Dnia 14 grudnia 2022 r. Parlament Europejski i Rada (UE) przyjęły Rozporządzenie 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 zwane DORA.
DORA przewiduje jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych podmiotów sektora finansowego oraz podmiotów trzecich, które świadczą dla nich usługi ICT.
Zakres podmiotowy rozporządzenia został określony dość szeroko, ponieważ dotyczy wielu kategorii podmiotów sektora finansowego, obejmując m.in. instytucje kredytowe, instytucje płatnicze, firmy inwestycyjne, jak i zakłady ubezpieczeń i zakłady reasekuracji. Co do zasady, zgodnie z art. 2 ust. 1 lit. o) DORA ma także zastosowanie do pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające.
Jednakże w odniesieniu do trzech kategorii pośredników ubezpieczeniowych wskazanych powyżej, zgodnie z art. 2 ust. 3 DORA wyłączono zastosowanie rozporządzenia w stosunku do pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające będących mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami.
Wyłączenie z zakresu stosowania rozporządzenia DORA małych pośredników ubezpieczeniowych jest wyjściem naprzeciw oczekiwaniom rynku i pewnego rodzaju kompromisem. W trakcie prac nad rozporządzeniem liczne były głosy, że ,,objęcie zakresem DORA pośredników ubezpieczeniowych jest nieuzasadnione, ponieważ po pierwsze, stworzy to kolejne problemy dotyczące podziału i zakresu obowiązków na linii zakład ubezpieczeń – pośrednik ubezpieczeniowy. Po drugie, działalność pośredników nie generuje innych istotnych ryzyk w obszarze ICT, niż te które występują względem zakładów ubezpieczeń. Po trzecie, będzie skutkowało niepotrzebnym dublowaniem przyjętych rozwiązań zarówno przez zakład ubezpieczeń i pośrednika ubezpieczeniowego, a co za tym idzie także niepotrzebnymi kosztami, które mógłby zostać lepiej zainwestowane, np. w rozwój nowych produktów czy innowacje.
Wyłączenie konieczności stosowania rozporządzenia DORA w stosunku do pośredników ubezpieczeniowych nie jest całkowite, a jedynie częściowe w sytuacji, gdy pośrednik ubezpieczeniowy może być zakwalifikowany do kategorii mikroprzedsiębiorstwa, małego lub średniego przedsiębiorstwa (SMEs – small and medium-sized enterprises).
Kluczowe zatem z perspektywy możliwości zastosowania wyłączenia jest ustalenia, czy dany pośrednik ubezpieczeniowy może być zaliczony do jednej z kategorii SME. W art. 3 rozporządzenia DORA w tym właśnie celu zdefiniowane zostały pojęcia użyte w art. 2 ust. 3 rozporządzenia DORA.
Problematyczne może być jednak to, że definicja mikroprzedsiębiorstwa, małego i średniego przedsiębiorstwa pojawia się także w innych aktach prawa unijnego, co może powodować
pewne wątpliwości, czy dla określenia statusu pośrednika ubezpieczeniowego w kontekście zaliczenia do kategorii SME powinny mieć zastosowanie definicje zawarte w rozporządzeniu DORA, czy też konieczne jest odwołanie się do definicji zawartych w innych aktach prawa unijnego. Mając jednak na uwadze zasady wykładni prawa, oraz fakt, że definicja mikroprzedsiębiorstwa, małego przedsiębiorstwa i średniego przedsiębiorstwa zawarta w rozporządzeniu DORA jest kompletna i wyczerpująca i została umieszczona w samym akcie na potrzeby jego przepisów i w tym zakresie rozporządzenie nie odsyła do innych aktów prawnych, brak jest zarówno podstaw prawnych, jak i celowościowych (wynikających z wykładni przepisów) do stosowania definicji zawartych w innych aktach prawnych, które zostały przyjęte w innych celach, więc sprawdzanie kryteriów do wyłączenia ze stosowania DORA należy oprzeć na definicjach SMEs zawartych w przepisach rozporządzenia.