Rozporządzenie MiCA już od stycznia 2025 r.

Rozporządzenie MiCA już od stycznia 2025 r.

utworzone przez | 31 października, 2024 | ! POLECANE !, REGULATORY

Czytaj: 3 min

Z końcem bieżącego roku zaczną być stosowane przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów (MiCA), co oznacza, że działające obecnie na rynku finansowym instytucje takie, jak:

  • banki,
  • instytucje płatnicze,
  • domy maklerskie,
  • towarzystwa funduszy inwestycyjnych posiadające zezwolenie na usługi zarządzania portfelem, doradztwa inwestycyjnego lub przyjmowania i przekazywania zleceń,
  • KDPW S.A. oraz
  • spółki organizujące rynek regulowany

– będą mogły poszerzyć zakres prowadzonej działalności o odpowiadające jej usługi w zakresie kryptoaktywów, przy czym MiCA wyraźnie wskazuje usługi „kryptowalutowe” odpowiadające świadczonym dotychczas na rynku kapitałowym nie pozostawiając tu miejsca na jakąkolwiek dowolność.

W celu poszerzenia działalności niezbędne będzie złożenie do organu nadzoru powiadomienia, co najmniej na 40 dni roboczych przed planowanym rozpoczęciem świadczenia przedmiotowych usług. Prawidłowo przygotowane zawiadomienie pozwoli na poszerzenie działalności bez konieczności ubiegania się o jakiekolwiek zezwolenia w tym zakresie.

Na chwilę obecną wiadomo, że powiadomienie powinno zawierać:

  • program działania określający rodzaje usług w zakresie kryptoaktywów, w tym miejsce i sposób ich świadczenia;
  • opis mechanizmów kontroli wewnętrznej;
  • opis polityk i procedur AML/CFT;
  • opis ram oceny ryzyka na potrzeby zarządzania ryzykiem AML/CFT;
  • opis planu ciągłości działania;
  • dokumentacja techniczna systemów ICT i rozwiązań w zakresie bezpieczeństwa oraz ich opis w języku niespecjalistycznym;
  • wskazanie czy usługa w zakresie kryptoaktywów dotyczy tokenów powiązanych z aktywami, tokenów będących e-pieniądzem czy innych kryptoaktywów oraz
  • opis odpowiedniej procedury lub polityki dla regulującej daną usługę/działalność podmiotu składającego zawiadomienie objętą notyfikowanym przez niego zamiarem;
  • w przypadku zamiaru świadczenia usługi doradztwa lub zarządzania portfelami – dowody potwierdzające, że osoby fizyczne wykonujące w imieniu danego podmiotu doradztwo lub zarządzające portfelami w imieniu danego podmiotu posiadają wiedzę ogólną i fachową niezbędne do wywiązania się ze swoich obowiązków.

Szczegóły natomiast co do poszczególnych dokumentów/informacji wskazanych powyżej, jak też tryb składania samego powiadomienia określone natomiast mają być w aktach drugiego poziomu, czyli delegowanych. Problemem jednak są opóźnienia legislacyjne. Mianowicie, treść i forma zawiadomienia wciąż jeszcze nie zostały do końca rozstrzygnięte. W tym zakresie bowiem przesądzające znaczenie będą mieć akty prawne wydane przez Komisję Europejską (KE) na podstawie MiCA w oparciu o projekty przygotowanych przez European Securities and Markets Authority (ESMA) regulacyjne i implementacyjne standardy techniczne (RTS i ITS). Jakkolwiek właściwe projekty zostały ostatecznie przez ESMA przygotowane i jako finalny raport przekazane Komisji Europejskiej w marcu b.r. to jednak do chwili sporządzenia niniejszego materiału nie przybrały one kształtu rozporządzeń przyjętych przez KE. Co więcej, KE zwróciła się do ESMA z prośbą o dokonanie zmian w projekcie RTS uznając, że przedstawione w nim propozycje wykraczają poza zakres mandatu wynikającego z MiCA. Mianowicie, KE stwierdziła, że w zakresie dotyczącym wymogów związanych z dokumentacją techniczną systemów ICT ESMA proponując w projekcie RTS obligatoryjne załączanie do zawiadomienia wyników zewnętrznego audytu w zakresie cyberbezpieczeństwa, w istocie kreuje zupełnie nowy obowiązek, niewynikający obecnie z przepisów, w związku z czym wymóg ten powinien zostać zmodyfikowany tak, aby był opcjonalny – „if available”. ESMA odnosząc się do uwagi KE, nie przedstawiła argumentów, które wskazywałyby na niezasadność rozumowania KE, jednak podniosłość olbrzymie znaczenie kwestii cyberbezpieczeństwa na rynku kryptoaktywów i zaproponowała zmianę MiCA, aby możliwe było osiągnięcie efektu w postaci wprowadzenia przedmiotowego wymogu w stosunku do podmiotów wchodzących na rynek kryptoaktywów.

Stanowisko ESMA zostało skierowane do KE, Parlamentu Europejskiego i Rady. Parlament Europejski i Rada mogą sprzeciwić się brzmieniu RTS przyjętemu przez KE w terminie 3 miesięcy. Przypominamy przy tym, że w wersji RTS zaproponowanej przez KE wymóg dotyczący audytu w zakresie cyberbezpieczeństwa został złagodzony i zmieniony na wymóg fakultatywny („if available”).

Reasumując, prace nad brzmieniem aktów doprecyzowujących zakres zawiadomienia (RTS) i jego formę oraz procedurę składania (ITS) są wciąż w toku i jakkolwiek możliwe jest prowadzenie prac w oparciu o dostępne projekty to jednak brak jest przepisów, których pojawienie się w przestrzeni publicznej jest niezbędne dla wszczęcia formalnej procedury notyfikacyjnej.

W tym miejscu wskazujemy również na wciąż niezakończony krajowy proces legislacyjny związany z pracami nad projektem ustawy o kryptoaktywach. Dopiero krajowy akt prawny wskaże KNF jako organ właściwy w sprawach nadzoru nad rynkiem kryptowalut a więc również w sprawach przedmiotowych zawiadomień. Opóźnienia więc w pracach nad ustawą, które w chwili obecnej nie pozwalają bezpiecznie założyć, że zostanie ona uchwalona przed końcem roku, mogą stać się źródłem wielu wątpliwości prawnych rzutujących na sposób a nawet możliwość składania zawiadomień przez podmioty finansowe bezpośrednio po rozpoczęciu stosowania przepisów MiCA a więc po dniu 30 grudnia b.r.

W przypadku podmiotów finansowych zainteresowanych działalnością na rynku kryptoaktywów wybór optymalnego rozwiązania w tych trudnych warunkach prawnych, aby jak najwcześniej i jak najsprawniej wyjść do klienta z ofertą usługi, wydaje się więc kluczowy. W tym oraz w pracy nad dokumentacją niezbędną do przygotowania organizacji do rozpoczęcia do działalności na rynku kryptoaktywów SPCG z chęcią Państwa wesprze.

