Νομοσχέδιο με τίτλο «Ο περί της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας του Χρηματοοικονομικού Τομέα Νόμος του 2025»
ΥΟ-Δ/νση Χρηματοοικονομικών Υπηρεσιών – Κεφαλαιαγορά
ΚΥΠΡΙΑΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΚΩΝ
ΔΗΜΟΣΙΑ ΔΙΑΒΟΥΛΕΥΣΗ
Αναφορικά με προτεινόμενο νομοσχέδιο με τίτλο «Ο περί της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας του Χρηματοοικονομικού Τομέα Νόμος του 2025»
Το Υπουργείο Οικονομικών, στα πλαίσια θέσπισης αποτελεσματικών ρυθμίσεων και διαδικασιών διαβούλευσης με τους συμμετέχοντες στην αγορά, όσον αφορά τις προτεινόμενες αλλαγές στην εθνική νομοθεσία, κυκλοφορεί το παρόν έγγραφο για σκοπούς υποβολής απόψεων.
Το Υπουργείο Οικονομικών έχει προβεί στην ετοιμασία του προτεινόμενου νομοσχεδίου με τίτλο «Ο περί της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας του Χρηματοοικονομικού Τομέα Νόμος του 2025».
Στις 27.12.2022 δημοσιεύθηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (L 333/1) ο Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 («Κανονισμός DORA» – Digital Operational Resilience Act).
Ο σκοπός της εφαρμογής του Κανονισμού DORA είναι να ενισχύσει την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα στην ΕΕ, διασφαλίζοντας ότι όλα τα χρηματοπιστωτικά ιδρύματα μπορούν:
- να αντέχουν, να ανταποκρίνονται και να ανακάμπτουν αποτελεσματικά από διαταραχές πληροφορικής και κυβερνοεπιθέσεις,
- να διαχειρίζονται κινδύνους που συνδέονται με ΤΠΕ (Τεχνολογίες Πληροφορικής και Επικοινωνιών),
- να εφαρμόζουν ομοιόμορφους κανόνες σε όλη την ΕΕ για τον έλεγχο των κινδύνων ΤΠΕ, ανεξάρτητα από το μέγεθος ή τον τύπο του ιδρύματος.
Σύμφωνα με το άρθρο 46 του Κανονισμού DORA, τα Κράτη Μέλη ορίζουν και κοινοποιούν τις αρμόδιες αρχές που είναι υπεύθυνες για την άσκηση των αρμοδιοτήτων και των καθηκόντων που προβλέπονται στον κανονισμό. Σε αυτή τη βάση και για σκοπούς κατανομής των αρμοδιοτήτων των αρμοδίων αρχών, στις 14.8.2025 εκδόθηκε Γνωστοποίηση του Υπουργού Οικονομικών (Κ.Δ.Π. 252/2025) στην Επίσημη Εφημερίδα της Κυπριακής Δημοκρατίας.
Για σκοπούς πληρέστερης νομοθετικής αντιμετώπισης, οι εξουσίες των αρμόδιων αρχών για σκοπούς εφαρμογής του Κανονισμού DORA, έχουν περιληφθεί και σε σχετικό εφαρμοστικό νομοσχέδιο που ετοιμάστηκε και το οποίο έτυχε διαβούλευσης με τις αρμόδιες αρχές [Κεντρική Τράπεζα της Κύπρου («ΚΤΚ»), Επιτροπή Κεφαλαιαγοράς Κύπρου («ΕΚΚ»), Έφορο Ασφαλίσεων και Έφορο Ιδρυμάτων Επαγγελματικών Συνταξιοδοτικών Παροχών] για το διαχωρισμό των αρμοδιοτήτων τους. Οι αρμόδιες αρχές συμφώνησαν με την κατανομή των αρμοδιοτήτων ως αυτές καταγράφονται στο νομοσχέδιο.
