Kogo dotyczy DORA — zakres podmiotowy rozporządzenia 2022/2554

Drugi wpis cyklu poświęcamy najbardziej praktycznemu pytaniu, jakie pada w pierwszej rozmowie o DORA: „czy mnie to w ogóle dotyczy?". Odpowiedź w przypadku sektora finansowego jest prawie zawsze twierdząca — DORA ma zastosowanie do bardzo szerokiego kręgu podmiotów, w tym do większości fintechów, instytucji płatniczych i wielu dostawców IT obsługujących sektor finansowy. Zakres podmiotowy reguluje art. 2 rozporządzenia 2022/2554.

Co mówi art. 2 DORA?

Art. 2 ust. 1 DORA wymienia 21 kategorii podmiotów objętych rozporządzeniem (lit. a–u) — w tym wszystkie kluczowe segmenty rynku finansowego oraz osobno zewnętrznych dostawców usług ICT.

Zgodnie z art. 2 ust. 1 DORA rozporządzenie ma zastosowanie do następujących kategorii podmiotów:

• Instytucji kredytowych (lit. a).
• Instytucji płatniczych, w tym instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366 (lit. b).
• Dostawców świadczących usługę dostępu do informacji o rachunku, czyli AISP (lit. c).
• Instytucji pieniądza elektronicznego, w tym instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE (lit. d).
• Firm inwestycyjnych (lit. e).
• Dostawców usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy MiCA, oraz emitentów tokenów powiązanych z aktywami (lit. f).
• Centralnych depozytów papierów wartościowych, kontrahentów centralnych, systemów obrotu, repozytoriów transakcji (lit. g–j).
• Zarządzających alternatywnymi funduszami inwestycyjnymi i spółek zarządzających (lit. k–l).
• Dostawców usług w zakresie udostępniania informacji (lit. m).
• Zakładów ubezpieczeń i zakładów reasekuracji (lit. n).
• Pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające (lit. o).
• Instytucji pracowniczych programów emerytalnych (lit. p).
• Agencji ratingowych (lit. q).
• Administratorów kluczowych wskaźników referencyjnych (lit. r).
• Dostawców usług finansowania społecznościowego (lit. s).
• Repozytoriów sekurytyzacji (lit. t).
• Zewnętrznych dostawców usług ICT (lit. u).

Lit. a–t obejmuje to, co rozporządzenie nazywa wspólnie „podmiotami finansowymi" (art. 2 ust. 2 DORA). Lit. u — czyli zewnętrzni dostawcy usług ICT — to osobna kategoria, dla której DORA przewiduje odrębny reżim (zob. artykuły 15 i 17 cyklu). Konsolidację licencji KIP/MIP/EMI w nadchodzącym pakiecie PSD3/PSR omawiamy w odrębnym cyklu.

Kluczowe kategorie podmiotów objętych DORA

Instytucje płatnicze (KIP, MIP, BUP)

Wszystkie kategorie instytucji płatniczych — krajowe (KIP), małe (MIP) oraz biura usług płatniczych (BUP) — są objęte zakresem DORA na podstawie art. 2 ust. 1 lit. b DORA, niezależnie od skali.

AISP (Account Information Service Providers)

Dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku — wymienieni odrębnie w art. 2 ust. 1 lit. c DORA. W Polsce dotyczy to AISP-only, którzy nie są krajową instytucją płatniczą.

CASP (Crypto-Asset Service Providers)

Dostawcy usług w zakresie kryptoaktywów posiadający zezwolenie MiCA oraz emitenci tokenów powiązanych z aktywami — art. 2 ust. 1 lit. f DORA. Każdy CASP jest jednocześnie objęty MiCA i DORA.

ZAFI / zarządzający ASI

Zarządzający alternatywnymi funduszami inwestycyjnymi — art. 2 ust. 1 lit. k DORA. W polskim porządku prawnym dotyczy to m.in. zarządzających alternatywnymi spółkami inwestycyjnymi (ASI).

Pośrednicy ubezpieczeniowi

Art. 2 ust. 1 lit. o DORA, z istotnym wyjątkiem dla mikro-, małych i średnich pośredników (art. 2 ust. 3 lit. e DORA).

Zewnętrzni dostawcy usług ICT

Art. 2 ust. 1 lit. u DORA — każdy podmiot świadczący usługi ICT na rzecz podmiotu finansowego objętego DORA. Reżim szczegółowy w rozdziale V (art. 28–44 DORA).

Czy DORA dotyczy małych instytucji płatniczych (MIP)?

Tak — MIP są objęte zakresem DORA, ale mogą stosować uproszczone ramy zarządzania ryzykiem ICT z art. 16 DORA.