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

utworzone przez | 22 października, 2024 | ! POLECANE !, REGULATORY

Czytaj: 7 min

Od dnia 16 stycznia 2023 r. obowiązuje w UE rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”), a obowiązek jego stosowania rozpocznie się z dniem 17 stycznia 2025 r., a więc już niedługo.

Akt ten jest jednym z elementów unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, którego celem jest aktualizacja otoczenia regulacyjnego w obszarze technologii finansowych, a także zharmonizowanie procesów i standardów odporności cyfrowej w całym sektorze finansowym.

W niniejszym artykule przedstawiamy podstawowe informacje związane z Rozporządzeniem DORA w kontekście niezbędnych procesów dostosowawczych oraz obszary wsparcia, jakiego w tym zakresie udzielić może Państwu nasz zespół prawny. Chętnie rozwiniemy ten temat podczas spotkania lub w drodze konsultacji, do czego niniejszym Państwa zapraszamy.

ROZPORZĄDZENIE DORA – GŁÓWNE ZAŁOŻENIA I WPŁYW NA DZIAŁALNOŚĆ PODMIOTÓW FINANSOWYCH

CEL

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku UE oraz kluczowych dostawców technologii informacyjno-telekomunikacyjnych („ICT”).

Rozporządzenie DORA jest częścią pakietu unijnych aktów prawnych dla sektora finansowego, na który składają się:

  1. rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru;
  2. rozporządzenie o rynkach kryptoaktywów (MiCA);
  3. rozporządzenie DORA.
KOGO DOTYCZY?Rozporządzenie będzie miało zastosowanie do podmiotów finansowych wymienionych w art. 2 Rozporządzenia DORA, w szczególności do: (i) instytucji sektora finansowego: organizatorów obrotu, centralnych depozytów i CCP, instytucji kredytowych, firm inwestycyjnych, spółek zarządzających, a więc towarzystw funduszy inwestycyjnych i ZASI działających na podstawie zezwolenia, zakładów ubezpieczeń i reasekuracji, (ii) podmiotów z obszaru cyfrowych finansów: dostawców usług w zakresie kryptoaktywów, instytucji płatniczych i instytucji pieniądza elektronicznego, (iii) dostawców technologii, w tym dostawców usług chmury obliczeniowej i innych dostawców usług ICT. Należy podkreślić, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu (obowiązki nałożone na poszczególne podmioty różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego).
OD KIEDY?Rozporządzenie DORA weszło w życie w dniu 16 stycznia 2023 r., a jego przepisy będą miały zastosowanie od dnia 17 stycznia 2025 r.
GŁÓWNE ZAŁOŻENIA

Rozporządzenie DORA opiera się na pięciu filarach. W ramach każdego z filarów DORA nakłada na podmioty finansowe różne obowiązki w zakresie odporności cyfrowej. Zakres obowiązków nałożonych na dany podmiot jest pochodną zasady proporcjonalności, tzn. obowiązki różnią się w zależności od rozmiaru, profilu działalności oraz profilu ryzyka podmiotu finansowego.

Wspomniane powyżej filary obejmują:

  1. zarządzanie ryzykiem związanym z ICT (art. 5-14 Rozporządzenia DORA): Rozporządzenie DORA wprowadzi m.in. obowiązek utworzenia i utrzymania odpornych systemów i narzędzi ICT, środków ochrony i zapobiegania ryzykom, opracowania polityk bezpieczeństwa informacji, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania oraz planów przywrócenia gotowości do pracy, a także obowiązek identyfikowania, klasyfikowania i prowadzenia dokumentacji funkcji biznesowych związanych z ICT. Dodatkowo, instytucje finansowe są zobowiązane do zapewnienia obowiązkowych szkoleń dla personelu;
  2. zgłaszanie incydentów związanych z ICT (art. 17-23 Rozporządzenie DORA): adresaci omawianego aktu będą zobowiązani do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich i zgłaszania do odpowiednich organów nadzorów (Rozporządzenie DORA reguluje proces zarządzania incydentami ICT, w tym klasyfikację zdarzeń według priorytetu i dotkliwości oraz krytyczności usług, na które incydenty mają wpływ). Co ważne, ujednoliceniu ulegną procedury zgłaszania incydentów ICT w związku z różnymi procedurami określonymi w dyrektywie NIS czy PSD2;
  3. testowanie operacyjnej odporności cyfrowej (art. 24-27 Rozporządzenia DORA): Rozporządzenie DORA zobowiąże poszczególne podmioty m.in. do przeprowadzania okresowych testów odporności cyfrowej, przygotowania i dokonywania przeglądów programu testowania odporności cyfrowej. Program testowania powinien obejmować różne aspekty, takie, jak analiza open source, ocena bezpieczeństwa sieci i testowanie scenariuszy. Rozporządzenie DORA określi również wymogi dla testerów oraz zasady uznawania wyników testów penetracyjnych (TLPT) w przypadku podmiotów działających w kilku państwach UE. Co istotne, testy penetracyjne będą przeprowadzane na działających systemach produkcyjnych wspierających krytyczne lub istotne funkcje danego podmiotu;
  4. zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT (art. 28-39 Rozporządzenia DORA): Rozporządzenie DORA wprowadza obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców ICT, w tym na etapie wykonywania umowy i zakończenia współpracy (m.in.: wprowadzenie strategii, dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT, polityki korzystania z usług ICT wspierających krytyczne lub istotne funkcje, dokonywanie przeglądów strategii oraz ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dot. korzystania z usług ICT wspierających krytyczne lub istotne funkcje) oraz ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (szerzej poniżej). Ponadto Rozporządzenie DORA wprowadza nadzór właściwych organów nad kluczowymi zewnętrznymi dostawcami ICT (wybranymi zgodnie z art. 31 Rozporządzenia DORA);
  5. wymiana informacji (art. 45 Rozporządzenia DORA): Rozporządzenie DORA wprowadza regulacje w zakresie wymiany informacji zarówno pomiędzy samymi podmiotami, jak i w relacji z właściwymi organami. Rozporządzenie DORA umożliwia zwłaszcza podmiotom wymianę informacji o cyberzagrożeniu i wyniki analiz takiego cyberzagrożenia.
ROLA ZARZĄDU

Głównym założeniem Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego (tj. zarządów spółek) za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 5 ust. 2 Rozporządzenia DORA).

W motywie 45 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowanie i dostosowywanie ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 5 ust. 4 Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy oraz umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT, a także jego wpływu na operacje danego podmiotu.