Επίσης, το Υπουργείο διαμόρφωσε το εν λόγω νομοσχέδιο, καθορίζοντας μεταξύ άλλων και το ύψος των ποινών που θα μπορούν να επιβάλλουν οι αρμόδιες αρχές σε περίπτωση παραβίασης των διατάξεων του νομοσχεδίου και του Κανονισμού DORA Σημειώνεται ότι οι πρόνοιες για ποινές για παραβάσεις στο προτεινόμενο εφαρμοστικό νομοσχέδιο του Κανονισμού DORA, ακολουθούν τις αντίστοιχες για τις παραβάσεις του σχετικού Νόμου της Αρχής Ψηφιακής Ασφάλειας (ΑΨΑ) που αφορά το ίδιο θέμα, δηλαδή στη βάση του άρθρου 43Α του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2020 [Ν.89(Ι)/2020], για επιβολή διοικητικών προστίμων ύψους κατ’ ανώτατο όριο τουλάχιστον δέκα εκατομμύριων ευρώ (€10.000.000). Ο λόγος είναι ότι ο Ν.89(Ι)/2020 εφαρμόζεται για τη ψηφιακή επιχειρησιακή ανθεκτικότητα των πλείστων οντοτήτων στην Κυπριακή Δημοκρατία, με εξαίρεση, μεταξύ άλλων, των οντοτήτων του χρηματοπιστωτικού τομέα που καλύπτονται από τον Κανονισμό DORA (ο οποίος αποτελεί lex specialis για τις χρηματοπιστωτικές υπηρεσίες).
Το Υπουργείο Οικονομικών σας καλεί όπως υποβάλετε τα σχόλια ή απόψεις σας, μέχρι τις 3.11.2025.
- Ανοικτή
- Αναρτήθηκε
02 Οκτ 2025 @ 0:00 - Ανοικτή σε σχόλια ως
03 Νοέ 2025 @ 23:50 - 3 σχόλια
Ορισμός “πιστωτικό ίδρυμα”: Παρατηρούμε και σημειώνουμε ότι στον ορισμό του πιστωτικού ιδρύματος γίνεται αναφορά σε ορισμό που αποδίδεται στον όρο αυτό από τον Κανονισμό DORA. Επί τούτου, θα θέλαμε να επισημάνουμε ότι ο Κανονισμός DORA στο άρθρο 3 στοιχείο 31 δεν δίνει ορισμό του πιστωτικού ιδρύματος απλά παραπέμπει στον ορισμό που αποτυπώνεται στον Κανονισμό (ΕΕ) αρ. 575/2013. Επομένως, νομοτεχνικά είναι ορθότερο όπως αποτυπωθεί ο ορισμός του εν λόγω Κανονισμού στο Νομοσχέδιο ως ακολούθως: “πιστωτικό ίδρυμα έχει την έννοια που αποδίδεται στον όρο αυτό από το άρθρο 4 παράγραφος 1 σημείο 1) του κανονισμού (ΕΕ) αριθ. 575/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου».
Άρθρο 5(3) του Νομοσχεδίου- Σε ό,τι αφορά το άρθρο 5(3) παρατηρούμε καταρχήν και σημειώνουμε ότι δεν υπάρχει ορισμός στο Νομοσχέδιο για τον όρο «χρηματοοικονομική οντότητα». Εισήγηση του Συνδέσμου είναι όπως ενσωματωθεί σχετικός ορισμός που να αποσαφηνίζει ότι «χρηματοοικονομικές οντότητες είναι οι οντότητες που υπόκεινται σε εποπτεία σύμφωνα με το άρθρο 4(1) του Νομοσχεδίου»
Άρθρο 5(3) του Νομοσχεδίου- Σε ό,τι αφορά το άρθρο 5(3) παρατηρούμε καταρχήν και σημειώνουμε ότι δεν υπάρχει ορισμός στο Νομοσχέδιο για τον όρο «χρηματοοικονομική οντότητα». Εισήγηση του Συνδέσμου είναι όπως ενσωματωθεί σχετικός ορισμός που να αποσαφηνίζει ότι «χρηματοοικονομικές οντότητες είναι οι οντότητες που υπόκεινται σε εποπτεία σύμφωνα με το άρθρο 4(1) του Νομοσχεδίου.» Παρατηρούμε ότι έχει ενσωματωθεί στο Νομοσχέδιο η εξουσία επιβολής διοικητικού προστίμου. Η θέση του Συνδέσμου Τραπεζών είναι ότι πριν την επιβολή διοικητικού προστίμου θα πρέπει να δίδεται το δικαίωμα στο εποπτευόμενο πιστωτικό ίδρυμα να προβεί σε παραστάσεις και να παραθέσει υπερασπίσεις όπως κατ’ αναλογία γίνεται στην περίπτωση των κρίσιμων τρίτων πάροχων υπηρεσιών ΤΠΕ σύμφωνα με το άρθρο 35(11) του Κανονισμού DORA ούτως ώστε να επιτυγχάνεται η δίκαιη και ίση μεταχείριση των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής του εν λόγω Κανονισμού.