Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

utworzone przez | 22 października, 2024 | ! POLECANE !, REGULATORY

Czytaj: 7 min

Od dnia 16 stycznia 2023 r. obowiązuje w UE rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”), a obowiązek jego stosowania rozpocznie się z dniem 17 stycznia 2025 r., a więc już niedługo.

Akt ten jest jednym z elementów unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, którego celem jest aktualizacja otoczenia regulacyjnego w obszarze technologii finansowych, a także zharmonizowanie procesów i standardów odporności cyfrowej w całym sektorze finansowym.

W niniejszym artykule przedstawiamy podstawowe informacje związane z Rozporządzeniem DORA w kontekście niezbędnych procesów dostosowawczych oraz obszary wsparcia, jakiego w tym zakresie udzielić może Państwu nasz zespół prawny. Chętnie rozwiniemy ten temat podczas spotkania lub w drodze konsultacji, do czego niniejszym Państwa zapraszamy.

ROZPORZĄDZENIE DORA – GŁÓWNE ZAŁOŻENIA I WPŁYW NA DZIAŁALNOŚĆ PODMIOTÓW FINANSOWYCH

CEL

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku UE oraz kluczowych dostawców technologii informacyjno-telekomunikacyjnych („ICT”).

Rozporządzenie DORA jest częścią pakietu unijnych aktów prawnych dla sektora finansowego, na który składają się:

  1. rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru;
  2. rozporządzenie o rynkach kryptoaktywów (MiCA);
  3. rozporządzenie DORA.
KOGO DOTYCZY?Rozporządzenie będzie miało zastosowanie do podmiotów finansowych wymienionych w art. 2 Rozporządzenia DORA, w szczególności do: (i) instytucji sektora finansowego: organizatorów obrotu, centralnych depozytów i CCP, instytucji kredytowych, firm inwestycyjnych, spółek zarządzających, a więc towarzystw funduszy inwestycyjnych i ZASI działających na podstawie zezwolenia, zakładów ubezpieczeń i reasekuracji, (ii) podmiotów z obszaru cyfrowych finansów: dostawców usług w zakresie kryptoaktywów, instytucji płatniczych i instytucji pieniądza elektronicznego, (iii) dostawców technologii, w tym dostawców usług chmury obliczeniowej i innych dostawców usług ICT. Należy podkreślić, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu (obowiązki nałożone na poszczególne podmioty różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego).
OD KIEDY?Rozporządzenie DORA weszło w życie w dniu 16 stycznia 2023 r., a jego przepisy będą miały zastosowanie od dnia 17 stycznia 2025 r.
GŁÓWNE ZAŁOŻENIA

Rozporządzenie DORA opiera się na pięciu filarach. W ramach każdego z filarów DORA nakłada na podmioty finansowe różne obowiązki w zakresie odporności cyfrowej. Zakres obowiązków nałożonych na dany podmiot jest pochodną zasady proporcjonalności, tzn. obowiązki różnią się w zależności od rozmiaru, profilu działalności oraz profilu ryzyka podmiotu finansowego.

Wspomniane powyżej filary obejmują:

  1. zarządzanie ryzykiem związanym z ICT (art. 5-14 Rozporządzenia DORA): Rozporządzenie DORA wprowadzi m.in. obowiązek utworzenia i utrzymania odpornych systemów i narzędzi ICT, środków ochrony i zapobiegania ryzykom, opracowania polityk bezpieczeństwa informacji, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania oraz planów przywrócenia gotowości do pracy, a także obowiązek identyfikowania, klasyfikowania i prowadzenia dokumentacji funkcji biznesowych związanych z ICT. Dodatkowo, instytucje finansowe są zobowiązane do zapewnienia obowiązkowych szkoleń dla personelu;
  2. zgłaszanie incydentów związanych z ICT (art. 17-23 Rozporządzenie DORA): adresaci omawianego aktu będą zobowiązani do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich i zgłaszania do odpowiednich organów nadzorów (Rozporządzenie DORA reguluje proces zarządzania incydentami ICT, w tym klasyfikację zdarzeń według priorytetu i dotkliwości oraz krytyczności usług, na które incydenty mają wpływ). Co ważne, ujednoliceniu ulegną procedury zgłaszania incydentów ICT w związku z różnymi procedurami określonymi w dyrektywie NIS czy PSD2;
  3. testowanie operacyjnej odporności cyfrowej (art. 24-27 Rozporządzenia DORA): Rozporządzenie DORA zobowiąże poszczególne podmioty m.in. do przeprowadzania okresowych testów odporności cyfrowej, przygotowania i dokonywania przeglądów programu testowania odporności cyfrowej. Program testowania powinien obejmować różne aspekty, takie, jak analiza open source, ocena bezpieczeństwa sieci i testowanie scenariuszy. Rozporządzenie DORA określi również wymogi dla testerów oraz zasady uznawania wyników testów penetracyjnych (TLPT) w przypadku podmiotów działających w kilku państwach UE. Co istotne, testy penetracyjne będą przeprowadzane na działających systemach produkcyjnych wspierających krytyczne lub istotne funkcje danego podmiotu;
  4. zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT (art. 28-39 Rozporządzenia DORA): Rozporządzenie DORA wprowadza obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców ICT, w tym na etapie wykonywania umowy i zakończenia współpracy (m.in.: wprowadzenie strategii, dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT, polityki korzystania z usług ICT wspierających krytyczne lub istotne funkcje, dokonywanie przeglądów strategii oraz ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dot. korzystania z usług ICT wspierających krytyczne lub istotne funkcje) oraz ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (szerzej poniżej). Ponadto Rozporządzenie DORA wprowadza nadzór właściwych organów nad kluczowymi zewnętrznymi dostawcami ICT (wybranymi zgodnie z art. 31 Rozporządzenia DORA);
  5. wymiana informacji (art. 45 Rozporządzenia DORA): Rozporządzenie DORA wprowadza regulacje w zakresie wymiany informacji zarówno pomiędzy samymi podmiotami, jak i w relacji z właściwymi organami. Rozporządzenie DORA umożliwia zwłaszcza podmiotom wymianę informacji o cyberzagrożeniu i wyniki analiz takiego cyberzagrożenia.
ROLA ZARZĄDU

Głównym założeniem Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego (tj. zarządów spółek) za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 5 ust. 2 Rozporządzenia DORA).

W motywie 45 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowanie i dostosowywanie ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 5 ust. 4 Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy oraz umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT, a także jego wpływu na operacje danego podmiotu.

UMOWY
Z DOSTAWCAMI ICT

Rozporządzenie DORA określa minimalne postanowienia umowne, które powinny zostać uwzględnione w umowie z dostawcą ICT (art. 30 Rozporządzenia DORA):

  • jasny i kompletny opis wszystkich funkcji i usług ICT;
  • postanowienia dotyczące podwykonawstwa tzw. kluczowej lub ważnej funkcji lub jej istotnych części, w tym – jeżeli podwykonawstwo jest dozwolone – warunki jakie mają zastosowanie do podwykonawstwa;
  • wskazanie lokalizacji, w których będą świadczone funkcje i usługi ICT i w których będą przetwarzane dane;
  • postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych, w tym danych osobowych oraz zwrotu danych osobowych i nieosobowych na wypadek zakończenia współpracy;
  • opisy gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany;
  • zapewnienie podmiotowi finansowemu przez dostawcę ICT pomocy w przypadku wystąpienia incydentu związanego z ICT (bez dodatkowych opłat lub w ramach opłaty uiszczonej z góry);
  • obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy z właściwymi organami oraz organami przymusowej restrukturyzacji podmiotu finansowego, w tym z osobami przez nie wyznaczonymi;
  • prawo wypowiedzenia umowy z dostawcą ICT, w tym odpowiednio długie okresy wypowiedzenia umowy przez dostawcę ICT;
  • obowiązki sprawozdawcze dostawcy ICT wobec podmiotu finansowego;
  • prawo dostępu, kontroli i audytu dostawcy ICT przez podmiot finansowy lub wyznaczoną osobę trzecią;
  • strategie wyjścia (tj. exit plan).
KONSEKWENCJE NARUSZENIA ROZPORZĄDZENIA DORA

