Zmiany dotyczące operacyjnej odporności cyfrowej sektora finansowego

17.8.2025

Ustawa z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji dostosowuje polskie prawo do unijnych przepisów dotyczących operacyjnej odporności cyfrowej sektora finansowego oraz emitowania europejskich zielonych obligacji. Chodzi m.in. o zwiększenie odporności cyfrowej i bezpieczeństwa technologii informacyjno-komunikacyjnych (ICT), które wykorzystywane są w obszarze usług finansowych.

Cele nowelizacji

Ustawa ma na celu:

1. zapewnienie stosowania w prawie krajowym przepisów:

  • rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, zwanego dalej "rozporządzeniem DORA" (Digital Operational Resilience Act),
  • rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2631 z dnia 22 listopada 2023 r. w sprawie europejskich zielonych obligacji oraz opcjonalnego ujawniania informacji na temat obligacji wprowadzanych do obrotu jako zrównoważone środowiskowo i obligacji powiązanych ze zrównoważonym rozwojem (Dz.Urz. UE L 2023/2631 z 30.11.2023 oraz Dz.Urz. UE L 2023/2869 z 20.12.2023);

2. wdrożenie do polskiego prawa przepisów dyrektywy przepisów dyrektywy Parlamentu Europejskiego i Rady 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego;

3. w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady 2014/59/UE z dnia 15 maja 2014 r. ustanawiającą ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych oraz zmieniającą dyrektywę Rady 82/891/EWG i dyrektywy Parlamentu Europejskiego i Rady 2001/24/WE, 2002/47/WE, 2004/25/WE, 2005/56/WE, 2007/36/WE, 2011/35/UE, 2012/30/UE i 2013/36/EU oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 i (UE) nr 648/2012 (Dz.Urz. UE L 173 z 12.06.2014, str. 190, z późn zm.).

Rozporządzenie DORA jest regulacją mająca na celu zwiększenie odporności cyfrowej instytucji finansowych na zagrożenia związane z technologią informacyjno–komunikacyjną (ICT). Przepisy rozporządzenia DORA są kluczowe dla firm z sektora finansowego, takich jak banki, instytucje płatnicze, giełdy, a także dla dostawców usług IT, którzy świadczą usługi na ich rzecz.

Rozporządzenie DORA ma na celu zapewnienie, że instytucje finansowe objęte rozporządzeniem będą lepiej przygotowane do zarządzania zagrożeniami cyfrowymi.

W ramach tego rozporządzenia wprowadzono szereg obowiązków:

  1. identyfikacja i zarządzanie ryzykiem cyfrowym – instytucje finansowe objęte rozporządzeniem zobowiązane są do wdrożenia kompleksowych procedur identyfikacji i zarządzania ryzykiem związanym z technologiami cyfrowymi;
  2. obowiązek zgłaszania incydentów – instytucje finansowe mają obowiązek raportować incydenty cyfrowe odpowiednim organom nadzoru (w Polsce zgodnie z uchwaloną ustawą jest to Komisja Nadzoru Finansowego);
  3. regularne testy systemów – instytucje finansowe są zobowiązane do przeprowadzania regularnych testów swoich systemów informacyjnych, aby upewnić się, że są one odporne na cyberataki i inne cyfrowe zagrożenia;
  4. współpraca z dostawcami usług technologicznych – instytucje finansowe często korzystają z usług zewnętrznych dostawców IT. Rozporządzenie DORA nakłada obowiązek szczegółowej analizy ryzyka związanego z takimi dostawcami;
  5. współpraca i wymiana informacji – celem rozporządzenia DORA jest promowanie współpracy między instytucjami finansowymi a organami nadzoru.

Obowiązki określone w rozporządzenia DORA, co do zasady, będą stosowane przez podmioty finansowe bezpośrednio. Rozporządzenie DORA weszło w życie 16 stycznia 2023 r. Natomiast obowiązek stosowania przepisów tego rozporządzenia został określony na dzień 17 stycznia 2025 r.

