Od abuzywności do odpowiedzialności? Opinia Rzecznika Generalnego w sprawie FIZ (C-63/25)

Od abuzywności do odpowiedzialności? Opinia Rzecznika Generalnego w sprawie FIZ (C-63/25)

utworzone przez | 12 czerwca, 2026 | ! POLECANE !, REGULATORY

Czytaj: 8 min

Kilka uwag na kanwie opinii Rzecznika Generalnego w sprawie C‑63/25… czy opinia oznacza, że krótka jest droga od abuzywności postanowień statutu funduszu inwestycyjnego do odpowiedzialności odszkodowawczej towarzystwa funduszy inwestycyjnych?

Zagadnienia wprowadzające

W dniu 04.06.2026 r. została wydana opinia Rzecznika Generalnego Andrei Biondiego w sprawie C‑63/25 K. Sz., H. Sz., W. Sz. przeciwko Z. Funduszowi Inwestycyjnemu Zamkniętemu w likwidacji (dalej jako: „Opinia”). W ramach Opinii podjęte zostało istotne zagadnienie dotyczące możliwości zastosowania dyrektywy Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (dalej jako: „Dyrektywa”) do kontroli postanowień statutu funduszu inwestycyjnego zawierających  tzw. klauzule redukcyjne.

Sąd Apelacyjny w Warszawie w odesłaniu prejudycjalnym zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (dalej jako: „TSUE”) z trzema pytaniami. Po pierwsze, czy uczestnik funduszu inwestycyjnego zamkniętego (dalej jako: „FIZ”) jest konsumentem w rozumieniu art. 2 lit. b) Dyrektywy. Po drugie, czy FIZ jest sprzedawcą lub dostawcą w rozumieniu art. 2 lit. c) Dyrektywy. Po trzecie, czy warunkiem umowy nieuzgodnionym indywidualnie w rozumieniu art. 3 ust. 2 Dyrektywy jest postanowienie statutu FIZ określające prawa i obowiązki uczestnika, w tym zasady i terminy wykupu certyfikatów inwestycyjnych przez ten fundusz od jego uczestników, jeżeli uczestnik mógł zapoznać się ze statutem FIZ przed przystąpieniem do funduszu i zaakceptował jego treść w oświadczeniu pisemnym przy objęciu certyfikatów inwestycyjnych. Rzecznik Generalny  w opinii udzielił odpowiedzi wyłącznie na pytanie trzecie, przyjmując, że  dwa pierwsze pytania prejudycjalne mają znaczenie jedynie jako przesłanki dotyczące kwalifikacji stron stosunku prawnego, pozwalające na zbadanie, czy postanowienie statutu funduszu może stanowić warunek umowny, który nie był indywidualnie negocjowany w rozumieniu Dyrektywy.

Problem prawny, którego dotyczyło trzecie pytanie prejudycjalne sądu polskiego sprowadzał się w istocie do tego, czy postanowienia statutu FIZ, wprowadzające tzw. klauzule redukcyjne (określające zasady i terminy wykupu certyfikatów inwestycyjnych) mogą podlegać kontroli zgodnie z mechanizmem ustanowionym w Dyrektywie. Zagadnienie to  stanowiło dotychczas przedmiot rozstrzygnięć sadów polskich, jednak brak było jednolitości w tym zakresie. Z jednej strony sądy przyjmowały, że postanowienia statutów FIZ  wprowadzające tzw. klauzule redukcyjną stanowią niedozwolone postanowienia umowne [1], z drugiej strony wyrażany był pogląd odmienny zakładający brak możliwości oceny postanowień statutu FIZ z uwzględnieniem przepisów transponujących do prawa polskiego przepisy Dyrektywy [2].

Opinia nie wiąże TSUE, stanowiąc jedynie propozycję rozstrzygnięcia. W razie jednak akceptacji poglądu Rzecznika Generalnego przez TSUE, może mieć on istotny wpływ na funkcjonowanie FIZ, jak i potencjalne roszczenia cywilnoprawne ich uczestników, co zostanie przedstawione w ramach niniejszego materiału.

Umowa między FIZ, a uczestnikiem

Rzecznik w ramach przeprowadzonej analizy zwrócił uwagę, że statut FIZ pełni dwojaką rolę [3]. Stanowi akt założycielski osoby prawnej oraz instrument określający prawa majątkowe uczestników funduszu [4]. Zauważyć przy tym należy, że dwoisty charakter postanowień statutu FIZ wydaje się nie budzić wątpliwości w praktyce obrotu [5]. Rzecznik w ramach przeprowadzonej analizy wskazał, że w związku z nabyciem pierwotnym certyfikatów inwestycyjnych FIZ dochodzi do zawarcia umowy między FIZ a jego uczestnikiem, a treść zawartej umowy regulują postanowienia statutu FIZ, które zostają inkorporowane do treści stosunku umownego. Jak bowiem wskazano w Opinii: „postanowienia statutu, które stały się wiążące na mocy tej umowy, regulują jej treść[6]. Rzecznik jednocześnie wyraził pogląd, że: „nawet gdyby uznać, że statut FIZ jako taki nie jest objęty zakresem stosowania dyrektywy 93/13, postanowienia dotyczące warunków wykupu certyfikatów muszą jednak zostać uznane za integralną część umowy objęcia certyfikatów[7]. Pogląd ten jest odmienny od stanowiska przyjmowanego dotychczas przez część sądów polskich. Sądy krajowe przyjmowały bowiem, że „statut funduszu inwestycyjnego nie jest dokumentem kształtującym treść umowy zawartej przez fundusz z uczestnikiem w związku z dokonanym zapisem. Statut funduszu kształtuje jedynie treść praw inkorporowanych w certyfikatach inwestycyjnych stanowiących papiery wartościowe, które stanowią przedmiot nabycia na podstawie zapisu[8].

W związku z przeprowadzoną analizą Rzecznik zaproponował, aby TSUE odpowiedział na pytanie trzecie w następujący sposób: „artykuł 3 ust. 2 dyrektywy Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich należy interpretować w ten sposób, że: postanowienie statutu funduszu inwestycyjnego zamkniętego określające zasady i terminy wykupu certyfikatów inwestycyjnych może stanowić warunek umowy, który nie był indywidualnie negocjowany, jeżeli stało się ono wiążące dla uczestnika na mocy umowy o objęciu certyfikatów, a uczestnik nie miał możliwości wpłynięcia na jego treść, nawet jeśli mógł zapoznać się z nim przed przystąpieniem do umowy i przyjął jego treść w oświadczeniu pisemnym”. Jednocześnie Rzecznik zastrzegł, że to sąd krajowy powinien być władny do zbadania w świetle wszystkich okoliczności sprawy, czy sporne postanowienie odzwierciedlają bezwzględnie obowiązujące lub dyspozytywne przepisy prawa krajowego. Zgodnie z art. 1 ust. 2 Dyrektywy, do którego odwołał się Rzecznik, Dyrektywa nie ma zastosowania do warunków umowy odzwierciedlających obowiązujące przepisy. Aktualnie w prawie polskim brak jest przepisów ustawowych, których odzwierciedleniem mogłyby być postanowienia statutów wprowadzające tzw. klauzule redukcyjne.  Zgodnie z art. 139 ust. 1 ustawy z dnia 27.05.2004 r. o funduszach inwestycyjnych i zarzadzaniu alternatywnymi funduszami inwestycyjnymi (dalej jako: „UFI”) FIZ może dokonać wykupu certyfikatów inwestycyjnych, które wyemitował, jeżeli statut funduszu tak stanowi. W razie braku wprowadzenia do statutu FIZ możliwości wykupu certyfikatów inwestycyjnych, będą podlegać one wykupowi i umorzeniu wyłącznie na zakończenie likwidacji FIZ [9]. Natomiast zgodnie z art. 139 ust. 3 UFI w statucie FIZ podlegają określeniu przesłanki, tryb i warunki wykupywania certyfikatów inwestycyjnych oraz terminy i sposób dokonywania ogłoszeń o wykupie certyfikatów. Mając powyższe na uwadze, w obowiązującym stanie prawnym trudno przyjąć, aby istniały realne podstawy pozwalające na uznanie przez sąd krajowy, że tzw. klauzule redukcyjne stanowią odzwierciedlenie obowiązujących przepisów, co pozwalałoby na wyłączenie zastosowania Dyrektywy względem wskazanych postanowień.

Skutki potencjalnej abuzywności postanowień wprowadzających tzw. klauzule redukcyjne

Rzecznik wskazał w Opinii, że skutki systemowe, które mogłyby wyniknąć z ewentualnego stwierdzenia nieuczciwego charakteru konkretnego postanowienia statutu FIZ, stanowią odrębną kwestię [10]. Podkreślając jednocześnie, że nie można z aspektu związanego ze skutkami systemowymi, wywodzić ograniczenia w zakresie możliwości stwierdzenia nieuczciwego charakteru postanowień umownych [11]. Uzasadnionym jednak wydaje się analiza do jakich skutków może prowadzić wyłączenie nieuczciwego postanowienia umownego, pozwalającego na redukcję wykupu certyfikatów inwestycyjnych FIZ.