UMOWY
Z DOSTAWCAMI ICT

Rozporządzenie DORA określa minimalne postanowienia umowne, które powinny zostać uwzględnione w umowie z dostawcą ICT (art. 30 Rozporządzenia DORA):

  • jasny i kompletny opis wszystkich funkcji i usług ICT;
  • postanowienia dotyczące podwykonawstwa tzw. kluczowej lub ważnej funkcji lub jej istotnych części, w tym – jeżeli podwykonawstwo jest dozwolone – warunki jakie mają zastosowanie do podwykonawstwa;
  • wskazanie lokalizacji, w których będą świadczone funkcje i usługi ICT i w których będą przetwarzane dane;
  • postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych, w tym danych osobowych oraz zwrotu danych osobowych i nieosobowych na wypadek zakończenia współpracy;
  • opisy gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany;
  • zapewnienie podmiotowi finansowemu przez dostawcę ICT pomocy w przypadku wystąpienia incydentu związanego z ICT (bez dodatkowych opłat lub w ramach opłaty uiszczonej z góry);
  • obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy z właściwymi organami oraz organami przymusowej restrukturyzacji podmiotu finansowego, w tym z osobami przez nie wyznaczonymi;
  • prawo wypowiedzenia umowy z dostawcą ICT, w tym odpowiednio długie okresy wypowiedzenia umowy przez dostawcę ICT;
  • obowiązki sprawozdawcze dostawcy ICT wobec podmiotu finansowego;
  • prawo dostępu, kontroli i audytu dostawcy ICT przez podmiot finansowy lub wyznaczoną osobę trzecią;
  • strategie wyjścia (tj. exit plan).
KONSEKWENCJE NARUSZENIA ROZPORZĄDZENIA DORA

Państwa członkowskie są zobowiązane do powierzenia właściwym organom uprawnienia do stosowania względem zobowiązanych podmiotów finansowych, które naruszą przepisy Rozporządzenia DORA, kar administracyjnych lub środków naprawczych, obejmujących m.in.:

  • wydanie nakazu zaprzestania postępowania naruszającego Rozporządzenie DORA oraz powstrzymania się od ponownego podejmowania takich działań;
  • wymaganie tymczasowego lub stałego zaprzestania wszelkich praktyk, które właściwy organ uważa za sprzeczne z Rozporządzeniem DORA, oraz niedopuszczenie do ponownego ich podejmowania;
  • podejmowanie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych;
  • wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.

Z kolei w przypadku częściowego lub całkowitego niezastosowania się przez kluczowego zewnętrznego dostawcę usług ICT do środków, które zostały podjęte przez organy nadzorcze (np. nieprzekazanie wszystkich stosownych informacji i dokumentów, niezłożenie sprawozdań po zakończeniu działań nadzorczych) organ nadzorczy nad rynkiem finansowym może nałożyć okresową karę pieniężną do 1% średniego dziennego światowego obrotu w poprzedzającym roku obrotowym za każdy dzień trwania naruszenia. Okresowa kara pieniężną jest nakładana za każdy dzień do czasu zastosowania się do środków podjętych przez organ nadzorczy i nie dłużej niż przez 6 miesięcy od dnia zawiadomienia o decyzji nakładającej tę karę. Informacja o nałożeniu kary może zostać podana do wiadomości publicznej (art. 35 Rozporządzenia DORA).

AKTY WYKONAWCZE

Europejskie Urzędy Nadzoru (EUN), tj. Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) opublikowały dotychczas dwa pakiety aktów wykonawczych do Rozporządzenia DORA.

Pierwszy pakiet: przyjęty przez Komisję Europejską w lutym i marcu 2024 r. doprecyzowuje regulacje Rozporządzenia DORA w zakresie: (i) ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT (art. 15, art. 16 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. elementy polityk oraz procedur wewnętrznych w zakresie zarządzania ryzykiem ICT (RTS); (ii) kryteriów klasyfikacji incydentów ICT (art. 18 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. kryteria klasyfikacji poważnych incydentów związanych z ICT, podejście do klasyfikacji poważnych incydentów oraz próg istotności każdego kryterium klasyfikacji (RTS); (iii) wzorów na potrzeby rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 9 Rozporządzenia DORA) (ITS) oraz polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje, świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 10 Rozporządzenia DORA) (RTS).

Drugi pakiet: projekty RTS oraz wytyczne opublikowane w dniu 17 lipca 2024 r., doprecyzowują regulacje Rozporządzenia DORA w zakresie: (i) przeprowadzania testów penetracyjnych (TLPT) (RTS); (ii) raportowania incydentów ICT (RTS); (iii) harmonizacji warunków umożliwiających prowadzenie działań nadzorczych (RTS); (iv) wykonywania nadzoru przez właściwe organy nadzoru (RTS); (v) szacowania kosztów i strat spowodowanych incydentami (wytyczne); (vi) współpracy w zakresie nadzoru i wymiany informacji między EUN a właściwymi organami (wytyczne). Projekty RTS oraz wytycznych z drugiego pakietu zostały już przyjęte przez EUN i przekazane Komisji Europejskiej w celu dalszych prac.

Ponadto, w dniu 18 kwietnia 2024 r. na stronie Rządowego Centrum Legislacji zamieszczono projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego wdrażający do prawa krajowego oraz zapewniający stosowanie Rozporządzenia DORA oraz towarzyszącej mu dyrektywy 2022/2556. Zgodnie z założeniami projektowana ustawa ma wejść w życie w dniu 17 stycznia 2025 r., czyli w terminie, od którego stosuje się przepisy Rozporządzenia DORA. Projekt przewiduje m.in. wyznaczenie KNF jako organu nadzoru właściwego w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego. Zgodnie z projektowanymi regulacjami KNF będzie mogła w drodze decyzji nakazać zaprzestanie danego zachowania oraz powstrzymanie się od takiego zachowania w przyszłości, zakazać pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu przez okres nie krótszy niż miesiąc i nie dłuższy niż rok, a także nałożyć karę pieniężną do wysokości 20 869 500 zł lub 10% rocznego przychodu (w przypadku osoby prawnej) i karę pieniężną do wysokości 3 042 410 zł (w przypadku osoby fizycznej). KNF będzie mogła również wydać publiczne oświadczenie, w którym wskaże imię i nazwisko osoby fizycznej albo firmę lub nazwę osoby prawnej, odpowiedzialnych za dane naruszenie wraz ze wskazaniem jego charakteru.

PRZEPISY ODRĘBNEPonieważ Rozporządzenie DORA reguluje powierzanie podmiotom trzecim wykonywania czynności z zakresu szeroko pojmowanych technologii informatycznych (IT) przez podmioty prowadzące działalność regulowaną, należy pamiętać o konieczności dalszego stosowania zarówno obowiązujących w danym zakresie wymogów sektorowych dla danej branży (outsourcing), gdyż Rozporządzenie DORA tych wymogów nie uchyla. Co więcej, dodatkowym obszarem, na który należy zwrócić uwagę wdrażając Rozporządzenie DORA, są wymogi tzw. trzeciego poziomu, a więc wytyczne i stanowiska wydawane przez właściwe organy na podstawie przepisów sektorowych (tu w szczególności wskazujemy na Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej).
WSPARCIE SPCG

W związku z nadchodzącym terminem rozpoczęcia stosowania Rozporządzenia DORA oferujemy:

