Wraz z rozpoczęciem stosowania unijnego rozporządzenia (UE) 2022/2554 Digital Operational Resilience Act (DORA), które nastąpiło 17 stycznia 2025 r., podmioty działające w sektorze finansowym w Europie stanęły przed nowym wyzwaniem związanym z bezpieczeństwem i odpornością cyfrową. DORA wprowadza kompleksowe wymogi dotyczące zarządzania ryzykiem ICT, testowania odporności cyfrowej, zgłaszania poważnych incydentów oraz nadzoru nad zewnętrznymi dostawcami usług technologicznych. Regulacja ta obejmuje szeroki katalog podmiotów finansowych działających na rynku unijnym.
Wśród podmiotów objętych regulacją znajdują się nie tylko kluczowe instytucje finansowe takie jak banki, fundusze inwestycyjne czy zakłady ubezpieczeń, ale również szereg innych podmiotów, w tym m. in. dostawcy usług płatniczych, instytucje pieniądza elektronicznego, platformy obrotu oraz dostawcy usług z zakresu kryptoaktywów (CASP).
DORA wzmacnia ramy odpowiedzialności za odporność cyfrową w sektorze finansowym, obejmując nimi nie tylko instytucje regulowane, lecz także relacje z ich kluczowymi dostawcami usług ICT. W praktyce oznacza to, że podmioty świadczące zewnętrzne usługi chmurowe, dostarczające infrastrukturę, oprogramowanie lub systemy transakcyjne dla instytucji finansowych mogą zostać objęte wymogami DORA – pośrednio, poprzez obowiązki kontraktowe, a w określonych przypadkach także bezpośrednio, jako tzw. krytyczni dostawcy usług ICT.
Coraz częściej pojawia się więc pytanie, czy regulacja ta może mieć znaczenie również dla rynku Web3. W szczególności dotyczy to operatorów sieci blockchain, twórców zdecentralizowanych protokołów, struktur typu DAO oraz innych podmiotów dostarczających infrastrukturę opartą na technologii DLT (Distributed Ledger Technology).
Zdaniem Wojciecha Ługowskiego, odpowiedź na to pytanie nie jest jednoznaczna, jednak znaczenie tego zagadnienia systematycznie rośnie wraz z rosnącą rolą rozwiązań blockchain w sektorze finansowym.
Do podmiotów objętych regulacją DORA należą w szczególności:
- banki i instytucje kredytowe,
- firmy inwestycyjne oraz podmioty zarządzające funduszami,
- dostawcy usług płatniczych oraz instytucje pieniądza elektronicznego,
- podmioty prowadzące platformy obrotu instrumentami finansowymi,
- dostawcy usług w zakresie kryptoaktywów (CASP),
- zewnętrzni dostawcy usług ICT, których usługi są kluczowe dla funkcjonowania instytucji finansowych.
Blockchain jako infrastruktura ICT – czy to w ogóle możliwe?
Jedną z fundamentalnych cech technologii blockchain jest jej decentralizacja, ceniona przez użytkowników za odporność na awarie, brak jednego punktu kontroli oraz wysoki poziom transparentności. Z tego względu blockchain bywa postrzegany jako „zbyt zdecentralizowany”, aby mógł wchodzić w zakres regulacji takich jak DORA. W klasycznym ujęciu infrastruktura blockchainowa nie posiada jednego operatora, centrali ani pojedynczej instytucji odpowiedzialnej za funkcjonowanie sieci.
W praktyce jednak za działaniem wielu sieci DLT stoją konkretne podmioty i mechanizmy organizacyjne, takie jak fundacje lub konsorcja rozwijające protokół, wyselekcjonowane węzły walidujące, mechanizmy aktualizujące protokół czy scentralizowane elementy off-chain, w tym interfejsy użytkownika, mosty międzyłańcuchowe oraz warstwy integracyjne.
Jeżeli tego rodzaju komponenty są dostarczane lub utrzymywane na potrzeby instytucji finansowych – takich jak banki, platformy obrotu czy emitenci określonych rodzajów tokenów – mogą one zostać zakwalifikowane jako usługi ICT w rozumieniu DORA, a podmioty je świadczące mogą znaleźć się w zakresie oddziaływania tej regulacji.
Co istotne, DORA nie odnosi się do technologii blockchain jako takiej, lecz do konkretnego sposobu jej wykorzystania w regulowanym środowisku. Odpowiedzialność regulacyjna może więc spoczywać na podmiocie, który dostarcza interfejsy, zarządza portfelami powierniczymi (custodial), rozwija protokół lub utrzymuje infrastrukturę technologiczną wspierającą funkcje finansowe.