W razie uznania, że postanowienie umowne między FIZ a uczestnikiem jest nieuczciwe i jako takie niewiążące dla uczestnika, możliwe do rozważenia są dwa warianty. Pierwszy w ramach którego eliminacji podlega całe postanowienie przewidujące możliwość dokonania wykupu certyfikatów inwestycyjnych FIZ, co jednak nie byłoby w interesie uczestnika funduszu. W takim bowiem wypadku do umorzenia certyfikatów uczestnika mogłoby dojść dopiero na zakończenie likwidacji FIZ [12]. Ponadto stanowiłoby to reakcję nadmiarową, albowiem w dotychczasowym orzecznictwie za nieuczciwe były uznawane postanowienia nie tyle wprowadzające możliwość dokonania wykupu certyfikatów inwestycyjnych, co wprowadzające możliwość dokonania redukcji żądań wykupów uczestników funduszu [13], skutkujące tym, że wykup certyfikatów nie dochodził do skutku, bądź była nim objęta jedynie część certyfikatów inwestycyjnych. Drugi wariant mógłby zakładać usunięcie jedynie tzw. klauzul redukcyjnych z zachowaniem możliwości dokonania wykupu certyfikatów inwestycyjnych z ich pominięciem. Takiemu rozwiązaniu mógłby się jednak sprzeciwiać pkt 2) zd. 2 sentencji wyroku TSUE z dnia 29 kwietnia 2021 r. w sprawie I.W., R.W. przeciwko Bankowi BPH S.A. C-19/20, w ramach którego TSUE wyraźnie przyjął, że art. 6 ust. 1 Dyrektywy oraz art. 7 ust. 1 Dyrektywy „stoją na przeszkodzie temu, by sąd odsyłający usunął jedynie nieuczciwy element warunku umowy zawartej między przedsiębiorcą a konsumentem, jeżeli takie usunięcie sprowadzałoby się do zmiany treści tego warunku poprzez zmianę jego istoty, czego zbadanie należy do tego sądu”. Podkreślić należy, że istota tzw. klauzul redukcyjnych sprowadza się do możliwości ograniczenia realizacji żądań wykupów zgłoszonych przez uczestników lub wykupów dokonywanych automatycznie. Redukcja wykupu z założenia ma zapobiec sytuacji, w której wykup certyfikatów inwestycyjnych FIZ nie mógłby zostać zrealizowany na żądanym przez uczestników poziomie z uwagi na brak odpowiedniej ilości środków płynnych w funduszu lub też zagrażałby uszczuplaniem majątku zgromadzonego przez fundusz inwestycyjny w takim stopniu, że realizacja celu inwestycyjnego przez fundusz byłaby zagrożona [14]. Wprowadzenie klauzul redukcyjnych zazwyczaj zmierzało do wyważenia interesów uczestników występujących z żądaniem wykupu, jak i samego funduszu oraz uczestników, którzy nie wystąpili z żądaniami wykupu. Pamiętać bowiem należy, że w przypadku FIZ, w szczególności niepublicznych, lokatami funduszu bardzo często są aktywa niepłynne, co oznacza, że zarządzający funduszem potrzebuje dłuższego czasu na podjęcie czynności deinwestycyjnych, a jednocześnie dokonanie tych czynności pod presją czasu może prowadzić do osiągnięcia gorszego wyniku inwestycji. W tym wariancie, skutki eliminacji tzw. klauzul redukcyjnych mogą mieć negatywny wpływ na interes ekonomiczny funduszu, jak i jego uczestników, którzy nie zdecydowali się na złożenia żądania wykupu.

Uznanie, że tzw. klauzule redukcyjne są niewiążące może prowadzić do różnych skutków w zależności od tego w jaki sposób ukształtowany jest wykup certyfikatów inwestycyjnych funduszu. Jeśli wykup następuje na podstawie oświadczenia woli złożonego przez Fundusz, w takim przypadku zastosowanie redukcji pozbawione będzie podstawy prawnej i niedokonanie wykupu w zakresie objętym żądaniem może stanowić podstawę odpowiedzialności odszkodowawczej towarzystwa funduszy inwestycyjnych na podstawie art. 64 ust. 1 UFI, na co pośrednio wskazuje Rzecznik w treści Opinii [15]. Podkreślić przy tym należy, że zgodnie z art. 64 ust. 2 UFI fundusz nie posiada legitymacji biernej w zakresie roszczeń odszkodowawczych związanych z zarządzaniem funduszem, a zatem ciężar odpowiedzialności odszkodowawczej będzie ponosić towarzystwo funduszy inwestycyjnych, co nie wpłynie negatywnie na stan aktywów funduszu i sytuacje pozostałych jego uczestników, albowiem ciężar ekonomicznych odpowiedzialności odszkodowawczej został na podstawie ustawy alokowany na towarzystwo funduszy inwestycyjnych. W opisanym wariancie zakładającym abuzywność tzw. klauzul redukcyjnych, możliwe jest również wystąpienie przez uczestnika przeciwko funduszowi na drogę sądową z roszczeniem o stwierdzenie obowiązku złożenia przez fundusz oświadczenia w przedmiocie dokonania wykupu całości certyfikatów objętych żądaniem wykupu. W ramach wskazanego postępowania sąd przesłankowo dokonałby oceny podstawy i skuteczności zastosowania redukcji wykupu. W razie uwzględnienia powództwa i uzyskania przez uczestnika prawomocnego wyroku w opisanym przedmiocie, należy pamiętać, że zgodnie z art. 64 k.c. oraz 1047 k.p.c., prawomocne orzeczenie sądu stwierdzające obowiązek złożenia oznaczonego oświadczenia woli, zastępuje to oświadczenie. W konsekwencji z chwilą uprawomocnienia się orzeczenia dojdzie do umorzenia certyfikatów inwestycyjnych i fundusz będzie zobowiązany do wypłaty ceny wykupu certyfikatów inwestycyjnych w wysokości odpowiadającej iloczynowi ilości umorzonych certyfikatów i wartości aktywów netto przypadających na certyfikat inwestycyjny na dzień wykupu. W razie zmaterializowania się opisanego scenariusza obowiązek zapłaty spoczywać będzie na funduszu.

W przypadku, gdy wykup następuje automatycznie, tj. z chwilą zgłoszenia przez uczestnika żądania wykupu wraz z nadejściem dnia wykupu [16]. W takim wypadku eliminacja tzw. klauzul redukcyjnych doprowadzi do sytuacji, w której oświadczenie o dokonaniu redukcji złożone przez fundusz powinno zostać uznane za bezskuteczne, a w konsekwencji wykup powinien zostać dokonany z pominięciem dokonanej redukcji. Doprowadzi to do automatycznego umorzenia certyfikatów inwestycyjnych uczestnika w całym zakresie objętym żądaniem wykupu, jak i powstania po jego stronie wierzytelności o zapłatę ceny wykupu w wysokości odpowiadającej iloczynowi ilości umorzonych certyfikatów i wartości aktywów netto przypadających na certyfikat inwestycyjny na dzień wykupu. W razie braku zapłaty ceny na rzecz uczestnika za całość umorzonych certyfikatów, uczestnikowi będzie przysługiwało roszczenie o zapłatę względem funduszu.

Podsumowanie

Jeśli TSUE zaakceptuje pogląd wyrażony przez Rzecznika w Opinii i uzna, że postanowienia statutu FIZ określające zasady i terminy wykupu certyfikatów inwestycyjnych mogą stanowić warunek umowy, który nie był indywidualnie negocjowany, a tym samym postanowienia statutu FIZ inkorporowane do zapisu na certyfikaty inwestycyjne będą mogły podlegać kontrolki zgodnie z przepisami Dyrektywy, będzie miało to istotny wpływ na funkcjonowanie FIZ, jak i zarządzających nimi towarzystw funduszy inwestycyjnych.

Skutki potencjalnej abuzywności tzw. klauzul redukcyjnych w głównej mierze zależeć będą od tego w jaki sposób wykup certyfikatów inwestycyjnych został ukształtowany w statucie FIZ. Mogą się one sprowadzać zarówno do braku możliwości ograniczenia żądania wykupu uczestnika i konieczności wypłaty całości środków odpowiadającej liczbie certyfikatów inwestycjach przedstawianych do wykupu, jak i mogą prowadzić do sytuacji w której brak wykupu certyfikatów inwestycyjnych zgodnie z treścią żądania uczestnika prowadzić będzie do zaktualizowania się podstawy odpowiedzialności towarzystwa funduszy inwestycyjnych za zarządzanie funduszem lub roszczeń, pozostających poza zakresem art. 64 ust. 2 UFI, które uczestnik będzie mógł kierować przeciwko funduszowi. Pamiętać przy tym należy, że to od oceny sądu orzekającego w jednostkowej sprawie zależeć będzie, czy w danym konkretnym przypadku tzw. klauzule redakcyjne stanowią nieuczciwe postanowienia umowne, czy też  nie. Bez wątpienia z perspektywy podmiotów zarządzających funduszami działaniem, które zdecydowanie przyczyni się do mitygacji ryzyk związanych z potencjalnym stwierdzeniem abuzywności postanowień statutów FIZ może być brak wprowadzenia do statutów FIZ możliwości wykupu certyfikatów inwestycyjnych, a więc nieskorzystanie z wyjątku przewidzianego w art. 139 ust. 1 UFI. W takim jednak wypadku atrakcyjność inwestycji w certyfikaty inwestycyjne FIZ będzie zdecydowanie ograniczona, albowiem odzyskanie zainwestowanych w certyfikaty inwestycyjne środków możliwe byłoby dopiero na zakończenie likwidacji funduszu. Rozwiązaniem zmierzającym do ograniczenia ryzyka może być również brak wprowadzenia do statutu tzw. klauzul redukcyjnych, jednak z uwagi na klasy aktywów, w które inwestują FIZ, w szczególności niepubliczne, towarzystwa pozbawione byłoby istotnego instrumentu pozwalającego na optymalne zarzadzanie FIZ.

[1] tak wyrok SA w Warszawie z 15.09.2020 r., I ACa 263/19, LEX nr 3146594;

[2] tak wyrok Sądu Okręgowego w Warszawie z 3.11.2023 r., I C 622/22, LEX nr 3770529 oraz wyrok Sądu Apelacyjnego we Wrocławiu z dnia 03.06.2020 r. sygn. I ACa 547/19;

[3] ustęp 26 Opinii.

[4] ustęp 26 Opinii.