Περαιτέρω και όσον αφορά το πρόστιμο για συνέχιση της παράβασης θα θέλαμε να επισημάνουμε ότι θα πρέπει να δίδεται ένα εύλογο χρονικό διάστημα στην χρηματοοικονομική οντότητα προκειμένου να συμμορφωθεί και μόνο μετά την πάροδο της χρονικής προθεσμίας εάν και εφόσον δεν υπάρχει συμμόρφωση να λαμβάνονται μέτρα για συνεχιζόμενη παράβαση. Χωρίς επηρεασμό της πιο πάνω θέσης μας, θα θέλαμε να εκφράσουμε τον έντονο προβληματισμό μας για το ύψος των διοικητικών προστίμων το οποίο, κατά την άποψη μας, δεν δικαιολογείται από τη διαχρονικά εποικοδομητική σχέση που υπάρχει μεταξύ της εποπτικής αρχής και των πιστωτικών ιδρυμάτων αλλά και από τους πόρους που αφιερώθηκαν από τα πιστωτικά ιδρύματα για σκοπούς συμμόρφωσης με τον Κανονισμό DORA. Περαιτέρω, το ύψος των προστίμων των χρηματοοικονομικών οντοτήτων (συμπεριλαμβανομένων των πιστωτικών ιδρυμάτων) θα ήταν δυσανάλογο να εξομοιωθεί με το ύψος των προστίμων που δύναται να επιβληθούν σε κρίσιμους τρίτους πάροχους υπηρεσιών ΤΠΕ και άλλους σημαντικούς παρόχους υπηρεσιών γιατί οι χρηματοοικονομικές οντότητες στην πλειοψηφία τους δεν παρέχουν υπηρεσίες ΤΠΕ σε τρίτους επομένως δεν εκθέτουν την αγορά στους κινδύνους και δεν δύναται να προκαλέσουν τις συστημικές κρίσεις που ενδεχομένως να μπορούν να προκαλέσουν οι κρίσιμοι τρίτοι πάροχοι υπηρεσιών ΤΠΕ.
΄Άρθρο 5(4)(γ) Η θέση του Συνδέσμου Τραπεζών είναι ότι το λεκτικό «στο βαθμό που επιτρέπεται από το κυπριακό δίκαιο» πάσχει από νομοτεχνικής πλευράς. Θα πρέπει να διαπιστωθεί κατά πόσο επιτρέπεται από το κυπριακό δίκαιο η παροχή της εν λόγω εξουσίας στην αρμόδια αρχή και εάν επιτρέπεται να αποτυπωθεί η εν λόγω εξουσία στο κείμενο του Νομοσχεδίου χωρίς να τελεί υπό οποιαδήποτε αίρεση, ούτως ώστε να υπάρχει νομική σαφήνεια.
Άρθρο 5(4)(ε)(i) Η θέση του Συνδέσμου Τραπεζών είναι ότι δεν μπορεί να αποδοθεί προσωπική ευθύνη σε φυσικά πρόσωπα – στελέχη της χρηματοικονομικής οντότητας για συλλογικές επιχειρηματικές αποφάσεις. Οι αποφάσεις που λαμβάνονται από ένα νομικό πρόσωπα για τις ενέργειες/μέτρα που θα ληφθούν για σκοπούς συμμόρφωσης με το νομικό πλαίσιο είναι συλλογικές, επιχειρηματικές αποφάσεις και ως εκ τούτου δεν μπορούν να αποδοθούν απομονωμένα ευθύνες σε οποιοδήποτε φυσικό πρόσωπο/στέλεχος του οργανισμού. Παρατηρούμε επίσης και σημειώνουμε ότι ο Κανονισμός DORA δεν προνοεί ρητά για δυνατότητα επιβολής διοικητικού προστίμου/χρηματικής ποινής σε φυσικό πρόσωπο/στέλεχος κρίσιμου τρίτου πάροχου υπηρεσιών ΤΠΕ. Επομένως, η θέσπιση μιας τέτοιας ποινής για τα στελέχη των χρηματοοικονομικών οντοτήτων θα οδηγήσει σε άνιση μεταχείριση των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού DORA. Επαναλαμβάνουμε επίσης το σχόλιο μας για το άρθρο 5(3) του Νομοσχεδίου για το ύψος των διοικητικών προστίμων. Ενόψει των πιο πάνω, ο Σύνδεσμος Τραπεζών εισηγείται όπως το άρθρο 5(4)(ε)(i) του Νομοσχεδίου διαγραφεί.