  • weryfikację dotychczas zawartych umów pod kątem ustalenia zakresu umów, do których zastosowanie znajdują przepisy Rozporządzenia DORA;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA umów z dostawcami ICT np. umów wdrożeniowych, utrzymaniowych, rozwojowych, licencyjnych, body leasingowych, czy umów na przeprowadzenie testów penetracyjnych, z uwzględnieniem właściwych przepisów odrębnych;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA procedur i dokumentów wewnętrznych, w tym procedur zarządzania ryzykiem ICT, incydentów ICT czy testowania odporności operacyjnej, z uwzględnieniem właściwych przepisów odrębnych;
  • dostosowanie – w ramach zaleceń poaudytowych – zawartych umów z dostawcami ICT oraz procedur wewnętrznych do wymogów Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • przygotowanie wzorów umów z dostawcami ICT zgodnych wymogami Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • negocjowanie umów z dostawcami usług ICT;
  • stałe doradztwo w regulacyjnych aspektach cyberbezpieczeństwa, w tym w szczególności w zakresie wypełniania obowiązków wynikających z Rozporządzenia DORA;
  • wsparcie w wypełnianiu obowiązków raportowych i sprawozdawczych np. sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT;
  • reprezentację przed organami nadzoru i sądami administracyjnymi w postępowaniach dotyczących wykonania obowiązków określonych w Rozporządzeniu DORA;
  • szkolenia i warsztaty przygotowujące podmiot do rozpoczęcia stosowania Rozporządzenia DORA/ułatwiające wdrożenie nowych rozwiązań w organizacji.

 

Broszura informacyjna w formacie PDF dostępna jest tutaj. Zapraszamy do kontaktu.

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Nowe podejście do best execution

Nowe podejście do best execution

utworzone przez | 26 września, 2024 | ! POLECANE !, REGULATORY

Czytaj: 5 min

Z dniem 29 marca br. weszły w życie przepisy zmieniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w sprawie rynków instrumentów finansowych (MiFID II), tj. przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2024/790 z dnia 28 lutego 2024 r. zmieniającej dyrektywę 2014/65/UE w sprawie rynków instrumentów finansowych. Zmiany objęły m.in. wymogi z zakresu najlepszego wykonania, popularnie zwane na rynku best execution.

Zmiany, jakie zostały wprowadzone do MiFID II w lutym br. są efektem ustaleń przeglądu praktyki rynków europejskich dokonanego przez Komisję Europejską. I tak, wśród zmian tych znalazła się rezygnacja z obowiązków informacyjnych, które nie dostarczały inwestorom ani rynkom danych tak cennych, jak pierwotnie zakładano, tj.:

  • informowania klienta, po zawarciu na jego rzecz transakcji, o miejscu wykonania zlecenia oraz

  • publikowania raz na rok wykazu pięciu najlepszych systemów wykonywania zleceń pod względem wolumenu obrotu, wykorzystywanych przez firmę inwestycyjną w poprzednim roku do wykonywania zleceń klientów, w rozbiciu na poszczególne kategorie.

Ponieważ efektem przeglądu było ustalenie nieprawidłowości w działaniu firm inwestycyjnych w obszarze best execution, takich jak nieprawidłowe dokumentowanie wyboru miejsc wykonania zleceń klientów, niewłaściwe wykazywanie najlepszego wykonania zlecenia czy też brak udostępniania klientom wystarczających informacji o polityce wykonywania zleceń, zmiany MiFID II zostały dodatkowo nakierowane na wyeliminowanie tych przypadków. W ramach realizacji powyższego, do przedmiotowej dyrektywy dodane zostało upoważnienie dla Komisji Europejskiej do przyjęcia regulacyjnych standardów technicznych (RTS) określających kryteria, jakie mają być brane pod uwagę przy opracowywaniu i ocenie skuteczności polityki wykonywania zleceń, z uwzględnieniem kategorii klienta z jednoczesnym podkreśleniem, że kryteria te obejmują co najmniej:

  • czynniki decydujące o wyborze miejsca wykonania z tych ujętych w polityce wykonywania zleceń;
  • częstotliwość dokonywania oceny i aktualizacji polityki wykonywania zleceń;
  • sposób identyfikowania klas instrumentów finansowych, dla których w polityce wykonywania zleceń prezentowane powinny być informacje dotyczące systemów wykonywania zleceń, oraz czynników mających wpływ na wybór systemu wykonywania zleceń.

Jednocześnie, zgodnie z obowiązującą unijną procedurą legislacyjną, zapewniony został udział rynku w procesie przyjmowania regulacyjnych standardów technicznych (RTS). Opracowanie bowiem projektu wskazanych przepisów powierzone zostało ESMA, czyli unijnemu organowi nadzoru nad rynkiem kapitałowym. Prace regulacyjne ESMA natomiast prowadzone są w trybie otwartych konsultacji, a więc umożliwiają podmiotom zainteresowanym brzmieniem projektowanych przepisów wypowiedzenie się co do opublikowanego projektu.

ESMA opublikowała na swojej stronie internetowej projekt RTS [1] w dniu 16 lipca 2024 r. ogłaszając konsultacje publiczne i możliwość przedstawiania odpowiedzi na zadane przez ESMA pytania oraz stanowisk co do przedstawionej propozycji w terminie do 16 października br.  Zgodnie z informacją opublikowaną w samym dokumencie, przyjęty przez ESMA harmonogram zakłada zamknięcie konsultacji i przekazanie Komisji Europejskiej projektu RTS do 29 grudnia br.

Projekt RTS przedstawiony przez ESMA zakłada podział instrumentów finansowych na klasy według jednolitego sposobu opartego o standard ISO 10962 służący do klasyfikacji instrumentów finansowych (CFI), dodatkowo, dla instrumentów udziałowych, każdorazowo oddzielną klasę stanowiłoby państwo rynku, gdzie instrument został dopuszczony do obrotu po raz pierwszy (primary listing). Na zasadzie wyjątku, o ile nie doprowadziłoby to do naruszenia obowiązku uzyskania dla klienta najlepszego możliwego wyniku, firma inwestycyjna mogłaby łączyć poszczególne klasy instrumentów finansowych w jedną, jeżeli byłoby to uzasadnione liczbą realizowanych przez nią w danym zakresie zleceń.

ESMA zaproponowała również rozwiązanie alternatywne – podział instrumentów finansowych na klasy wprost w przepisach w oparciu o następujące założenia:

  • dla instrumentów udziałowych, każdorazowo oddzielną klasą byłoby państwo rynku, gdzie instrument został dopuszczony do obrotu po raz pierwszy (primary listing);
  • pozostałe instrumenty finansowe byłyby pogrupowane w 15 – 20 klas;
  • istniałaby możliwość łączenia w jedną klasę kilku różnych klas instrumentów finansowych (jak w modelu podstawowym, o którym mowa wyżej).