Państwa członkowskie są zobowiązane do powierzenia właściwym organom uprawnienia do stosowania względem zobowiązanych podmiotów finansowych, które naruszą przepisy Rozporządzenia DORA, kar administracyjnych lub środków naprawczych, obejmujących m.in.:

  • wydanie nakazu zaprzestania postępowania naruszającego Rozporządzenie DORA oraz powstrzymania się od ponownego podejmowania takich działań;
  • wymaganie tymczasowego lub stałego zaprzestania wszelkich praktyk, które właściwy organ uważa za sprzeczne z Rozporządzeniem DORA, oraz niedopuszczenie do ponownego ich podejmowania;
  • podejmowanie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych;
  • wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.

Z kolei w przypadku częściowego lub całkowitego niezastosowania się przez kluczowego zewnętrznego dostawcę usług ICT do środków, które zostały podjęte przez organy nadzorcze (np. nieprzekazanie wszystkich stosownych informacji i dokumentów, niezłożenie sprawozdań po zakończeniu działań nadzorczych) organ nadzorczy nad rynkiem finansowym może nałożyć okresową karę pieniężną do 1% średniego dziennego światowego obrotu w poprzedzającym roku obrotowym za każdy dzień trwania naruszenia. Okresowa kara pieniężną jest nakładana za każdy dzień do czasu zastosowania się do środków podjętych przez organ nadzorczy i nie dłużej niż przez 6 miesięcy od dnia zawiadomienia o decyzji nakładającej tę karę. Informacja o nałożeniu kary może zostać podana do wiadomości publicznej (art. 35 Rozporządzenia DORA).

AKTY WYKONAWCZE

Europejskie Urzędy Nadzoru (EUN), tj. Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) opublikowały dotychczas dwa pakiety aktów wykonawczych do Rozporządzenia DORA.

Pierwszy pakiet: przyjęty przez Komisję Europejską w lutym i marcu 2024 r. doprecyzowuje regulacje Rozporządzenia DORA w zakresie: (i) ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT (art. 15, art. 16 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. elementy polityk oraz procedur wewnętrznych w zakresie zarządzania ryzykiem ICT (RTS); (ii) kryteriów klasyfikacji incydentów ICT (art. 18 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. kryteria klasyfikacji poważnych incydentów związanych z ICT, podejście do klasyfikacji poważnych incydentów oraz próg istotności każdego kryterium klasyfikacji (RTS); (iii) wzorów na potrzeby rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 9 Rozporządzenia DORA) (ITS) oraz polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje, świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 10 Rozporządzenia DORA) (RTS).

Drugi pakiet: projekty RTS oraz wytyczne opublikowane w dniu 17 lipca 2024 r., doprecyzowują regulacje Rozporządzenia DORA w zakresie: (i) przeprowadzania testów penetracyjnych (TLPT) (RTS); (ii) raportowania incydentów ICT (RTS); (iii) harmonizacji warunków umożliwiających prowadzenie działań nadzorczych (RTS); (iv) wykonywania nadzoru przez właściwe organy nadzoru (RTS); (v) szacowania kosztów i strat spowodowanych incydentami (wytyczne); (vi) współpracy w zakresie nadzoru i wymiany informacji między EUN a właściwymi organami (wytyczne). Projekty RTS oraz wytycznych z drugiego pakietu zostały już przyjęte przez EUN i przekazane Komisji Europejskiej w celu dalszych prac.