[5] zob. Prawa uczestnika funduszu inwestycyjnego i sposób ich realizacji, KPWG, Warszawa 2003, s. 49 i n.

[6] ustęp 32 – 33 Opinii.

[7] ustęp 34 Opinii.

[8] tak wyrok Sądu Okręgowego w Warszawie z 3.11.2023 r., I C 622/22, LEX nr 3770529.

[9] P. Rodziewicz, Wykup certyfikatów inwestycyjnych przez fundusz inwestycyjny zamknięty [w:] Sto lat polskiego prawa handlowego. Księga jubileuszowa dedykowana Profesorowi Andrzejowi Kidybie. Tom II, red. M. Dumkiewicz, K. Kopaczyńska-Pieczniak, J. Szczotka, Warszawa 2020, s. 391 i n.

[10] ustęp 46 Opinii.

[11] ustęp 46 Opinii.

[12] zob. art. 249 ust. 1 UFI.

[13] zob. wyrok SA w Warszawie z 15.09.2020 r., I ACa 263/19, LEX nr 3146594;

[14] zob. P. Rodziewicz, Wykup certyfikatów… , s. 396 i n.

[15] ustęp 48 Opinii.

[16] zob. P. Rodziewicz, Wykup certyfikatów… , s. 393 i n.

 

Napisz do autora:

dr Piotr Rodziewicz

adwokat
Counsel

TFI jako profesjonalny podmiot obsługujący kredyty – nowe kompetencje wg Dyrektywy AIFMD II

TFI jako profesjonalny podmiot obsługujący kredyty – nowe kompetencje wg Dyrektywy AIFMD II

utworzone przez | 10 kwietnia, 2026 | ! POLECANE !, REGULATORY

Czytaj: 7 min

Procedowana obecnie implementacja Dyrektywy AIFMD II do polskiego porządku prawnego, w ramach rządowego projektu nowelizacji ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi [1] przyznaje TFI nowe uprawnienia w postaci świadczenia usług obsługi kredytów, co oznacza dla TFI wejście w zupełnie inny obszar operacyjny niż zarządzanie funduszami.

Współautor artykułu: mec. Artur Zapała, Partner.

TFI będą mogły prowadzić, m.in.:

  • działalność funduszową (reprezentowanie i zarządzanie FIO/SFIO/FIZ),
  • działalność w zakresie obsługi kredytów jako usługi dodatkowej, z pełnym zastosowaniem Ustawy o podmiotach obsługujących kredyty [2].

1. Zarys procesu implementacji przepisów Dyrektywy AIFMD II [3] w zakresie dodatkowych usług obsługi kredytów

Nowe uprawnienia wynikają wprost z treści przepisów Dyrektywy AIFMD II, tj.:

  • zmiany wprowadzonej do załącznika I Dyrektywy 2011/61/UE poprzez dodanie dodatkowych usług, tj. m.in.: „e) obsługę podmiotów specjalnego przeznaczenia utworzonych do celów sekurytyzacji.” [4];
  • zmiany do art. 6 ust. 4 Dyrektywy 2011/61/UE poprzez dodanie postanowienia o treści „d) działalność w zakresie obsługi kredytu zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2021/2167 [5] [6].

Jak wskazuje motyw 6 preambuły Dyrektywy AIFMD II, kluczowym celem wskazanej regulacji jest umożliwienie zarządzającym wykonywanie na rzecz osób trzecich (klientów) tych samych funkcji, które realizują już na potrzeby zarządzanych funduszy, co pozwoli na osiągnięcie wymiernych korzyści skali, niezbędną dywersyfikację źródeł przychodu oraz wzmocnienie konkurencyjności.

W Projekcie nowelizacji ustawy o funduszach powyższe kwestie reguluje postanowienie art. 1 pkt 11 b), które zmienia art. 45 ustawy o funduszach poprzez dodanie ust. 2c [7] i przyznanie TFI, które już posiada zezwolenie i prowadzi działalność polegającą na tworzeniu specjalistycznych funduszy inwestycyjnych otwartych i funduszy inwestycyjnych zamkniętych […], możliwości świadczenia usług w zakresie obsługi kredytów na zasadach określonych w ustawie o podmiotach obsługujących kredyty i nabywcach kredytów. Konsekwentnie, odpowiednio do powyższej zmiany, Projekt nowelizacji ustawy o funduszach aktualizuje postanowienia art. 45 ust. 4a, 4d i ust. 6 w zakresie odesłań do nowo wprowadzonego art. 45 ust. 2c ustawy.

Treść uzasadnienia Projektu nowelizacji ustawy o funduszach wskazuje, że: „Dyrektywa AIFMD II dokonuje podziału działalności TFI na wykonywanie przez towarzystwo funkcji podstawowych oraz usług dodatkowych. Funkcje podstawowe są określone w art. 45 ust. 1 i 1a ustawy o funduszach, usługi dodatkowe w art. 45 ust. 2 – 3 tej ustawy (wraz z nowo dodawanymi usługami w postaci administrowania wskaźnikami referencyjnymi oraz obsługi kredytu w przypadku zarządzania przez towarzystwo alternatywnymi funduszami inwestycyjnymi).”.

Zmiany objęły również art. 45a ust. 4 pkt 2 – 4 oraz ust. 5, gdzie, zgodnie z systematyką Dyrektywy AIFMD II, wprowadzano pojęcie „klientów towarzystwa”, jako odbiorców usług dodatkowych TFI, obok interesu uczestników funduszu. W konsekwencji, w ślad za Dyrektywą AIFMD II, w odniesieniu do podstawowych funkcji – są one wykonywane na rzecz „inwestorów”, a w przypadku usług dodatkowych – na rzecz „klientów”.

Powołane przepisy Dyrektywy AIFMD II oraz Projektu nowelizacji ustawy o funduszach zrównują pozycję TFI z wyspecjalizowanymi serwiserami, tj. podmiotami zajmującymi się windykacją. TFI będą mogły samodzielnie wykonywać działalności w zakresie obsługi kredytów na zlecenie (czyli poza obsługą kredytów nabywanych do portfeli funduszy wierzytelności), obejmującą m.in. odzyskiwanie należności, renegocjację warunków umów oraz bieżącą administrację wierzytelnościami. Działalność dodatkowa TFI będzie prowadzona według standardów ochrony dłużnika i wymogów operacyjnych określonych w Ustawie o podmiotach obsługujących kredyty.

W świetle projektowanych przepisów zauważalny jest jednak dualizm systemowy, mianowicie:

  • podmioty licencjonowane na podstawie art. 192 ustawy o funduszach, zarządzające portfelami wierzytelności funduszu wierzytelności oraz TFI, w zakresie w jakim podejmowane czynności dotyczą wierzytelności nabytych do portfeli funduszy, i zarządzane przez nie fundusze – pozostają w dotychczasowym reżimie i są wyłączone spod rygorów Ustawy o podmiotach obsługujących kredyty;
  • TFI zamierzające świadczyć nową usługę dodatkową obsługi kredytów na rzecz podmiotów trzecich (klientów) na podstawie art. 45 ust. 2c Projektu nowelizacji ustawy o funduszach, wchodzi w rolę profesjonalnego podmiotu obsługującego kredyty i musi spełnić rygorystyczne wymogi z Ustawy o podmiotach obsługujących kredyty.

Implementacja Dyrektywy AIFMD II powinna nastąpić najpóźniej do 16 kwietnia 2026 r. [8]. Należy przyjąć, że Polska będzie miała w tym względzie opóźnienie, gdyż Projekt nowelizacji ustawy o funduszach, na dzień publikacji artykułu, jest na etapie opiniowania i konsultacji społecznych.

2. Postulat usunięcia niespójności między reżimem funduszowym a windykacyjnym

Na dzień publikacji artykułu, obecne brzmienie Projektu nowelizacji ustawy o funduszach nie wprowadza zmian do Ustawy o podmiotach obsługujących kredyty, która, w aktualnym brzmieniu, w art. 2 pkt 1 lit. d oraz w pkt 5 wprost wyłącza jej stosowanie do:

  • podmiotów posiadających zezwolenie na zarządzanie wierzytelnościami zgodnie z art. 192 ust. 1 ustawy o funduszach inwestycyjnych;
  • towarzystw funduszy inwestycyjnych oraz funduszy inwestycyjnych, którymi zarządzają.

Powyższe wskazuje na pewną niespójność legislacyjną pomiędzy Projektem nowelizacji ustawy o funduszach (art. 45 ust. 2c), a obowiązującą Ustawą o podmiotach obsługujących kredyty.

Powyższa kwestia wymaga odpowiedniego zaadresowania i uszczelnienia w procesie legislacyjnym poprzez dodanie do Projektu nowelizacji ustawy o funduszach przepisu, który usunie ww. niezgodność z projektowanym art. 45 ust. 2c ustawy o funduszach. Jeżeli bowiem intencją projektowanych przepisów byłoby wykreowanie dualizmu polegającego na tym, że tworzenie i obsługa funduszy wierzytelności odbywa się poza reżimem Ustawy o podmiotach obsługujących kredyty, zaś usługowa działalność towarzystw w tym obszarze powinna być prowadzona już w oparciu o przepisy tej ustawy, wówczas wydaje się, że celem uniknięcia niejasności odpowiedniej zmianie powinien ulec wspomniany wyżej art. 2 pkt 5 Ustawy o podmiotach obsługujących kredyty.

