Rozporządzenie MiCA już od stycznia 2025 r.

Rozporządzenie MiCA już od stycznia 2025 r.

Czytaj: 3 min

Z końcem bieżącego roku zaczną być stosowane przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów (MiCA), co oznacza, że działające obecnie na rynku finansowym instytucje takie, jak:

  • banki,
  • instytucje płatnicze,
  • domy maklerskie,
  • towarzystwa funduszy inwestycyjnych posiadające zezwolenie na usługi zarządzania portfelem, doradztwa inwestycyjnego lub przyjmowania i przekazywania zleceń,
  • KDPW S.A. oraz
  • spółki organizujące rynek regulowany

– będą mogły poszerzyć zakres prowadzonej działalności o odpowiadające jej usługi w zakresie kryptoaktywów, przy czym MiCA wyraźnie wskazuje usługi „kryptowalutowe” odpowiadające świadczonym dotychczas na rynku kapitałowym nie pozostawiając tu miejsca na jakąkolwiek dowolność.

W celu poszerzenia działalności niezbędne będzie złożenie do organu nadzoru powiadomienia, co najmniej na 40 dni roboczych przed planowanym rozpoczęciem świadczenia przedmiotowych usług. Prawidłowo przygotowane zawiadomienie pozwoli na poszerzenie działalności bez konieczności ubiegania się o jakiekolwiek zezwolenia w tym zakresie.

Na chwilę obecną wiadomo, że powiadomienie powinno zawierać:

  • program działania określający rodzaje usług w zakresie kryptoaktywów, w tym miejsce i sposób ich świadczenia;
  • opis mechanizmów kontroli wewnętrznej;
  • opis polityk i procedur AML/CFT;
  • opis ram oceny ryzyka na potrzeby zarządzania ryzykiem AML/CFT;
  • opis planu ciągłości działania;
  • dokumentacja techniczna systemów ICT i rozwiązań w zakresie bezpieczeństwa oraz ich opis w języku niespecjalistycznym;
  • wskazanie czy usługa w zakresie kryptoaktywów dotyczy tokenów powiązanych z aktywami, tokenów będących e-pieniądzem czy innych kryptoaktywów oraz
  • opis odpowiedniej procedury lub polityki dla regulującej daną usługę/działalność podmiotu składającego zawiadomienie objętą notyfikowanym przez niego zamiarem;
  • w przypadku zamiaru świadczenia usługi doradztwa lub zarządzania portfelami – dowody potwierdzające, że osoby fizyczne wykonujące w imieniu danego podmiotu doradztwo lub zarządzające portfelami w imieniu danego podmiotu posiadają wiedzę ogólną i fachową niezbędne do wywiązania się ze swoich obowiązków.

Szczegóły natomiast co do poszczególnych dokumentów/informacji wskazanych powyżej, jak też tryb składania samego powiadomienia określone natomiast mają być w aktach drugiego poziomu, czyli delegowanych. Problemem jednak są opóźnienia legislacyjne. Mianowicie, treść i forma zawiadomienia wciąż jeszcze nie zostały do końca rozstrzygnięte. W tym zakresie bowiem przesądzające znaczenie będą mieć akty prawne wydane przez Komisję Europejską (KE) na podstawie MiCA w oparciu o projekty przygotowanych przez European Securities and Markets Authority (ESMA) regulacyjne i implementacyjne standardy techniczne (RTS i ITS). Jakkolwiek właściwe projekty zostały ostatecznie przez ESMA przygotowane i jako finalny raport przekazane Komisji Europejskiej w marcu b.r. to jednak do chwili sporządzenia niniejszego materiału nie przybrały one kształtu rozporządzeń przyjętych przez KE. Co więcej, KE zwróciła się do ESMA z prośbą o dokonanie zmian w projekcie RTS uznając, że przedstawione w nim propozycje wykraczają poza zakres mandatu wynikającego z MiCA. Mianowicie, KE stwierdziła, że w zakresie dotyczącym wymogów związanych z dokumentacją techniczną systemów ICT ESMA proponując w projekcie RTS obligatoryjne załączanie do zawiadomienia wyników zewnętrznego audytu w zakresie cyberbezpieczeństwa, w istocie kreuje zupełnie nowy obowiązek, niewynikający obecnie z przepisów, w związku z czym wymóg ten powinien zostać zmodyfikowany tak, aby był opcjonalny – „if available”. ESMA odnosząc się do uwagi KE, nie przedstawiła argumentów, które wskazywałyby na niezasadność rozumowania KE, jednak podniosłość olbrzymie znaczenie kwestii cyberbezpieczeństwa na rynku kryptoaktywów i zaproponowała zmianę MiCA, aby możliwe było osiągnięcie efektu w postaci wprowadzenia przedmiotowego wymogu w stosunku do podmiotów wchodzących na rynek kryptoaktywów.

Stanowisko ESMA zostało skierowane do KE, Parlamentu Europejskiego i Rady. Parlament Europejski i Rada mogą sprzeciwić się brzmieniu RTS przyjętemu przez KE w terminie 3 miesięcy. Przypominamy przy tym, że w wersji RTS zaproponowanej przez KE wymóg dotyczący audytu w zakresie cyberbezpieczeństwa został złagodzony i zmieniony na wymóg fakultatywny („if available”).

Reasumując, prace nad brzmieniem aktów doprecyzowujących zakres zawiadomienia (RTS) i jego formę oraz procedurę składania (ITS) są wciąż w toku i jakkolwiek możliwe jest prowadzenie prac w oparciu o dostępne projekty to jednak brak jest przepisów, których pojawienie się w przestrzeni publicznej jest niezbędne dla wszczęcia formalnej procedury notyfikacyjnej.

W tym miejscu wskazujemy również na wciąż niezakończony krajowy proces legislacyjny związany z pracami nad projektem ustawy o kryptoaktywach. Dopiero krajowy akt prawny wskaże KNF jako organ właściwy w sprawach nadzoru nad rynkiem kryptowalut a więc również w sprawach przedmiotowych zawiadomień. Opóźnienia więc w pracach nad ustawą, które w chwili obecnej nie pozwalają bezpiecznie założyć, że zostanie ona uchwalona przed końcem roku, mogą stać się źródłem wielu wątpliwości prawnych rzutujących na sposób a nawet możliwość składania zawiadomień przez podmioty finansowe bezpośrednio po rozpoczęciu stosowania przepisów MiCA a więc po dniu 30 grudnia b.r.

W przypadku podmiotów finansowych zainteresowanych działalnością na rynku kryptoaktywów wybór optymalnego rozwiązania w tych trudnych warunkach prawnych, aby jak najwcześniej i jak najsprawniej wyjść do klienta z ofertą usługi, wydaje się więc kluczowy. W tym oraz w pracy nad dokumentacją niezbędną do przygotowania organizacji do rozpoczęcia do działalności na rynku kryptoaktywów SPCG z chęcią Państwa wesprze.

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

Czytaj: 7 min

Od dnia 16 stycznia 2023 r. obowiązuje w UE rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”), a obowiązek jego stosowania rozpocznie się z dniem 17 stycznia 2025 r., a więc już niedługo.

