W ostatnich latach sektor finansowy, z uwzględnieniem dostawców usług ICT dla tegoż sektora, znalazł się w centrum legislacyjnej ofensywy Unii Europejskiej. Po RODO i NIS 2 przyszły kolejne ambitne inicjatywy m.in. DORA i MiCA. Obie regulacje mają wspólny mianownik – cyfrową transformację i potrzebę zwiększenia odporności systemów finansowych. Dla działów compliance regulacje te oznaczają konieczność rewizji procesów, umów i strategii zarządzania ryzykiem.

DORA – cyfrowa odporność jako obowiązek prawny

Rozporządzenie DORA (Digital Operational Resilience Act) to odpowiedź UE na rosnącą liczbę incydentów cybernetycznych i uzależnienie instytucji finansowych od zewnętrznych dostawców usług ICT. Od stycznia 2025 r. wszystkie podmioty objęte regulacją muszą być w stanie wykazać, że potrafią zarządzać ryzykiem ICT w sposób ciągły, mierzalny i zgodny z nowymi standardami.

DORA wprowadza obowiązki w zakresie:

• identyfikacji i klasyfikacji ryzyk ICT,
• raportowania incydentów w określonych ramach czasowych,
• testowania odporności systemów (w tym testów typu TLPT),
• zarządzania relacjami z dostawcami zewnętrznymi,
• przejrzystości i nadzoru nad łańcuchem dostaw technologicznych.

Dla compliance oznacza to konieczność ścisłej współpracy z działami IT, bezpieczeństwa i zakupów, a także przeglądu umów z dostawcami pod kątem zgodności z nowymi wymogami.

MiCA – regulacja rynku kryptoaktywów

MiCA (Markets in Crypto-Assets Regulation) to pierwsza kompleksowa regulacja rynku kryptoaktywów w UE. Jej celem jest ujednolicenie zasad emisji, obrotu i świadczenia usług związanych z kryptoaktywami – od stablecoinów po tokeny użytkowe.

Dla firm działających w tym obszarze MiCA oznacza:

• kwestię uzyskiwania licencji CASP (Crypto-Asset Service Provider),
• obowiązki informacyjne wobec klientów,
• wymogi dotyczące przejrzystości, AML i ochrony inwestorów,
• nadzór nad marketingiem i komunikacją rynkową.

MiCA wprowadza nowe standardy dla whitepaper, które muszą zawierać określone informacje. Dla compliance to sygnał, że dotychczasowe praktyki muszą ustąpić miejsca pełnoprawnym procedurom regulacyjnym.

Compliance w nowej rzeczywistości

Zarówno DORA, jak i MiCA wymagają od organizacji nie tylko dostosowania się do nowych przepisów, ale też zmiany podejścia do zarządzania ryzykiem i zgodnością. To strategiczne wyzwanie, które wymaga:

• przeglądu i aktualizacji polityk wewnętrznych,
• wdrożenia nowych procedur raportowania i testowania,
• szkolenia pracowników z zakresu nowych regulacji,
• monitorowania aktów wykonawczych i wytycznych nadzorczych (RTS/ITS),
• budowy kultury zgodności opartej na współpracy między działami.

Co powinieneś zrobić już teraz?

1. Zidentyfikuj, czy Twoja organizacja podlega DORA lub MiCA.
2. Przeprowadź audyt gotowości regulacyjnej.
3. Zaktualizuj umowy z dostawcami ICT i partnerami technologicznymi.
4. Zaplanuj wdrożenie nowych procedur i systemów monitoringu.
5. Zabezpiecz zasoby – zarówno ludzkie, jak i technologiczne – do obsługi nowych obowiązków.

DORA i MiCA to nie tylko kolejne regulacje – to sygnał, że compliance w sektorze finansowym wchodzi w nową erę. Czy Twoja organizacja jest na to gotowa?

Łukasz Rabiak, prawnik w kancelarii Gorazda, Świstuń, Wątroba i Partnerzy adwokaci i radcowie prawni