Dodatkowo, w naszej ocenie, w sytuacji, gdy projektowany art. 45 ust. 2c ustawy o funduszach odsyła do zasad określonych w Ustawie o podmiotach obsługujących kredyty (w odniesieniu do działalności w obszarze obsługi kredytów podejmowanej przez TFI na zlecenie), a ta ustawa w art. 4 ust. 1 ustanawia wymóg uzyskania zezwolenia KNF), wówczas powstaje wątpliwość, czy TFI posiadające zezwolenie na zarządzanie funduszami alternatywnymi (art. 45 ust. 1a ustawy o funduszach), w celu rozpoczęcia nowej działalności będzie mogło ograniczyć się jedynie do powiadomienia Komisji w trybie art. 61b ustawy o funduszach, czy też konieczne będzie przed rozpoczęciem działalności uzyskanie dodatkowego zezwolenia właśnie na podstawie Ustawy o podmiotach obsługujących kredyty. Uzasadnienie Projektu nowelizacji ustawy o funduszach wskazuje, że warunkiem ubiegania się o tę działalność dodatkową jest posiadanie zezwolenia na zarządzanie SFIO/FIZ (art. 45 ust. 1a ustawy o funduszach), co sugeruje, że nie zachodzi konieczność uzyskania odrębnego zezwolenia przez TFI na podstawie Ustawy o podmiotach obsługujących kredyty, ale i nie przesądza jednoznacznie tej kwestii.

Powyższe tworzy niepewność co do sytuacji prawnej, którą trzeba będzie usuwać w drodze wykładni przepisów, a już w tym momencie można przecież doprecyzować przepisy art. 2 i art. 4 Ustawy o podmiotach obsługujących kredyty, tak aby się wzajemnie zazębiały ze zmianami ujętymi w Projekcie nowelizacji ustawy o funduszach, w kierunku który, w naszej ocenie, powinien jednoznacznie wyłączać konieczność uzyskania przez TFI zezwolenia na wykonywanie działalności na podstawie przepisów Ustawy o podmiotach obsługujących kredyty.

Na koniec warto również zwrócić uwagę, że niejasne pozostają kwestie dotyczące ewentualnych sankcji. Ustawa o podmiotach obsługujących kredyty przewiduje własny reżim kar administracyjnych w przypadku naruszenia zasad świadczenia usług tą ustawą regulowanych i ustawa o funduszach inwestycyjnych również. Co więcej możliwość nakładania kar administracyjnych na TFI przewidziana w ustawie o funduszach inwestycyjnych ma swoje źródła odpowiednio w dyrektywach UCITS i AIFM. Można się zatem spodziewać konfliktu, które przepisy i w jakim zakresie należy stosować w przypadku działalności w zakresie obsługi kredytów wykonywanej przez TFI.

W związku z powyższym, dla zapewnienia pełnej przejrzystości regulacyjnej, Projekt nowelizacji ustawy o funduszach powinien jednoznacznie rozstrzygać wskazane powyżej kwestie.

3. Kluczowe etapy wdrożenia działalności w zakresie obsługi kredytów przez TFI

Projekt precyzuje, że możliwość świadczenia usług dodatkowych w zakresie obsługi kredytów nie jest dostępna dla wszystkich TFI, gdyż:

  • usługi obsługi kredytów mogą świadczyć wyłącznie towarzystwa, które posiadają zezwolenie na zarządzanie alternatywnymi funduszami inwestycyjnymi (AFI), o którym mowa w art. 45 ust. 1a (tj. nowy art. 45 ust. 2c);
  • świadczenie usług obsługi kredytów nie może być wyłącznym przedmiotem działalności i TFI musi nadal prowadzić swoją podstawową działalność polegającą na tworzeniu i zarządzaniu funduszami inwestycyjnymi (tj. art. 45 ust. 6).

Należy jednak podkreślić, że samo posiadanie zezwolenia na zarządzanie alternatywnymi funduszami inwestycyjnymi i spełnienie wymogów organizacyjnych to jedynie warunek wstępny. Wprowadzenie nowej usługi wiąże się z koniecznością zapewnienia odpowiedniego personelu oraz spełnienia wymogów organizacyjnych i technicznych, tj. TFI:

  • jest obowiązane zatrudniać osoby posiadające odpowiednią wiedzę i kompetencje do przekazywania informacji o usługach obsługi kredytów oraz do faktycznego wykonywania czynności w tym zakresie (tj. art. 45 ust. 4a pkt 1 i 2);
  • ma obowiązek zapewniać stałe utrzymywanie i doskonalenie wiedzy tych osób (art. 45 ust. 4c:);
  • musi dostosować strukturę swojego przedsiębiorstwa do nowej roli i ma obowiązek utrzymać taką liczbę pracowników i taką organizację, która zagwarantuje prawidłowe świadczenie usług obsługi kredytów (tj. art. 45 ust. 4d pkt 1 i 2).

Operacyjne uruchomienie w obszarze usług obsługi kredytów przez TFI, na podstawie obecnego brzmienia Projektu nowelizacji ustawy o funduszach, w naszej ocenie, będzie wymagało posiadania adekwatnych systemów IT, zasobów kadrowych, ale przede wszystkim wdrożenia wewnętrznych procedur np. z obszaru zarządzania konfliktami interesów. Ryzyko takich konfliktów staje się realne z chwilą, gdy TFI zaczyna świadczyć usługi dodatkowe na rzecz podmiotów trzecich (klientów), wykonując jednocześnie funkcje podstawowe na rzecz zarządzanych przez siebie funduszy i ich uczestników.

4. Korzyści czy ryzyka z rozszerzenia działalności TFI

Obecnie TFI są przygotowane do wykonywania nadzoru nad aktywami, a nie w zakresie wykonywania procesów windykacyjnych, m.in. nie posiadają call centers czy wyspecjalizowanych departamentów windykacji polubownej. Uruchomienie dodatkowej działalności wymagałoby od TFI głębokiej restrukturyzacji operacyjnej i wdrożenia nowych procedur, które to działania dodatkowo muszą zostać pozytywnie zaopiniowana przez KNF, o ile nie konieczności uzyskania odrębnej licencji, jak wskazywaliśmy powyżej.

Świadczenie przez TFI usług obsługi kredytów mogłoby generować szereg korzyści, jak zwiększenie operacyjnej samodzielności czy konkurencyjności TFI – wskazanych zarówno w motywach Dyrektywy AIFMD II czy w uzasadnieniu Projektu nowelizacji ustawy o funduszach – jednak w obecnych realiach korzyści te pozostają w dużej mierze teoretyczne. Zasadniczym wyzwaniem pozostaje wypracowanie adekwatnych standardów operacyjnych oraz zapewnienie kompetencji w obszarze obsługi kredytów, przy jednoczesnej konieczności funkcjonowania w warunkach współistnienia reżimu Ustawy o funduszach inwestycyjnych oraz Ustawy o podmiotach obsługujących kredyty.

Przypisy:

[1] Projekt ustawy o zmianie ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi oraz niektórych innych ustaw z dnia 22 grudnia 2025 r., numer wykazu prac legislacyjnych UC 105, Projekt, zwany dalej „Projekt nowelizacji ustawy o funduszach”.

[2] Ustawa z dnia 20 grudnia 2024 r. o podmiotach obsługujących kredyty i nabywcach kredytów Dz.U.2025, poz.146, zwana dalej „Ustawa o podmiotach obsługujących kredyty”.

[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/927 z dnia 13 marca 2024 r. zmieniająca dyrektywy 2011/61/UE i 2009/65/WE w zakresie ustaleń dotyczących przekazywania, zarządzania ryzykiem utraty płynności, sprawozdawczości nadzorczej, świadczenia usług depozytariusza i usług powierniczych oraz udzielania pożyczek przez alternatywne fundusze inwestycyjne (Dz. Urz. UE L 2024/927 z 26.03.2024), zwana dalej „Dyrektywą AIFMD II”.

[4] Art. 1 ust. 26 Dyrektywy AIFMD II.

[5] Art. 1 ust. 2b) Dyrektywy AIFMD II.

[6] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2021/2167 z dnia 24 listopada 2021 r. w sprawie podmiotów obsługujących kredyty i nabywców kredytów oraz w sprawie zmiany dyrektyw 2008/48/WE i 2014/17/UE.

[7] Dokładne brzmienie projektowanego przepisu art. 45 ust. 2c ustawy o funduszach: „Towarzystwo, które prowadzi działalność, o której mowa w ust. 1a (tworzenie specjalistycznych funduszy inwestycyjnych otwartych i funduszy inwestycyjnych zamkniętych, zarządzanie tymi funduszami, w tym pośrednictwo w zbywaniu i odkupywaniu jednostek uczestnictwa, a także reprezentowanie ich wobec osób trzecich oraz zarządzanie unijnymi AFI, w tym wprowadzanie ich do obrotu), może świadczyć usługi w zakresie obsługi kredytów na zasadach określonych w ustawie z dnia 20 grudnia 2024 r. o podmiotach obsługujących kredyty i nabywcach kredytów”.

[8] Art. 3 ust. 1 Dyrektywy AIFMD II wskazuje wprost, że państwa członkowskie przyjmują i publikują przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy do dnia 16 kwietnia 2026 r.

Napisz do autorów:

Anna Rzeszutek

radca prawny
Senior Associate

Zbliża się termin wdrożenia przepisów tzw. Polskiego Aktu o Dostępności

Zbliża się termin wdrożenia przepisów tzw. Polskiego Aktu o Dostępności

utworzone przez | 16 czerwca, 2025 | REGULATORY

Czytaj: 5 min

Przed nami ostatnie dwa tygodnie na wdrożenie ustawy o zapewnianiu spełniania wymagań dostępności niektórych produktów i usług, tzw. Polski Akt o Dostępności.

Zbliża się kluczowy termin wdrożenia przepisów tzw. Polskiego Aktu o Dostępności („PAD”). Do 28 czerwca 2025 r. wszystkie objęte ustawą podmioty gospodarcze, w tym firmy prywatne, instytucje świadczące usługi bankowe i finansowe, zobowiązane są do zapewniania zgodności oferowanych produktów i usług z wymogami dostępności określonymi przepisami krajowymi i unijnymi.