Akt ten jest jednym z elementów unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, którego celem jest aktualizacja otoczenia regulacyjnego w obszarze technologii finansowych, a także zharmonizowanie procesów i standardów odporności cyfrowej w całym sektorze finansowym.

W niniejszym artykule przedstawiamy podstawowe informacje związane z Rozporządzeniem DORA w kontekście niezbędnych procesów dostosowawczych oraz obszary wsparcia, jakiego w tym zakresie udzielić może Państwu nasz zespół prawny. Chętnie rozwiniemy ten temat podczas spotkania lub w drodze konsultacji, do czego niniejszym Państwa zapraszamy.

ROZPORZĄDZENIE DORA – GŁÓWNE ZAŁOŻENIA I WPŁYW NA DZIAŁALNOŚĆ PODMIOTÓW FINANSOWYCH

CEL

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku UE oraz kluczowych dostawców technologii informacyjno-telekomunikacyjnych („ICT”).

Rozporządzenie DORA jest częścią pakietu unijnych aktów prawnych dla sektora finansowego, na który składają się:

  1. rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru;
  2. rozporządzenie o rynkach kryptoaktywów (MiCA);
  3. rozporządzenie DORA.
KOGO DOTYCZY?Rozporządzenie będzie miało zastosowanie do podmiotów finansowych wymienionych w art. 2 Rozporządzenia DORA, w szczególności do: (i) instytucji sektora finansowego: organizatorów obrotu, centralnych depozytów i CCP, instytucji kredytowych, firm inwestycyjnych, spółek zarządzających, a więc towarzystw funduszy inwestycyjnych i ZASI działających na podstawie zezwolenia, zakładów ubezpieczeń i reasekuracji, (ii) podmiotów z obszaru cyfrowych finansów: dostawców usług w zakresie kryptoaktywów, instytucji płatniczych i instytucji pieniądza elektronicznego, (iii) dostawców technologii, w tym dostawców usług chmury obliczeniowej i innych dostawców usług ICT. Należy podkreślić, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu (obowiązki nałożone na poszczególne podmioty różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego).
OD KIEDY?Rozporządzenie DORA weszło w życie w dniu 16 stycznia 2023 r., a jego przepisy będą miały zastosowanie od dnia 17 stycznia 2025 r.
GŁÓWNE ZAŁOŻENIA

Rozporządzenie DORA opiera się na pięciu filarach. W ramach każdego z filarów DORA nakłada na podmioty finansowe różne obowiązki w zakresie odporności cyfrowej. Zakres obowiązków nałożonych na dany podmiot jest pochodną zasady proporcjonalności, tzn. obowiązki różnią się w zależności od rozmiaru, profilu działalności oraz profilu ryzyka podmiotu finansowego.

Wspomniane powyżej filary obejmują:

  1. zarządzanie ryzykiem związanym z ICT (art. 5-14 Rozporządzenia DORA): Rozporządzenie DORA wprowadzi m.in. obowiązek utworzenia i utrzymania odpornych systemów i narzędzi ICT, środków ochrony i zapobiegania ryzykom, opracowania polityk bezpieczeństwa informacji, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania oraz planów przywrócenia gotowości do pracy, a także obowiązek identyfikowania, klasyfikowania i prowadzenia dokumentacji funkcji biznesowych związanych z ICT. Dodatkowo, instytucje finansowe są zobowiązane do zapewnienia obowiązkowych szkoleń dla personelu;
  2. zgłaszanie incydentów związanych z ICT (art. 17-23 Rozporządzenie DORA): adresaci omawianego aktu będą zobowiązani do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich i zgłaszania do odpowiednich organów nadzorów (Rozporządzenie DORA reguluje proces zarządzania incydentami ICT, w tym klasyfikację zdarzeń według priorytetu i dotkliwości oraz krytyczności usług, na które incydenty mają wpływ). Co ważne, ujednoliceniu ulegną procedury zgłaszania incydentów ICT w związku z różnymi procedurami określonymi w dyrektywie NIS czy PSD2;
  3. testowanie operacyjnej odporności cyfrowej (art. 24-27 Rozporządzenia DORA): Rozporządzenie DORA zobowiąże poszczególne podmioty m.in. do przeprowadzania okresowych testów odporności cyfrowej, przygotowania i dokonywania przeglądów programu testowania odporności cyfrowej. Program testowania powinien obejmować różne aspekty, takie, jak analiza open source, ocena bezpieczeństwa sieci i testowanie scenariuszy. Rozporządzenie DORA określi również wymogi dla testerów oraz zasady uznawania wyników testów penetracyjnych (TLPT) w przypadku podmiotów działających w kilku państwach UE. Co istotne, testy penetracyjne będą przeprowadzane na działających systemach produkcyjnych wspierających krytyczne lub istotne funkcje danego podmiotu;
  4. zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT (art. 28-39 Rozporządzenia DORA): Rozporządzenie DORA wprowadza obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców ICT, w tym na etapie wykonywania umowy i zakończenia współpracy (m.in.: wprowadzenie strategii, dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT, polityki korzystania z usług ICT wspierających krytyczne lub istotne funkcje, dokonywanie przeglądów strategii oraz ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dot. korzystania z usług ICT wspierających krytyczne lub istotne funkcje) oraz ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (szerzej poniżej). Ponadto Rozporządzenie DORA wprowadza nadzór właściwych organów nad kluczowymi zewnętrznymi dostawcami ICT (wybranymi zgodnie z art. 31 Rozporządzenia DORA);
  5. wymiana informacji (art. 45 Rozporządzenia DORA): Rozporządzenie DORA wprowadza regulacje w zakresie wymiany informacji zarówno pomiędzy samymi podmiotami, jak i w relacji z właściwymi organami. Rozporządzenie DORA umożliwia zwłaszcza podmiotom wymianę informacji o cyberzagrożeniu i wyniki analiz takiego cyberzagrożenia.
ROLA ZARZĄDU

Głównym założeniem Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego (tj. zarządów spółek) za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 5 ust. 2 Rozporządzenia DORA).

W motywie 45 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowanie i dostosowywanie ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 5 ust. 4 Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy oraz umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT, a także jego wpływu na operacje danego podmiotu.