W związku z tym, że celem zmiany MiFID II, było wyeliminowanie nieprawidłowości występujących dotychczas w praktyce firm inwestycyjnych, w tym związanych z dokumentowaniem wyboru miejsc wykonani zleceń klientów, w projekcie RTS zaproponowano uszczegółowienie zakresu informacji prezentowanych w polityce wykonywania zleceń oraz doprecyzowanie sposobu dokonywania wyboru miejsc wykonania (co w praktyce powinno się przełożyć na jego dokumentowanie). Co do zasady, w dalszym ciągu firma inwestycyjna będzie mogła wskazać jedno miejsce wykonania, o ile taki sposób wykonywania zleceń w zakresie poszczególnych klas instrumentów finansowych będzie zapewniał najlepsze wykonanie zlecenia dla poszczególnych kategorii klientów danej firmy inwestycyjnej. Założenie jednak co do zmiany wymogów, zgodnie z intencją ESMA, jest takie, aby:

  • wybór miejsca wykonania dla poszczególnych klas instrumentów finansowych i poszczególnych kategorii klientów uwzględniał odpowiednie dla każdej z tych kategorii klientów czynniki obejmujące w szczególności częstotliwość i wartość wykonywanych zleceń;
  • decyzja w kwestii wyboru miejsca lub miejsc wykonania (jego podstawa i uzasadnienie) była szczegółowo opisana w polityce wykonywania zleceń;
  • w przypadku wskazania w polityce wykonywania zleceń kilku miejsc wykonywania zleceń jako możliwych do wyboru, konieczność opisania szczegółowych kryteriów stosowanych do dokonywania tego wyboru dla wykonywania poszczególnych zleceń.

ESMA proponuje również rozbudowanie regulacji dotyczących drugiego z wyjątków, tj. tzw. instrukcji klienta. Zgodnie bowiem z projektem RTS, nie wystarczy już bowiem zamieścić w polityce wykonywania zleceń informacji, że szczegółowe dyspozycje/instrukcje ze strony klienta wyłączają możliwość stosowania przez firmę inwestycyjną postanowień tego dokumentu oraz w efekcie mogą uniemożliwić uzyskanie najlepszego możliwego wyniku dla klienta w związku z wykonaniem zlecenia. W projekcie RTS ESMA proponuje wprowadzenie wymogu:

  • przedstawienia przez firmę inwestycyjną w polityce wykonywania zleceń sposobu postępowania z instrukcjami klienta;
  • opisania przez firmę inwestycyjną wpływu instrukcji klienta na kryteria wyboru miejsca wykonania i możliwość osiągnięcia przez firmę inwestycyjną najlepszego wyniku dla klienta, przekazał instrukcje;
  • opisania w polityce wykonywania zleceń sposobu różnicowania zleceń z instrukcjami i bez instrukcji;
  • zamieszczenia w polityce wykonywania dodatkowych wyjaśnień i ostrzeżeń dla klienta, w tym związanych z opłatami (art. 64 ust. 3 i art. 66 ust. 5 rozporządzenia Komisji (UE) 2017/565 [2]).

Zgodnie z propozycją ESMA, odstępstwo od listy miejsc wykonania przewidzianej w polityce wykonywania zleceń ma być możliwe, nie tylko w przypadku szczegółowej dyspozycji otrzymanej od klienta, ale również wtedy, gdy wystąpią wyjątkowe okoliczności, w tym takie, jak szybki spadek płynności lub nadzwyczajne wahania cen w zakresie instrumentów finansowych będących przedmiotem zlecenia, pod warunkiem jednak, że przyjęty sposób wykonania zlecenia będzie pozostawał w zgodzie z najlepszym interesem klienta.

ESMA kładzie w projekcie RTS duży nacisk na monitorowanie jakości wykonania zleceń i ocenę efektywności polityki wykonania zleceń, gdyż przegląd dotychczasowej praktyki rynkowej wykazał w tym zakresie szereg nieprawidłowości. Stąd w projekcie RTS znalazły się propozycje obejmujące w szczególności obowiązek:

  • wdrożenia procedury monitorowania jakości wykonania zleceń, która:
    • powinna być dokonywana z częstotliwością nie mniejszą niż raz na 3 miesiące,
    • powinna obejmować wewnętrzne procesy wykonywania zleceń oraz wyniki uzyskiwane w poszczególnych miejscach wykonania,
    • powinna polegać na analizie wszystkich transakcji lub wybranych prób (reprezentatywnych dla danego okresu) dla danej klasy instrumentów finansowych,
    • powinna uwzględniać ustalone progi i dopuszczalne poziomy odchyleń wyników wykonania od danych referencyjnych dla poszczególnych instrumentów finansowych (z zastrzeżeniem, że dodatkowe wymogi proponowane są dla zdefiniowania danych referencyjnych),
    • może przewidywać korzystanie przez firmę inwestycyjną z usług podmiotu trzeciego w zakresie monitorowania jakości wykonania zleceń np. usług miejsca wykonania lub niezależnego dostawcy danych;
  • dokonywania oceny efektywności polityki wykonania zleceń na podstawie danych z monitorowania jakości wykonania zleceń nie rzadziej niż w raz do roku oraz w każdym przypadku, gdy wynik monitoringu jest negatywny (jakość wykonania monitorowanych transakcji przekracza predefiniowany próg) lub gdy wystąpiła istotna zmiana okoliczności mających związek z polityką wykonywania zleceń lub kryteriami, które zgodnie z tą polityką są brane pod uwagę, przy wykonywaniu zleceń.

Zgodnie z projektem RTS, w przypadku gdyby w efekcie oceny efektywności polityki wykonania zleceń firma inwestycyjna stwierdzi istnienie nieprawidłowości, powinna być zobowiązana do wdrożenia niezbędnych korekt w rozsądnym dla danego przypadku czasie (uwzględniając wagę nieprawidłowości), jednak nie dłuższym niż 3 miesiące od zakończenia oceny. Dodatkowo, analogicznie, jak w przypadku monitorowania jakości wykonania zleceń, ESMA również w odniesieniu do dokonywania oceny efektywności polityki wykonania zleceń proponuje, aby istniała możliwość korzystania przez firmę inwestycyjną z usług podmiotu trzeciego.

Podsumowując, choć porozumienie co do zmiany dotychczasowej praktyki firm inwestycyjnych w obszarze best execution, a więc również zaostrzenia pewnych wymogów w tym zakresie, zostało już osiągnięte a jego efektem jest zmiana MiFID II, to jednak szczegółowy charakter tego zaostrzenia nie został jeszcze przesądzony. W tym zakresie rozstrzygające znaczenie będzie miało brzmienie RTS.  Projekt RTS opublikowany przez ESMA na obecnym etapie stanowi jedynie propozycję, dlatego też warto poddać go szczegółowej analizie i zabrać głos w konsultacjach zanim jego brzmienie zostanie ostatecznie ustalone i przyjęte przez ESMA.

Tekst opublikowany został w Magazynie Izby Domów Maklerskich.

Przypisy:
[1] https://www.esma.europa.eu/sites/default/files/2024-07/ESMA35-335435667-5891_Consultation_Paper_-_Draft_RTS_on_OEPs_-_MiFID_II_review.pdf
[2] Rozporządzenie delegowane Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy.

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Czy będą zmiany przepisów UE regulujących zachęty?