Przyjęcie rozporządzenia DORA jest konsekwencją postanowień zawartych w komunikacie Komisji Europejskiej z dnia 8 marca 2018 r. pt. „Plan działania w zakresie technologii finansowej: w kierunku bardziej konkurencyjnego i innowacyjnego europejskiego sektora finansowego” oraz służy realizacji wspólnych zaleceń technicznych Europejskiego Urzędu Nadzoru Bankowego, Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych oraz Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych, opublikowanych w kwietniu 2019 r., w których ww. instytucje wezwały do przyjęcia spójnego podejścia do ryzyka związanego z ICT w sektorze finansów oraz zaleciły wzmocnienie, w sposób proporcjonalny, operacyjnej odporności cyfrowej sektora usług finansowych za pomocą unijnej inicjatywy sektorowej. Tym samym rozporządzenie DORA dokonuje harmonizacji przepisów dotyczących operacyjnej odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych.

Rozporządzenie DORA nakłada obowiązki na podmioty finansowe, wymienione w art. 2 ust. 1 lit. a–t. (m.in. banki, instytucje płatnicze oraz firmy inwestycyjne) Jednocześnie art. 2 ust. 3 rozporządzenia DORA wskazuje podmioty finansowe wyłączone z zakresu jego stosowania (m.in. instytucje świadczące żyro pocztowe oraz określone osoby prawne i fizyczne). Dodatkowo rozporządzenie DORA obejmuje także, zgodnie z art. 2 ust. 1 lit. u, zewnętrznych dostawców usług ICT, na których oddziałuje pośrednio, z uwagi m.in. na możliwość wydania decyzji, o której mowa w art. 42 ust. 6 tego rozporządzenia (zwieszenie świadczenia korzystania z usługi świadczonej przez kluczowego zewnętrznego dostawce usług ICT do czasu wyeliminowania ryzyka).

Co przewiduje nowelizacja?

Zasadnicze wdrożenie regulacji unijnych nastąpiło poprzez zmianę przepisów ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. z 2025 r. poz. 640). Kompetencje nadzorcze w tym obszarze zostały nadane Komisji Nadzoru Finansowego. Katalog zadań Komisji Nadzoru Finansowego rozszerzono o podejmowanie działań mających na celu przeciwdziałanie:

1. poważnym incydentom oraz zagrożeniom systemów teleinformatycznych w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;

2. cyberzagrożeniom w rozumieniu art. 3 pkt 12 rozporządzenia DORA oraz incydentom związanym z ICT w rozumieniu art. 3 pkt 8 tego rozporządzenia, sieci i systemów informatycznych w rozumieniu art. 3 pkt 2 rozporządzenia DORA.

Podmiot finansowy zgłasza Komisji Nadzoru Finansowego poważny incydent związany z ICT, przekazując wstępne powiadomienie i sprawozdanie w tej sprawie.

Dokumenty te Komisja przekazuje niezwłocznie Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Ministra Obrony Narodowej (CSIRT MON), Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy (CSIRT NASK), albo Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Szefa Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV).

Istotną zmianą wprowadzona w uchwalonej ustawie jest zapewnienie możliwości uczestnictwa Przewodniczącego Komisji Nadzoru Finansowego w posiedzeniach Kolegium przy Radzie Ministrów, działającego jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa oraz działalności w tym zakresie CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowych zespołów cyberbezpieczeństwa i organów właściwych do spraw cyberbezpieczeństwa (art. 16 ustawy – zmiana w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa).