Άρθρο 5(4)(ε)(ii)H θέση του Συνδέσμου Τραπεζών είναι ότι πριν την επιβολή διοικητικού προστίμου σε νομικό πρόσωπο θα πρέπει να δίδεται το δικαίωμα στο ενδιαφερόμενο πρόσωπο να προβεί σε παραστάσεις και να παραθέσει υπερασπίσεις όπως κατ’ αναλογία γίνεται στην περίπτωση των κρίσιμων τρίτων πάροχων υπηρεσιών ΤΠΕ σύμφωνα με το άρθρο 35(11) του Κανονισμού DORA ούτως ώστε να επιτυγχάνεται η δίκαιη και ίση μεταχείριση των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής του εν λόγω Κανονισμού.
Άρθρο 10(1) – Ο Σύνδεσμος Τραπεζών Κύπρου εισηγείται την προσθήκη λεκτικού στο άρθρο 10(1) ούτως ώστε το εν λόγω άρθρο να διαμορφωθεί ως εξής:
“Με την επιφύλαξη των διατάξεων του εδαφίου (2), τα διοικητικά πρόστιμα που επιβάλλονται και εισπράττονται σύμφωνα με τις διάταξεις του παρόντος Νόμου, εφόσον έχει παρέλθει η προθεσμία για καταχώρηση προσφυγής ή σε περίπτωση καταχώρησης της εφόσον το Διοικητικό Δικαστήριο επικύρωσε την απόφαση της αρμόδιας αρχής, λογίζονται ως έσοδα του Πάγιου Ταμείου της Δημοκρατίας.” Το προτεινόμενο λεκτικό αποσκοπεί στην απαραίτητη διευκρίνιση ότι τυχόν διοικητικό πρόστιμο θα εισπράττεται είτε μετά την εκπνοή της προθεσμίας για καταχώρηση προσφυγής ή κατόπιν επικύρωσης της απόφασης της αρμόδιας αρχής από το Δικαστήριο. Το εν λόγω λεκτικό συνάδει και με το άρθρο 50(6) του Κανονισμού DORA το οποίο επιτάσσει την παροχή δικαιώματος προσφυγής κατά απόφασης αρμόδιας αρχής.
Άρθρο 11(1) Σε ό,τι αφορά το θέμα των εποπτικών τελών, παρατηρούμε καταρχήν ότι δεν γίνεται αναφορά στη φύση ή στο ύψος των τελών προκειμένου να τοποθετηθούν επί του θέματος οι επηρεαζόμενες χρηματοοικονομικές οντότητες. Επί του θέματος αυτού θα θέλαμε να επισημάνουμε ότι ο Κανονισμός DORA δεν παρέχει ρητά εξουσία επιβολής εποπτικών τελών σε εποπτευόμενους χρηματοοικονομικούς οργανισμούς. Ο εν λόγω Κανονισμός προνοεί ρητά και ξεκάθαρα μόνο για την επιβολή εποπτικών τελών από τον κύριο εποπτικό φορέα (Lead Overseer) προς τους κρίσιμους τρίτους πάροχους υπηρεσιών ΤΠΕ (άρθρο 43 του Κανονισμού). Εάν ο Ευρωπαίος νομοθέτης επιθυμούσε να επεκτείνει το πιο πάνω δικαίωμα και στις εθνικές εποπτικές αρχές θα το προνοούσε ρητά στον Κανονισμό DORA. Ενόψει των πιο πάνω, η θέση του Συνδέσμου Τραπεζών, είναι ότι δεν δύναται να επιβληθούν, δυνάμει του Κανονισμού DORA, τέλη και συνδρομές από την Κεντρική Τράπεζα της Κύπρου στα πιστωτικά ιδρύματα. Ενισχυτική της πιο πάνω θέσης μας είναι και η αξιοσημείωτη απουσία αναφοράς στον Έφορο Ασφαλίσεων, ο οποίος διαφαίνεται ότι δεν διεκδικεί τέλη και συνδρομές από τους εποπτευόμενους του, δυνάμει του εν λόγω Κανονισμού.
