Związek Dealerów Samochodów Interweniuje w sprawie Rozporządzenia DORA

ZDS wystosował pismo do Rzecznik Małych i Średnich Przedsiębiorców, Agnieszki Majewskiej, aby zwrócić uwagę na poważny problem wynikający z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie cyfrowej odporności operacyjnej sektora finansowego (DORA). Rozumiemy, że cel rozporządzenia — zwiększenie bezpieczeństwa i odporności cyfrowej sektora finansowego — jest istotny. Problem jednak dotyka branżę dealerską w sposób niezamierzony.

Rozporządzenie DORA dotyczy między innymi pośredników ubezpieczeniowych. Jak wiadomo, jest to jednym z elementów działalności dealerskiej. Rozporządzenie nakłada na podmioty zobowiązane szereg kluczowych obowiązków mających na celu zwiększenie ich „cyfrowej odporności operacyjnej”:

1. Wymaga ono ustanowienia i utrzymania kompleksowych ram zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT).
2. Nakłada obowiązek zarządzania incydentami związanymi z ICT, w tym monitorowania, klasyfikowania i terminowego zgłaszania poważnych incydentów do właściwych organów.
3. Podmioty są zobowiązane do regularnego testowania swojej odporności operacyjnej, w tym przeprowadzania zaawansowanych testów penetracyjnych opartych na zagrożeniach (TLPT) w przypadku kluczowych funkcji.
4. Rozporządzenie wprowadza szczegółowe wymogi dotyczące zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT, w tym konieczność oceny ryzyka koncentracji i kluczowych postanowień umownych.
5. Wprowadza także wymóg prowadzenia i aktualizowania rejestru informacji dotyczących umów z zewnętrznymi dostawcami usług ICT.
6. DORA promuje również dobrowolną wymianę informacji i analiz na temat cyberzagrożeń i luk w zabezpieczeniach między podmiotami w celu zwiększenia wspólnej odporności.

Zgodnie z DORA, pośrednicy ubezpieczeniowi będący mikro, małymi i średnimi przedsiębiorcami (MŚP) są wyłączeni z jego obowiązków. Niestety, w przypadku firm dealerskich, choć formalnie są pośrednikami ubezpieczeniowymi, ich obrót z tej działalności stanowi marginalny procent całego obrotu przedsiębiorstwa. Ze względu na duży obrót związany ze sprzedażą samochodów, większość firm dealerskich jest klasyfikowana jako duży przedsiębiorca. To sprawia, że są objęci obowiązkami DORA, pomimo że w odniesieniu do pośrednictwa ubezpieczeniowego ich skala działania jest analogiczna do MŚP.

ZDS podkreśla, że traktowanie dealerów jako dużych przedsiębiorców w tym kontekście nakłada nieproporcjonalne obciążenia finansowe i administracyjne. Wprowadzenie i utrzymanie systemów zgodnych z DORA wymagałoby znaczących inwestycji, które są nieuzasadnione w świetle bardzo małego obrotu generowanego z działalności pośrednictwa ubezpieczeniowego.

W związku z tą sytuacją, ZDS zwrócił się do Pani Rzecznik z prośbą o wsparcie w tej sprawie. Uważamy, że konieczne jest wprowadzenie rozwiązań legislacyjnych, które wyłączyłyby z zakresu obowiązywania Rozporządzenia DORA te podmioty, dla których pośrednictwo ubezpieczeniowe jest działalnością marginalną w stosunku do całości obrotów. Wierzymy, że interwencja Pani Rzecznik przyczyni się do uregulowania tej kwestii w sposób sprawiedliwy i proporcjonalny.