CASP a inne ramy regulacyjne – relacja rozporządzenia MiCA z DORA, NIS2, AMLR i SFDR

Wokół jakich obszarów skupia się MiCA?

Rozporządzenie MiCA¹ to próba stworzenia ujednoliconych zasad emisji kryptowalut i świadczenia usług w tym zakresie. Głównym celem unijnego ustawodawcy w tym przypadku jest zaprojektowanie reżimy prawnego, który zapewni stabilność i bezpieczeństwo użytkowników.

Przepisy rozporządzenia MiCA znajdują zastosowanie do wszystkich usług z zakresu kryptowalut, tj.:

zapewnianie przechowywania kryptoaktywów i administrowania nimi w imieniu klientów,
prowadzenie platformy obrotu kryptoaktywami,
wymiana kryptoaktywów na środki pieniężne,
wymiana kryptoaktywów na inne kryptoaktywa,
wykonywanie zleceń związanych z kryptoaktywami w imieniu klientów,
plasowanie kryptoaktywów,
przyjmowanie i przekazywanie zleceń związanych z kryptoaktywami w imieniu klientów,
doradztwo w zakresie kryptoaktywów,
zarządzanie portfelem kryptoaktywów,
świadczenie usług transferu kryptoaktywów w imieniu klientów.

Jednocześnie konieczność wykorzystania zaawansowanej i rozbudowanej infrastruktury IT powoduje, że przedsiębiorcy świadczący usługi z zakresu kryptowalut są zobowiązani do zachowania zgodności z wieloma innymi przepisami.

Rozporządzenie MiCA a DORA, na co zwrócić uwagę?

Rozporządzenie nr 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego² skupia się na zwiększeniu bezpieczeństwa podmiotów działających w branży finansowej. Standaryzacja środków ochrony nie tylko zwiększa bezpieczeństwo użytkownika, ale wspiera także ekspansję transgraniczną. Wprowadzono zwiększone wymagania względem podmiotów trzecich, świadczących usługi IT w ramach outsourcingu i uczyniono zarząd spółek faktycznie odpowiedzialnym za nadzorowanie cyfrowej transformacji, co pomaga zwiększyć świadomość wśród przedsiębiorców.

Stosownie do art. 2 ust. 1 pkt f DORA obowiązek stosowania niniejszego rozporządzenia spoczywa na każdym dostawcy usług w zakresie kryptoaktywów. Nie chodzi więc wyłącznie o wcześniejsze VASP-y, ale także CASP-y wprowadzane na mocy MiCA. Zaletą DORA jest możliwość stopniowania i skalowania wprowadzanych rozwiązań IT w zależności od swojej wielkości, profilu ryzyka i stopnia złożoności operacji zgodnie z zasadą proporcjonalności (art. 4).

Rozporządzenie DORA nakłada wiele dodatkowych wymagań na instytucje finansowe, w tym konieczność:

utworzenia wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT,
wprowadzenia polityki mającej zapewnić utrzymanie wysokich standardów dostępności, autentyczności, integralności i poufności danych,
zatwierdzenia i nadzoru wdrożenia strategii na rzecz ciągłości działania podmiotu finansowego w zakresie ICT oraz planów reagowania i przywracania sprawności ICT,
wprowadzenia kanałów ustaleń dotyczących usług świadczonych przez zewnętrznych dostawców ICT.

Za wypełnienie tych wymagań odpowiada zarząd podmiotu finansowego, który także zatwierdza plany działania i budżetowanie ich wykonania.

Obowiązek zarządzania cyberincydentami

Rozporządzenie DORA nakłada obowiązek zarządzania incydentami, które powinny zostać sklasyfikowane i zgłoszone jako cyberzagrożenia. Dla przedsiębiorcy wiążę się to z koniecznością regularnego monitorowania infrastruktury IT, a także jej testowania, w tym z zastosowaniem zaawansowanych rozwiązań TLPT, czyli testów penetracyjnych opartych na analizie zagrożeń, które adresują całą organizację. Konieczny staje się nadzór podmiotów świadczących usługi IT zewnętrznie i udostępnianie informacji o zagrożeniach.

W ramach DORA organizacja powinna opracować polityki, procedury i wytyczne dotyczące identyfikacji cyberzagrożeń, ochronie infrastruktury, zapobieganiu negatywnych skutków oraz wykrywanie sprawców i przywracanie sprawności operacyjnej. Sam proces zarządzani incydentami powinien składać się z następujących etapów:

wprowadzenie wskaźników wczesnego ostrzegania,
ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ,
przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT,
określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów,
zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych mechanizmów kontrolnych, które należy ustanowić w wyniku takich incydentów związanych z ICT,
ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w odpowiednim terminie.