Czy będą zmiany przepisów UE regulujących zachęty?

utworzone przez | 10 listopada, 2022 | REGULATORY

Czytaj: 2 min

Od pewnego już czasu trwają prace nad kolejną rewizją przepisów regulujących działalność firm inwestycyjnych (dyrektywy MiFID II i rozporządzenia MiFIR). Projekty przepisów zaproponowane przez Komisję Europejską trafiły do Parlamentu Europejskiego i tam zostały poddane dyskusji, w trakcie której pojawiły się pomysły dotyczące m.in. zrewidowania obszaru zachęt.

Ostatnio wśród zaproponowanych w toku dyskusji w Parlamencie Europejskim rozwiązań pojawiła się koncepcja:

  • odejścia od rygorystycznego zakazu regulowania zachęt (rozumianych jako korzyści pieniężne i niepieniężne) dla większości usług inwestycyjnych i dodatkowych (z dodatkowym zaostrzeniem dla usługi zarządzania portfelem i niezależnego doradztwa inwestycyjnego) oraz
  • szczegółowego uregulowania tzw. PFOF, czyli payments for order flow, a więc opłat lub innych korzyści otrzymywanych przez firmę inwestycyjną przekazującą zlecenia klienta z tytułu generowanego strumienia zleceń od miejsca wykonania (np. market makera) – przy czym tu proponowane kierunki rozwiązań są różne (pojawiają się zarówno propozycje zakazujące przyjmowania takich korzyści jak i wprost je dopuszczające na wyraźnie określonych zasadach).

 

Proponowane zmiany MiFID II w zakresie zachęt:

  1. zaostrzenie rygoru dla usług zarządzania portfelem i całego doradztwa inwestycyjnego (nie tylko w formule doradztwa niezależnego) oraz usług tzw. execution-only, czyli wykonywania zleceń lub przyjmowania i przekazywania zleceń w zakresie nieskomplikowanych instrumentów finansowych (m.in. fundusze inwestycyjne typu UCITS, ale już nie alternatywne fundusze inwestycyjne) świadczonych z inicjatywy klienta poprzez: (i) wyraźne wskazanie, że usługa nie może być wynagradzana inaczej niż poprzez opłaty wnoszone przez klienta lub w jego imieniu, oraz, że firma inwestycyjna nie może zachęcać ani stosować żadnych innych rozwiązań, nawet jeśli w ich efekcie opłaty lub korzyści od podmiotów trzecich miałyby być przekazywane klientowi, (ii) pozostawienie możliwości przyjmowania przez firmę inwestycyjną świadczącą usługę drobnych korzyści niepieniężnych wyłącznie, o ile polepszają one poziom usługi, nie powodują zagrożenia dla interesu klienta i podlegają stosownemu ujawnieniu;
  2. złagodzenie rygoru dla pozostałych usług (inwestycyjnych) oraz usług dodatkowych poprzez ograniczenie zakazu zachęt wyłącznie do zakazu przyjmowania korzyści niepieniężnych w związku ze świadczoną usługą (z jednoczesnym pozostawieniem wyjątków od zakazu, jak obecnie).

 

Jakkolwiek wskazane powyżej podejście pojawiło się na razie wyłącznie jako propozycja i poddane będzie dalszym dyskusjom to może stanowić obraz pewnych tendencji, które ujawniają się na rynkach europejskich odczuwających dotkliwie skutki ostatnich wydarzeń. Czy zatem obserwowana od czasu MiFID I tendencja do zaostrzania reżimu zachęt ma szansę się zatrzymać?

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Czy Rozporządzenie Pilotażowe DLT jest szansą dla polskich firm inwestycyjnych?

Czy Rozporządzenie Pilotażowe DLT jest szansą dla polskich firm inwestycyjnych?

utworzone przez | 3 listopada, 2022 | REGULATORY, SPCG FOR FINTECH

Czytaj: 7 min

Przepisy Rozporządzenia Pilotażowego DLT [1] („Rozporządzenie”) zaczną być stosowane od dnia 23 marca 2023 r., a zważywszy na fakt, że mamy już IV kwartał 2022 r. warto zastanowić się nad tym, czy przepisy te niosą ze sobą prawdziwe szanse dla polskiego rynku kapitałowego, czyli jakie konkretnie możliwości otworzą przed polskimi firmami, a w efekcie jakie nowe usługi domy maklerskie będą mogły zaproponować swoim klientom zwłaszcza jeśli do dnia pełnej ich skuteczności w polskim prawie nie pojawią się inne zmiany, które mogłyby zwiększyć możliwość zastosowania technologii DLT na rynku kapitałowym.

Nowa definicja instrumentu finansowego

Przepisy Rozporządzenia m.in. zmieniają katalog instrumentów finansowych zawarty w dyrektywie w sprawie rynków instrumentów finansowych [2] (”MiFID II”), w taki sposób, że po ich wejściu w życie, obejmie on swoim zakresem również instrumenty finansowe emitowane z wykorzystaniem technologii DLT, a więc takie:

  • które mieszczą się w katalogu instrumentów finansowych zawartym w tej dyrektywie oraz
  • z których prawa powstały poprzez zapisanie w technologii rozproszonych rejestrów („DLT”), w tym blockchain.

Takie podejście do uwzględnienia w katalogu instrumentów finansowych również aktywów kreowanych w technologii DLT, nie wyłącza jednocześnie z tego katalogu aktywów emitowanych „tradycyjnie” i następnie tokenizowanych (tokenizacja wtórna), pod warunkiem jednak, że powstałe w ten sposób instrumenty (prawa), będą mogły zostać zakwalifikowane do katalogu instrumentów finansowych zawartego w MiFID II, a więc, że da się uznać przenoszone pod postacią tokenów prawa za któryś z wymienionych w tym katalogu instrumentów finansowych (w zależności od sposobu tokenizacji może to być odpowiednik stokenizowanego instrumentu – o ile doszło do prawnego unicestwienia instrumentu w jego pierwotnej formie, lub np. derywat – jeżeli instrument podstawowy, bazowy, w dalszym ciągu istnieje, a tokenizacji uległy jedynie pewne prawa do tego instrumentu).

Na marginesie jedynie wskazujemy, że aktywa, które nie będą mogły zostać uznane za instrument finansowy w rozumieniu przepisów MiFID II a będą emitowane i rejestrowane w technologii DLT objęte będą co do zasady zakresem projektowanego obecnie rozporządzenia MiCA [3], którego wdrożenie planowane jest na rok 2024 (obecnie projekt jest w Parlamencie Europejskim, gdzie przygotowywana jest opinia po pierwszym czytaniu, w projekcie przewidziany jest dostosowawczy okres 18-miesięczny, którego bieg rozpocznie się już po wejściu w życie aktu).