Ponadto, w dniu 18 kwietnia 2024 r. na stronie Rządowego Centrum Legislacji zamieszczono projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego wdrażający do prawa krajowego oraz zapewniający stosowanie Rozporządzenia DORA oraz towarzyszącej mu dyrektywy 2022/2556. Zgodnie z założeniami projektowana ustawa ma wejść w życie w dniu 17 stycznia 2025 r., czyli w terminie, od którego stosuje się przepisy Rozporządzenia DORA. Projekt przewiduje m.in. wyznaczenie KNF jako organu nadzoru właściwego w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego. Zgodnie z projektowanymi regulacjami KNF będzie mogła w drodze decyzji nakazać zaprzestanie danego zachowania oraz powstrzymanie się od takiego zachowania w przyszłości, zakazać pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu przez okres nie krótszy niż miesiąc i nie dłuższy niż rok, a także nałożyć karę pieniężną do wysokości 20 869 500 zł lub 10% rocznego przychodu (w przypadku osoby prawnej) i karę pieniężną do wysokości 3 042 410 zł (w przypadku osoby fizycznej). KNF będzie mogła również wydać publiczne oświadczenie, w którym wskaże imię i nazwisko osoby fizycznej albo firmę lub nazwę osoby prawnej, odpowiedzialnych za dane naruszenie wraz ze wskazaniem jego charakteru.

PRZEPISY ODRĘBNEPonieważ Rozporządzenie DORA reguluje powierzanie podmiotom trzecim wykonywania czynności z zakresu szeroko pojmowanych technologii informatycznych (IT) przez podmioty prowadzące działalność regulowaną, należy pamiętać o konieczności dalszego stosowania zarówno obowiązujących w danym zakresie wymogów sektorowych dla danej branży (outsourcing), gdyż Rozporządzenie DORA tych wymogów nie uchyla. Co więcej, dodatkowym obszarem, na który należy zwrócić uwagę wdrażając Rozporządzenie DORA, są wymogi tzw. trzeciego poziomu, a więc wytyczne i stanowiska wydawane przez właściwe organy na podstawie przepisów sektorowych (tu w szczególności wskazujemy na Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej).
WSPARCIE SPCG

W związku z nadchodzącym terminem rozpoczęcia stosowania Rozporządzenia DORA oferujemy:

  • weryfikację dotychczas zawartych umów pod kątem ustalenia zakresu umów, do których zastosowanie znajdują przepisy Rozporządzenia DORA;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA umów z dostawcami ICT np. umów wdrożeniowych, utrzymaniowych, rozwojowych, licencyjnych, body leasingowych, czy umów na przeprowadzenie testów penetracyjnych, z uwzględnieniem właściwych przepisów odrębnych;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA procedur i dokumentów wewnętrznych, w tym procedur zarządzania ryzykiem ICT, incydentów ICT czy testowania odporności operacyjnej, z uwzględnieniem właściwych przepisów odrębnych;
  • dostosowanie – w ramach zaleceń poaudytowych – zawartych umów z dostawcami ICT oraz procedur wewnętrznych do wymogów Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • przygotowanie wzorów umów z dostawcami ICT zgodnych wymogami Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • negocjowanie umów z dostawcami usług ICT;
  • stałe doradztwo w regulacyjnych aspektach cyberbezpieczeństwa, w tym w szczególności w zakresie wypełniania obowiązków wynikających z Rozporządzenia DORA;
  • wsparcie w wypełnianiu obowiązków raportowych i sprawozdawczych np. sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT;
  • reprezentację przed organami nadzoru i sądami administracyjnymi w postępowaniach dotyczących wykonania obowiązków określonych w Rozporządzeniu DORA;
  • szkolenia i warsztaty przygotowujące podmiot do rozpoczęcia stosowania Rozporządzenia DORA/ułatwiające wdrożenie nowych rozwiązań w organizacji.

 

Broszura informacyjna w formacie PDF dostępna jest tutaj. Zapraszamy do kontaktu.

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Nowe podejście do best execution

Nowe podejście do best execution

utworzone przez | 26 września, 2024 | ! POLECANE !, REGULATORY

Czytaj: 5 min

Z dniem 29 marca br. weszły w życie przepisy zmieniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w sprawie rynków instrumentów finansowych (MiFID II), tj. przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2024/790 z dnia 28 lutego 2024 r. zmieniającej dyrektywę 2014/65/UE w sprawie rynków instrumentów finansowych. Zmiany objęły m.in. wymogi z zakresu najlepszego wykonania, popularnie zwane na rynku best execution.