Co oznacza „odporność cyfrowa” w praktyce?
W rozumieniu DORA odporność cyfrowa oznacza zdolność instytucji finansowych do zapewnienia ciągłości i bezpieczeństwa działania systemów ICT, również w sytuacji korzystania z usług zewnętrznych dostawców technologii.
Regulacja wymaga, aby podmioty objęte DORA posiadały ramy organizacyjne i techniczne umożliwiające w szczególności:
- identyfikowanie oraz zarządzanie ryzykiem technologicznym,
- skuteczne reagowanie na incydenty ICT oraz zgłaszanie poważnych incydentów właściwym organom nadzoru,
- regularne testowanie odporności systemów (w tym testy penetracyjne w określonych przypadkach),
- utrzymywanie i testowanie planów ciągłości działania oraz planów awaryjnego odtworzenia (BCP, DRP),
- dokumentowanie i bieżące monitorowanie bezpieczeństwa operacyjnego.
W praktyce oznacza to, że podmioty z sektora Web3, które świadczą usługi ICT na rzecz instytucji finansowych, mogą zostać zobowiązane do spełniania określonych standardów bezpieczeństwa, raportowania incydentów oraz współpracy przy testach odporności.
Dla wielu projektów Web3 może to oznaczać konieczność stopniowego budowania struktur compliance, wyraźnego przypisania odpowiedzialności oraz opracowania podstawowych polityk i procedur, czego zdecentralizowane protokoły często dotychczas unikały.
Czy zdecentralizowane = poza regulacją?
DORA nie wymaga centralizacji – wymaga odpowiedzialności.
W przypadku instytucji finansowych odpowiedzialność ta spoczywa na podmiotach regulowanych, również wtedy, gdy korzystają one z rozwiązań zdecentralizowanych lub usług zewnętrznych dostawców technologii.
W praktyce oznacza to, że jeżeli aplikacja, protokół lub infrastruktura Web3 wspiera działalność podmiotów objętych DORA, jej twórcy lub operatorzy powinni liczyć się z koniecznością dostosowania swoich rozwiązań do określonych standardów bezpieczeństwa i ciągłości działania – przede wszystkim w ramach relacji kontraktowych z instytucjami regulowanymi, a w szczególnych przypadkach także w bezpośrednim reżimie nadzorczym.
Jeśli Twoja aplikacja, protokół lub infrastruktura wspiera podmioty objęte DORA, w praktyce oznacza to konieczność dostosowania się do jej zasad. Niektóre DAO, fundacje i zespoły mogą być zmuszone do formalizacji działalności (np. za pośrednictwem podmiotu prawnego), wyznaczenia kontaktów ds. zgodności i przygotowania na współpracę z nadzorem.
Podmiot świadczący usługi ICT na rzecz sektora finansowego nie może bowiem powoływać się wyłącznie na „decentralizację” – musi być w stanie wykazać, że jego rozwiązania działają w sposób bezpieczny, przejrzysty i odporny.
Co warto zrobić dziś?
- Sprawdź, czy twój produkt lub usługa jest wykorzystywana przez instytucje objęte DORA.
- Oceń, czy twoja infrastruktura wspiera ciągłość działania lub przetwarza dane operacyjne.
- Przygotuj podstawowe polityki bezpieczeństwa, dokumentację i strukturę odpowiedzialności.
Jeżeli planowana jest współpraca z podmiotami regulowanymi, warto z wyprzedzeniem przygotować się na pytania dotyczące zgodności z DORA. W realiach rynku finansowego odporność cyfrowa oznacza bowiem nie tylko zgodność regulacyjną, lecz także zaufanie.
Podsumowanie
DORA nie została zaprojektowana z myślą o rynku Web3, jednak coraz częściej oddziałuje na jego uczestników.
Projekty tworzące rozwiązania wykorzystywane przez sektor finansowy muszą liczyć się z tym, że ich technologie – niezależnie od stopnia innowacyjności czy decentralizacji – będą oceniane przez pryzmat wymogów odporności cyfrowej.
W praktyce oznacza to konieczność przygotowania się na spełnianie określonych standardów bezpieczeństwa, ciągłości działania i odpowiedzialności, zwłaszcza w relacjach z instytucjami regulowanymi.