PAD – ustawa z dnia 26 kwietnia 2024 r. o zapewnianiu spełniania wymagań dostępności niektórych produktów i usług przez podmioty gospodarcze – implementuje Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/882 z dnia 17 kwietnia 2019 r. w sprawie wymogów dostępności produktów i usług (tzw. European Accessibility Act / dyrektywa EAA), która zobowiązuje państwa członkowskie do zapewniania osobom z niepełnosprawnościami równego dostępu do kluczowych produktów i usług na rynku wewnętrznym UE.

PAD stanowi kolejny krok w kierunku pełnej inkluzywności i przeciwdziałania wykluczeniu cyfrowemu osób z ograniczeniami funkcjonalnymi. Ustawa rozszerza obowiązki w zakresie zapewniania dostępności, nakładając na sektor prywatny, w tym banki, domy maklerskie i inne firmy inwestycyjne, obowiązki na wzór obecnie stosowanych w sektorze publicznym.

Warto przypomnieć, że od 2019 r. w Polsce obowiązuje ustawa z dnia 4 kwietnia 2019 r. o dostępności cyfrowej aplikacji internetowych i stron mobilnych podmiotów publicznych. Zapewnianie przez podmioty publiczne obowiązku dostępności cyfrowej oraz obowiązku umieszczenia deklaracji dostępności nastąpiło odpowiednio: dla strony internetowej od 23 września 2020 r.; dla aplikacji mobilnej od 23 czerwca 2021 r. Wymagania te są szczegółowo opisane w międzynarodowych standardach WCAG tj. Wytycznych dla dostępności treści internetowych, ang. Web Content Accessibility Guidelines. WCAG wprowadzają 4 główne zasady: zrozumiałości, postrzegalności, kompatybilności, funkcjonalności.

Zgodność z zasadami dostępności staje się zatem standardem nie tylko dla instytucji publicznych, ale także dla przedsiębiorstw oferujących swoje usługi konsumentom.

Lista podmiotów zobowiązanych wdrożyć PAD jest szeroka, w dużym uproszczeniu można wskazać, że zaliczają się do niej:

  • producenci, importerzy, dystrybutorzy produktów objętych PAD, tj. terminale płatnicze, bankomaty, automaty biletowe i do odprawy, interaktywne terminale samoobsługowe, komputery ogólnego użytku dostępne w przestrzeni publicznej, czytniki książek elektronicznych, sprzęt i oprogramowanie służące do korzystania z usług komunikacji elektronicznej, mediów audiowizualnych i handlu elektronicznego;
  • usługodawcy świadczący usługi dla konsumentów, w szczególności: sektor e-commerce i usług cyfrowych, sektor finansowy i bankowy, telekomunikacja i media.

Do podmiotów zobowiązanych zaliczają się również instytucje świadczące usługi zdefiniowane w PAD poprzez: oferowane lub świadczone na rzecz konsumentów następujące usługi bankowe i finansowe, tj.:

  • umowy o kredyt konsumencki, o których mowa w art. 3 ustawy o kredycie konsumenckim i umowy o kredyt hipoteczny, o których mowa w art. 3 ustawy o kredycie hipotecznym oraz o nadzorze nad pośrednikami kredytu hipotecznego i agentami,
  • usługi obejmujące czynności działalności maklerskiej, o których mowa w art. 69 ust. 2 pkt 1, 2, 4 i 5 oraz ust. 4 pkt 1, 2, 5 i 6 ustawy o obrocie instrumentami finansowymi,
  • usługi w zakresie pieniądza elektronicznego w rozumieniu art. 2 pkt 21a ustawy o usługach płatniczych; powiązane z rachunkiem płatniczym w rozumieniu art. 2 pkt 33a ustawy o usługach płatniczych; płatnicze w rozumieniu art. 3 ust. 1 ustawy o usługach płatniczych;
  • inne usługi oferowane i możliwe do realizacji przez stronę internetową / aplikację mobilną w zakresie tzw. handlu elektronicznego.

Uszczegółowienie katalogu produktów i usług opisanych w PAD zawarte jest w dyrektywie EAA, a w szczególności w jej preambule.

Wyłączenia i wyjątki dotyczące wdrożenia obowiązków PAD.

PAD wprowadza szeroki zakres produktów i usług oraz obowiązków dla podmiotów je oferujących, jednak przewiduje również konkretne wyjątki i wyłączenia. Przykładowe wyłączenia to:

  • wyłączenia mikroprzedsiębiorstw – wyłączeniu podlegają przedsiębiorstwa, które zatrudniają mniej niż 10 pracowników oraz osiągają roczny obrót netto nieprzekraczający 2 mln euro lub sumę aktywów w bilansie rocznym poniżej 2 mln euro (w tym miejscu warto wskazać, że powyższe wyłączenie nie dotyczy podmiotów wprowadzających na rynek produkty objęte szczególnymi wymaganiami, np. terminale samoobsługowe);
  • nieproporcjonalne obciążenia – wyłączeniu podlegają przedsiębiorstwa, które wykażą, że spełnienie wymogów dostępności wiązałoby się z nieproporcjonalnymi obciążeniami, które są niewspółmierne do charakteru wielkości lub przychodów podmiotu;
  • zasadnicze zmiany charakteru produktów lub usług – wyłączeniu podlegają przedsiębiorstwa, które wykażą, że spełnienie wymagań dostępności zmieniłoby zasadniczy charakter produktu lub usługi w taki sposób, że straciłoby ono swoją funkcję podstawową lub rynkową;
  • strony internetowe i aplikacje mobilne w zakresie treści, które nie są finansowane i nie są tworzone przez dany podmiot gospodarczy oraz nie znajdują się pod jego kontrolą;
  • produkty i usługi znajdujące się już w obrocie lub użytkowaniu w dniu wejścia w życie PAD – z mocy wyłączenia ustawowego z art. 84, art. 85 – dla których został określony maksymalny termin dostosowania do 18 czerwca 2030 r.
  • strony internetowe i aplikacje mobilne posiadające treści, które spełniają przesłanki z art. 86 PAD.

Zastrzega się, że każdorazowo należy sprawdzić czy konkretny produkt, usługa, strona internetowa lub aplikacja mobilna podlega pod odrębne przepisy, wyłączenia lub wyjątki, a nadto mieć na względzie, że wyłączenie dostawcy, np. jako mikroprzedsiębiorcy, nie będzie skutkować wyłączeniem producenta lub usługodawcy konsumenckiego.

Oczywiście, nie ma przeciwskazań, aby podmiot, który formalnoprawnie nie podlega pod PAD lub został objęty wyłączeniem lub wyjątkiem, podjął dobrowolną decyzję w zakresie spełniania wymogów dostępności.

Wdrożenie przepisów PAD – ostatni etap przygotowań.

Termin wdrożenia upływa niebawem – 28 czerwca 2025 r.  Dla wszystkich podmiotów, których produkty i usługi zostały objęte PAD zalecamy – to co można zrobić w tym nieodległym terminie – to przeprowadzić ocenę zakresu wyłączenia i wyjątków w PAD (patrz: Wyłączenia i wyjątki dotyczące wdrożenia obowiązków PAD).

W przypadku nowych produktów / usług, które będą wprowadzane na rynek po dniu wejścia w życie PAD, zalecamy, aby każdy podmiot wprowadzający produkty i usługi dokonał samodzielnej oceny (test adekwatności) czy podlegają one pod obowiązek zapewnienia zgodności z wymaganiami dostępności (zgodnie z art. 21 PAD).

W niektórych podmiotach wdrożenie PAD może oznaczać wyłącznie kosmetyczne zmiany / aktualizacje, ale – patrząc na zakres i poziom szczegółowości PAD i WCAG – wydaje się, że dla większości podmiotów ich wdrożenie będzie wiązać się z czasochłonnymi pracami nad weryfikacją systemów, procesów i odpowiednich zmian / aktualizacji procedur.

W tym miejscu polecamy analizę, nie tak odległych, a pochodzących z 2023 roku, badań sektora bankowego, e-commerce, łączności, transportu i medialnego pod względem dostępności dla osób z ograniczeniami funkcjonalnymi pod tytułem: „Raport – dostępność cyfrowa w polskim biznesie”, które są dostępne pod linkiem Dostępność cyfrowa w polskim biznesie – raport 2023.

____________

Akty prawne wskazane w artykule:

Ustawa z dnia 26 kwietnia 2024r. o zapewnianiu spełniania wymagań dostępności niektórych produktów i usług przez podmioty gospodarcze ( Dz.U.2024.731).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/882 z 17.04.2019 r. w sprawie wymogów dostępności produktów i usług (tzw. Europejski akt o dostępności, ang. European Accessibility Act, EAA), która weszła w życie w dniu 27 czerwca 2019 r. (Dz.U.UE.L.2019.151.70).

Ustawa z dnia 4 kwietnia 2019 r. o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych (Dz.U.2023.1440).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/2102 z dnia 26 października 2016 r. w sprawie dostępności stron internetowych i mobilnych aplikacji organów sektora publicznego, która weszła w życie w dniu 27 czerwca 2019 r. (Dz.U. L 327 z 2.12.2016, p. 1–15).

 

Napisz do mnie:

Anna Rzeszutek

radca prawny
Senior Associate

Zmiany w zakresie „investment research”

Zmiany w zakresie „investment research”

utworzone przez | 2 stycznia, 2025 | REGULATORY

Czytaj: 6 min

Z dniem 4 grudnia 2024 r. wszedł w życie pakiet regulacyjny tzw. Listing Act, a w jego ramach dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/2811 z dnia 23 października 2024 r. w sprawie zmiany dyrektywy 2014/65/UE w celu zwiększenia atrakcyjności publicznych rynków kapitałowych w unii dla spółek i ułatwienia małym i średnim przedsiębiorstwom dostępu do kapitału oraz uchylenia dyrektywy 2001/34/WE („Dyrektywa 2024/2811”). Przepisy Dyrektywy 2024/2811 będą podlegać implementacji do krajowych porządków prawnych poszczególnych państw w terminie 18 miesięcy od dnia jej wejścia w życie, tj. do dnia 5 czerwca 2026 r.