W ustawie o nadzorze nad rynkiem finansowym dodano rozdział 2c „Nadzór nad podmiotami finansowymi i ich obowiązki w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego”. Jak powyżej zostało wskazane organem kontrolującym w rozumieniu nowych przepisów będzie Komisja Nadzoru Finansowego. W toku kontroli pracownicy Komisji Nadzoru Finansowego będą mieli prawo wstępu na grunt oraz do budynków, lokali i innych pomieszczeń kontrolowanego podmiotu, żądania od kontrolowanego podmiotu lub od osoby przez niego upoważnionej udzielenia ustnych lub pisemnych wyjaśnień związanych z przedmiotem kontroli, wglądu do dokumentów związanych z przedmiotem kontroli oraz do danych zawartych w systemie teleinformatycznym związanych z przedmiotem kontroli W ustawie określono katalog środków prawnych, które organ nadzoru może stosować w razie stwierdzenia naruszenia przepisów unijnych, w tym w szczególności wysokość kar pieniężnych oraz przesłanki wpływające na wysokość kary.

W przypadku gdy istnieje uzasadnione podejrzenie naruszenia obowiązków określonych w rozporządzeniu DORA Komisja Nadzoru Finansowego będzie mogła zażądać od dostawcy usług telekomunikacyjnych udostępnienia informacji stanowiących tajemnicę komunikacji elektronicznej w rozumieniu art. 386 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, przechowywanych przez dostawcę usług telekomunikacyjnych, dotyczących podmiotu dokonującego czynności faktycznych lub prawnych mających związek z wyjaśnianymi faktami, w tym danych abonenta pozwalających na jego identyfikację, czasu ich dokonania i innych informacji związanych z połączeniem lub przekazem, niestanowiących treści przekazu (art. 50 ust. 4 lit. d rozporządzenia DORA).

Zmiany wprowadzone dyrektywą 2022/2556, która dokonuje zmian w dyrektywach: 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341, mają na celu zapewnienie spójności z rozwiązaniami wprowadzanymi rozporządzeniem DORA. Zmiany ww. dyrektyw, odnoszące się do operacyjnej odporności cyfrowej sektora finansowego, wprowadzają odesłania do rozporządzenia DORA, co zapewnia spójność regulacji na poziomie Unii Europejskiej (UE).

Z uwagi na konieczność implementacji postanowień dyrektyw 2022/2556 w uchwalonej ustawie wprowadzono odpowiednie zmiany, w tym zmian o charakterze wynikowym, w następujących ustawach:

1. ustawie z dnia 7 lipca 1994 r. o ubezpieczeniach gwarantowanych przez Skarb Państwa;

2. ustawie z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych;

3. ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe;

4. ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi;

5. ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi;

6. ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych;

7. ustawie z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej;

8. ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej;

9. ustawie z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.

Ustawa z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji służy także zapewnieniu stosowania rozporządzenia 2023/2631.

Rozporządzenie 2023/2631 jest częścią szerszego planu działań Komisji Europejskiej na rzecz zrównoważonego finansowania. Ustanowiono w nim podstawy wspólnych zasad dotyczących stosowania oznakowania „europejska zielona obligacja” lub „EuGB” w odniesieniu do obligacji służących realizacji celów zrównoważonych środowiskowo. Celem tych regulacji jest lepsze wykorzystanie potencjału jednolitego rynku oraz unii rynków kapitałowych, a także osiągnięcie unijnych założeń klimatycznych i środowiskowych.

Obligacje zrównoważone środowiskowo to stosunkowo nowa forma instrumentu dłużnego. Są one jedną z głównych form finansowania technologii przyjaznych środowisku, a także zrównoważonej środowiskowo infrastruktury transportowej i badawczej. Mogą być one emitowane zarówno przez przedsiębiorstwa finansowe, niefinansowe, jak i podmioty publiczne, takie jak emitenci długu państwowego. Tak jak wskazuje uzasadnienie do ustawy współczesny rynek zielonych obligacji napotyka wiele problemów, głównie z powodu braku spójnych definicji działalności zrównoważonej środowiskowo oraz braku skutecznego nadzoru nad kontrolerami zewnętrznymi.