Rozporządzenie a implementacja przepisów MiFID II

Ze względu na to, że MiFID II jest aktem wymagającym dla swej pełnej skuteczności implementacji, również opisana powyżej zmiana będzie musiała zostać wdrożona do krajowych porządków prawnych. W tym miejscu powstaje pytanie, czy brak implementacji do polskiego prawa zmiany definicji instrumentu finansowego w dniu rozpoczęcia stosowania Rozporządzenia (a więc w dniu 23 marca 2023 r.) nie zaburzy funkcjonowania tych przepisów w praktyce, czy też organ nadzoru, czyli KNF, ale też organy skarbowe (przepisy podatkowe również posługują się pojęciem „instrumenty finansowe”) będą uwzględniać przepis dyrektywy niezaimplementowanej w procesie stosowania prawa, co umożliwiłoby właściwe funkcjonowanie tych przepisów i w efekcie korzystanie z nich nawet pomimo braku wprowadzenia niezbędnych zmian dostosowawczych w przepisach krajowych.

Przyjmując, że po dniu 23 marca przyszłego roku Rozporządzenie będzie działać w sposób niezaburzony, firma inwestycyjna posiadająca zezwolenie na organizowanie MTF będzie uprawniona do organizowania DLT MTF, przy czym sam system obrotu organizowany zgodnie z tymi przepisami będzie mógł korzystać z pewnych preferencji, o ile organizator obrotu zwróci się o zgodę na ich zastosowanie, a organ nadzoru takiej zgody udzieli. Niewątpliwie jedną z najatrakcyjniej wyglądających preferencji jest możliwość zorganizowania systemu obrotu, którego uczestnikami mogą być sami inwestorzy bez pośrednictwa firmy inwestycyjnej, czy banku (pod warunkiem spełnienia pewnych wymogów, jakie organizator obrotu powinien wprowadzić, zapewniających bezpieczeństwo obrotu).

Jakie instrumenty finansowe będą dopuszczone do obrotu przy zastosowaniu technologii DLT?

Co jednak będzie mogło być przedmiotem obrotu w ramach DLT MTF? Do obrotu będą mogły być dopuszczane wyłącznie instrumenty finansowe emitowane, przenoszone i rejestrowane z wykorzystaniem technologii DLT, które spełnią kryteria ilościowe określone w Rozporządzeniu. Już samo jednak Rozporządzenie zawęża zakres przedmiotowy instrumentów finansowych do:

  • akcji,
  • obligacji oraz papierów dłużnych,
  • kwitów depozytowych (na akcje spełniające kryteria ilościowe),
  • instrumentów rynku pieniężnego, z wyłączeniem instrumentów zawierających wbudowany instrument pochodny lub innych uniemożliwiających klientowi zrozumienie istoty ryzyka,
  • tytułów uczestnictwa instytucji zbiorowego inwestowania typu UCITS.

A więc przede wszystkim, abstrahując od jakichkolwiek kryteriów ilościowych, uwzględniając wyłącznie istotę instrumentu i związane z nim ryzyko, Rozporządzenie wyłącza z możliwości organizowania DLT MTF:

  • instrumenty pochodne (derywaty) oraz
  • tytuły uczestnictwa alternatywnych funduszy inwestycyjnych (na rynku polskim: certyfikaty inwestycyjne emitowane przez fundusze inwestycyjne zamknięte oraz jednostki uczestnictwa specjalistycznych funduszy inwestycyjnych otwartych).

W celu ustalenia, które z kategorii instrumentów finansowych przewidzianych w Rozporządzeniu mogą być przedmiotem DLT MTF organizowanego w Polsce (pomijamy przy tym rozważania dotyczące instrumentów finansowych emitowanych/wystawianych na podstawie prawa obcego) niezbędne jest przeanalizowanie przepisów regulujących zasady emisji, rejestracji praw z poszczególnych instrumentów finansowych w celu ustalenia dopuszczalności zastosowania technologii DLT, czyli zastosowania w praktyce przepisów Rozporządzenia.

I tak, zauważyć należy przede wszystkim, że:

  • akcje [4]: zgodnie z przepisami KSH, możliwe jest prowadzenie rejestru akcjonariuszy w postaci elektronicznej, która może mieć formę rozproszonej i zdecentralizowanej bazy danych (zgodnie z zamysłem ustawodawcy przepisy wprowadzone do KSH miały umożliwiać wykorzystywanie technologii blockchain), co więcej, rejestr akcjonariuszy ma charakter rejestru praw i może być prowadzony w szczególności przez firmę inwestycyjną, przy czym nie jest możliwe jednoczesne rejestrowanie akcji spółki w rejestrze akcjonariuszy oraz w systemie depozytowym papierów wartościowym organizowanym przez Krajowy Depozyt Papierów Wartościowych S.A. („KDPW”) – niespełniającym kryteriów technologii DLT, a więc nie jest możliwe organizowanie DLT MTF dla spółki publicznej;
  • obligacje korporacyjne: zgodnie z przepisami ustawy z dnia 15 stycznia 2015 r. o obligacjach, obligacje nie mają formy dokumentu i podlegają zarejestrowaniu w depozycie papierów wartościowych prowadzonym na zasadach określonych w ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi („Ustawa o Obrocie”), a więc w scentralizowanym systemie rejestracji organizowanym przez KDPW – niespełniającym kryteriów technologii DLT (zmiany w zakresie emisji i rejestracji obligacji wprowadzone w polskim porządku prawnym w 2019 r.);
  • obligacje skarbowe: zgodnie z przepisami rozporządzeń Ministra Finansów w sprawie warunków emisji poszczególnych typów obligacji skarbowych, wydanych na podstawie ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, obligacje skarbowe nie mają formy dokumentu i podlegają zarejestrowaniu w scentralizowanym systemie rejestracji organizowanym przez KDPW, co wyłącza możliwość zastosowania technologii DLT dla tego typu skarbowych papierów wartościowych;
  • bony skarbowe oraz bony pieniężne: bony skarbowe emitowane przez Ministra Finansów działającego w imieniu Skarbu Państwa oraz bony pieniężne emitowane przez Narodowy Bank Polski („NBP”) nie podlegają ograniczeniom co do sposobu emisji i rejestracji wynikającym z przepisów prawa powszechnie obowiązującego, jakkolwiek obecna praktyka w tym zakresie wskazuje, że naturalnym wyborem dotychczas pozostawała scentralizowana rejestracja w systemie organizowanym przez NBP, pozostaje to jednak w dalszym ciągu w gestii emitenta, co w zestawieniu z deklaracjami zawartymi w przyjętej przez Radę Ministrów 1 października 2019 r. Strategii Rozwoju Rynku Kapitałowego może oznaczać możliwość zmiany tej praktyki w niedalekiej przyszłości;
  • listy zastawne: zgodnie z ustawą z dnia 29 sierpnia 1997 r. o listach zastawnych i bankach hipotecznych, list zastawny może nie mieć formy dokumentu (za wyjątkiem papierów tzw. wysokonominałowych), aczkolwiek zdematerializowane podlegają rejestracji w scentralizowanym systemie rejestracji organizowanym przez KDPW niespełniającym kryteriów technologii DLT;
  • kwity depozytowe: przepisy Ustawy o Obrocie definiując ten typ papierów wartościowych, nie odnoszą się do formy ani zasad emisji nie ograniczają sposobu emisji ani w szczególności nie wyłączają możliwości wykorzystania technologii DLT;
  • instrumenty rynku pieniężnego (inne niż obligacje): pojęcie to jest szerokie, ale obejmuje w szczególności (oprócz już omówionych powyżej) (i) krótkoterminowe instrumenty dłużne przedsiębiorstw, znajdujące się w sferze nieuregulowanej, a więc pozostawiającej swobodę wyboru drogi rejestracji danego instrumentu (nie wyłączając więc technologii DLT), (ii) uregulowane w ustawie bankowe papiery wartościowe (np. akcept bankierski), wobec których – w myśl przepisów ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe – rejestracja w scentralizowanym systemie jest jedynie opcją pozostawioną emitentowi, co umożliwia prowadzenie rejestru takich instrumentów – również przy zastosowaniu technologii DLT;
  • tytuły uczestnictwa funduszy typu UCITS: zgodnie z przepisami ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, uczestnikiem otwartego funduszu inwestycyjnego jest ten, kto jest wpisany do rejestru funduszu, prowadzonego przez fundusz na terytorium RP (w praktyce czynność ta zlecana jest podmiotowi trzeciemu), przepisy nie precyzują formy rejestru ani sposobu jego prowadzenia w sposób uniemożliwiający zastosowanie w tym przypadku technologii DLT – ze względu jednak na fakt, że jednostki uczestnictwa w funduszach inwestycyjnych otwartych są niezbywalne, nie jest możliwe zorganizowanie obrotu wtórnego tymi instrumentami finansowymi.