Z dniem 28 października 2024 r., opierając się o treść jeszcze nieopublikowanego aktu Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) opublikował dokument konsultacyjny („Dokument Konsultacyjny”) [1] zawierający propozycje zmian do dyrektywy delegowanej Komisji (UE) 2017/593 z dnia 7 kwietnia 2016 r. uzupełniającej dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do zabezpieczenia instrumentów finansowych i środków pieniężnych należących do klientów, zobowiązań w zakresie zarządzania produktami oraz zasad mających zastosowanie do oferowania lub przyjmowania wynagrodzeń, prowizji bądź innych korzyści pieniężnych lub niepieniężnych („Dyrektywa 2017/593”) [2]. Celem Dokumentu Konsultacyjnego jest zmiana przepisów Dyrektywy 2017/593 regulujących opłaty za investment research (w polskim tłumaczeniu: badania inwestycyjne; dalej: Analizy) do zmian wprowadzanych w dyrektywie Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniającej dyrektywę 2002/92/WE i dyrektywę 2011/61/UE [3] („MiFID II”) Dyrektywą 2024/2811, jak też ich doprecyzowanie w zakresie niezbędnym lub uzasadnionym.

Zmiany wynikające z Dyrektywy 2024/2811

Pierwotnie przepisy MiFID II zakazywały łączenia przez firmy inwestycyjny płatności z tytułu Analiz i usług z tytułu wykonywania zleceń, wprowadzając wymóg płatności odrębnych (tzw. research unbundling rule) lub płatności dokonywanych za Analizy ze środków własnych firmy inwestycyjnej.

Powyższy stan rzeczy został złagodzony. Aktualnie obowiązujące przepisy MiFID II dopuszczają możliwość płatności łącznych (za Analizy i usługi wykonywania zleceń) nakładając jednak na firmy inwestycyjne pewne dodatkowe wymogi z tym związane.

Obowiązujący od lutego 2021 r. przepis art. 24 ust. 9a MiFID II przewiduje, że korzystanie przez firmy inwestycyjne na potrzeby świadczonych usług z Analiz sporządzanych przez podmioty trzecie może odbywać się pod warunkiem jednak spełnienia następujących warunków:

  1. przed otrzymaniem Analiz od podmiotu trzeciego, pomiędzy podmiotem trzecim a firmą inwestycyjną została zawarta umowa określająca tę część łącznych opłat lub łącznych płatności za Analizy i usługi wykonywania zleceń, która przypada na Analizy;
  2. firma inwestycyjna informuje swoich klientów o dokonywaniu łącznych płatności na rzecz osób trzecich z tytułu Analiz i usług wykonywania zleceń; oraz
  3. Analizy, dla których wprowadzono połączone opłaty lub łączne płatności, dotyczą wyłącznie emitentów, których kapitalizacja rynkowa nie przekroczyła 1 mld euro w okresie 36 miesięcy poprzedzających sporządzenie Analiz, przy czym kapitalizacja powinna być liczona wg danych z notowań na koniec roku, za lata, w których emitent jest lub był notowany na rynku regulowanym, lub wyrażona w kapitale własnym za lata obrotowe, w których takich notowań nie było.

Warunek z pkt. 3 został wprowadzony w celu wspierania spółek o małej i średniej kapitalizacji, których potrzeba wsparcia, bezpośrednio po pandemii COVID-19, została dostrzeżona i w ten sposób zrealizowana.

Dyrektywa 2024/2811 wprowadzi zmiany jeszcze dalej idące w kierunku odejścia od zasady unbunduled research rule, mianowicie zmiany, zgodnie z którymi:

  1. firma inwestycyjna i podmiot trzeci dostarczający Analizy obowiązane będą określić w zawartej umowie już nie część łącznych płatności przypadającą na Analizy, lecz metodę obliczania wynagrodzenia, która w szczególności wskaże sposób uwzględniania kosztu Analiz w całkowitych opłatach z tytułu świadczonych usług, co stanowi odejście od rygorystycznego nakazu wskazywania w umowie części opłat należnej z tytułu Analiz na rzecz rozwiązania bardziej elastycznego polegającego na wprowadzeniu pewnej formuły, sposobu wyliczania;
  2. firma inwestycyjna będzie musiała poinformować klientów o dokonanym przez nią wyborze sposobu płacenia za Analizy (płatności łączne lub oddzielne) i udostępnić im przyjętą przez firmę politykę płatności z tytułu usług wykonywania zleceń i usług sporządzania Analiz, która jednak będzie dodatkową polityką do przyjęcia, wdrożenia, udostępniania klientom, aktualizowania itd.;
  3. firma inwestycyjna będzie miała obowiązek corocznego przeprowadzania oceny jakości, przydatności i wartości Analiz wykorzystywanego do świadczonych usług, w tym jego wpływu na wzrost jakości podejmowanych decyzji inwestycyjnych, co samo w sobie nie stanowi novum w stosunku do obecnego stanu prawnego, gdyż w dużej mierze powtarza przepisy Dyrektywy 2017/593, jednak zmianie może ulec rozumienie istoty i podejście do tego obowiązku (patrz wyjaśnienia dotyczące Dokumentu Konsultacyjnego);
  4. w przypadku podjęcia decyzji o dokonywaniu oddzielnych płatności, firma inwestycyjna obowiązana będzie dokonywać tych płatności:
    • (i) bezpośrednio ze środków własnych firmy inwestycyjnej; albo
    • (ii) z oddzielnego rachunku płatniczego na potrzeby Analiz kontrolowanego przez tę firmę
      – co ponownie „powtarza” już regulacje przewidziane obecnie na poziomie drugim, czyli w Dyrektywie 2017/593, a więc w istocie nie powinno doprowadzić do zmiany w sytuacji prawnej firm inwestycyjnych;
  5. obowiązki określone w pkt. 1, 2 i 4 powyżej zostaną wyłączone w stosunku do Analiz otrzymywanych przez firmę inwestycyjną od podmiotu trzeciego niezaangażowanego w realizację transakcji ani niebędącego częścią grupy finansowej obejmującej firmę świadczącą usługi wykonywania zleceń, w takim przypadku zastosowanie będzie miał wyłącznie wymóg, o którym mowa w pkt. 3 powyżej;
  6. firma inwestycyjna będzie miała obowiązek prowadzenia rejestru całkowitych kosztów, które możliwe będą do przypisania poszczególnym otrzymanym Analizom, dane z rejestru będą musiały być udostępniane klientom raz w roku, na ich żądanie.

W Dyrektywie 2024/2811 rezygnuje się z wprowadzonego w 2021 r. ograniczenia możliwości stosowania rozwiązania polegającego na łączeniu opłat jedynie do spółek o małej i średniej kapitalizacji uznając, że wsparcie spółek powinno być osiągane innymi narzędziami m.in. poprzez rozwiązania organizacyjne zapewniające, by Analizy sponsorowane przez emitenta były przygotowywane zgodnie z unijnym kodeksem postępowania opracowanym przez ESMA, zwiększającym zaufanie do takich materiałów i więc również ich wykorzystanie.

Dokument Konsultacyjny

Zmiany wprowadzone Dyrektywą 2024/2811 spowodują konieczność nowelizacji art. 13 Dyrektywy 2017/593, który w swoim obecnym brzmieniu w dużej części reguluje materię omawianą w niniejszym materiale, a więc uregulowaną już na poziomie aktu wyższego poziomu i, co więcej, w części w sposób odmienny.

W związku z powyższym, ESMA przygotowała Dokument Konsultacyjny, w którym zaproponowała zmiany wspomnianego przepisu i poddała je pod publiczne konsultacje.

Proponowane przez ESMA zmiany w Dyrektywie 2017/593, poza zmianami o charakterze redakcyjnym związanymi z przyjęciem Dyrektywy 2024/2811, wprowadzają dwie istotne propozycje merytoryczne o charakterze uzupełniającym reżim wynikający z przepisów Dyrektywy 2024/2811.

Pierwsza z propozycji ESMA zmierza do doprecyzowania wymogu przeprowadzania przez firmy inwestycyjne corocznej oceny jakości, przydatności i wartości Analiz wykorzystywanych w świadczonych usługach, a także ich zdolności do wpływania na wzrost jakości podejmowanych decyzji inwestycyjnych. ESMA proponuje, aby ocena ta opierała się na solidnych kryteriach jakościowych i tam, gdzie jest to możliwe, obejmowała porównanie z potencjalnymi alternatywnymi dostawcami Analiz.

Celem ESMA jest osiągnięcie stanu, w którym firmy inwestycyjne dążą do przeciwdziałania nadmiernemu poleganiu na jednym dostawcy Analiz. W Dokumencie Konsultacyjnym zostało przy tym wskazane, że w ocenie ESMA, porównanie alternatywnych dostawców Analiz nie musi być rozumiane jako obowiązek korzystania każdorazowo z usług kilku dostawców Analiz, ale raczej, jako wymóg zebrania ofert innych dostawców tego typu materiałów, wiedzy pozwalającej na ocenę możliwości podmiotów stanowiących alternatywę dla obecnego dostawcy.

Istotne jest również to, że propozycja ESMA w omawianym zakresie nie ma charakteru bezwzględnego, czyli, że obowiązek miałby powstawać wyłącznie w sytuacjach, w których przedmiotowe porównanie byłoby możliwe („if feasible”).