UMOWY
Z DOSTAWCAMI ICT

Rozporządzenie DORA określa minimalne postanowienia umowne, które powinny zostać uwzględnione w umowie z dostawcą ICT (art. 30 Rozporządzenia DORA):

  • jasny i kompletny opis wszystkich funkcji i usług ICT;
  • postanowienia dotyczące podwykonawstwa tzw. kluczowej lub ważnej funkcji lub jej istotnych części, w tym – jeżeli podwykonawstwo jest dozwolone – warunki jakie mają zastosowanie do podwykonawstwa;
  • wskazanie lokalizacji, w których będą świadczone funkcje i usługi ICT i w których będą przetwarzane dane;
  • postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych, w tym danych osobowych oraz zwrotu danych osobowych i nieosobowych na wypadek zakończenia współpracy;
  • opisy gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany;
  • zapewnienie podmiotowi finansowemu przez dostawcę ICT pomocy w przypadku wystąpienia incydentu związanego z ICT (bez dodatkowych opłat lub w ramach opłaty uiszczonej z góry);
  • obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy z właściwymi organami oraz organami przymusowej restrukturyzacji podmiotu finansowego, w tym z osobami przez nie wyznaczonymi;
  • prawo wypowiedzenia umowy z dostawcą ICT, w tym odpowiednio długie okresy wypowiedzenia umowy przez dostawcę ICT;
  • obowiązki sprawozdawcze dostawcy ICT wobec podmiotu finansowego;
  • prawo dostępu, kontroli i audytu dostawcy ICT przez podmiot finansowy lub wyznaczoną osobę trzecią;
  • strategie wyjścia (tj. exit plan).
KONSEKWENCJE NARUSZENIA ROZPORZĄDZENIA DORA

Państwa członkowskie są zobowiązane do powierzenia właściwym organom uprawnienia do stosowania względem zobowiązanych podmiotów finansowych, które naruszą przepisy Rozporządzenia DORA, kar administracyjnych lub środków naprawczych, obejmujących m.in.:

  • wydanie nakazu zaprzestania postępowania naruszającego Rozporządzenie DORA oraz powstrzymania się od ponownego podejmowania takich działań;
  • wymaganie tymczasowego lub stałego zaprzestania wszelkich praktyk, które właściwy organ uważa za sprzeczne z Rozporządzeniem DORA, oraz niedopuszczenie do ponownego ich podejmowania;
  • podejmowanie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych;
  • wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.

Z kolei w przypadku częściowego lub całkowitego niezastosowania się przez kluczowego zewnętrznego dostawcę usług ICT do środków, które zostały podjęte przez organy nadzorcze (np. nieprzekazanie wszystkich stosownych informacji i dokumentów, niezłożenie sprawozdań po zakończeniu działań nadzorczych) organ nadzorczy nad rynkiem finansowym może nałożyć okresową karę pieniężną do 1% średniego dziennego światowego obrotu w poprzedzającym roku obrotowym za każdy dzień trwania naruszenia. Okresowa kara pieniężną jest nakładana za każdy dzień do czasu zastosowania się do środków podjętych przez organ nadzorczy i nie dłużej niż przez 6 miesięcy od dnia zawiadomienia o decyzji nakładającej tę karę. Informacja o nałożeniu kary może zostać podana do wiadomości publicznej (art. 35 Rozporządzenia DORA).

AKTY WYKONAWCZE

Europejskie Urzędy Nadzoru (EUN), tj. Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) opublikowały dotychczas dwa pakiety aktów wykonawczych do Rozporządzenia DORA.

Pierwszy pakiet: przyjęty przez Komisję Europejską w lutym i marcu 2024 r. doprecyzowuje regulacje Rozporządzenia DORA w zakresie: (i) ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT (art. 15, art. 16 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. elementy polityk oraz procedur wewnętrznych w zakresie zarządzania ryzykiem ICT (RTS); (ii) kryteriów klasyfikacji incydentów ICT (art. 18 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. kryteria klasyfikacji poważnych incydentów związanych z ICT, podejście do klasyfikacji poważnych incydentów oraz próg istotności każdego kryterium klasyfikacji (RTS); (iii) wzorów na potrzeby rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 9 Rozporządzenia DORA) (ITS) oraz polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje, świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 10 Rozporządzenia DORA) (RTS).

Drugi pakiet: projekty RTS oraz wytyczne opublikowane w dniu 17 lipca 2024 r., doprecyzowują regulacje Rozporządzenia DORA w zakresie: (i) przeprowadzania testów penetracyjnych (TLPT) (RTS); (ii) raportowania incydentów ICT (RTS); (iii) harmonizacji warunków umożliwiających prowadzenie działań nadzorczych (RTS); (iv) wykonywania nadzoru przez właściwe organy nadzoru (RTS); (v) szacowania kosztów i strat spowodowanych incydentami (wytyczne); (vi) współpracy w zakresie nadzoru i wymiany informacji między EUN a właściwymi organami (wytyczne). Projekty RTS oraz wytycznych z drugiego pakietu zostały już przyjęte przez EUN i przekazane Komisji Europejskiej w celu dalszych prac.

Ponadto, w dniu 18 kwietnia 2024 r. na stronie Rządowego Centrum Legislacji zamieszczono projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego wdrażający do prawa krajowego oraz zapewniający stosowanie Rozporządzenia DORA oraz towarzyszącej mu dyrektywy 2022/2556. Zgodnie z założeniami projektowana ustawa ma wejść w życie w dniu 17 stycznia 2025 r., czyli w terminie, od którego stosuje się przepisy Rozporządzenia DORA. Projekt przewiduje m.in. wyznaczenie KNF jako organu nadzoru właściwego w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego. Zgodnie z projektowanymi regulacjami KNF będzie mogła w drodze decyzji nakazać zaprzestanie danego zachowania oraz powstrzymanie się od takiego zachowania w przyszłości, zakazać pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu przez okres nie krótszy niż miesiąc i nie dłuższy niż rok, a także nałożyć karę pieniężną do wysokości 20 869 500 zł lub 10% rocznego przychodu (w przypadku osoby prawnej) i karę pieniężną do wysokości 3 042 410 zł (w przypadku osoby fizycznej). KNF będzie mogła również wydać publiczne oświadczenie, w którym wskaże imię i nazwisko osoby fizycznej albo firmę lub nazwę osoby prawnej, odpowiedzialnych za dane naruszenie wraz ze wskazaniem jego charakteru.

PRZEPISY ODRĘBNEPonieważ Rozporządzenie DORA reguluje powierzanie podmiotom trzecim wykonywania czynności z zakresu szeroko pojmowanych technologii informatycznych (IT) przez podmioty prowadzące działalność regulowaną, należy pamiętać o konieczności dalszego stosowania zarówno obowiązujących w danym zakresie wymogów sektorowych dla danej branży (outsourcing), gdyż Rozporządzenie DORA tych wymogów nie uchyla. Co więcej, dodatkowym obszarem, na który należy zwrócić uwagę wdrażając Rozporządzenie DORA, są wymogi tzw. trzeciego poziomu, a więc wytyczne i stanowiska wydawane przez właściwe organy na podstawie przepisów sektorowych (tu w szczególności wskazujemy na Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej).
WSPARCIE SPCG

W związku z nadchodzącym terminem rozpoczęcia stosowania Rozporządzenia DORA oferujemy:

  • weryfikację dotychczas zawartych umów pod kątem ustalenia zakresu umów, do których zastosowanie znajdują przepisy Rozporządzenia DORA;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA umów z dostawcami ICT np. umów wdrożeniowych, utrzymaniowych, rozwojowych, licencyjnych, body leasingowych, czy umów na przeprowadzenie testów penetracyjnych, z uwzględnieniem właściwych przepisów odrębnych;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA procedur i dokumentów wewnętrznych, w tym procedur zarządzania ryzykiem ICT, incydentów ICT czy testowania odporności operacyjnej, z uwzględnieniem właściwych przepisów odrębnych;
  • dostosowanie – w ramach zaleceń poaudytowych – zawartych umów z dostawcami ICT oraz procedur wewnętrznych do wymogów Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • przygotowanie wzorów umów z dostawcami ICT zgodnych wymogami Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • negocjowanie umów z dostawcami usług ICT;
  • stałe doradztwo w regulacyjnych aspektach cyberbezpieczeństwa, w tym w szczególności w zakresie wypełniania obowiązków wynikających z Rozporządzenia DORA;
  • wsparcie w wypełnianiu obowiązków raportowych i sprawozdawczych np. sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT;
  • reprezentację przed organami nadzoru i sądami administracyjnymi w postępowaniach dotyczących wykonania obowiązków określonych w Rozporządzeniu DORA;
  • szkolenia i warsztaty przygotowujące podmiot do rozpoczęcia stosowania Rozporządzenia DORA/ułatwiające wdrożenie nowych rozwiązań w organizacji.