Χωρίς επηρεασμό της πιο πάνω θέσης μας, θα θέλαμε να επισημάνουμε ότι σε κάθε περίπτωση θα πρέπει να αποφευχθούν διπλά εποπτικά τέλη, ήτοι, τέλη στις χρηματοοικονομικές οντότητες δυνάμει του παρόντος Νόμου και/ή του Κανονισμού (ΕΕ) αριθ. 2022/2554 (ο οποίος αποτελεί lex specialis για τα χρηματοπιστωτικά ιδρύματα) και τέλη από άλλους νόμους και κανονισμούς που ρυθμίζουν θέματα κυβερνοασφάλειας ή ασφάλειας δικτύων και συστημάτων πληροφοριών και επικοινωνιών.
Ενόψει των πιο πάνω, η θέση του Συνδέσμου είναι ότι θα πρέπει να διαγραφεί το άρθρο 11 που προνοεί για δυνατότητα επιβολής τελών και συνδρομών στις εποπτευόμενες χρηματοοικονομικές οντότητες. Σε περίπτωση μη διαγραφής της εν λόγω πρόνοιας καθίσταται επιτακτική η ενσωμάτωση του ακόλουθου προτεινόμενου λεκτικού/επιφύλαξης στο άρθρο 11(1):
11.-(1) Η Επιτροπή Κεφαλαιαγοράς και η Κεντρική Τράπεζα δύναται με Οδηγία τους, στο πλαίσιο εφαρμογής των διατάξεων του Κανονισμού (ΕΕ) αριθ. 2022/2554, να καθορίζουν τέλη και συνδρομές.
Νοείται ότι δεν θα επιβάλλονται διπλά εποπτικά τέλη ή συνδρομές στις χρηματοοικονομικές οντότητες για σκοπούς διασφάλισης της κυβερνοασφάλειας και της ψηφιακής επιχειρησιακής ανθεκτικότητας, ήτοι, τέλη δυνάμει του παρόντος Νόμου ή του Κανονισμού (ΕΕ) αριθ. 2022/2554 και τέλη δυνάμει άλλων Νόμων ή Κανονισμών ή Οδηγιών που αφορούν ή ρυθμίζουν θέματα κυβερνοασφάλειας ή ασφάλειας δικτύων και συστημάτων πληροφοριών και επικοινωνιών.
Θέσεις Συνδέσμου Ασφαλιστικών Εταιρειών Κύπρου (ΣΑΕΚ) σχετικά με το Νομοσχέδιο με τίτλο «Ο Περί της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας του Χρηματοοικονομικού Τομέα Νόμος του 2025».
Μέρος ΙΙΙ: «Εξουσίες Αρμοδίων Αρχών – Διοικητικές Κυρώσεις και Διορθωτικά Μέτρα»
Άρθρο 5 (3)
Ο Σύνδεσμος Ασφαλιστικών Εταιρειών Κύπρου (ΣΑΕΚ) εκφράζει την έντονη ανησυχία του αναφορικά με τις πρόνοιες του Μέρους ΙΙΙ του νομοσχεδίου, το οποίο καθορίζει τις εξουσίες των αρμόδιων αρχών και το πλαίσιο επιβολής διοικητικών κυρώσεων και διορθωτικών μέτρων. Ο ΣΑΕΚ θεωρεί ότι το ύψος των προβλεπόμενων κυρώσεων είναι υπέρμετρα υψηλό και υπερβαίνει την αναλογία μεταξύ του σκοπού και του αναγκαίου επιπέδου συμμόρφωσης που θέτει ο Κανονισμός (ΕΕ) 2022/2554 – DORA. Ενώ ο DORA έχει ως στόχο να καθορίσει ένα ενιαίο, αναλογικό και συνεκτικό πλαίσιο για την ενίσχυση της επιχειρησιακής ανθεκτικότητας των χρηματοοικονομικών φορέων, το προτεινόμενο εθνικό νομοσχέδιο φαίνεται να υιοθετεί ένα αυστηρότερο καθεστώς κυρώσεων και προστίμων, το οποίο δεν επιβάλλεται από τον Κανονισμό. Με αυτόν τον τρόπο αλλοιώνεται η φιλοσοφία του DORA, ο οποίος έχει σχεδιαστεί ως εργαλείο συμμόρφωσης και ενίσχυσης της ανθεκτικότητας και όχι ως πλαίσιο διοικητικής ή ποινικοποιημένης ευθύνης.