Drugą istotną propozycją przedstawioną przez ESMA w Dokumencie Konsultacyjnym jest doprecyzowanie w zakresie ustalanej w umowie metody obliczania wynagrodzenia przy łącznych płatnościach za Analizy i usługę wykonywania zleceń. ESMA proponuje, aby do Dyrektywy 2017/593 dodane zostały następujące warunki:

  1. metoda obliczania wynagrodzenia powinna zapobiegać występowaniu sytuacji, w której firma inwestycyjna w efekcie płaciłaby znacząco więcej za Analizy w ramach połączonej płatności niż wynosiłby koszt Analiz w sytuacji, gdyby firma inwestycyjna płaciła za nie bezpośrednio; oraz
  2. metoda obliczania wynagrodzenia nie powinna ograniczać zdolności firmy inwestycyjnej do działania w zgodzie z wymogami best execution.

Proces konsultacyjny rozpoczęty przez ESMA opublikowaniem Dokumentu Konsultacyjnego będzie trwać do 28 stycznia 2025 r. W tym terminie możliwe jest przedstawianie przez uczestników rynku uwag do propozycji zaprezentowanych przez ESMA jak również zgłaszanie dodatkowych propozycji w zakresie objętym przedmiotowym dokumentem.

Podsumowanie

Podsumowując należy wskazać, że jakkolwiek zmiany przepisów MiFID II w omawianym zakresie ewoluowały na przestrzeni ostatnich lat od całkowitego zakazu łączenia opłat z tytułu Analiz i usług wykonywania zleceń do korzystania z takiej możliwości (bez ograniczania do pewnego typu emitentów), to jednak każda zmiana wprowadza dodatkowe wymogi związane ze zmianami umów już zawartych, zmiany niezbędne do wdrożenia w organizacji wewnętrznej oraz w relacjach z klientami. Istotne jest, aby kolejne mniejsze lub większe przesunięcia w kierunku z założenia słusznym, uwzględniającym potrzeby różnych grup uczestników rynku, nie były jednak okupione koniecznością wdrożenia przez firmy inwestycyjne (bezpośrednich adresatów tych modyfikacji), zmian generujących nadmierne koszty, których nie zbilansują korzyści. W tym celu niezbędne jest analizowanie na bieżąco publikowanych propozycji legislacyjnych i reagowanie, gdyż jest to jedyna szansa, aby ostatecznie przyjmowane przepisy uwzględniały oczekiwania rynku. Powyższa uwaga w równym stopniu dotyczy również projektu krajowych przepisów implementujących Dyrektywę 2024/2811, gdyż ich ostateczny kształt może odbiegać od przepisów omówionych w niniejszym materiale.  

Tekst opublikowany został w Magazynie Izby Domów Maklerskich.

Przypisy:
[1] Opublikowany na stronie internetowej ESMA: https://www.esma.europa.eu/sites/default/files/2024-10/ESMA35-335435667-5979_Consultation_Paper_on_Technical_Advice_on_MiFID_II_DD_research.pdf.
[2] Dyrektywa delegowana Komisji (UE) 2017/593 z dnia 7 kwietnia 2016 r. uzupełniająca dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do zabezpieczenia instrumentów finansowych i środków pieniężnych należących do klientów, zobowiązań w zakresie zarządzania produktami oraz zasad mających zastosowanie do oferowania lub przyjmowania wynagrodzeń, prowizji bądź innych korzyści pieniężnych lub niepieniężnych (Dz.Urz. UE. L nr 87 z 31.03.2017 r., str. 500 i nast. ze zm.).
[3] Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (Dz.Urz. UE. L nr 173 z 12.06.2014 r., str. 349 i nast., ze zm.).

Napisz do autora:

Ewa Mazurkiewicz

radca prawny
Partner

Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

Rozporządzenie DORA – główne założenia i wpływ na działalność podmiotów finansowych

utworzone przez | 22 października, 2024 | ! POLECANE !, REGULATORY

Czytaj: 7 min

Od dnia 16 stycznia 2023 r. obowiązuje w UE rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”), a obowiązek jego stosowania rozpocznie się z dniem 17 stycznia 2025 r., a więc już niedługo.

Akt ten jest jednym z elementów unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, którego celem jest aktualizacja otoczenia regulacyjnego w obszarze technologii finansowych, a także zharmonizowanie procesów i standardów odporności cyfrowej w całym sektorze finansowym.

W niniejszym artykule przedstawiamy podstawowe informacje związane z Rozporządzeniem DORA w kontekście niezbędnych procesów dostosowawczych oraz obszary wsparcia, jakiego w tym zakresie udzielić może Państwu nasz zespół prawny. Chętnie rozwiniemy ten temat podczas spotkania lub w drodze konsultacji, do czego niniejszym Państwa zapraszamy.

ROZPORZĄDZENIE DORA – GŁÓWNE ZAŁOŻENIA I WPŁYW NA DZIAŁALNOŚĆ PODMIOTÓW FINANSOWYCH

CEL

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku UE oraz kluczowych dostawców technologii informacyjno-telekomunikacyjnych („ICT”).

Rozporządzenie DORA jest częścią pakietu unijnych aktów prawnych dla sektora finansowego, na który składają się:

  1. rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru;
  2. rozporządzenie o rynkach kryptoaktywów (MiCA);
  3. rozporządzenie DORA.
KOGO DOTYCZY? Rozporządzenie będzie miało zastosowanie do podmiotów finansowych wymienionych w art. 2 Rozporządzenia DORA, w szczególności do: (i) instytucji sektora finansowego: organizatorów obrotu, centralnych depozytów i CCP, instytucji kredytowych, firm inwestycyjnych, spółek zarządzających, a więc towarzystw funduszy inwestycyjnych i ZASI działających na podstawie zezwolenia, zakładów ubezpieczeń i reasekuracji, (ii) podmiotów z obszaru cyfrowych finansów: dostawców usług w zakresie kryptoaktywów, instytucji płatniczych i instytucji pieniądza elektronicznego, (iii) dostawców technologii, w tym dostawców usług chmury obliczeniowej i innych dostawców usług ICT. Należy podkreślić, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu (obowiązki nałożone na poszczególne podmioty różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego).
OD KIEDY? Rozporządzenie DORA weszło w życie w dniu 16 stycznia 2023 r., a jego przepisy będą miały zastosowanie od dnia 17 stycznia 2025 r.
GŁÓWNE ZAŁOŻENIA

Rozporządzenie DORA opiera się na pięciu filarach. W ramach każdego z filarów DORA nakłada na podmioty finansowe różne obowiązki w zakresie odporności cyfrowej. Zakres obowiązków nałożonych na dany podmiot jest pochodną zasady proporcjonalności, tzn. obowiązki różnią się w zależności od rozmiaru, profilu działalności oraz profilu ryzyka podmiotu finansowego.

Wspomniane powyżej filary obejmują:

  1. zarządzanie ryzykiem związanym z ICT (art. 5-14 Rozporządzenia DORA): Rozporządzenie DORA wprowadzi m.in. obowiązek utworzenia i utrzymania odpornych systemów i narzędzi ICT, środków ochrony i zapobiegania ryzykom, opracowania polityk bezpieczeństwa informacji, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania oraz planów przywrócenia gotowości do pracy, a także obowiązek identyfikowania, klasyfikowania i prowadzenia dokumentacji funkcji biznesowych związanych z ICT. Dodatkowo, instytucje finansowe są zobowiązane do zapewnienia obowiązkowych szkoleń dla personelu;
  2. zgłaszanie incydentów związanych z ICT (art. 17-23 Rozporządzenie DORA): adresaci omawianego aktu będą zobowiązani do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich i zgłaszania do odpowiednich organów nadzorów (Rozporządzenie DORA reguluje proces zarządzania incydentami ICT, w tym klasyfikację zdarzeń według priorytetu i dotkliwości oraz krytyczności usług, na które incydenty mają wpływ). Co ważne, ujednoliceniu ulegną procedury zgłaszania incydentów ICT w związku z różnymi procedurami określonymi w dyrektywie NIS czy PSD2;
  3. testowanie operacyjnej odporności cyfrowej (art. 24-27 Rozporządzenia DORA): Rozporządzenie DORA zobowiąże poszczególne podmioty m.in. do przeprowadzania okresowych testów odporności cyfrowej, przygotowania i dokonywania przeglądów programu testowania odporności cyfrowej. Program testowania powinien obejmować różne aspekty, takie, jak analiza open source, ocena bezpieczeństwa sieci i testowanie scenariuszy. Rozporządzenie DORA określi również wymogi dla testerów oraz zasady uznawania wyników testów penetracyjnych (TLPT) w przypadku podmiotów działających w kilku państwach UE. Co istotne, testy penetracyjne będą przeprowadzane na działających systemach produkcyjnych wspierających krytyczne lub istotne funkcje danego podmiotu;
  4. zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT (art. 28-39 Rozporządzenia DORA): Rozporządzenie DORA wprowadza obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców ICT, w tym na etapie wykonywania umowy i zakończenia współpracy (m.in.: wprowadzenie strategii, dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT, polityki korzystania z usług ICT wspierających krytyczne lub istotne funkcje, dokonywanie przeglądów strategii oraz ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dot. korzystania z usług ICT wspierających krytyczne lub istotne funkcje) oraz ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (szerzej poniżej). Ponadto Rozporządzenie DORA wprowadza nadzór właściwych organów nad kluczowymi zewnętrznymi dostawcami ICT (wybranymi zgodnie z art. 31 Rozporządzenia DORA);
  5. wymiana informacji (art. 45 Rozporządzenia DORA): Rozporządzenie DORA wprowadza regulacje w zakresie wymiany informacji zarówno pomiędzy samymi podmiotami, jak i w relacji z właściwymi organami. Rozporządzenie DORA umożliwia zwłaszcza podmiotom wymianę informacji o cyberzagrożeniu i wyniki analiz takiego cyberzagrożenia.
ROLA ZARZĄDU

Głównym założeniem Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego (tj. zarządów spółek) za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 5 ust. 2 Rozporządzenia DORA).

