W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego
{"register":{"columns":[{"header":"Numer projektu","value":"UC11","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"sequence":{"regex":"UC{#UC_1}"},"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Rodzaj dokumentu","registerId":20874195,"dictionaryValues":[{"id":"Projekty ustaw","value":"Projekty ustaw"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Typ dokumentu","registerId":20874195,"dictionaryValues":[{"id":"C – projekty implementujące UE","value":"C – projekty implementujące UE"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Cele projektu oraz informacja o przyczynach i potrzebie rozwiązań planowanych w projekcie","value":"Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego ma na celu zapewnienie stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1) (zwanego dalej „rozporządzeniem 2022/2554”), a także implementację dyrektywy Parlamentu Europejskiego i Rady 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego (Dz. Urz. UE L 333 z 27.12.2022, str. 153) (zwanej dalej „dyrektywą 2022/2556”).\nPrzyjęcie rozporządzenia 2022/2554 jest konsekwencją postanowień zawartych w Komunikacie Komisji Europejskiej z dnia 8 marca 2018 r. pt. „Plan działania w zakresie technologii finansowej: w kierunku bardziej konkurencyjnego i innowacyjnego europejskiego sektora finansowego” oraz służy realizacji wspólnych zaleceń technicznych Europejskiego Urzędu Nadzoru Bankowego, Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych oraz Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych, opublikowanych w kwietniu 2019 r., w których ww. instytucje wezwały do przyjęcia spójnego podejścia do ryzyka związanego z ICT (technologie informacyjno-komunikacyjne) w sektorze finansów oraz zaleciły wzmocnienie, w sposób proporcjonalny, operacyjnej odporności cyfrowej sektora usług finansowych za pomocą unijnej inicjatywy sektorowej. \nW związku z powyższym, rozporządzenie 2022/2554 ma na celu harmonizację przepisów dotyczących operacyjnej odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych. Z uwagi na dynamiczny rozwój gospodarki cyfrowej, przepisy te mają kluczowe znaczenie dla zapewnienia stabilności finansowej i integralności rynku finansowego. \nRozporządzenie 2022/2554 konsoliduje i aktualizuje wymogi dotyczące ryzyka związanego z ICT, jako części wymogów dotyczących ryzyka operacyjnego, regulowanych dotychczas fragmentarycznie w różnych unijnych aktach prawnych, wprowadzając jednolity zbiór przepisów i system nadzoru, uwzględniający operacyjną odporność cyfrową.\nW związku z regulacją ww. rozporządzenia pozostają również zmiany wprowadzone dyrektywą 2022/2556, która dokonuje zmian w dyrektywach: 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341. Wprowadzone w ww. dyrektywach zmiany mają na celu zwiększenie operacyjnej odporności cyfrowej sektora finansowego, poprzez wprowadzenie odpowiednich odesłań do przepisów rozporządzenia 2022/2554. \nPodstawowym celem projektowanej regulacji jest zwiększenie odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych poprzez zapewnienie stosowania rozporządzenia 2022/2554, w szczególności w zakresie przepisów o charakterze kompetencyjnym, a także implementację dyrektywy 2022/2556, w szczególności poprzez zmianę stosownych przepisów regulujących wykonywanie działalności przez poszczególne kategorie podmiotów finansowych.","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Istota rozwiązań planowanych w projekcie, w tym proponowane środki realizacji","value":"1. Przepisy kompetencyjne \nRegulacja rozporządzenia 2022/2554 implikuje konieczność wskazania organów administracji publicznej odpowiedzialnych za nadzór nad spełnianiem obowiązków wynikających z rozporządzenia 2022/2554 i nadanie im odpowiednich kompetencji, w szczególności wskazanych w art. 50 rozporządzenia. \nOrganem odpowiedzialnym za nadzór nad przestrzeganiem rozporządzenia 2022/2554, jako organ nadzoru nad rynkiem finansowym w Polsce, będzie Komisja Nadzoru Finansowego, która zostanie uprawniona m.in. do przeprowadzania kontroli działalności podmiotów finansowych objętych zakresem regulacji rozporządzenia 2022/2554. \n2. Współpraca międzynarodowa\nWprowadzona również zostanie podstawa prawna, zapewniająca możliwość współpracy oraz wymiany informacji i dokumentów z właściwymi organami w rozumieniu art. 46 rozporządzenia 2022/2554 z państw członkowskich Unii Europejskiej lub państw członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stron umowy o Europejskim Obszarze Gospodarczym oraz Europejskim Urzędem Nadzoru Bankowego, Europejskim Urzędem Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych i Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych, w zakresie niezbędnym do wykonywania obowiązków wynikających z rozporządzenia 2022/2554.