Zmiany, jakie zostały wprowadzone do MiFID II w lutym br. są efektem ustaleń przeglądu praktyki rynków europejskich dokonanego przez Komisję Europejską. I tak, wśród zmian tych znalazła się rezygnacja z obowiązków informacyjnych, które nie dostarczały inwestorom ani rynkom danych tak cennych, jak pierwotnie zakładano, tj.:

  • informowania klienta, po zawarciu na jego rzecz transakcji, o miejscu wykonania zlecenia oraz

  • publikowania raz na rok wykazu pięciu najlepszych systemów wykonywania zleceń pod względem wolumenu obrotu, wykorzystywanych przez firmę inwestycyjną w poprzednim roku do wykonywania zleceń klientów, w rozbiciu na poszczególne kategorie.

Ponieważ efektem przeglądu było ustalenie nieprawidłowości w działaniu firm inwestycyjnych w obszarze best execution, takich jak nieprawidłowe dokumentowanie wyboru miejsc wykonania zleceń klientów, niewłaściwe wykazywanie najlepszego wykonania zlecenia czy też brak udostępniania klientom wystarczających informacji o polityce wykonywania zleceń, zmiany MiFID II zostały dodatkowo nakierowane na wyeliminowanie tych przypadków. W ramach realizacji powyższego, do przedmiotowej dyrektywy dodane zostało upoważnienie dla Komisji Europejskiej do przyjęcia regulacyjnych standardów technicznych (RTS) określających kryteria, jakie mają być brane pod uwagę przy opracowywaniu i ocenie skuteczności polityki wykonywania zleceń, z uwzględnieniem kategorii klienta z jednoczesnym podkreśleniem, że kryteria te obejmują co najmniej:

  • czynniki decydujące o wyborze miejsca wykonania z tych ujętych w polityce wykonywania zleceń;
  • częstotliwość dokonywania oceny i aktualizacji polityki wykonywania zleceń;
  • sposób identyfikowania klas instrumentów finansowych, dla których w polityce wykonywania zleceń prezentowane powinny być informacje dotyczące systemów wykonywania zleceń, oraz czynników mających wpływ na wybór systemu wykonywania zleceń.

Jednocześnie, zgodnie z obowiązującą unijną procedurą legislacyjną, zapewniony został udział rynku w procesie przyjmowania regulacyjnych standardów technicznych (RTS). Opracowanie bowiem projektu wskazanych przepisów powierzone zostało ESMA, czyli unijnemu organowi nadzoru nad rynkiem kapitałowym. Prace regulacyjne ESMA natomiast prowadzone są w trybie otwartych konsultacji, a więc umożliwiają podmiotom zainteresowanym brzmieniem projektowanych przepisów wypowiedzenie się co do opublikowanego projektu.

ESMA opublikowała na swojej stronie internetowej projekt RTS [1] w dniu 16 lipca 2024 r. ogłaszając konsultacje publiczne i możliwość przedstawiania odpowiedzi na zadane przez ESMA pytania oraz stanowisk co do przedstawionej propozycji w terminie do 16 października br.  Zgodnie z informacją opublikowaną w samym dokumencie, przyjęty przez ESMA harmonogram zakłada zamknięcie konsultacji i przekazanie Komisji Europejskiej projektu RTS do 29 grudnia br.

Projekt RTS przedstawiony przez ESMA zakłada podział instrumentów finansowych na klasy według jednolitego sposobu opartego o standard ISO 10962 służący do klasyfikacji instrumentów finansowych (CFI), dodatkowo, dla instrumentów udziałowych, każdorazowo oddzielną klasę stanowiłoby państwo rynku, gdzie instrument został dopuszczony do obrotu po raz pierwszy (primary listing). Na zasadzie wyjątku, o ile nie doprowadziłoby to do naruszenia obowiązku uzyskania dla klienta najlepszego możliwego wyniku, firma inwestycyjna mogłaby łączyć poszczególne klasy instrumentów finansowych w jedną, jeżeli byłoby to uzasadnione liczbą realizowanych przez nią w danym zakresie zleceń.