 

Broszura informacyjna w formacie PDF dostępna jest tutaj. Zapraszamy do kontaktu.

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Czytaj: 11 min

Postępujące zmiany technologicznie dynamicznie wpływają na rozwój szeroko rozumianego sektora finansowego, w tym jego konkurencyjność czy innowacyjność. Dynamika tego rozwoju rodzi jednak całkiem nowe zagrożenia i ryzyka dla inwestorów oraz konsumentów. Problemy te zauważa m.in. Komisja Europejska, która od paru lat prowadzi intensywne prace nad przyjęciem szeregu regulacji, mających na celu z jednej strony zidentyfikowanie ryzyk związanych z upowszechnieniem nowych technologii w sektorze finansowym, a z drugiej – nieblokowanie ich rozwoju.

Warto w szczególności śledzić aktywność unijnego ustawodawcy w zakresie pakietu regulacji tzw. finansów cyfrowych (digital finance package), opublikowanego przez Komisję Europejską w dniu 24 września 2020 r., oraz rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji („Rozporządzenie AI”). Pakiet regulacji finansów cyfrowych obejmował projekty następujących rozporządzeń:

  • rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru („Rozporządzenie pilotażowe DLT”) [1];
  • rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”) [2];
  • rozporządzenie w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”) [3].

Do tej pory zostało przyjęte jedynie Rozporządzenie pilotażowe DLT (w dniu 30 maja 2022 r.), które – zgodnie z art. 19 ust. 1 rozporządzenia – wejdzie w życie w dniu 19 czerwca 2022 r. Jednakże podmioty finansowe oraz organy nadzoru będą miały dostatecznie dużo czasu, aby przygotować się do regulacji, ponieważ Rozporządzenie pilotażowe DLT będzie stosowane od dnia 23 marca 2023 r. O założeniach Rozporządzenia pilotażowego DLT pisaliśmy na naszym blogu.

Na nieco wcześniejszym etapie są prace nad treścią Rozporządzenia DORA. W dniu 10 maja 2022 r. prezydencja Rady UE oraz Parlament Europejski osiągnęły wstępne porozumienie dotyczące tekstu Rozporządzenia DORA. Wstępne porozumienie musi zostać zatwierdzone przez Radę Unii Europejskiej oraz Parlament Europejski, a następnie rozpocznie się formalna procedura przyjęcia projektu. Podmioty finansowe będą zobowiązane do wdrożenia przepisów Rozporządzenia DORA w terminie 12 miesięcy od dnia wejścia omawianego aktu w życie (art. 56 ust. 2 Rozporządzenia DORA).

W przypadku Rozporządzenia MiCA postęp prac legislacyjnych nie jest już tak zaawansowany – wciąż trwają negocjacje treści tego aktu pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej. Znane są już jednak jego główne założenia, o których piszemy poniżej.

Ponadto sektor finansowy jest branżą, w której sztuczna inteligencja może mieć szerokie zastosowanie, np. do oceny zdolności kredytowej potencjalnego kredytobiorcy, wykorzystania botów do obsługi klienta bankowego czy na potrzeby przygotowywania zindywidualizowanych produktów ubezpieczeniowych w oparciu o dane oraz algorytmy sztucznej inteligencji. Dlatego podmioty finansowe powinny śledzić prace nad Rozporządzeniem AI. Projekt Rozporządzenia AI został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Propozycje tekstu kompromisowego Rozporządzenia AI opublikowała – w ramach prac legislacyjnych – słoweńska (29 listopada 2021 r.) [4] oraz francuska (13 stycznia 2022 r.) [5] prezydencja Rady Unii Europejskiej.

W dalszej części tekstu przedstawiamy naszą analizę podstawowych założeń Rozporządzenia DORA, Rozporządzenia MiCA oraz Rozporządzenia AI.

Rozporządzenie DORA

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów prawnych dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku Unii Europejskiej. Dotychczas państwa członkowskie, organy unijne (np. EBA lub EIOPA) oraz krajowe (np. UKNF) podejmowały różnego rodzaju próby opracowania kompleksowych wytycznych dla zarządzania ryzykami technologii informacyjno-telekomunikacyjnych („ICT„). Jednak te próby nie doprowadziły do wypracowania w ramach UE jednolitych standardów zarządzania wspomnianymi ryzykami. Niejednolity krajobraz regulacyjny utrudnia podmiotom finansowym świadczącym usługi w więcej niż jednym państwie członkowskim zachowanie zgodności z prawem. Odpowiedzią na ten problem ma być właśnie Rozporządzenie DORA, która wprowadza jednolite wymogi w tym zakresie. Nie oznacza to jednak, że polskie podmioty finansowe czeka rewolucja w podejściu do zarządzania ryzykiem ICT. Wytyczne określone w Rozporządzeniu DORA nie będą raczej nowością dla podmiotów regulowanych, ponieważ powielają niektóre wymogi regulacyjne wynikające z wytycznych opublikowanych dotychczas przez organy krajowe (np. wytyczne UKNF dotyczące zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, „komunikat chmurowy” [6],) lub organy unijne (np. wytyczne EBA w sprawie zarządzania ryzykami teleinformatycznymi oraz bezpieczeństwa [7], wytyczne EIOPA dot. systemu zarządzania oraz dot. bezpieczeństwa i zarządzania w zakresie ICT [8]).Jednak nawet jeśli dla polskich podmiotów finansowych wymogi przewidziane w Rozporządzeniu DORA to bardziej ewolucja niż rewolucja, to konieczna jest weryfikacja i dostosowanie wewnętrznych procedur do przepisów tego rozporządzenia.

Do jakich jednak podmiotów finansowych Rozporządzenie DORA będzie miało zastosowanie?

Zakres podmiotowy określa art. 2 ust. 1 Rozporządzenia DORA i obejmuje 20 różnych typów podmiotów. Należą do nich przede wszystkim podmioty regulowane na rynku UE, w tym m.in. banki, firmy inwestycyjne, instytucje płatnicze, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i reasekuracji, dostawcy usług finansowania społecznościowego, tzn. platform crowdfundingowych), a z drugiej strony do zewnętrznych dostawców ICT. Istotne jest jednak, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu. Mianowicie, zgodnie z zasadą proporcjonalności obowiązki nałożone na podmioty finansowe różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego. Przykładowo tylko podmioty finansowe niebędące mikroprzedsiębiorstwami będą obowiązane do przeprowadzenia oceny ryzyka przy każdej większej zmianie infrastruktury sieci i systemów informatycznych (art. 7 ust. 3 DORA), czy też przeprowadzenia szczegółowej oceny ryzyka związanego z ICT w odniesieniu do wszystkich starszych wersji systemów ICT (art. 7 ust. 5 DORA). Ponadto niektóre obowiązki będą dotyczyć jedynie wybranych podmiotów, np. takich, które uznano za istotne i dojrzałe pod względem cyfrowym, będą zobowiązane do regularnego przeprowadzania testów penetracyjnych (art. 23 ust. 1 w zw. z motywem 35 DORA).

Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA opierają się na pięciu „filarach”.

  1. Zarządzanie ryzykiem związanym ICT (art. 5-14 DORA).
    Podmioty finansowe mają m.in. obowiązek utworzenia i utrzymania odpornych systemów oraz narzędzi ICT, środków ochrony i zapobiegania ryzykom, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania i planów przywrócenia gotowości do pracy.
  2. Zgłaszanie incydentów związanych z ICT (art. 15-20 DORA).
    Podmioty finansowe będą zobowiązane do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich oraz zgłaszania do odpowiednich organów nadzoru (np. w Polsce – UKNF). Co istotne w tym kontekście, Rozporządzenie DORA ujednolica procedury zgłaszania incydentów ICT do organów nadzoru. Dotychczas procedury zgłaszania incydentów ICT wynikających z różnych aktów prawnych nie były ze sobą spójne i czytelne dla podmiotów finansowych w związku z różnymi wymogami, które w tym zakresie nakłada NIS, RODO czy PSD2.
  3. Testowanie operacyjnej odporności cyfrowej (art. 21-24 DORA).
    Rozporządzenie DORA zobowiązuje podmioty finansowe m.in. do przygotowania i aktualizacji programów testowania odporności cyfrowej oraz okresowego przeprowadzania zaplanowanych w programach testów penetracyjnych. Przepisy rozporządzenia precyzują też wymogi dla testerów oraz reguły wzajemnego uznawania wyników testów penetracyjnych w przypadku podmiotów finansowych działających w kilku państwach UE.
  4. Ryzyko ze strony zewnętrznych dostawców usług ICT (art. 25-39 DORA).
    Rozporządzenie DORA wprowadza również obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT współpracujących z podmiotami finansowymi, a także ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (art. 27 DORA). Co więcej kluczowi zewnętrzni dostawcy ICT dla podmiotów finansowych zostaną objęcia nadzorem organów finansowych (zasady uznania dostawcy za „kluczowego” określa 28 DORA).
  5. Wymiana informacji (art. 40 DORA).
    Rozporządzenie DORA umożliwia podmiotom finansowym zawieranie umów współpracy dotyczącej wymiany informacji i danych związanych z cyberzagrożeniami. Jak wskazano w motywie 30 Rozporządzenia DORA, wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń oraz umożliwia podmiotom finansowym skuteczne ograniczanie skutków incydentów ICT. Wobec braku wytycznych, które adresowałyby tę kwestię na szczeblu unijnym, wymiana informacji pomiędzy instytucjami finansowymi była do tej pory ograniczona (z uwagi np. na niepewności co do zgodności z RODO, przepisami antymonopolowymi). Wobec tego art. 40 Rozporządzenia DORA ma zachęcić podmioty finansowe do regularnej wymiany wiedzy na temat zagrożeń i luk bezpieczeństwa.

Poza zasadą proporcjonalności, inną ważną zasadą Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 4 ust. 2 DORA). W motywie 36 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 4 ust. 4 projektu Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na działalność podmiotu finansowego.

Główne założenia Rozporządzenia DORA, wpływ na działalność podmiotów finansowych oraz opis usług SPCG związanych z wdrożeniem nowych regulacji znajdą Państwo w krótkiej broszurce dostępnej TUTAJ.

Rozporządzenie MiCA

Celem Rozporządzenia MiCA jest stworzenie w Unii Europejskiej jednolitych ram prawnych dla obrotu tzw. „kryptoaktywami”. Kryptoaktywa nie stanowią instrumentów finansowych ani pieniądza elektronicznego i w związku z tym nie podlegają obecnie spójnym regulacjom unijnym zapewniającym przejrzystość rynku, ochronę inwestora lub konsumenta (wyjątkiem są przepisy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

Zgodnie z projektem Rozporządzenia MiCA kryptoaktywa oznaczają cyfrowe odzwierciedlenie wartości lub praw, które można przenosić oraz przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej (art. 3 ust. 1 pkt 2) Rozporządzenia MiCA). Ustawodawca unijny wyróżnia przy tym 3 kategorie kryptoaktywów: i) tokeny powiązane z aktywami (asset-referenced tokens), ii) tokeny będące e-pieniądzem (e-money tokens) oraz iii) tokeny użytkowe (utility tokens). Rozporządzenie MiCA nie będzie miało zastosowania do kryptoaktywów, które kwalifikuje się jako instrumenty finansowe w rozumieniu dyrektywy MIFID II, pieniądz elektroniczny w rozumieniu dyrektywy EMD2 (za wyjątkiem jednak tokenów będących e-pieniądzem, o których mowa w Rozporządzenia MiCA), a także depozyty, sekurytyzacje bądź i lokaty strukturyzowane (art. 2 ust. 2 Rozporządzenia MiCA).

Przepisy Rozporządzenia MiCA będą dotyczyły emitentów kryptoaktywów, a także dostawców usług z zakresu kryptoaktywów, w tym m.in. podmiotów świadczących usługę przechowywania kryptoaktywów, prowadzenia platformy obrotu kryptoaktywami, wymiany kryptoaktywów na walutę lub inne kryptoaktywa oraz subemisji kryptoaktywów. Dostawcami takich usług będą mogły być jedynie osoby prawne mające siedzibę w jednym z państw członkowskich i dysponujące zezwolenie właściwego dla siedziby danego podmiotu organu nadzoru. Takie zezwolenie będzie umożliwiało świadczenie usług z zakresu kryptoaktywów na terytorium całej Unii Europejskiej (art. 53 Rozporządzenia MiCA) [9]. Ponadto szereg przepisów projektowanego rozporządzenia nakłada na dostawców zobowiązania dotyczące uczciwego, rzetelnego, profesjonalnego i przejrzystego prowadzenia działalności z zakresu kryptoaktywów (m.in. obowiązek publikacji polityki cenowej czy informowania konsumentów o ryzykach związanych z zakupem tokenów), w tym spełnienia określonych wymogów ostrożnościowych (np. polisa ubezpieczeniowa lub gwarancja obejmującej terytorium lub posiadanie funduszy własnych w rozumieniu Rozporządzenia MiCA) oraz organizacyjnych (np. osoby należące do zarządu lub osoby posiadające ponad 20% kapitału zakładowego lub praw głosów lub które w jakikolwiek inny sposób kontrolują dostawcę powinny udowodnić, że posiadają nieposzlakowaną opinię i kompetencje, a także nie były skazane za przestępstwa związane z praniem pieniędzy).