Παράλληλα, το Μέρος ΙΙΙ του νομοσχεδίου περιλαμβάνει ρυθμίσεις που παραπέμπουν σε αρχές της Οδηγίας NIS2. Η Οδηγία αυτή αφορά οντότητες και υποδομές που έχουν κατηγοριοποιηθεί ως κρίσιμες, ενώ η ένταξη των ασφαλιστικών επιχειρήσεων στο πεδίο εφαρμογής της, εξαρτάται από την προσέγγιση κάθε κράτους μέλους. Δεδομένου ότι ο χρηματοοικονομικός τομέας ρυθμίζεται ήδη από τον Κανονισμό DORA, η εισαγωγή ανάλογων απαιτήσεων στον ασφαλιστικό κλάδο δεν είναι πλήρως προσαρμοσμένη στις ιδιαιτερότητές του και μπορεί να οδηγήσει σε υπερρύθμιση, δημιουργώντας αποκλίσεις και αθέμιτο ανταγωνισμό μεταξύ κρατών μελών, σε αντίθεση με το πνεύμα του DORA που επιδιώκει συνεκτικότητα και αναλογικότητα σε ενωσιακό επίπεδο.
Ο ΣΑΕΚ θεωρεί ότι οι διοικητικές κυρώσεις και τα πρόστιμα θα πρέπει να διαμορφώνονται με βάση την αρχή της αναλογικότητας, λαμβάνοντας υπόψη το μέγεθος, τη φύση και τα ιδιαίτερα χαρακτηριστικά κάθε εποπτευόμενης οντότητας. Η επιβολή υπέρμετρων προστίμων ενδέχεται να επιβαρύνει δυσανάλογα τις ασφαλιστικές επιχειρήσεις, προκαλώντας στρεβλώσεις στην αγορά και υπονομεύοντας την ανταγωνιστικότητα του κυπριακού ασφαλιστικού τομέα. Επιπλέον, κρίνεται αναγκαίο να αποτραπεί η αλληλοεπικάλυψη και η διπλή επιβολή κυρώσεων σε περιπτώσεις όπου παραβιάσεις εμπίπτουν ταυτόχρονα σε περισσότερα κανονιστικά πλαίσια, όπως για παράδειγμα στον DORA και τον GDPR. Για τις ίδιες πράξεις δεν θα πρέπει να επιβάλλονται σωρευτικές κυρώσεις, αλλά να λαμβάνεται υπόψη η αρμοδιότητα της εκάστοτε εποπτικής αρχής.
Επιπρόσθετα, ο Κανονισμός DORA στο Άρθρο 50 προβλέπει ρητά ότι «ο χαρακτήρας των εν λόγω κυρώσεων και μέτρων είναι αποτελεσματικός, αναλογικός και αποτρεπτικός». Η πρόνοια αυτή καθιστά σαφές ότι οι διοικητικές κυρώσεις που επιβάλλονται σε εθνικό επίπεδο πρέπει να τηρούν την αρχή της αναλογικότητας και να μην υπερβαίνουν τα όρια που είναι αναγκαία για την επίτευξη του σκοπού του Κανονισμού. Συνεπώς, το προτεινόμενο εθνικό πλαίσιο, με τα ιδιαίτερα υψηλά πρόστιμα που προβλέπει, αποκλίνει ουσιαστικά από την πρόθεση του ίδιου του ευρωπαίου νομοθέτη.
Τέλος, ο ΣΑΕΚ θεωρεί οξύμωρο το γεγονός ότι τα πρόστιμα που προβλέπονται από το νομοσχέδιο είναι πολλαπλάσια από εκείνα που ισχύουν σήμερα για παραβάσεις κανόνων εταιρικής διακυβέρνησης (Governance), όπως αυτά επιβάλλονται από τον Έφορο Ελέγχου Ασφαλιστικών Εταιρειών. Οι προτεινόμενες κυρώσεις είναι δυσθεώρητες και εκτός των ορίων των υφιστάμενων θεσμοθετημένων πλαισίων, γεγονός που δημιουργεί ανασφάλεια δικαίου και δυσανάλογη επιβάρυνση για τις ασφαλιστικές επιχειρήσεις. Κατά συνέπεια, οι προβλεπόμενες κυρώσεις θα πρέπει να ευθυγραμμιστούν με τα ήδη θεσμοθετημένα επίπεδα διοικητικών προστίμων που εφαρμόζει η αρμόδια αρχή σήμερα, διασφαλίζοντας έτσι τη συνοχή, τη δικαιοσύνη και την αναλογικότητα του πλαισίου.
Ο ΣΑΕΚ εισηγείται όπως το Μέρος ΙΙΙ του νομοσχεδίου αναθεωρηθεί, ώστε να ευθυγραμμιστεί πλήρως με τη φιλοσοφία και το πνεύμα του Κανονισμού DORA, να αποφευχθεί η υπερρύθμιση και η αλληλοεπικάλυψη με άλλες ευρωπαϊκές πράξεις και να διασφαλιστεί η ισότιμη και αναλογική μεταχείριση όλων των εποπτευόμενων φορέων του χρηματοοικονομικού τομέα.