\n3. Obowiązki podmiotów finansowych \nPodmioty finansowe objęte obowiązkami wynikającymi z rozporządzenia 2022/2554 określone zostały w art. 2 ust. 1 lit. a–t, należą do nich np. instytucje kredytowe, instytucje płatnicze, firmy inwestycyjne czy centralne depozyty papierów wartościowych. Jednocześnie art. 2 ust. 3 wskazuje podmioty finansowe wyłączone z zakresu stosowania rozporządzenia 2022/5554. Dodatkowo rozporządzenie 2022/2554 obejmuje także, zgodnie z art. 2 ust. 1 pkt u, zewnętrznych dostawców usług ICT, na których oddziałuje pośrednio. \nW związku z regulacją ww. rozporządzenia pozostają również zmiany wprowadzone dyrektywą 2022/2556, która dokonuje zmian w dyrektywach: 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341. Zmiany ww. dyrektyw, odnoszące się do operacyjnej odporności cyfrowej sektora finansowego, wprowadzają odniesienia do rozporządzenia 2022/2554, co zapewnia spójność regulacji na poziomie UE. Z uwagi na konieczność implementacji przedmiotowych zmian proponuje się wprowadzenie odpowiednich zmian, w tym zmian o charakterze wynikowym, w co najmniej następujących ustawach implementujących te dyrektywy:\n1) ustawie z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych,\n2) ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe,\n3) ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi,\n4) ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,\n5) ustawie z dnia 19 sierpnia 2011 o usługach płatniczych,\n6) ustawie z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej,\n7) ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej,\n8) ustawie z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.\n4. współpraca w ramach krajowego systemu cyberbezpieczeństwa \nProjektowana regulacja wprowadzi zmiany do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, mające na celu uwzględnienie przepisów rozporządzenia 2022/2554 i zapewnienie prawidłowego funkcjonowania systemu cyberbezpieczeństwa. Zmiany tej ustawy określą sposób informowania przez podmioty finansowe organów funkcjonujących w krajowym systemie cyberbezpieczeństwa o poważnych incydentach oraz znaczących zagrożeniach związanych z ICT, a także procedury komunikacji między tymi organami.","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Oddziaływanie na życie społeczne nowych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Spodziewane skutki i następstwa projektowanych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Sposoby mierzenia efektów nowych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za opracowanie projektu","registerId":20874195,"dictionaryValues":[{"id":"MF","value":"MF"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Osoba odpowiedzialna za opracowanie projektu","value":"Jurand Drop Podsekretarz Stanu ","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za przedłożenie projektu RM","registerId":20874195,"dictionaryValues":[{"id":"MF","value":"MF"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Planowany termin przyjęcia projektu przez RM","value":"IV kwartał 2024 r.","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Informacja o rezygnacji z prac nad projektem","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Status realizacji","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"}]}}
Numer projektu:
UC11
Rodzaj dokumentu:
Projekty ustaw
Typ dokumentu:
C – projekty implementujące UE
Cele projektu oraz informacja o przyczynach i potrzebie rozwiązań planowanych w projekcie:
Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego ma na celu zapewnienie stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1) (zwanego dalej „rozporządzeniem 2022/2554”), a także implementację dyrektywy Parlamentu Europejskiego i Rady 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego (Dz. Urz. UE L 333 z 27.12.2022, str. 153) (zwanej dalej „dyrektywą 2022/2556”). Przyjęcie rozporządzenia 2022/2554 jest konsekwencją postanowień zawartych w Komunikacie Komisji Europejskiej z dnia 8 marca 2018 r. pt. „Plan działania w zakresie technologii finansowej: w kierunku bardziej konkurencyjnego i innowacyjnego europejskiego sektora finansowego” oraz służy realizacji wspólnych zaleceń technicznych Europejskiego Urzędu Nadzoru Bankowego, Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych oraz Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych, opublikowanych w kwietniu 2019 r., w których ww. instytucje wezwały do przyjęcia spójnego podejścia do ryzyka związanego z ICT (technologie informacyjno-komunikacyjne) w sektorze finansów oraz zaleciły wzmocnienie, w sposób proporcjonalny, operacyjnej odporności cyfrowej sektora usług finansowych za pomocą unijnej inicjatywy sektorowej. W związku z powyższym, rozporządzenie 2022/2554 ma na celu harmonizację przepisów dotyczących operacyjnej odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych. Z uwagi na dynamiczny rozwój gospodarki cyfrowej, przepisy te mają kluczowe znaczenie dla zapewnienia stabilności finansowej i integralności rynku finansowego. Rozporządzenie 2022/2554 konsoliduje i aktualizuje wymogi dotyczące ryzyka związanego z ICT, jako części wymogów dotyczących ryzyka operacyjnego, regulowanych dotychczas fragmentarycznie w różnych unijnych aktach prawnych, wprowadzając jednolity zbiór przepisów i system nadzoru, uwzględniający operacyjną odporność cyfrową. W związku z regulacją ww. rozporządzenia pozostają również zmiany wprowadzone dyrektywą 2022/2556, która dokonuje zmian w dyrektywach: 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341. Wprowadzone w ww. dyrektywach zmiany mają na celu zwiększenie operacyjnej odporności cyfrowej sektora finansowego, poprzez wprowadzenie odpowiednich odesłań do przepisów rozporządzenia 2022/2554. Podstawowym celem projektowanej regulacji jest zwiększenie odporności cyfrowej i bezpieczeństwa ICT w obszarze usług finansowych poprzez zapewnienie stosowania rozporządzenia 2022/2554, w szczególności w zakresie przepisów o charakterze kompetencyjnym, a także implementację dyrektywy 2022/2556, w szczególności poprzez zmianę stosownych przepisów regulujących wykonywanie działalności przez poszczególne kategorie podmiotów finansowych.
