istotnym elementem jest obowiązek przeprowadzania testów odporności operacyjnej (TLPT) co najmniej raz na trzy lata. Testy te symulują różne scenariusze awarii czy ataków cybernetycznych, pozwalając zweryfikować skuteczność procedur bezpieczeństwa. Raporty z testów przekazywane są do KNF, która ma prawo zatwierdzać harmonogramy oraz oceniać wyniki badań.
W zakresie współpracy z dostawcami zewnętrznymi ustawa wymaga zawierania umów zawierających szczegółowe klauzule dotyczące bezpieczeństwa informacji oraz kar za naruszenia. Wszystkie te działania mają na celu zapewnienie ciągłości działania nawet w przypadku poważnych zakłóceń technologicznych.
Nadzór i Kary
Komisja Nadzoru Finansowego została wyposażona w szerokie uprawnienia kontrolne. Może nakładać kary sięgające nawet 5% rocznego przychodu danej instytucji za naruszenia przepisów DORA. Szczególnie surowo traktowane będzie niedopełnienie obowiązku raportowania poważnych incydentów ICT – za brak zgłoszenia grożą kary do 10 mln złotych.
KNF będzie miała także prawo do wglądu w dokumentację dotyczącą outsourcingu usług ICT oraz do wymuszania zmian w umowach z dostawcami. Ponadto nadzór obejmie ocenę skuteczności realizowanych testów TLPT i monitorowanie wdrażania zaleceń pokontrolnych. Takie mechanizmy mają zagwarantować pełną transparentność i skuteczność działań zabezpieczających sektor finansowy przed cyberzagrożeniami.
Ramy Prawne dla Zielonych Obligacji
W obszarze zielonych obligacji projekt ustawy implementuje rozporządzenie UE o europejskich zielonych obligacjach (EuGB), które określa standardy emisji tych instrumentów. Emitenci będą zobowiązani do przeznaczania co najmniej 85% środków pozyskanych z emisji na projekty zgodne z unijną taksonomią – głównie inwestycje związane z odnawialnymi źródłami energii czy efektywnością energetyczną.
Pozostałe 15% może zostać przeznaczone na przedsięwzięcia przejściowe, jak np. modernizacja infrastruktury gazowej, które stopniowo będą dostosowywane do standardów ekologicznych. Emitenci będą również zobowiązani do corocznego raportowania postępów realizowanych projektów pod nadzorem KNF oraz zatrudniania audytorów zatwierdzonych przez Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA).
Ministerstwo Finansów planuje pierwszą emisję polskich zielonych obligacji o wartości około 10 mld złotych już w 2025 roku. Środki te mają wesprzeć m.in. rozwój farm wiatrowych na Bałtyku oraz modernizację sieci ciepłowniczych, wpisując się tym samym w ambicje kraju dotyczące redukcji emisji CO₂.
Kontekst Branżowy i Statystyki
Wyzwania dla Sektora Finansowego
Dane Komisji Nadzoru Finansowego pokazują wyraźny wzrost liczby incydentów cybernetycznych w polskim sektorze bankowym – o 37% rok do roku w 2023 r. Średni czas przywracania usług wynosił wtedy ponad 9 godzin, co przekracza zalecany limit według rozporządzenia DORA wynoszący maksymalnie 6 godzin. Wprowadzenie obowiązkowych testów TLPT ma znacząco skrócić ten czas reakcji oraz zwiększyć odporność systemów IT na ataki i awarie.
Rynek Zielonych Obligacji w UE
W skali całej Unii Europejskiej wartość emisji zielonych obligacji osiągnęła w ubiegłym roku około 380 mld euro. Polska jednak pozostaje daleko za liderami takimi jak Francja czy Niemcy, których wolumeny emisji sięgają dziesiątek miliardów euro rocznie. Nowe regulacje mogą zwiększyć atrakcyjność polskiego rynku dla inwestorów instytucjonalnych zarządzających aktywami zgodnymi z kryteriami ESG, których udział sięga już około 40% wszystkich aktywów europejskich funduszy inwestycyjnych.
Kontrowersje i Wyzwania
Krytyka Opóźnień we Wdrażaniu DORA
Związek Banków Polskich oraz inne organizacje branżowe krytykują opóźnienia we wdrażaniu rozporządzenia DORA przez Polskę. Zwracają uwagę, że spóźnione przyjęcie prawa naraża krajowe instytucje na potencjalne kary ze strony Unii Europejskiej sięgające nawet do 2% globalnego obrotu podmiotu. Ponadto brak precyzyjnych wytycznych dotyczących testów penetracyjnych może opóźnić proces certyfikacji systemów informatycznych, co wpływa negatywnie na ogólną gotowość sektora do nowych wymogów prawnych.
Debata nad Ulgami Podatkowymi dla Zielonych Obligacji
Mimo licznych apeli środowisk inwestorskich o wprowadzenie ulg podatkowych dla nabywców europejskich zielonych obligacji (EuGB), Ministerstwo Finansów wykluczyło takie rozwiązania. Argumentem jest konieczność zachowania zasady równego traktowania wszystkich podmiotów na rynku finansowym oraz unikanie potencjalnych zakłóceń konkurencji między krajami UE. Eksperci wskazują jednak, że bez fiskalnych zachęt polskie obligacje mogą być mniej konkurencyjne wobec instrumentów emitowanych przez Niemcy czy Francję, co może ograniczyć skalę zainteresowania tym segmentem rynku.
Podsumowanie i Perspektywy
Przyjęcie projektu ustawy dotyczącego operacyjnej odporności cyfrowej sektora finansowego wraz z regulacjami dotyczącymi europejskich zielonych obligacji stanowi ważny krok ku nowoczesności polskiego rynku finansowego. Implementacja rozporządzenia DORA zapewni wyższy poziom bezpieczeństwa cyfrowego oraz lepsze mechanizmy zarządzania ryzykiem ICT od 2025 roku. Równocześnie planowana emisja zielonych obligacji otworzy nowe możliwości finansowania ekologicznych inwestycji, wspierając transformację energetyczną kraju.
Niemniej jednak wyzwaniem pozostaje szybka adaptacja przepisów do dynamicznych zmian technologicznych i regulacyjnych na poziomie unijnym oraz stworzenie odpowiednich warunków zachęcających inwestorów do lokowania kapitału w instrumentach proekologicznych bez preferencji podatkowych. Obserwowanie dalszego rozwoju sytuacji legislacyjnej będzie kluczowe dla zrozumienia kierunku zmian zarówno w polskim sektorze finansowym, jak i całej gospodarce opartej na zasadach zrównoważonego rozwoju.