Lit. b art. 2 ust. 1 DORA wprost wymienia instytucje płatnicze, w tym instytucje płatnicze zwolnione zgodnie z dyrektywą (UE) 2015/2366. Polska kategoria małej instytucji płatniczej jest właśnie efektem skorzystania z możliwości zwolnienia przewidzianego w PSD2 — wpada więc w zakres DORA. Z naszego doświadczenia wybór między pełnymi a uproszczonymi ramami nie jest jednak oczywisty (zob. artykuł 5 cyklu).

Czy DORA dotyczy biur usług płatniczych i AISP?

Tak — BUP mieszczą się w kategorii instytucji płatniczych zwolnionych z PSD2, a AISP są wymienieni wprost w art. 2 ust. 1 lit. c DORA.

Biuro usług płatniczych (BUP) to polska forma wynikająca z art. 32 dyrektywy PSD2 i implementacji w ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych. Zgodnie z literą b art. 2 ust. 1 DORA rozporządzenie obejmuje również podmioty zwolnione na mocy PSD2 — w naszej ocenie BUP mieści się w tej kategorii. PISP w Polsce zazwyczaj prowadzi działalność w ramach KIP, co automatycznie kwalifikuje go pod lit. b.

Czy DORA dotyczy podmiotów rynku kryptoaktywów?

Tak — każdy CASP z zezwoleniem MiCA jest jednocześnie objęty DORA na podstawie art. 2 ust. 1 lit. f DORA.

Lit. f art. 2 ust. 1 DORA obejmuje dostawców usług w zakresie kryptoaktywów (CASP), którzy uzyskali zezwolenie na mocy rozporządzenia MiCA, oraz emitentów tokenów powiązanych z aktywami. To oznacza, że każdy podmiot, który na gruncie MiCA otrzymał zezwolenie na świadczenie usług kryptoaktywów w UE, jest jednocześnie podmiotem objętym DORA.

Czy DORA dotyczy zarządzających alternatywnymi funduszami inwestycyjnymi (ZAFI)?

Tak — z wyłączeniem zarządzających poniżej progów z art. 3 ust. 2 dyrektywy 2011/61/UE.

Lit. k art. 2 ust. 1 DORA obejmuje zarządzających alternatywnymi funduszami inwestycyjnymi. W polskim porządku prawnym dotyczy to m.in. podmiotów zarządzających alternatywnymi spółkami inwestycyjnymi (ASI). Z zakresu wyłączeni są jednak zarządzający, o których mowa w art. 3 ust. 2 dyrektywy 2011/61/UE — to wyłączenie znajduje się wprost w art. 2 ust. 3 lit. a DORA.

Czy DORA dotyczy pośredników ubezpieczeniowych?

Tak — z istotnym wyjątkiem dla mikro-, małych i średnich pośredników (art. 2 ust. 3 lit. e DORA).

Lit. o art. 2 ust. 1 DORA wymienia pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające. Zgodnie z art. 2 ust. 3 lit. e DORA: „Niniejsze rozporządzenie nie ma zastosowania do […] pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające będących mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami".

Czy DORA dotyczy dostawców IT obsługujących sektor finansowy?

Tak — dostawcy IT są objęci wprost w art. 2 ust. 1 lit. u DORA, a tzw. kluczowi zewnętrzni dostawcy podlegają bezpośredniemu nadzorowi ESA.

W praktyce oznacza to, że wymogi DORA wynegocjuje z Tobą — jako dostawcą ICT — Twój klient finansowy, a w określonych przypadkach możesz zostać objęty bezpośrednim reżimem nadzorczym (art. 31–44 DORA). Szczegóły w artykułach 15, 16 i 17 cyklu.

Co teraz zrobić?

W naszej ocenie — zanim zaczniesz wdrożenie DORA — warto formalnie przejść przez następującą listę kontrolną:

• Zidentyfikuj wszystkie zezwolenia, rejestracje i statusy regulacyjne, jakie posiada Twoja organizacja (KIP, MIP, BUP, AISP, IPE, CASP, ZAFI, ASI, ubezpieczyciel, pośrednik itp.).
• Sprawdź, czy któreś z wyłączeń z art. 2 ust. 3 DORA może mieć do Ciebie zastosowanie.
• Jeżeli świadczysz usługi ICT dla sektora finansowego — przygotuj się na wymagania kontraktowe wynikające z art. 28–30 DORA.
• Jeżeli jesteś MIP, BUP albo małym pośrednikiem ubezpieczeniowym — przeanalizuj uproszczone ramy z art. 16 DORA.

Jeżeli potrzebujesz pomocy w przeprowadzeniu klasyfikacji statusu DORA dla swojej organizacji — w Legal Geek prowadzimy takie analizy w ramach audytu wstępnego DORA.

Co dalej w cyklu?

• Wprowadzenie do DORA — kontekst i pięć obszarów regulacji.
• Kalendarz wdrożenia — od kiedy stosujemy rozporządzenie.
• Uproszczone ramy ICT — art. 16 DORA dla MIP/BUP.
• Outsourcing ICT pod DORA — wymogi z art. 28–30.