Inicjatywy dotyczące zielonych obligacji nie zawierają jednolitych zasad, co utrudnia inwestorom jednoznaczną identyfikację instrumentów, których dochody są zgodne z celami ekologicznymi. W rezultacie rynek ten opiera się na standardach określonych przez samych emitentów i ich kontrolerów, co wprowadza niepewność co do wiarygodności zielonych obligacji.

Rozporządzenie 2023/2631 zakłada realizację trzech celów:

  • poprawę zdolności inwestorów do identyfikowania wysokiej jakości i wiarygodnych obligacji EuGB,
  • ułatwienie emisji wysokiej jakości EuGB przez wyjaśnienie podstawowych terminów oraz ograniczanie ryzyka utraty reputacji przez emitentów działających w tzw. sektorach przejściowych,
  • ujednolicenie praktyki kontroli zewnętrznej i poprawę zaufania do kontrolerów zewnętrznych przez wprowadzenie dobrowolnego reżimu rejestracji i nadzoru.

Ponadto rozporządzenie 2023/2631 zakłada stworzenie podstaw oznakowania „europejskich zielonych obligacji” (European Green Bond, EuGB), tj. obligacji przyjaznych dla środowiska w świetle rozporządzenia (UE) 2020/825 (unijnej taksonomii), w tym najlepszych praktyk rynkowych, oraz stworzenie systemu rejestracji i nadzoru w stosowaniu „EuGB” przez kontrolerów zewnętrznych.

Rozporządzenie to ma ułatwić dalszy rozwój rynku zielonych obligacji w UE i zminimalizować potencjalne zakłócenia rynkowe, zwiększyć przepływ środków pieniężnych na finansowanie zielonych i zrównoważonych inwestycji (zgodnych z zapisami unijnej taksonomii) oraz zmniejszyć ryzyko „greenwashingu”.

Stosowanie oznakowania „EuGB” ma być dostępne dla wszystkich emitentów obligacji EuGB, również tych emitentów spoza UE, jeżeli będą oni spełniać wymagania wskazane w rozporządzeniu (UE) 2020/825.

W celu zapewnienia stosowania rozporządzenia 2023/2631 uchwalona ustawa wprowadza zmiany w:

1. ustawie z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym (nowy rozdział 2d „Nadzór nad emitentami europejskich zielonych obligacji”), oraz

2. ustawie z dnia 15 stycznia 2015 r. o obligacjach.

Rozporządzenie 2023/2631 nie reguluje zasad emisji samych obligacji, a jedynie określa jednolite wymogi dla emitentów zielonych obligacji. Obligacje będą zatem emitowane na podstawie ustawy z dnia 15 stycznia 2015 r. o obligacjach. Jednakże w sytuacji, gdy emitent będzie chciał oznakować swoje obligacje jako EuGB, będzie dodatkowo obowiązany spełniać wymagania przewidziane rozporządzeniem 2023/2631, z tym że nadzór Komisji Nadzoru Finansowego w przypadku obligacji oznakowanych jako EuGB sprowadza się wyłącznie do kontroli spełniania przez emitenta takich obligacji wymogów informacyjnych wynikających wprost z rozporządzenia 2023/2631. Uchwalone zmiany przepisów ww. zakresie nie generują jakichkolwiek obowiązków względem emitenta, a jedynie uprawnienia nadzorcze dla organu nadzoru względem tych podmiotów.