Istota rozwiązań planowanych w projekcie, w tym proponowane środki realizacji:
1. Przepisy kompetencyjne Regulacja rozporządzenia 2022/2554 implikuje konieczność wskazania organów administracji publicznej odpowiedzialnych za nadzór nad spełnianiem obowiązków wynikających z rozporządzenia 2022/2554 i nadanie im odpowiednich kompetencji, w szczególności wskazanych w art. 50 rozporządzenia. Organem odpowiedzialnym za nadzór nad przestrzeganiem rozporządzenia 2022/2554, jako organ nadzoru nad rynkiem finansowym w Polsce, będzie Komisja Nadzoru Finansowego, która zostanie uprawniona m.in. do przeprowadzania kontroli działalności podmiotów finansowych objętych zakresem regulacji rozporządzenia 2022/2554. 2. Współpraca międzynarodowa Wprowadzona również zostanie podstawa prawna, zapewniająca możliwość współpracy oraz wymiany informacji i dokumentów z właściwymi organami w rozumieniu art. 46 rozporządzenia 2022/2554 z państw członkowskich Unii Europejskiej lub państw członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stron umowy o Europejskim Obszarze Gospodarczym oraz Europejskim Urzędem Nadzoru Bankowego, Europejskim Urzędem Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych i Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych, w zakresie niezbędnym do wykonywania obowiązków wynikających z rozporządzenia 2022/2554. 3. Obowiązki podmiotów finansowych Podmioty finansowe objęte obowiązkami wynikającymi z rozporządzenia 2022/2554 określone zostały w art. 2 ust. 1 lit. a–t, należą do nich np. instytucje kredytowe, instytucje płatnicze, firmy inwestycyjne czy centralne depozyty papierów wartościowych. Jednocześnie art. 2 ust. 3 wskazuje podmioty finansowe wyłączone z zakresu stosowania rozporządzenia 2022/5554. Dodatkowo rozporządzenie 2022/2554 obejmuje także, zgodnie z art. 2 ust. 1 pkt u, zewnętrznych dostawców usług ICT, na których oddziałuje pośrednio. W związku z regulacją ww. rozporządzenia pozostają również zmiany wprowadzone dyrektywą 2022/2556, która dokonuje zmian w dyrektywach: 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341. Zmiany ww. dyrektyw, odnoszące się do operacyjnej odporności cyfrowej sektora finansowego, wprowadzają odniesienia do rozporządzenia 2022/2554, co zapewnia spójność regulacji na poziomie UE. Z uwagi na konieczność implementacji przedmiotowych zmian proponuje się wprowadzenie odpowiednich zmian, w tym zmian o charakterze wynikowym, w co najmniej następujących ustawach implementujących te dyrektywy: 1) ustawie z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych, 2) ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe, 3) ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, 4) ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi, 5) ustawie z dnia 19 sierpnia 2011 o usługach płatniczych, 6) ustawie z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej, 7) ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, 8) ustawie z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji. 4. współpraca w ramach krajowego systemu cyberbezpieczeństwa Projektowana regulacja wprowadzi zmiany do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, mające na celu uwzględnienie przepisów rozporządzenia 2022/2554 i zapewnienie prawidłowego funkcjonowania systemu cyberbezpieczeństwa. Zmiany tej ustawy określą sposób informowania przez podmioty finansowe organów funkcjonujących w krajowym systemie cyberbezpieczeństwa o poważnych incydentach oraz znaczących zagrożeniach związanych z ICT, a także procedury komunikacji między tymi organami.