Sejm uchwalił w środę (25.06.2025) nowelizację ustawy o odporności cyfrowej sektora finansowego i emitowaniu europejskich zielonych obligacji. Ustawa stanowi implementację europejskich przepisów do polskiego prawa, w tym implementację rozporządzenia DORA.
Ustawa potwierdza wyznaczenie KNF jako organu odpowiedzialnego za nadzór nad przestrzeganiem przepisów DORA przez podmioty finansowe w Polsce i przyznaje KNF nowe uprawnienia nadzorcze.
- KNF ma prawo żądać informacji, dokumentów, wyjaśnień niezbędnych do oceny zgodności działalności podmiotu finansowego z DORA.
- KNF ma prawo przeprowadzać kontrolę zgodności działalności podmiotów finansowych z DORA, ustawa reguluje m.in. treść upoważnienia pracownika KNF do przeprowadzenia kontroli, jakie prawa przysługują kontrolującym, wymogi dotyczące protokołu kontroli, zgłaszania zastrzeżeń do protokołu, wydawania zaleceń pokontrolnych.
- Podmioty finansowe mają obowiązek zgłaszać KNF poważne incydenty związane z ICT, a Komisja następnie zawiadamia o nich odpowiedni Zespół Reagowania – CSIRT MON, CSIRT NASK albo CSIRT GOV.
- KNF w drodze decyzji określi, które podmioty finansowe są obowiązane do przeprowadzenia testów TLPT, a także przekaże podmiotowi finansowemu poświadczenie, że testy zostały przeprowadzone zgodnie z wymogami. KNF będzie także zatwierdzać korzystanie z usług testerów wewnętrznych.
- KNF może nakazać podmiotowi finansowemu tymczasowe zawieszenie w całości lub części korzystanie z usługi świadczonej przez kluczowego zewnętrznego dostawcę usług ICT albo nakazać wypowiedzenie umowy w całości lub części.
- KNF zyskuje kompetencję do nakładania kar, określonych w DORA.
- Przewodniczącemu KNF zapewniono możliwość uczestnictwa w posiedzeniach Kolegium przy Radzie Ministrów, działającego jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa oraz działalności w tym zakresie CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowych zespołów cyberbezpieczeństwa i organów właściwych do spraw cyberbezpieczeństwa.
Ustawa zostanie teraz skierowana do Senatu.