Czy Rozporządzenie DORA i Wytyczne w sprawie outsourcingu mają zastosowanie do VASP w Polsce?

Wejście w życie Rozporządzenia (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego (dalej: „DORA”) oznacza dla jego adresatów obowiązek dostosowania się przede wszystkim do wymogów outsourcingu usług o charakterze teleinformatycznym. Jednocześnie do instytucji finansowych adresowane są w tym zakresie postanowienia Wytycznych EBA w sprawie outsourcingu (dalej: „Wytyczne w sprawie outsourcingu”), tj. regulacje z zakresu soft law. Z punktu widzenia sektora walut wirtualnych na tle tych przepisów pojawia się szereg pytań natury praktycznej.

W tym kontekście w Polsce jednym z podstawowych pytań jest: Czy DORA i Wytyczne w sprawie outsourcingu mają zastosowanie do VASP'ów (virtual asset service providers), tj. podmiotów zobowiązanych do uzyskania wpisu do rejestru działalności w zakresie walut wirtualnych w Polsce.

Aby odpowiedzieć na to pytanie, należy w pierwszej kolejności wskazać, że DORA skierowana jest do podmiotów finansowych. Z kolei art. 2 ust. 1 lit. f) DORA wskazuje, że DORA ma zastosowanie m.in. do dostawców usług kryptowalutowych posiadających zezwolenie wydane na podstawie rozporządzenia MiCA, a więc do podmiotów posiadających status CASP. Skoro zatem VASPy w obecnym stanie prawnym nie są jeszcze licencjonowanymi CASP w rozumieniu rozporządzenia MiCA, to DORA nie będzie miała do nich zastosowania do czasu uzyskania przez nich takiej licencji.

Podobnie wygląda sytuacja VASP w kontekście wspomnianych Wytycznych w sprawie outsourcingu. Mianowicie, Wytyczne w sprawie outsourcingu skierowane są do podmiotów będących instytucjami finansowymi, takich jak instytucje kredytowe, firmy inwestycyjne czy instytucje płatnicze. Podmioty te działają w sektorach rynku finansowego dotychczas regulowanych przez prawodawcę unijnego.

Tym samym, w obu przypadkach należy stwierdzić, że podmioty posiadające status VASP w Polsce staną się adresatami obowiązków określonych w obu omawianych źródłach dopiero w momencie uzyskania licencji CASP na podstawie Rozporządzenia MiCA, tj. gdy jednocześnie staną się pełnoprawnymi podmiotami finansowymi.