Drugą kategorią podmiotów, na którą zgodnie z projektem Rozporządzenia MiCA zostaną nałożone szczególne obowiązku są emitenci kryptoaktywów. Te obowiązki to chociażby obowiązek publikowania przez emitentów dokumentów informacyjnych dotyczących emisji kryptoaktywów (tzw. white papers stanowiące odpowiednik prospektu emisyjnego). Informacje zawarte w white papers mają być rzetelne, sporządzone w czytelnej, zwięzłej formie i nie mogą wprowadzać w błąd. Emitenci będą zobowiązani do przedłożenia white papers i materiałów marketingowych dotyczących oferty emisji kryptoaktywów właściwemu organowi nadzoru (np. w Polsce – KNF) w terminie 20 dni przed pierwszą emisją oraz opublikowania dokumentu na stronie internetowej emitenta [10].

Prace nad projektem Rozporządzenia MiCA wciąż trwają. O przebiegu prac będziemy regularnie informować na naszym blogu SPCG.

Rozporządzenie AI

Ostatnim projektem szczególnie istotnym dla sektora finansowego jest Rozporządzenia AI. Prace nad tym aktem prawnym są najmniej zaawansowane, niemniej znacząco przyspieszyły po opublikowaniu tekstów kompromisowych przez słoweńską (29 listopada 2021 r.) [11] i francuską (13 stycznia 2022 r.) [12] prezydencję Rady Unii Europejskiej.

Podobnie jak w przypadku operacyjnej odporności cyfrowej sektora finansowego oraz rynków kryptoaktywów, obecnie w prawie unijnym brak jest jakichkolwiek regulacji określających zasady rozwoju, wprowadzania do obrotu i wykorzystywania systemów sztucznej inteligencji przez przedsiębiorców. Dotychczas organy Unii Europejskiej publikowały jedynie dokumenty konsultacyjne, które nie są wiążące ani dla państw, ani dla podmiotów prywatnych, np. „Białą Księgę AI” [13]. Te dokumenty sygnalizowały jednak kluczowe zagadnienia, które organy unijne uważają za warte uregulowania.

Rozporządzenie AI ma określać zasady dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji (dalej: „systemy AI”) w działalności przedsiębiorstwa (w tym w podmiotach finansowych), zakazane praktyki odnoszące się do systemów AI, wymogi dla systemów AI wysokiego ryzyka (tj. high-risk AI) i dostawców takich systemów, monitorowania działania systemów AI rynkowego i nadzoru nad rynkiem.

Katalog podmiotów objętych Rozporządzeniem AI obejmuje m.in. dostawców systemów AI prowadzących działalność na terytorium UE (niezależnie od miejsca siedziby), użytkowników systemu AI, którzy znajdują się w Unii i dostawców lub użytkowników znajdujących poza terytorium UE, jeżeli wyniki działania systemu AI są wykorzystywane w UE. Jeżeli więc podmiot finansowy wykorzystywałaby systemy AI w swojej działalności (np. dla celu badania zdolności kredytowej), powinien on stosować się do przepisów Rozporządzenia AI.

Rozporządzenie AI nakłada na ww. podmioty liczne obowiązki związane z wprowadzeniem do odbioru, oddaniem do użytku lub wykorzystaniem systemów AI. Co istotne, obowiązki te różnią się w zależności od poziomu ryzyka, które dany system AI może generować (podejście oparte na tzw. zasadzie ryzyka). W projekcie Rozporządzenia AI podkreśla się niejednokrotnie, że obciążenia regulacyjne powinno nakładać się na podmioty tylko w przypadku, gdy dany system AI może stwarzać ryzyko dla praw podstawowych lub bezpieczeństwa. W Rozporządzeniu AI dokonano więc podziału na następujące kategorie ryzyka, które mogą generować systemy AI: i) niedopuszczalne ryzyko, ii) wysokie ryzyko oraz iii) niskie lub minimalne ryzyko. Systemy AI niedopuszczalnego ryzyka uznano za sprzeczne z wartościami UE i zakazano ich stosowania (art. 5 Rozporządzenia IA) [14]. Z kolei systemy AI niskiego lub minimalnego co do zasady nie podlegają przepisom Rozporządzenia AI (z zastrzeżeniem jednak pewnych obowiązków, które nałożono na ww. podmioty, oraz które związane są z zapewnieniem przejrzystości systemów AI przeznaczonych do wchodzenia w interakcję z osobami trzecimi, tak aby osoby trzecie miały świadomość takiej interakcji).

Duża część projektu Rozporządzenia AI dotyczy zaś obowiązków nałożonych na podmioty w odniesieniu do systemów AI wysokiego ryzyka (high-risk AI). Za systemy wysokiego ryzyka (high-risk AI) uznano w szczególności te, które potencjalnie mogą mieć negatywny wpływ na bezpieczeństwo lub prawa podstawowe. Są to m.in. systemy do identyfikacji biometrycznej, zarządzania infrastrukturą krytyczną (woda, gaz, infrastruktura drogowa), dostępu do edukacji, zatrudniania (np. procesy rekrutacyjne), dostępu do świadczeń publicznych lub podstawowych usług prywatnych, egzekucji prawa, migracji oraz przekraczania granic, sprawowania wymiaru sprawiedliwości [15]. Systemy AI wysokiego ryzyka powinny być m.in. projektowane przy zachowaniu zasady przejrzystości oraz wykorzystaniu do trenowania lub testowania danych wysokiej jakości oraz pozbawionych uprzedzeń [16]. Dostawcy są również zobowiązani m.in. do sporządzenia odpowiedniej dokumentacji technicznej przed wprowadzeniem systemu AI do obrotu lub oddaniem go do użytku.

Niezależnie od powyższego, podmioty korzystające z systemów AI wysokiego ryzyka powinny wdrożyć i utrzymywać – przez cały cykl życia działania takiego system – system zarządzania ryzykiem. W przypadku instytucji kredytowych ww. system zarządzania ryzykiem powinien stanowić element wewnętrznych procedur, o których mowa w art. 74 dyrektywy 2013/36/UE.

Warto podkreślić, że projekt Rozporządzenia AI przewiduje wysokie kary za niedostosowanie systemów AI do przepisów omawianego aktu. Stosowanie praktyk zakazanych zgodnie z art. 5 Rozporządzenia AI lub niezgodność systemu AI z wymogami określonymi w Rozporządzeniu AI (art. 10) może prowadzić do nałożenia przez administracyjnej kary pieniężnej w wysokości do 30.000.000,00 EUR lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Nieprzestrzeganie innych wymogów dotyczących AI niż określone w art. 5 lub 10 Rozporządzenia AI ma podlegać karze w wysokości odpowiednio do 20.000.000,00 EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (ponownie zastosowanie ma kara wyższa). Wreszcie, przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym [17] oraz właściwym organom krajowym [18] ma podlegać karze w wysokości do 10.000.000,00 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (podobnie jak wyżej – zastosowanie ma kwota wyższa).