Reasumując, wydaje się, że zgodnie z obowiązującymi obecnie przepisami krajowymi, istnieje stosunkowo szeroka możliwość skorzystania przez firmy inwestycyjne z rozwiązań przewidzianych w Rozporządzeniu (abstrahując przy tym od oceny przygotowania rynku od strony infrastruktury i podaży instrumentów finansowych, czyli zainteresowania od strony emitenta). 

Jakie wymogi musi spełnić firma inwestycyjna?

Podkreślenia jednocześnie wymaga, że w każdym z przypadków, w których krajowe przepisy nie wyłączają wykorzystania technologii DLT a nawet wprost ją dopuszczają, możliwość jej wykorzystania w praktyce w dużej mierze będzie zależna od zastosowanego mechanizmu konsensusu, tj. zasad i procedur regulujących zatwierdzanie kolejnych informacji dodawanych do łańcucha danych gwarantujące efektywność systemu pomimo zastosowanej decentralizacji. Mechanizm konsensusu powinien zapewniać stabilność oraz pewność co do prawidłowości wprowadzanych informacji. Tu zgodzić się należy z często podkreślanym w literaturze poglądem, że rejestry budowane w technologii DLT na omawiane cele, ze względu na wymogi, jakim by podlegały, w praktyce nie mogłyby być w całości zdecentralizowane, co oznacza, iż musiałyby wymagać, aby uczestnicy spełniali szereg warunków dostępu określanych przez podmiot pełniący funkcję „centralnego administratora”.

Kolejną wymagającą podkreślenia kwestią jest wymóg zapewnienia przez organizatora DLT MTF rozliczania transakcji zawieranych w tym systemie. Z zastrzeżeniem prawa emitenta do wyboru izby rozliczeniowej, zgodnie z przepisami Ustawy o Obrocie, wykonywanie czynności w zakresie prowadzenia systemu rejestracji instrumentów finansowych niebędących papierami wartościowymi ani instrumentami pochodnymi, które zostały wprowadzone do obrotu na MTF jest zadaniem wyłącznie KDPW (może być ewentualnie powierzone przez KDPW spółce zależnej tego podmiotu), a w przypadku prowadzenia rejestracji również dokonywanie rozrachunku w zakresie transakcji zawieranych w ramach MTF. Powyższe oznacza, że dla efektywnego zorganizowania DLT MTF, po dniu 23 marca 2023 r., zakładając brak zmian legislacyjnych na poziomie krajowym w omawianym obszarze do tego dnia, nawet w zakresie instrumentów finansowych, które mogą być emitowane i rejestrowane w technologii DLT, może się okazać niezbędne nawiązanie współpracy z KDPW, które musiałoby zapewnić takiemu systemowi obsługę w ramach systemu rejestrującego instrumenty finansowe DLT i rozliczającego transakcje zawierane w ramach DLT MTF, zorganizowanego jako DLT Settlement System (DLT SS). Choć oczywiście ponownie wskazujemy, że sposób interpretowania krajowych przepisów po 23 marca 2023 r. będzie w przeważającej mierze zależny od podejścia organów administracji, a w tym konkretnym przypadku – od KNF, wydaje się jednak, że przepis krajowy nie powinien blokować prawa do podejmowania (za zezwoleniem KNF) działalności w zakresie organizowania DLT SS przez podmioty inne niż KDPW, o ile takie zainteresowanie na rynku by wystąpiło.

Podsumowanie

Na zakończenie, jeszcze raz wskazujemy, że Rozporządzenie kwalifikuje na potrzeby stosowania tego aktu jako instrumenty finansowe DLT jedynie te spośród instrumentów finansowych (z zastrzeżeniem wyłączeń, o których mowa powyżej), które mogą być emitowane, przenoszone i rejestrowane z wykorzystaniem technologii DLT, a więc wyłącza możliwość zakwalifikowania na potrzeby jego stosowania instrumentów finansowych wyemitowanych w sposób „tradycyjny” i jedynie przenoszonych z użyciem technologii DLT (przypadków tzw. tokenizacji wtórnej – patrz wyjaśnienia powyżej). Takie jednak instrumenty finansowe będą w dalszym ciągu mogły być przedmiotem działalności firm inwestycyjnych na zasadach ogólnych, z tym jednak, że organizacja MTF podlegać będzie obligatoryjnej regule dematerializacji na zasadach określonych w Ustawie o Obrocie (instrumenty finansowe wprowadzone do obrotu na MTF muszą być rejestrowane w systemie organizowanym przez KDPW, a więc scentralizowanym, co wyklucza skorzystanie z technologii DLT).

Przypisy:

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/858 z dnia 30 maja 2022 r. w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru, a także zmiany rozporządzeń (UE) nr 600/2014 i (UE) nr 909/2014 oraz dyrektywy 2014/65/UE.

[2] Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE.

[3] Projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów i zmieniającego dyrektywę (UE) 2019/1937.

[4] Akcje w prostej spółce akcyjnej, zgodnie z przepisami Ustawa z dnia 15 września 2000 r. – Kodeks spółek handlowych nie mogą być przedmiotem obrotu zorganizowanego, czyli również DLT MTF (DLT MTF jest jedynie specyficzną formą obrotu definiowanego jako MTF, a więc obrotu zorganizowanego).

 

Napisz do autorów:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Igor Sobieski SPCG

Igor Sobieski

prawnik
Junior Associate

  1. Strony:
  2. 1
  3. 2

Pin It on Pinterest