W art. 14 ustawy wprowadza się zmiany do ustawy z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji, zwanej dalej „ustawą o BFG”. W art. 80 ustawy o BFG dodaje się ust. 2a, który precyzuje wymóg dokonywania przez BFG oceny wykonalności planów przymusowej restrukturyzacji i grupowych planów przymusowej restrukturyzacji, z zastosowaniem określonych w tym przepisie kryteriów. Przepis ten wraz ze znowelizowanym w art. 87 ustawy o BFG brzmieniem upoważnienia ustawowego umożliwi jednocześnie uzupełnienie implementacji sekcji C załącznika do dyrektywy Parlamentu Europejskiego i Rady 2014/59/UE z dnia 15 maja 2014 r. ustanawiającej ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych oraz zmieniającej dyrektywę Rady 82/891/EWG i dyrektywy Parlamentu Europejskiego i Rady 2001/24/WE, 2002/47/WE, 2004/25/WE, 2005/56/WE, 2007/36/WE, 2011/35/UE, 2012/30/UE i 2013/36/EU oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 i (UE) nr 648. 

Kiedy nowelizacja weszła w życie?

Zgodnie przepisem końcowym ustawa weszła w życie z dniem następującym po dniu ogłoszenia, czyli z dniem 7 sierpnia 2025 r.

A.J.
Zespół e-prawnik.pl -

Powiązane artykuły

Diety zagraniczne - jak rozliczyć delegacje zagraniczne w 2025 roku?

Kompletny przewodnik po dietach zagranicznych w 2025 roku. Aktualne stawki, limity noclegów, zasady rozliczania delegacji służbowych za granicą. Praktyczne porady i przykłady.

A jeśli ubezpieczyciel odmawia wypłaty odszkodowania?

Poznaj aktualne przepisy na 2025 rok dotyczące odmowy wypłaty odszkodowania przez ubezpieczyciela. Dowiedz się, jak skutecznie odwołać się od negatywnej decyzji i zabezpieczyć swoje prawa.

Co uznaje się za czyn nieuczciwej konkurencji? - Kompletny poradnik prawny 2025

Poznaj czyny nieuczciwej konkurencji w 2025 r. Aktualne przepisy, praktyczne przykłady, sankcje i ochrona prawna. Kompletny przewodnik dla przedsiębiorców.

Kto musi składać e-Sprawozdania Finansowe?

Od 1 października 2018 r. każda jednostka prowadząca księgi rachunkowe zobowiązana jest do sporządzania sprawozdania finansowego w postaci elektronicznej i opatrzenia go kwalifikowanym podpisem (...)

Rozwód w Polsce 2025 - kompletny poradnik prawny. Koszty, procedury, zmiany"

Rozwód w Polsce 2025 ? Aktualny przewodnik prawny ? Koszty od 600 zł ? Procedury krok po kroku ? Nowe przepisy ? Wzory pozwów ? Porady prawne

Kurator - kiedy i dla kogo się ustanawia?

"Wszystko o kuratorze w 2025 roku - dla kogo ustanawia się kuratora, jakie są obowiązki, wynagrodzenie i najnowsze zmiany prawne. Przewodnik oparty na aktualnych przepisach KRiO.

Hipoteka w Polsce - Wszystko o zabezpieczeniu kredytu

Kompletny przewodnik po hipotece w Polsce w 2025 roku. Dowiedz się jak ustanowić hipotekę, jakie są jej rodzaje, koszty i procedury. Praktyczne porady prawne.

Sądowy dział spadku - kiedy i jak go przeprowadzić?

Wszystko o sądowym dziale spadku w 2025 roku. Kiedy warto się ubiegać, jakie dokumenty są potrzebne, ile kosztuje i jak przebiega postępowanie. Praktyczny przewodnik krok po kroku.

Jak najkorzystniej zatrudnić nianię w 2025 roku - Kompletny przewodnik

Poznaj wszystkie sposoby zatrudnienia niani w 2025 roku. Dowiedz się o umowie uaktywniającej, dofinansowaniu ZUS, programie Aktywny Rodzic i wymaganych formalnościach.

Instytucje finansowe zarządzające środkami PPK

W 2019 r. weszła w życie ustawa o Pracowniczych Planach Kapitałowych (PPK). Jakie instytucje finansowe mogą oferować zarządzanie środkami gromadzonymi w ramach PPK?