Przedsiębiorcy, którzy nie dochowają należytej staranności w zakresie odporności cyfrowej, muszą liczyć się z karą finansową nakładaną przez KNF. Zaniechanie wdrożenia DORA całkowicie lub też przygotowanie procedur w niewystarczającym zakresie wiąże się również z ryzykiem kary dla zewnętrznego dostawcy w wysokości do 1% średniego dziennego światowego obrotu za każdy dzień trwania naruszenia przepisów DORA.

Sprawozdawczość DORA

Raportowaniu śródokresowemu i rocznemu w zakresie DORA podlegają poważne incydenty związane z technologiami informatycznymi i ich skutkami, ale nie tylko. Sprawozdawczość to także kopie wyników testów ciągłości działania w zakresie ICT lub podobnych testów i ustalenia umowne obejmujące korzystanie z usług ICT wspierających krytyczne lub istotne funkcje.

Wszystkie formularze w zakresie DORA należy składać do KNF, począwszy od 17 stycznia 2025 r. w formie elektronicznej. Po pełnej implementacji MiCA do polskiego porządku prawnego, podmioty CASP będą musiały realizować przed KNF podwójny obowiązek sprawozdawczy.

Obecnie polska ustawa implementująca DORA do krajowego porządku prawnego została skierowana do Sejmu – mowa o projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji. Można więc oczekiwać, że w ciągu najbliższych kilku miesięcy przepisy wejdą w życie.

MiCA a NIS2 – bezpieczeństwo usług finansowych

Kolejnym aktem prawnym mającym znaczenie dla podmiotów działających w branży kryptowalut jest dyrektywa 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, czyli NIS2³. Wprawdzie NIS2 dotyczy głównie infrastruktury krytycznej i infrastruktury cyfrowej, ale pośrednio wpływa na cały rynek nowoczesnych usług finansowych.

W załączniku nr I do dyrektywy można znaleźć wykaz sektorów kluczowych, dla których wdrożenie NIS2 jest obligatoryjne. Są to m.in. usługi chmurowe, ale też dostawcy usług kredytowych. Nawet jeśli sam CASP nie będzie zawsze zobligowany do dostosowania się do NIS2, obowiązek ten może spoczywać na podmiotach świadczących swoje usługi w modelu outsourcingu, które można zakwalifikować przynajmniej jako średnie przedsiębiorstwo. Korelację NIS2 i MiCA można rozpatrywać na dwóch płaszczyznach.

Z jednej strony MiCA zawiera wskazówki w zakresie dobrych praktyk IT oraz zarządzania incydentami cyberbezpieczeństwa. Nawet jeśli CASP nie będzie zobowiązany wprost do stosowania NIS2, warto rozważyć wdrożenie przynajmniej niektórych spośród wymienionych tam mechanizmów (np. pentesting, zgłaszanie incydentów do CSIRT/właściwego organu i mechanizmy monitorowania i reagowania na zagrożenia),

Z drugiej strony niektóre podmioty będą zobowiązane do stosowania pełnej regulacji NIS2. Jej wdrożenie jest obligatoryjne m.in. dla takich sektorów kluczowych, jak infrastruktura cyfrowa w zakresie:

dostawców usług chmurowych,
dostawców usług ośrodka przetwarzania danych.

Do korzystania z kryptoaktywów niezbędny jest portfel kryptowalut, który może być oferowany w formie usługi chmurowej. To jeden z przykładów, kiedy regulacja MiCA i NIS2 zachodzą na siebie.

Kluczowym elementem NIS2 jest zaprojektowanie infrastruktury pozwalającej na efektywne zarządzanie ryzykiem cyberbezpieczeństwa. Podmioty są zobowiązane informować o poważnych incydentach właściwe organy lub CSIRT. Samo zgłaszanie jest wieloetapowe i obejmuje wczesne ostrzeganie, faktyczne zgłoszenie, a także tworzenie sprawozdań okresowych i końcowych. Dodatkowo może pojawić się obowiązek informowania o incydencie użytkowników systemu wraz ze wskazaniem środków zaradczych.

Informowanie publiczne ma zapobiec powstaniu poważnego incydentu lub rozwiązanie incydentu, który już trwa. Dobrowolnie można przekazywać informacje dotyczące incydentów innych, niż poważne.

Podmiot, który zidentyfikuje się jako zobowiązany do stosowania NIS2 musi zapewnić:

politykę analizy ryzyka i bezpieczeństwa systemów informatycznych,
obsługę incydentu IT,
ciągłość działania wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego,
bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania,
polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Każdy podmiot zobligowany do stosowania NIS2 ma obowiązek wygospodarować zasoby niezbędne do realizacji wskazanych wyżej obowiązków. Podobnie jak w przypadku DORA, również i tutaj obowiązuje zasada adekwatności, która zakłada, że wdrożone środki muszą być proporcjonalne, uwzględniać stopień narażenia podmiotu na ryzyko, skalę prowadzenia działalności gospodarczej oraz prawdopodobieństwo wystąpienia incydentów i dotkliwość ich skutków.