ESMA zaproponowała również rozwiązanie alternatywne – podział instrumentów finansowych na klasy wprost w przepisach w oparciu o następujące założenia:

  • dla instrumentów udziałowych, każdorazowo oddzielną klasą byłoby państwo rynku, gdzie instrument został dopuszczony do obrotu po raz pierwszy (primary listing);
  • pozostałe instrumenty finansowe byłyby pogrupowane w 15 – 20 klas;
  • istniałaby możliwość łączenia w jedną klasę kilku różnych klas instrumentów finansowych (jak w modelu podstawowym, o którym mowa wyżej).

W związku z tym, że celem zmiany MiFID II, było wyeliminowanie nieprawidłowości występujących dotychczas w praktyce firm inwestycyjnych, w tym związanych z dokumentowaniem wyboru miejsc wykonani zleceń klientów, w projekcie RTS zaproponowano uszczegółowienie zakresu informacji prezentowanych w polityce wykonywania zleceń oraz doprecyzowanie sposobu dokonywania wyboru miejsc wykonania (co w praktyce powinno się przełożyć na jego dokumentowanie). Co do zasady, w dalszym ciągu firma inwestycyjna będzie mogła wskazać jedno miejsce wykonania, o ile taki sposób wykonywania zleceń w zakresie poszczególnych klas instrumentów finansowych będzie zapewniał najlepsze wykonanie zlecenia dla poszczególnych kategorii klientów danej firmy inwestycyjnej. Założenie jednak co do zmiany wymogów, zgodnie z intencją ESMA, jest takie, aby:

  • wybór miejsca wykonania dla poszczególnych klas instrumentów finansowych i poszczególnych kategorii klientów uwzględniał odpowiednie dla każdej z tych kategorii klientów czynniki obejmujące w szczególności częstotliwość i wartość wykonywanych zleceń;
  • decyzja w kwestii wyboru miejsca lub miejsc wykonania (jego podstawa i uzasadnienie) była szczegółowo opisana w polityce wykonywania zleceń;
  • w przypadku wskazania w polityce wykonywania zleceń kilku miejsc wykonywania zleceń jako możliwych do wyboru, konieczność opisania szczegółowych kryteriów stosowanych do dokonywania tego wyboru dla wykonywania poszczególnych zleceń.

ESMA proponuje również rozbudowanie regulacji dotyczących drugiego z wyjątków, tj. tzw. instrukcji klienta. Zgodnie bowiem z projektem RTS, nie wystarczy już bowiem zamieścić w polityce wykonywania zleceń informacji, że szczegółowe dyspozycje/instrukcje ze strony klienta wyłączają możliwość stosowania przez firmę inwestycyjną postanowień tego dokumentu oraz w efekcie mogą uniemożliwić uzyskanie najlepszego możliwego wyniku dla klienta w związku z wykonaniem zlecenia. W projekcie RTS ESMA proponuje wprowadzenie wymogu:

  • przedstawienia przez firmę inwestycyjną w polityce wykonywania zleceń sposobu postępowania z instrukcjami klienta;
  • opisania przez firmę inwestycyjną wpływu instrukcji klienta na kryteria wyboru miejsca wykonania i możliwość osiągnięcia przez firmę inwestycyjną najlepszego wyniku dla klienta, przekazał instrukcje;
  • opisania w polityce wykonywania zleceń sposobu różnicowania zleceń z instrukcjami i bez instrukcji;
  • zamieszczenia w polityce wykonywania dodatkowych wyjaśnień i ostrzeżeń dla klienta, w tym związanych z opłatami (art. 64 ust. 3 i art. 66 ust. 5 rozporządzenia Komisji (UE) 2017/565 [2]).