Άρθρα 6 (2) και 6 (3) – Ποινικές κυρώσεις
Ο ΣΑΕΚ εκφράζει τη σαφή του διαφωνία με την πρόνοια του νομοσχεδίου που εισάγει προσωπική και ποινική ευθύνη των μελών των Διοικητικών Συμβουλίων, των ανώτατων στελεχών ή και εργαζομένων των οργανισμών. Η ρύθμιση αυτή συνιστά δυσανάλογο μέτρο το οποίο αντίκειται στη φιλοσοφία και το πνεύμα του Κανονισμού DORA, ο οποίος εστιάζει στη θεσμική και οργανωτική ευθύνη του νομικού προσώπου και όχι στην ατομική ποινικοποίηση των φυσικών προσώπων.
Οι αποφάσεις στον ασφαλιστικό και ευρύτερο χρηματοοικονομικό τομέα λαμβάνονται συλλογικά, στο πλαίσιο καθορισμένων μηχανισμών εταιρικής διακυβέρνησης, εσωτερικών ελέγχων και εποπτείας, όπου η ευθύνη κατανέμεται θεσμικά και όχι ατομικά. Η μεταφορά αυτής της ευθύνης σε φυσικά πρόσωπα δεν εξυπηρετεί κανέναν ουσιαστικό σκοπό, δεν ενισχύει την επιχειρησιακή ανθεκτικότητα, και αντιθέτως δημιουργεί νομική ανασφάλεια και αποθαρρύνει την ανάληψη υπεύθυνων διοικητικών ρόλων σε κρίσιμες θέσεις.
Επιπλέον, ο Κανονισμός DORA στο Άρθρο 52 προβλέπει ρητά ότι «τα κράτη μέλη δύνανται να αποφασίζουν να μην θεσπίσουν κανόνες σχετικά με διοικητικές κυρώσεις ή διορθωτικά μέτρα για παραβιάσεις που υπόκεινται σε ποινικές κυρώσεις βάσει του εθνικού τους δικαίου». Η συγκεκριμένη πρόνοια υποδηλώνει ξεκάθαρα ότι ο ευρωπαίος νομοθέτης δεν επιδιώκει τη συσσώρευση ποινικών ευθυνών, αλλά αντίθετα αφήνει στα κράτη μέλη την ευχέρεια να διατηρήσουν ένα ευέλικτο και αναλογικό πλαίσιο κυρώσεων.
Συνεπώς, ο ΣΑΕΚ θεωρεί ότι η πρόβλεψη για ποινική ευθύνη φυσικών προσώπων θα πρέπει να απαλειφθεί από το νομοσχέδιο, ώστε να διασφαλιστεί η συνοχή με τον Κανονισμό DORA, η αρχή της αναλογικότητας, και η ασφάλεια δικαίου για τα διοικητικά στελέχη και τα μέλη των Διοικητικών Συμβουλίων των εποπτευόμενων φορέων.
Μέρος IV: Τέλη και Συνδρομές
Άρθρο 11
Αναφορικά με το Άρθρο 11 του νομοσχεδίου, ο ΣΑΕΚ επισημαίνει ότι δεν γίνεται καμία αναφορά στο γεγονός ότι οι αρμόδιες αρχές, όπως η Επιτροπή Κεφαλαιαγοράς και η Κεντρική Τράπεζα, δύνανται να καθορίζουν τέλη και συνδρομές μόνο για τους κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ, όπως προβλέπεται ρητά στο Άρθρο 43 του Κανονισμού DORA.
Κατά συνέπεια, το Άρθρο 11 του νομοσχεδίου, θα πρέπει να αναδιατυπωθεί ώστε να καταστεί απολύτως σαφές ότι η εξουσία επιβολής τελών και συνδρομών περιορίζεται αποκλειστικά στους κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ.
Η διευκρίνιση αυτή είναι αναγκαία για να αποτραπεί οποιαδήποτε εσφαλμένη ερμηνεία του νόμου και να διασφαλιστεί η πλήρης εναρμόνιση με το γράμμα και το πνεύμα του Κανονισμού DORA.
Ο ΣΑΕΚ παραμένει στη διάθεσή σας για τυχόν περαιτέρω συζήτηση ή διευκρινίσεις.
