Czym jest DORA?
Akt o cyfrowej odporności operacyjnej — znany jako DORA — to rozporządzenie (UE) 2022/2554, przyjęte przez Parlament Europejski i Radę 14 grudnia 2022 r. UE opublikowała je w Dzienniku Urzędowym 27 grudnia 2022 r. Weszło w życie 16 stycznia 2023 r. i stało się w pełni stosowalne 17 stycznia 2025 r.
DORA wypełnia konkretną lukę w unijnych regulacjach finansowych. Przed DORA instytucje finansowe zarządzały ryzykiem operacyjnym głównie poprzez odkładanie kapitału. Jednak to podejście nie obejmowało w wystarczającym stopniu zakłóceń związanych z ICT, które mogą dotknąć wiele instytucji jednocześnie, gdy wspólny dostawca technologii zawiedzie. Dlatego DORA wprowadza jednolite ramy w całej UE dla zarządzania ryzykiem ICT, zgłaszania incydentów, testowania odporności operacyjnej oraz nadzoru nad zewnętrznymi dostawcami technologii.
Kto musi przestrzegać DORA?
DORA ma zastosowanie do dwóch głównych grup organizacji zaangażowanych w usługi technologii informacyjno-komunikacyjnych (ICT) w sektorze finansowym.
Pierwsza grupa to podmioty finansowe. Obejmują one instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, zakłady ubezpieczeń i reasekuracji, dostawców usług w zakresie kryptoaktywów, centralne depozyty papierów wartościowych, centralnych kontrahentów i miejsca obrotu, wśród innych wymienionych w art. 2 rozporządzenia.
Druga grupa to zewnętrzni dostawcy usług ICT — firmy dostarczające usługi technologiczne podmiotom finansowym. Grupa ta obejmuje dostawców usług w chmurze, twórców oprogramowania, firmy analityczne danych, firmy zajmujące się cyberbezpieczeństwem, dostawców centrów danych oraz każdego innego dostawcę, którego usługi wspierają działalność regulowanej instytucji finansowej.
Co ważne, DORA obejmuje również dostawców ICT spoza UE. Jeśli firma technologiczna w Stanach Zjednoczonych, Wielkiej Brytanii lub Azji dostarcza usługi instytucjom finansowym regulowanym w UE, DORA ma zastosowanie do tej relacji.
Wymóg LEI w ramach DORA
DORA wymaga od podmiotów finansowych prowadzenia szczegółowego Rejestru Informacji obejmującego wszystkich ich zewnętrznych dostawców usług ICT. Rozporządzenie wykonawcze Komisji (UE) 2024/2956, opublikowane 2 grudnia 2024 r., określa standardowe szablony dla tego rejestru.
Artykuł 3 ust. 5 tego rozporządzenia wykonawczego stanowi bezpośrednio:
„Podmioty finansowe używają ważnego i aktywnego identyfikatora podmiotu prawnego (LEI) lub europejskiego unikalnego identyfikatora, o którym mowa w art. 16 dyrektywy (UE) 2017/1132 („EUID”), a w stosownych przypadkach obu tych identyfikatorów, do identyfikacji wszystkich swoich zewnętrznych dostawców usług ICT będących osobami prawnymi, z wyjątkiem osób fizycznych prowadzących działalność gospodarczą.”
Innymi słowy, każdy zewnętrzny dostawca ICT, który jest podmiotem prawnym, musi być identyfikowalny za pomocą ważnego i aktywnego LEI lub EUID. Oba muszą być aktualne. Wygasły lub nieaktywny LEI nie spełnia tego wymogu.
LEI czy EUID — który z nich ma zastosowanie do Ciebie?
Oba identyfikatory spełniają wymogi DORA, ale obejmują różne sytuacje. Zrozumienie różnicy pomoże Ci dokonać właściwego wyboru.
LEI (Legal Entity Identifier) to globalnie rozpoznawalny 20-znakowy kod alfanumeryczny oparty na normie ISO 17442. Global Legal Entity Identifier Foundation (GLEIF) zarządza Globalnym Systemem LEI i udostępnia wszystkie dane LEI publicznie w Globalnym Indeksie LEI. LEI obejmuje podmioty prawne w ponad 200 jurysdykcjach, a także zawiera dane dotyczące własności i kontroli.
