W związku z rozpoczęciem stosowania od 17 stycznia 2025 r. Rozporządzenia DORA, Urząd Komisji Nadzoru Finansowego opublikował Stanowisko dotyczące stosowania przez towarzystwa funduszy inwestycyjnych oraz zarządzających alternatywnymi spółkami inwestycyjnymi przepisów tego rozporządzenia.
Jak podkreśla organ nadzorczy, wskazane podmioty, zawierając umowy z zewnętrznymi dostawcami usług ICT dotyczące którejkolwiek z określonych w przepisach funkcji, są zobowiązane do przestrzegania przepisów Rozporządzenia DORA.
Towarzystwa funduszy inwestycyjnych oraz zarządzający ASI zobowiązani są zapewnić – w ramach należytego zarządzania funduszami lub alternatywnymi spółkami inwestycyjnymi – bezpieczeństwo sieci i systemów informatycznych służących obsłudze tych podmiotów. Te zagadnienia są elementem ryzyka operacyjnego związanego z działalnością funduszy. Ponadto wskazane podmioty mają obowiązek dysponować – w zakresie systemu zarządzania ryzykiem – solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT.
UKNF wskazuje, mając na uwadze praktykę rynkową, że rozporządzenie będzie miało zastosowanie przede wszystkim do agentów transferowych, w zakresie obejmującym świadczenie przez nich usług ICT w rozumieniu art. 3 pkt 21 Rozporządzenia DORA , z uwagi na szeroki zakres i istotność takich usług świadczonych na rzecz funduszy, aczkolwiek nie wyklucza, że oprócz agenta transferowego, TFI lub zarządzający ASI mogą zidentyfikować inne podmioty, które – z uwagi na istotność usług świadczonych na rzecz funduszy lub ASI – będą wymagać objęcia ich odpowiednimi mechanizmami zarządzania ryzykiem, w tym zarządzania ryzykiem związanym z ICT oraz ryzykiem ze strony zewnętrznych dostawców usług ICT.