Am 18. April hat die polnische Regierung offiziell mit der Arbeit an einem Gesetz begonnen, mit dem die Bestimmungen von Digital Operational Resilience Act (im Folgenden „DORA“) in die nationale Rechtsordnung umgesetzt werden.  Die neue Regelung verfolgt in erster Linie das Ziel, die bereits geltenden Rechtsbestimmungen an die durch DORA eingeführten Grundsätze anzupassen. Geändert werden demnach die sogenannten Sektorgesetze, die sich auf einzelne Finanzmarktsektoren wie den Zahlungsverkehr, das Bankwesen oder die Versicherungen beziehen.

Der polnische Gesetzgeber hat beschlossen, von der in Art. 2 Abs. 4 DORA vorgesehenen sogenannten „nationalen Option“ keinen Gebrauch zu machen, in dem Umfang, in dem sie den Ausschluss der Anwendung der Bestimmungen von DORA auf die auf dem polnischen Markt tätigen „Spółdzielcze Kasy Oszczędnościowo – Kredytowe“ (Genossenschaftliche Spar- und Kreditgenossenschaften) im Sinne von Art. 2 Abs. 5 Nr. 18 der Richtlinie 2013/36/EU ermöglicht. Zum gegenwärtigen Zeitpunkt ist jedoch der Rechtsstatus der in derselben Bestimmung genannten Bank Gospodarstwa Krajowego nicht klar. Das Gesetz zur Umsetzung von DORA sieht zudem die Umsetzung der Bestimmungen über die Übertragung von Aufsichtsbefugnissen über Finanzunternehmen auf die zuständigen nationalen Behörden vor. Nach den Bestimmungen von DORA wird die polnische Finanzmarktaufsichtsbehörde (KNF) berechtigt sein, Verwaltungssanktionen zu verhängen und Kontrollen und Ermittlungen bei Finanzunternehmen durchzuführen.

An dieser Stelle ist es wichtig, auf einige gesetzgeberische Fehler hinzuweisen, die den Verfassern des Umsetzungsgesetzes bei der Ausarbeitung des Gesetzes unterlaufen sind. Das Gesetz unterscheidet nämlich nicht zwischen den Begriffen „Kontrolle“ und „Ermittlung“, die in Art. 50 Abs. 2 von DORA beschrieben sind. Infolgedessen kann einigen Bestimmungen des Gesetzes vorgeworfen werden, dass sie terminologisch unklar sind und manchmal sogar im Widerspruch zu den Bestimmungen von DORA stehen. Das Gesetz befindet sich derzeit in der Phase der öffentlichen Konsultation, so dass zu hoffen ist, dass die Verfasser die diesbezüglichen Kommentare der juristischen Fachwelt und der Finanzunternehmen berücksichtigen und die oben genannten Bedenken klären werden.

Das Gesetz bedarf auch der Feinabstimmung aufgrund des Katalogs von Unternehmen, die unter die Aufsicht der Finanzmarktaufsichtsbehörde (KNF) fallen. Infolge gesetzgeberischer Regelungslücken werden trotz des wörtlichen Wortlauts von Art. 2 Abs. 1 Buchst. b) in dieser Hinsicht Unternehmen, die nach Art. 32 Abs. 1 PSD2 von der Anwendung bestimmter Vorschriften ausgenommen sind, nicht unter die Aufsicht der KNF gestellt.

In diesem Zusammenhang kann zusätzlich darauf hingewiesen werden, dass die Finanzunternehmen, die zur Anwendung von DORA verpflichtet sind, von bestimmten Pflichten aus der Richtlinie NIS2 umfasst sind. Dies ergibt sich aus der Umsetzung von Art. 19 Abs. 1 UAbs. 6 DORA in das Umsetzungsgesetz von NIS2. IInfolgedessen werden Finanzunternehmen, die im Rahmen der NIS2 als wichtig oder entscheidend eingestuft werden verpflichtet sein, den Computersicherheits-Ereignis- und Reaktionsteams (Computer Security Incident Response Teams CSIRT) „Erstmeldungen“ und „Einzelberichte“ über ernste IKT-Vorfälle zu übermitteln.

Das Gesetz unterscheidet nämlich nicht zwischen den Begriffen „Inspektionen“ und „Untersuchungen“, wie sie in Artikel 50 Absatz 2 DORA beschrieben sind. An die Arbeiten zur Umsetzung der Anforderungen von DORA in die polnische Rechtsordnung hat sich auch die KNF angeschlossen. In letzter Zeit ist ein sogenannter „Selbstbewertungsfragebogen“ an die Finanzunternehmen verteilt worden, mit dem die KNF detaillierte Informationen von den Finanzunternehmen über die Anwendung der Sicherheitsvorschriften im Zusammenhang mit der Nutzung von IKT, die sich aus DORA ergeben, einholt. Nach Angaben der KNF soll die Umfrage nicht nur dazu dienen, der Aufsichtsbehörde relevante Informationen zu liefern, sondern auch den Finanzunternehmen die Möglichkeit geben, die Anforderungen von DORA besser zu verstehen.