EUID (European Unique Identifier) jest powiązany z Systemem Wzajemnych Połączeń Rejestrów Przedsiębiorstw (BRIS) UE. Ponieważ łączy się wyłącznie z krajowymi rejestrami UE, obejmuje tylko podmioty zarejestrowane w państwach członkowskich UE.
W tym miejscu rozporządzenie wykonawcze wprowadza kluczowe rozróżnienie: dostawcy ICT mający siedzibę poza UE muszą być identyfikowani wyłącznie za pomocą LEI. EUID jest po prostu niedostępny dla podmiotów spoza UE. W rezultacie LEI jest jedynym ważnym identyfikatorem dla każdego dostawcy działającego spoza UE.
W przypadku dostawców z UE, oba identyfikatory działają. Jednak w przypadku operacji globalnych lub dostawców z ekspozycją poza UE, LEI jest silniejszym wyborem ze względu na jego międzynarodowe uznanie i szerszy zakres danych.
Co w praktyce oznacza „ważny i aktywny”
Rozporządzenie wykonawcze wyraźnie wymaga ważnego i aktywnego LEI. Odnosi się to do statusu, który pojawia się w globalnej bazie danych GLEIF.
LEI ze statusem „Wydany” jest ważny i aktywny, a zatem spełnia wymogi DORA. LEI ze statusem „Wygasły” wygasł i w konsekwencji nie spełnia wymogu. Podmioty finansowe nie mogą rejestrować wygasłego LEI jako zgodnego identyfikatora w swoim Rejestrze Informacji.
LEI pozostaje ważny przez rok od daty wydania lub ostatniego odnowienia. Po tym czasie właściciel musi go odnowić, aby utrzymać aktywny status. Podczas odnowienia, organizacja wydająca ponownie weryfikuje dane referencyjne podmiotu — w tym nazwę prawną, zarejestrowany adres i strukturę własności — w oparciu o oficjalne źródła rejestrowe. Proces ten zapewnia, że dane w globalnej bazie danych LEI pozostają dokładne i aktualne.
Status każdego LEI można sprawdzić za pomocą narzędzia wyszukiwania LEI GLEIF lub poprzez wyszukiwarkę LEI System.
Dlaczego LEI jest praktycznym standardem zgodności z DORA
Regulatorzy DORA wybrali LEI, ponieważ rozwiązuje on problem, którego nie może rozwiązać żaden krajowy identyfikator: spójna, transgraniczna identyfikacja podmiotów prawnych w jednym, globalnie rozpoznawalnym formacie.
Krajowe numery rejestracyjne firm znacznie różnią się między krajami, nie zawsze są czytelne maszynowo i w ogóle nie obejmują podmiotów spoza UE. LEI, w przeciwieństwie do nich, zapewnia jeden spójny kod dla każdego podmiotu prawnego, niezależnie od miejsca jego zarejestrowania. Dodatkowo, ponieważ dane LEI są publicznie dostępne i weryfikowalne, instytucje finansowe mogą natychmiast sprawdzić dane dostawcy bez konieczności żądania dokumentów.
Dla instytucji finansowych zarządzających wieloma dostawcami ICT w różnych krajach, ta standaryzacja znacznie zmniejsza złożoność administracyjną związaną z przestrzeganiem DORA. Pojedyncze wyszukanie LEI dostarcza zweryfikowanych informacji o nazwie prawnej dostawcy, danych rejestracyjnych i strukturze własności — z których wszystkie są bezpośrednio związane z obowiązkami DORA w zakresie zarządzania ryzykiem stron trzecich.
Dla dostawców ICT posiadanie ważnego LEI ułatwia klientom instytucji finansowych prawidłowe włączenie ich do rejestru DORA. Dostawcy bez ważnego LEI, z drugiej strony, tworzą luki w zgodności dla swoich klientów, a tym samym ryzykują pogorszenie relacji biznesowych. GLEIF dostarcza dalszych informacji na temat tego, jak LEI wspiera ten proces w swoim przeglądzie wykorzystania LEI w regulacjach.