Prace nad Rozporządzeniem AI wciąż jednak trwają. Kontrowersyjnym zagadnieniem jest zwłaszcza brzmienie definicji „systemu sztucznej inteligencji”, która w słoweńskiej propozycji projektu ulegała znaczącym zmianom. W pierwotnej wersji projektu pod pojęciem „systemu sztucznej inteligencji” rozumiano każde oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik lub podejść wymienionych w załączniku do projektu (m.in. machine learning i pokrewne, podejścia oparte na logice i wiedzy, podejścia statystyczne, estymacja bayesowska oraz pokrewne), które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia, decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Słusznie zarzucano tej propozycji, że tak szeroka definicja AI będzie obejmować również takie oprogramowanie, które powszechnie nie jest uznawane za rozwiązanie z zakresu AI [19]. Słoweńska prezydencja Rady UE zaproponowała więc zmianę definicji w kierunku podkreślenia roli wnioskowania, w jaki sposób osiągnąć zestaw celów obranych przez człowieka poprzez uczenie się, rozumowanie lub modelowanie (symulację) – jako istoty każdego systemu AI [20]. Dlatego też warto śledzić zmiany w treści projektu, aby zawczasu przygotować dostosowanie wykorzystywanych w działalności podmiotu finansowego systemów AI do projektowanych przepisów. projektu.

Podsumowanie

Wykorzystanie nowych technologii przez instytucje finansowe to szansa na zdobycie nowych klientów, zaproponowanie nowych usług i poczynienie oszczędności dzięki automatyzacji procesów (AI). Jednakże wdrożenie nowych rozwiązań technologicznych to nie tylko wyzwanie czysto informatyczne, ale również prawne. Z jednej strony, podmiot finansowy musi zapewnić zgodność regulacyjną przy projektowaniu nowego rozwiązania, a z drugiej, zadbać o dobre umowy z dostawcami (o dobrych praktykach w umowach z dostawcami IT piszemy na naszym blogu). Dlatego też niezwykle istotna jest ścisła współpraca działu IT, biznesu i działu prawnego, który coraz częściej powinien uczestniczyć w całym procesie wdrożenia danego rozwiązania.

Przypisy:

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0088_PL.html

[2] https://data.consilium.europa.eu/doc/document/ST-11051-2020-INIT/pl/pdf

[3] https://data.consilium.europa.eu/doc/document/ST-11053-2020-INIT/pl/pdf

[4] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[5] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[6] Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf

[7] Wytyczne EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT

[8] https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/eiopa-gls-ict-security-and-governance-pl.pdf

[9] ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) będzie prowadziła rejestr wszystkich dostawców usług z zakresu kryptoaktywów, którzy uzyskali odpowiednie zezwolenia (art. 57 Rozporządzenia MiCA),

[10] Opisywany obowiązek dotyczy emitentów wszystkich kategorii kryptoaktywów objętych Rozporządzeniem MiCA.

[11] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[12] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[13] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf

[14] Są to m.in. systemu, które wykorzystują zakazane praktyki wymienione w art. 5 Rozporządzania AI. Z kolei wspominamy przepis zakazuje wprowadzania do obrotu, oddawania do użytku lub wykorzystania systemów AI, które m.in. stosują techniki podprogowe, wykorzystują słabości określonej grupy osób, dokonują oceny lub kwalifikacji wiarygodności osób fizycznych na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych lub osobowości (scoring), systemów zdalnej identyfikacji biometrycznej „wczasie rzeczywistym” do egzekwowania prawa (poza pewnymi wyjątkami).

[15] Szerzej w załączniku nr 3 do Rozporządzenia AI.

[16] Wymogi dotyczące jakości danych określa art. 10 Rozporządzenia AI.

[17] Jednostki oceniające zgodność systemy IA, wyznaczone zgodnie z Rozporządzeniem AI lub innymi przepisami harmonizującymi UE.

[18] Krajowy organ nadzorczy, organ notyfikujący i organ nadzoru rynku.

[19] Opinia AIB Polska z dnia 11 czerwca 2021 r. do Kancelarii Prezesa Rady Ministrów, dostęp: https://www.iab.org.pl/wp-content/uploads/2021/06/IAB-Polska_uwagi-AI_11062021_final.pdf

[20] W słoweńskiej propozycji „system sztucznej inteligencji” oznacza system, który: i) otrzymuje dane wejściowe pochodzące od maszyny lub człowieka; ii) wnioskuje, jak osiągnąć dany zestaw celów zdefiniowanych przez człowieka, wykorzystując uczenie się, rozumowanie lub modelowanie realizowane za pomocą technik i podejść wymienionych w załączniku nr 1 do rozporządzenia; iii) generuje dane wyjściowe w postaci treści (generatywne systemy AI), przewidywań, zaleceń lub decyzji, które wpływają na środowiska, z którymi wchodzi w interakcje. Francuska prezydencja Rady UE nie wprowadziła dalszych zmian do definicji.

 

Napisz do autorów:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

dr Marcin Balicki SPCG

dr Marcin Balicki

adwokat
Senior Associate

Kryptoaktywa – kiedy zmiany przepisów?

Kryptoaktywa – kiedy zmiany przepisów?

Czytaj: 4 min

**AKTUALIZACJA 24.03.2022**
Po przeprowadzeniu w dniu 24 marca 2022 r. głosowania na posiedzeniu plenarnym, Parlament Europejski przyjął tekst Rozporządzenia Pilotażowego DLT. Kolejnym krokiem w ramach procedury legislacyjnej będzie przyjęcie Rozporządzenia Pilotażowego DLT przez Radę Unii Europejskiej, a następnie publikacja w Dzienniku Urzędowym Unii Europejskiej. Zgodnie z samym projektem, wejście aktu w życie ma nastąpić po 20 dniach od jego publikacji, a rozpoczęcie stosowania na terytorium UE po 9 miesiącach od dnia wejścia w życie.

 

W dniu 17 marca 2022 r., Europejskie Urzędy Nadzoru („ESA”) [1] opublikowały ponownie ostrzeżenie skierowane do konsumentów w zakresie ryzyk związanych z inwestycjami w kryptoaktywa [2]. Oprócz takich zagrożeń jak niestabilność cen kryptoaktywów czy potencjalne cyberataki, ESA zwracają uwagę na niebezpieczeństwo związane z brakiem kompleksowych regulacji dotyczących rynku kryptoaktywów, a tym samym niewystarczającym poziomem ochrony inwestorów. W treści ostrzeżenia znalazła się jednak wzmianka, że prace nad takimi regulacjami już trwają.

W związku z powyższym warto mieć na uwadze, że zgodnie z kalendarzem posiedzeń Parlamentu Europejskiego, na dzień 23 marca 2022 r. planowane jest przyjęcie rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru (DLT) („Rozporządzenie Pilotażowe DLT”), stanowiącego część tzw. digital finance package.

Projektowane rozwiązania przewidują szereg innowacji, które powinny zainteresować uczestników rodzimego rynku finansowego, w szczególności krajowe firmy inwestycyjne.

Rozporządzenie Pilotażowe DLT – piaskownica regulacyjna?

Rozporządzenie Pilotażowe DLT zasługuje na szczególną uwagę. Przewidziany w nim system pilotażowy to tzw. piaskownica regulacyjna (regulatory sandbox) – środowisko testowe będące przestrzenią do prowadzenia doświadczeń w kontrolowanym otoczeniu, z tymczasowymi odstępstwami od obowiązujących przepisów. Taka metoda pozwolić ma organom nadzoru oraz uczestnikom rynku na zdobycie doświadczenia w drodze „eksperymentu”, by na późniejszym etapie i w świetle zdobytego doświadczenia dostosować ramy prawne, a jednocześnie nie zakłócać procesu wdrażania innowacyjnych rozwiązań.