Αναφορικά με το Νομοσχέδιο «Ο περί της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας του Χρηματοοικονομικού Τομέα Νόμος του 2025», o Παγκύπριος Δικηγορικός Σύλλογος (ΠΔΣ) έχοντας μελετήσει το Νομοσχέδιο στο πλαίσιο της εφαρμογής του Κανονισμού (ΕΕ) 2022/2554 (DORA) παραθέτει πιο κάτω τα κύρια σχόλιά του:
1.Το νομοσχέδιο ακολουθεί πιστά τον Κανονισμό DORA, ωστόσο θα ήταν χρήσιμη η έκδοση ερμηνευτικών οδηγιών από τις αρμόδιες αρχές για να αποφευχθούν πρακτικές παρερμηνείες.
2.Το άρθρο 4 καθορίζει με λεπτομέρεια τις αρμόδιες αρχές, αλλά σε ορισμένες περιπτώσεις υπάρχει επικάλυψη ή πολυπλοκότητα (π.χ. κεντρικά αποθετήρια τίτλων που υπάγονται τόσο στην ΚΤΚ όσο και στην ΕΚΚ). Γι’ αυτό πιστεύουμε ότι υπάρχει κίνδυνος επικάλυψης εποπτικών εξουσιών μεταξύ αρχών (π.χ. ΚΤΚ και ΕΚΚ), και θα μπορούσε να προβλεφθεί μηχανισμός συντονισμού, ώστε να αποφευχθεί διπλή εποπτεία ή αντιφατικές απαιτήσεις.
3.Το άρθρο 5 προβλέπει διοικητικά πρόστιμα έως €10 εκ. για νομικά πρόσωπα και €2,5 εκ. για φυσικά πρόσωπα. Κατά την άποψη μας τα πρόστιμα αυτά είναι υψηλά σε σχέση με το μέγεθος αρκετών κυπριακών οντοτήτων, ιδίως μικρομεσαίων εταιρειών επενδυτικών υπηρεσιών (ΚΕΠΕΥ) και παρόχων πληρωμών. Θα μπορούσε να προταθεί η πρόβλεψη κριτηρίων αναλογικότητας (π.χ. μέγεθος οντότητας, σοβαρότητα παραβίασης, βαθμός υπαιτιότητας) ώστε να διασφαλίζεται ότι τα πρόστιμα είναι «αποτελεσματικά, αναλογικά και αποτρεπτικά», όπως απαιτεί και το DORA.
4.Το άρθρο 9 επιβεβαιώνει το δικαίωμα προσφυγής βάσει του Συντάγματος. Ίσως θα έπρεπε να προστεθεί ρητή αναφορά σε δικαίωμα ακρόασης πριν από την επιβολή κυρώσεων, για ενίσχυση της δικονομικής ασφάλειας και της συμμόρφωσης με τις αρχές της δίκαιης δίκης.
5.Το άρθρο 11 επιτρέπει σε ΚΤΚ και ΕΚΚ να επιβάλλουν τέλη και συνδρομές. Δεν υπάρχει όμως σαφής μηχανισμός ή μεθοδολογία για τον καθορισμό τους. Θα ήταν χρήσιμο να προβλεφθεί ότι τα τέλη θα βασίζονται σε διαφανή κριτήρια κόστους-ανάκτησης και ότι θα προηγείται δημόσια διαβούλευση πριν την έκδοση σχετικής Οδηγίας.
6.Οι εποπτευόμενες οντότητες θα χρειαστεί να επενδύσουν σε τεχνολογίες κυβερνοασφάλειας, μηχανισμούς διαχείρισης κινδύνου ΤΠΕ και διαδικασίες αντιμετώπισης περιστατικών. Χρήσιμη θα ήταν η πρόβλεψη για μεταβατική περίοδο ή/και guidance ώστε οι μικρότερες οντότητες να προσαρμοστούν χωρίς υπέρμετρο κόστος.
7.Σε αρκετές περιπτώσεις (π.χ. οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας, αρχεία καταγραφής τιτλοποιήσεων), αρμόδια αρχή είναι η ΕΑΚΑΑ (ESMA).
Καλό θα ήταν να προστεθεί μια διάταξη για υποχρεωτική συνεργασία και ανταλλαγή πληροφοριών μεταξύ κυπριακών αρχών και ESMA/EBA/EIOPA, ώστε να ενισχυθεί η πρακτική αποτελεσματικότητα.