W motywie 45 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowanie i dostosowywanie ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 5 ust. 4 Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy oraz umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT, a także jego wpływu na operacje danego podmiotu.
UMOWY
Z DOSTAWCAMI ICT

Rozporządzenie DORA określa minimalne postanowienia umowne, które powinny zostać uwzględnione w umowie z dostawcą ICT (art. 30 Rozporządzenia DORA):

  • jasny i kompletny opis wszystkich funkcji i usług ICT;
  • postanowienia dotyczące podwykonawstwa tzw. kluczowej lub ważnej funkcji lub jej istotnych części, w tym – jeżeli podwykonawstwo jest dozwolone – warunki jakie mają zastosowanie do podwykonawstwa;
  • wskazanie lokalizacji, w których będą świadczone funkcje i usługi ICT i w których będą przetwarzane dane;
  • postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych, w tym danych osobowych oraz zwrotu danych osobowych i nieosobowych na wypadek zakończenia współpracy;
  • opisy gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany;
  • zapewnienie podmiotowi finansowemu przez dostawcę ICT pomocy w przypadku wystąpienia incydentu związanego z ICT (bez dodatkowych opłat lub w ramach opłaty uiszczonej z góry);
  • obowiązek zewnętrznego dostawcy usług ICT do pełnej współpracy z właściwymi organami oraz organami przymusowej restrukturyzacji podmiotu finansowego, w tym z osobami przez nie wyznaczonymi;
  • prawo wypowiedzenia umowy z dostawcą ICT, w tym odpowiednio długie okresy wypowiedzenia umowy przez dostawcę ICT;
  • obowiązki sprawozdawcze dostawcy ICT wobec podmiotu finansowego;
  • prawo dostępu, kontroli i audytu dostawcy ICT przez podmiot finansowy lub wyznaczoną osobę trzecią;
  • strategie wyjścia (tj. exit plan).
KONSEKWENCJE NARUSZENIA ROZPORZĄDZENIA DORA

Państwa członkowskie są zobowiązane do powierzenia właściwym organom uprawnienia do stosowania względem zobowiązanych podmiotów finansowych, które naruszą przepisy Rozporządzenia DORA, kar administracyjnych lub środków naprawczych, obejmujących m.in.:

  • wydanie nakazu zaprzestania postępowania naruszającego Rozporządzenie DORA oraz powstrzymania się od ponownego podejmowania takich działań;
  • wymaganie tymczasowego lub stałego zaprzestania wszelkich praktyk, które właściwy organ uważa za sprzeczne z Rozporządzeniem DORA, oraz niedopuszczenie do ponownego ich podejmowania;
  • podejmowanie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych;
  • wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.

Z kolei w przypadku częściowego lub całkowitego niezastosowania się przez kluczowego zewnętrznego dostawcę usług ICT do środków, które zostały podjęte przez organy nadzorcze (np. nieprzekazanie wszystkich stosownych informacji i dokumentów, niezłożenie sprawozdań po zakończeniu działań nadzorczych) organ nadzorczy nad rynkiem finansowym może nałożyć okresową karę pieniężną do 1% średniego dziennego światowego obrotu w poprzedzającym roku obrotowym za każdy dzień trwania naruszenia. Okresowa kara pieniężną jest nakładana za każdy dzień do czasu zastosowania się do środków podjętych przez organ nadzorczy i nie dłużej niż przez 6 miesięcy od dnia zawiadomienia o decyzji nakładającej tę karę. Informacja o nałożeniu kary może zostać podana do wiadomości publicznej (art. 35 Rozporządzenia DORA).
AKTY WYKONAWCZE

Europejskie Urzędy Nadzoru (EUN), tj. Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) opublikowały dotychczas dwa pakiety aktów wykonawczych do Rozporządzenia DORA.

Pierwszy pakiet: przyjęty przez Komisję Europejską w lutym i marcu 2024 r. doprecyzowuje regulacje Rozporządzenia DORA w zakresie: (i) ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT (art. 15, art. 16 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. elementy polityk oraz procedur wewnętrznych w zakresie zarządzania ryzykiem ICT (RTS); (ii) kryteriów klasyfikacji incydentów ICT (art. 18 ust. 3 Rozporządzenia DORA), doprecyzowujących m.in. kryteria klasyfikacji poważnych incydentów związanych z ICT, podejście do klasyfikacji poważnych incydentów oraz próg istotności każdego kryterium klasyfikacji (RTS); (iii) wzorów na potrzeby rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 9 Rozporządzenia DORA) (ITS) oraz polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje, świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 10 Rozporządzenia DORA) (RTS).

Drugi pakiet: projekty RTS oraz wytyczne opublikowane w dniu 17 lipca 2024 r., doprecyzowują regulacje Rozporządzenia DORA w zakresie: (i) przeprowadzania testów penetracyjnych (TLPT) (RTS); (ii) raportowania incydentów ICT (RTS); (iii) harmonizacji warunków umożliwiających prowadzenie działań nadzorczych (RTS); (iv) wykonywania nadzoru przez właściwe organy nadzoru (RTS); (v) szacowania kosztów i strat spowodowanych incydentami (wytyczne); (vi) współpracy w zakresie nadzoru i wymiany informacji między EUN a właściwymi organami (wytyczne). Projekty RTS oraz wytycznych z drugiego pakietu zostały już przyjęte przez EUN i przekazane Komisji Europejskiej w celu dalszych prac.

Ponadto, w dniu 18 kwietnia 2024 r. na stronie Rządowego Centrum Legislacji zamieszczono projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego wdrażający do prawa krajowego oraz zapewniający stosowanie Rozporządzenia DORA oraz towarzyszącej mu dyrektywy 2022/2556. Zgodnie z założeniami projektowana ustawa ma wejść w życie w dniu 17 stycznia 2025 r., czyli w terminie, od którego stosuje się przepisy Rozporządzenia DORA. Projekt przewiduje m.in. wyznaczenie KNF jako organu nadzoru właściwego w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego. Zgodnie z projektowanymi regulacjami KNF będzie mogła w drodze decyzji nakazać zaprzestanie danego zachowania oraz powstrzymanie się od takiego zachowania w przyszłości, zakazać pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej tego podmiotu przez okres nie krótszy niż miesiąc i nie dłuższy niż rok, a także nałożyć karę pieniężną do wysokości 20 869 500 zł lub 10% rocznego przychodu (w przypadku osoby prawnej) i karę pieniężną do wysokości 3 042 410 zł (w przypadku osoby fizycznej). KNF będzie mogła również wydać publiczne oświadczenie, w którym wskaże imię i nazwisko osoby fizycznej albo firmę lub nazwę osoby prawnej, odpowiedzialnych za dane naruszenie wraz ze wskazaniem jego charakteru.
PRZEPISY ODRĘBNE Ponieważ Rozporządzenie DORA reguluje powierzanie podmiotom trzecim wykonywania czynności z zakresu szeroko pojmowanych technologii informatycznych (IT) przez podmioty prowadzące działalność regulowaną, należy pamiętać o konieczności dalszego stosowania zarówno obowiązujących w danym zakresie wymogów sektorowych dla danej branży (outsourcing), gdyż Rozporządzenie DORA tych wymogów nie uchyla. Co więcej, dodatkowym obszarem, na który należy zwrócić uwagę wdrażając Rozporządzenie DORA, są wymogi tzw. trzeciego poziomu, a więc wytyczne i stanowiska wydawane przez właściwe organy na podstawie przepisów sektorowych (tu w szczególności wskazujemy na Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej).
WSPARCIE spcg

W związku z nadchodzącym terminem rozpoczęcia stosowania Rozporządzenia DORA oferujemy:

  • weryfikację dotychczas zawartych umów pod kątem ustalenia zakresu umów, do których zastosowanie znajdują przepisy Rozporządzenia DORA;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA umów z dostawcami ICT np. umów wdrożeniowych, utrzymaniowych, rozwojowych, licencyjnych, body leasingowych, czy umów na przeprowadzenie testów penetracyjnych, z uwzględnieniem właściwych przepisów odrębnych;
  • audyt prawny w zakresie zgodności z Rozporządzeniem DORA procedur i dokumentów wewnętrznych, w tym procedur zarządzania ryzykiem ICT, incydentów ICT czy testowania odporności operacyjnej, z uwzględnieniem właściwych przepisów odrębnych;
  • dostosowanie – w ramach zaleceń poaudytowych – zawartych umów z dostawcami ICT oraz procedur wewnętrznych do wymogów Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • przygotowanie wzorów umów z dostawcami ICT zgodnych wymogami Rozporządzenia DORA, z uwzględnieniem właściwych przepisów odrębnych;
  • negocjowanie umów z dostawcami usług ICT;
  • stałe doradztwo w regulacyjnych aspektach cyberbezpieczeństwa, w tym w szczególności w zakresie wypełniania obowiązków wynikających z Rozporządzenia DORA;
  • wsparcie w wypełnianiu obowiązków raportowych i sprawozdawczych np. sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT;
  • reprezentację przed organami nadzoru i sądami administracyjnymi w postępowaniach dotyczących wykonania obowiązków określonych w Rozporządzeniu DORA;
  • szkolenia i warsztaty przygotowujące podmiot do rozpoczęcia stosowania Rozporządzenia DORA/ułatwiające wdrożenie nowych rozwiązań w organizacji.

 

Broszura informacyjna w formacie PDF dostępna jest tutaj. Zapraszamy do kontaktu.

 

Napisz do autora:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

  1. Strony:
  2. 1
  3. 2

Pin It on Pinterest