Projekt Rozporządzenia Pilotażowego DLT przewiduje możliwość stworzenia infrastruktury rynkowej opartej na DLT [3] (distributed ledger technology, DLT market infrastructure), przez co należy rozumieć:

  1. wielostronną platformę obrotu opartą na DLT (DLT multilateral trading facility) – wielostronna platforma obrotu w rozumieniu MiFID II, na której dopuszczone będą do obrotu wyłącznie instrumenty finansowe obsługiwane przez DLT („MTF DLT”); lub
  2. system rozrachunku oparty na DLT (DLT settlement system) – system rozrachunku instrumentów finansowych obsługiwanych przez DLT; lub
  3. system obrotu i rozrachunku oparty na DLT (DLT trading and settlement system) – MTF DLT (pkt 1) lub system rozrachunku oparty na DLT (pkt 2), który będzie łączyć funkcje obu wspomnianych podmiotów.

Projekt Rozporządzenia Pilotażowego DLT zakłada, że operatorem MTF DLT oraz systemu obrotu i rozrachunku opartego na DLT może być m.in. firma inwestycyjna, po uzyskaniu zgody właściwego organu krajowego (w Polsce – KNF).

Ideą systemu pilotażowego są sygnalizowane powyżej rozwiązania, które pozwalają na tymczasowe odstępstwo od przepisów regulujących obrót instrumentami finansowymi (po spełnieniu warunków opisanych w projekcie Rozporządzenia Pilotażowego DLT), w tym:

  1. dopuszczenie jako uczestników lub członków MTF DLT – na wniosek operatora MTF DLT i za zgodą właściwego organu krajowego – również osób fizycznych i prawnych niebędących firmami inwestycyjnymi lub instytucjami kredytowymi, z możliwością handlu na ich własny rachunek (o ile spełniają kryteria opisane w projekcie Rozporządzenia Pilotażowego DLT);
  2. wyłączenie operatora MTF DLT oraz uczestników MTF DLT z obowiązku raportowania do organu nadzoru o transakcjach zgodnie z art. 26 MiFIR [4]. Wyłączenie ze wspomnianego obowiązku ma następować na wniosek operatora MTF DLT złożony właściwemu organowi nadzoru.

Zgodnie z projektem, instrumentami finansowymi obsługiwanymi przez infrastrukturę rynkową DLT będą mogły być przede wszystkim akcje, obligacje, instrumenty rynku pieniężnego oraz tytuły uczestnictwa w podmiotach zbiorowego inwestowania w rozumieniu MiFID II, o ile ich emitenci spełniać będę kryteria ilościowe określone w projekcie Rozporządzenia Pilotażowego DLT.

Zgodnie z założeniami, opisany system pilotażowy ma obowiązywać przez trzy lata, a następnie Komisja Europejska, w oparciu o opinię ESMA, powinna przedstawić Radzie i Parlamentowi Europejskiemu sprawozdanie zawierające propozycję odpowiednio jego przedłużenia na kolejne 3 lata, modyfikacji, zakończenia lub przekształcenia w stałe zasady, na jakich działać mają podmioty objęte regulacją (w zależności od efektów analizy dotychczasowej praktyki).

Jak wspomniano powyżej, przyjęcie Rozporządzenia Pilotażowego DLT przez Parlament Europejski planowane jest na posiedzeniu w dniu 23 marca 2022 r. Po przyjęciu aktu przez Parlament Europejski, kolejnym krokiem będzie przyjęcie przez Radę Unii Europejskiej, a następnie publikacja w Dzienniku Urzędowym Unii Europejskiej.

Zgodnie z samym projektem, wejście aktu w życie ma nastąpić po 20 dniach od jego publikacji, a rozpoczęcie stosowania na terytorium UE po 9 miesiącach od dnia wejścia w życie.

Czym jest digital finance package?

W dniu 24 września 2020 r. Komisja Europejska opublikowała pakiet regulacji z zakresu tzw. cyfrowych finansów (digital finance package), zawierający w szczególności projekty:

  1. rozporządzenia w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”);
  2. Rozporządzenia Pilotażowego DLT;
  3. rozporządzenia w sprawie operacyjnej odporności cyfrowej („Rozporządzenie DORA”).

Podstawowym aktem prawnym dla rynku kryptoaktywów w UE ma być Rozporządzenie MiCA. Akt ma regulować działalność emitentów kryptoaktywów oraz podmiotów świadczących usługi związane z kryptoaktywami takie, jak:

  • prowadzenie platformy obrotu kryptoaktywami,
  • przechowywanie kryptoaktywów i zarządzanie nimi w imieniu osób trzecich,
  • wykonywanie lub przyjmowanie i przekazywanie zleceń w zakresie kryptoaktywów oraz
  • doradztwo w zakresie kryptoaktywów.

Celem Rozporządzenia MiCA ma być stworzenie jednolitych ram prawnych na przestrzeni całej UE dla obrotu kryptoaktywami, które nie stanowią instrumentów finansowych ani pieniądza elektronicznego i które w związku z powyższym nie podlegają w chwili obecnej regulacjom zapewniającym przejrzystość rynku i ochronę inwestora.

Rozporządzenie DORA, zgodnie z założeniami, obejmować ma swoją regulacją podmioty regulowane działające na rynku finansowym (w tym banki, firmy inwestycyjne oraz zarządzających alternatywnymi funduszami inwestycyjnymi), w celu zagwarantowania ciągłości działania oraz utrzymania jakości świadczonych usług w obliczu zakłóceń wpływających na technologie informacyjne i telekomunikacyjne. Rozporządzenie DORA ma stworzyć ramy regulacyjne, dzięki którym wspomniane podmioty zostaną uodpornione na wszelkiego rodzaju zakłócenia i „cyberzagrożenia”.

W przypadku Rozporządzenia MiCA oraz Rozporządzenia DORA, postęp prac legislacyjnych nie jest tak zaawansowany jak w przypadku Rozporządzenia Pilotażowego DLT – wciąż trwają negocjacje ich treści pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej.

Nadzór merytoryczny nad tekstem: mec. Ewa Mazurkiewicz, Partner.

Przypisy:

[1] Europejskie Urzędy Nadzoru składają się z trzech instytucji – Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych (ESMA), Europejskiego Urzędu Nadzoru Bankowego (EBA) oraz Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA).

[2] https://www.esma.europa.eu/sites/default/files/library/esa_2022_15_joint_esas_warning_on_crypto-assets.pdf

[3] DLT – technologia rozproszonego rejestru, służąca do ewidencjowania oraz weryfikowania własności aktywów na podstawie bazy zaszyfrowanych danych transakcyjnych, która nie jest zapisana na jednym, centralnym urządzeniu, ale rozłożona pomiędzy wiele urządzeń.

[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 („MiFIR”).

Napisz do autorów:

Tomasz Pasiut SPCG

Tomasz Pasiut

radca prawny
Associate

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Pin It on Pinterest