Co dostawcy ICT powinni zrobić teraz
Sprawdź, czy masz ważny LEI. Jeśli dostarczasz usługi ICT jakiejkolwiek instytucji finansowej regulowanej w UE, Twój klient musi Cię zidentyfikować w swoim Rejestrze Informacji DORA. Skontaktuj się z nim, aby potwierdzić, czy zarejestrował Twój LEI i czy jest on aktualnie aktywny.
Zarejestruj LEI, jeśli go nie masz. Proces jest w pełni cyfrowy i w większości jurysdykcji trwa do 24 godzin. Musisz podać nazwę prawną firmy, zarejestrowany adres i numer rejestracyjny. W większości przypadków system automatycznie weryfikuje te dane w oparciu o oficjalne rejestry handlowe. LEI System jest akredytowanym agentem rejestracyjnym GLEIF. Możesz rozpocząć rejestrację LEI już dziś.
Odnowij swój LEI, jeśli wygasł. Wygasły LEI musi zostać odnowiony, zanim Twoi klienci będą mogli go użyć w rejestrze DORA. Odnowienie przywraca status „Wydany” i ponownie weryfikuje dane referencyjne Twojej firmy. Możesz szybko odnowić swój LEI za pośrednictwem LEI System.
Utrzymuj swoje dane LEI aktualne. Jeśli zmieniła się nazwa Twojej firmy, zarejestrowany adres lub struktura własności, odpowiednio zaktualizuj swoje dane referencyjne LEI. Nieaktualne dane LEI stwarzają komplikacje w zakresie zgodności dla Twoich klientów instytucji finansowych, gdy przesyłają swój rejestr do władz krajowych.
DORA w kontekście szerszych regulacji UE
DORA nie działa w izolacji. Współistnieje z innymi regulacjami UE, które również wykorzystują LEI jako standardowy identyfikator dla podmiotów prawnych, w tym sprawozdawczość transakcji MiFID II, sprawozdawczość instrumentów pochodnych EMIR oraz rozporządzenie UE w sprawie płatności natychmiastowych. Dla podmiotów finansowych już używających LEI do sprawozdawczości transakcji, DORA dodaje zatem kolejny wymiar, a nie całkowicie nowy system.
Dodatkowo, DORA bezpośrednio łączy się z dyrektywą NIS2 (dyrektywa (UE) 2022/2555) w sprawie cyberbezpieczeństwa. DORA funkcjonuje jako akt sektorowy w ramach NIS2 dla podmiotów finansowych. Więcej na temat NIS2 i LEI można przeczytać w artykule NIS2 i LEI na tej stronie. Aby uzyskać szerszy przegląd działania LEI w ramach regulacji finansowych UE, zobacz Jak LEI działa w praktyce w UE.
DORA i LEI — kluczowe fakty w pigułce
Czym jest DORA? Rozporządzenie (UE) 2022/2554 w sprawie cyfrowej odporności operacyjnej dla sektora finansowego.
Kiedy DORA stała się stosowalna? 17 stycznia 2025 r.
Kto musi przestrzegać? Unijne podmioty finansowe i ich zewnętrzni dostawcy usług ICT, w tym dostawcy spoza UE obsługujący unijne instytucje finansowe.
Czego DORA wymaga w zakresie identyfikacji dostawców ICT? Ważnego i aktywnego LEI lub EUID, zgodnie z rozporządzeniem wykonawczym Komisji (UE) 2024/2956.
Który identyfikator ma zastosowanie do dostawców ICT spoza UE? Tylko LEI. EUID obejmuje wyłącznie podmioty zarejestrowane w UE.
Jaki status LEI spełnia wymogi DORA? Tylko „Wydany”. „Wygasły” LEI nie spełnia wymogu.
Gdzie mogę zarejestrować lub odnowić LEI? Za pośrednictwem akredytowanego agenta rejestracyjnego GLEIF, takiego jak LEI System.