DORA jest rozporządzeniem dla całego sektora finansowego — od dużych banków po małe instytucje płatnicze i pośredników ubezpieczeniowych. Z naszego doświadczenia widzimy, że dla mniejszych podmiotów to skala obowiązków bywa jednym z głównych źródeł obaw. Z myślą o nich rozporządzenie zawiera w art. 4 DORA odrębną zasadę proporcjonalności — i jest to przepis, który warto rozumieć dobrze, bo źle zinterpretowany prowadzi albo do przeciągniętego wdrożenia, albo do luk.

Co mówi art. 4 DORA?

Art. 4 DORA wprowadza obowiązek stosowania DORA proporcjonalnie do wielkości i profilu ryzyka podmiotu — w trzech ustępach.

Podmioty finansowe stosują przepisy ustanowione w rozdziale II zgodnie z zasadą proporcjonalności, biorąc pod uwagę swoją wielkość i ogólny profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług, działań i operacji (art. 4 ust. 1 DORA).

Zgodnie z art. 4 ust. 2 DORA proporcjonalność stosuje się również do rozdziału III (incydenty), rozdziału IV (testowanie) oraz rozdziału V sekcja I (postanowienia umowne) — w sposób przewidziany w przepisach tych rozdziałów. Zgodnie z art. 4 ust. 3 DORA: „Właściwe organy analizują stosowanie zasady proporcjonalności przez podmioty finansowe przy dokonywaniu przeglądu spójności ram zarządzania ryzykiem związanym z ICT".

Czym proporcjonalność z art. 4 DORA NIE jest?

Proporcjonalność nie jest dyskontem ani wyłączeniem — to zasada stosowania przepisu, której granice wyznacza sam przepis.

  • Proporcjonalność nie zwalnia z obowiązku posiadania ram zarządzania ryzykiem ICT — sam wymóg z art. 6 DORA pozostaje twardy.
  • Proporcjonalność nie zastępuje uproszczonych ram z art. 16 DORA — uproszczone ramy są odrębną instytucją prawną i mają zamknięty katalog adresatów (zob. artykuł 5 cyklu).
  • Proporcjonalność nie pozwala pominąć przepisu — pozwala jedynie skalować sposób jego stosowania.
  • Proporcjonalność nie usprawiedliwia braku dokumentacji — wręcz przeciwnie, dokumentacja proporcjonalności staje się elementem akt sprawy w razie kontroli.

Jakie kryteria trzeba uwzględnić przy proporcjonalności?

Art. 4 ust. 1 DORA wskazuje cztery kryteria oceny: wielkość podmiotu, ogólny profil ryzyka oraz charakter, skala i złożoność usług.

Wielkość podmiotu finansowego
Mierzona m.in. obrotem, wartością aktywów, liczbą klientów, liczbą pracowników. Mała instytucja płatnicza (MIP) i bank o aktywach 50 mld zł stosują DORA inaczej.
Ogólny profil ryzyka
Profil ryzyka ICT, kredytowego, operacyjnego, koncentracji. Im wyższe ryzyko, tym bardziej rozbudowane ramy są wymagane.
Charakter usług
Rodzaj świadczonych usług finansowych — np. płatności, zarządzanie aktywami, ubezpieczenia, kryptoaktywa.
Skala i złożoność usług, działań i operacji
Wolumen transakcji, geografia działania, liczba systemów ICT, struktura outsourcingu i podwykonawstwa.

Co z dokumentacją proporcjonalności?

Z naszego doświadczenia najpoważniejszym ryzykiem jest brak udokumentowania decyzji o skali wdrożenia — dokument ten jest pierwszą rzeczą, o jaką pyta organ nadzoru.

Rekomendujemy, aby podmiot finansowy przygotował i utrzymywał dokument („policy of proportionality" / „polityka stosowania proporcjonalności"), w którym zostaną opisane:

  • Klasyfikacja podmiotu pod kątem każdego z czterech kryteriów art. 4 ust. 1 DORA.
  • Decyzje o sposobie stosowania konkretnych przepisów (np. częstotliwość testów z art. 24, zakres testowania).
  • Podstawa prawna każdej decyzji.
  • Daty zatwierdzenia przez organ zarządzający i daty przeglądu.

Czy zasada proporcjonalności obowiązuje również w obszarze outsourcingu?

Tak, ale w ograniczonym zakresie — art. 4 ust. 2 DORA wymienia rozdział V sekcja I (czyli zasady ogólne dotyczące dostawców), z wyłączeniem reżimu sekcji II (kluczowi dostawcy).

Reżim sekcji II (kluczowi zewnętrzni dostawcy ICT, art. 31–44 DORA) to natomiast bezpośredni nadzór ESA nad dostawcami i nie jest stosowany proporcjonalnie do podmiotu finansowego — bo nie jego dotyczy, lecz dostawcy.

Co teraz zrobić?

Z naszego doświadczenia warto zacząć od trzech ruchów:

  • Sporządzić jednostronicową mapę podmiotu — wielkość, profil ryzyka, charakter usług, złożoność systemów ICT, kluczowe ekspozycje na dostawców ICT.
  • Z tą mapą przejść artykuł po artykule rozdziały II–V sekcję I DORA i odnotować, czy któryś z przepisów dopuszcza skalowanie i w jakim zakresie skorzystamy z tej możliwości.
  • Zatwierdzić wynik na poziomie organu zarządzającego w trybie art. 5 ust. 2 DORA.

W kolejnym wpisie omawiamy uproszczone ramy zarządzania ryzykiem ICT z art. 16 DORA — czyli odrębny tryb dla podmiotów z zamkniętego katalogu, w tym MIP. Jeżeli potrzebujesz pomocy w sporządzeniu polityki proporcjonalności, w Legal Geek prowadzimy takie projekty.

Co dalej w cyklu?