Zgodnie z propozycją ESMA, odstępstwo od listy miejsc wykonania przewidzianej w polityce wykonywania zleceń ma być możliwe, nie tylko w przypadku szczegółowej dyspozycji otrzymanej od klienta, ale również wtedy, gdy wystąpią wyjątkowe okoliczności, w tym takie, jak szybki spadek płynności lub nadzwyczajne wahania cen w zakresie instrumentów finansowych będących przedmiotem zlecenia, pod warunkiem jednak, że przyjęty sposób wykonania zlecenia będzie pozostawał w zgodzie z najlepszym interesem klienta.

ESMA kładzie w projekcie RTS duży nacisk na monitorowanie jakości wykonania zleceń i ocenę efektywności polityki wykonania zleceń, gdyż przegląd dotychczasowej praktyki rynkowej wykazał w tym zakresie szereg nieprawidłowości. Stąd w projekcie RTS znalazły się propozycje obejmujące w szczególności obowiązek:

  • wdrożenia procedury monitorowania jakości wykonania zleceń, która:
    • powinna być dokonywana z częstotliwością nie mniejszą niż raz na 3 miesiące,
    • powinna obejmować wewnętrzne procesy wykonywania zleceń oraz wyniki uzyskiwane w poszczególnych miejscach wykonania,
    • powinna polegać na analizie wszystkich transakcji lub wybranych prób (reprezentatywnych dla danego okresu) dla danej klasy instrumentów finansowych,
    • powinna uwzględniać ustalone progi i dopuszczalne poziomy odchyleń wyników wykonania od danych referencyjnych dla poszczególnych instrumentów finansowych (z zastrzeżeniem, że dodatkowe wymogi proponowane są dla zdefiniowania danych referencyjnych),
    • może przewidywać korzystanie przez firmę inwestycyjną z usług podmiotu trzeciego w zakresie monitorowania jakości wykonania zleceń np. usług miejsca wykonania lub niezależnego dostawcy danych;
  • dokonywania oceny efektywności polityki wykonania zleceń na podstawie danych z monitorowania jakości wykonania zleceń nie rzadziej niż w raz do roku oraz w każdym przypadku, gdy wynik monitoringu jest negatywny (jakość wykonania monitorowanych transakcji przekracza predefiniowany próg) lub gdy wystąpiła istotna zmiana okoliczności mających związek z polityką wykonywania zleceń lub kryteriami, które zgodnie z tą polityką są brane pod uwagę, przy wykonywaniu zleceń.

Zgodnie z projektem RTS, w przypadku gdyby w efekcie oceny efektywności polityki wykonania zleceń firma inwestycyjna stwierdzi istnienie nieprawidłowości, powinna być zobowiązana do wdrożenia niezbędnych korekt w rozsądnym dla danego przypadku czasie (uwzględniając wagę nieprawidłowości), jednak nie dłuższym niż 3 miesiące od zakończenia oceny. Dodatkowo, analogicznie, jak w przypadku monitorowania jakości wykonania zleceń, ESMA również w odniesieniu do dokonywania oceny efektywności polityki wykonania zleceń proponuje, aby istniała możliwość korzystania przez firmę inwestycyjną z usług podmiotu trzeciego.

Podsumowując, choć porozumienie co do zmiany dotychczasowej praktyki firm inwestycyjnych w obszarze best execution, a więc również zaostrzenia pewnych wymogów w tym zakresie, zostało już osiągnięte a jego efektem jest zmiana MiFID II, to jednak szczegółowy charakter tego zaostrzenia nie został jeszcze przesądzony. W tym zakresie rozstrzygające znaczenie będzie miało brzmienie RTS.  Projekt RTS opublikowany przez ESMA na obecnym etapie stanowi jedynie propozycję, dlatego też warto poddać go szczegółowej analizie i zabrać głos w konsultacjach zanim jego brzmienie zostanie ostatecznie ustalone i przyjęte przez ESMA.

Tekst opublikowany został w Magazynie Izby Domów Maklerskich.

Przypisy:
[1] https://www.esma.europa.eu/sites/default/files/2024-07/ESMA35-335435667-5891_Consultation_Paper_-_Draft_RTS_on_OEPs_-_MiFID_II_review.pdf
[2] Rozporządzenie delegowane Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy.

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Pin It on Pinterest