Wśród przykładowych rozwiązań, jakich wdrożenie pozwala wywiązać się z obowiązków nałożonych przez NIS2 unijny ustawodawca wymienia: kontrolę dostępu do systemów i pomieszczeń serwerowych, szyfrowanie danych, segmentację sieci, systemy wykrywania i zapobiegania włamaniom (IDS/IPS), zaawansowane monitorowanie punktów końcowych (EDR) i mechanizmy uwierzytelniania wieloskładnikowego (MFA). Kluczowe znaczenie ma też regularne eliminowanie podatności systemowych. Trzeba podkreślić, że zwykłe oprogramowanie antywirusowe to zbyt mało, aby firma mogła wykazać zgodność z NIS2.

Sprawozdawczość w NIS2

Obowiązki sprawozdawcze w ramach NIS2 dotyczą przede wszystkim incydentów cyberbezpieczeństwa. Bardzo ważne jest tutaj dochowanie terminu zgłoszenia, który wynosi:

dla wczesnego ostrzeżenia – do 24 godzin,
dla zgłoszenia incydentu – do 72 godzin,
do miesiąca po zakończenia obsługi incydentu (jeśli incydentu nie uda się zakończyć w ciągu miesiąca, przygotowuje się sprawozdanie cząstkowe.

Kluczem do sprawnego stosowanie MiCA i NIS2 jednocześnie jest odpowiednie sformułowanie umów IT z podwykonawcami. W ten sposób CASP może się zabezpieczyć, nawiązując współpracę wyłącznie z podmiotem, który oferuje odpowiednio wysoką jakość usług.

MiCA a AMLR – czy CASP muszą zabezpieczyć się przed ryzykiem prania pieniędzy?

Organ regulacyjny ESMA wielokrotnie zwracał uwagę na zwiększone ryzyko w zakresie prania pieniędzy i finansowania terroryzmu, jakie niesie ze sobą działalność w zakresie kryptoaktywów. Zgodnie z art. 2 ust. 1 pkt 2 ustawy AML⁴ reżimowy AML podlegały podmioty klasyfikowane jako VASP w następującym zakresie:

wymiany pomiędzy walutami wirtualnymi i środkami płatniczymi,
wymiany pomiędzy walutami wirtualnymi,
pośrednictwa w wymianie waluta wirtualna-pieniądz oraz waluta wirtualna-waluta wirtualna,
prowadzenia rachunków kryptowalut.

Wejście z życie krajowej ustawy implementującej MiCA spowoduje, że podmioty VASP zostaną zastąpione przez CASP, zaś zakres uregulowanych działań w zakresie kryptowalut zostanie poszerzony. Tak też sugeruje zmieniona treść przepisów. Zgodnie z projektem ustawy o kryptoaktywach, w art. 22 w ust. 14 wyrazy „podmiotów, o których mowa w art. 2 ust. 1 pkt 12 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu” zastępuje się wyrazami „podmiotów prowadzących działalność w zakresie obrotu walutami wirtualnymi”. Co to oznacza dla rynku?

Organizacje, które wcześniej działały jako VASP i będą ubiegać się o licencję CASP powinny przeprowadzić jedynie audyt w zakresie compliance AML i dopasować procesy do nowych realiów legislacyjnych. Znacznie więcej pracy czeka przedsiębiorców, którzy wcześniej funkcjonowali poza reżimem AML, ale chcą rozpocząć działalność w zakresie kryptoaktywów. W tym przypadku konieczne będzie kompleksowe opracowanie procedur zapobiegających praniu pieniędzy. Oznacza to obowiązek:

sporządzenia i aktualizacji analizy ryzyka,
stosowania środków bezpieczeństwa finansowego względem klientów i beneficjentów,
stworzenia i aktualizacji wewnętrznej polityki AML,
szkolenia pracowników,
utworzenia kanału do anonimowych zgłoszeń dla pracowników.

Obecnie realizacja procedur AML/KYC za pośrednictwem internetu nie jest już niczym nowym, stosują ją m.in. banki i domy maklerskie, więc można się spodziewać, że CASP szybko zaadaptują solidnie ugruntowane rozwiązania. W praktyce narzędzia do AML bazują zwykle na sztucznej inteligencji, uczeniu maszynowym oraz zbiorach Big Data, które pozwalają w ciągu sekund porównywać ze sobą ogromne ilości informacji. Sama autoryzacja klienta do systemu odbywa się za pomocą zabezpieczeń biometrycznych lub szyfrowania wieloskładnikowego.

Instytucje obowiązane powinny nie tylko wdrażać obowiązki wynikające wprost z przepisów ustawy AML. Duże znaczenie mają także komunikaty. To oficjalne pisma publikowane przez organy nadzoru, które stanowią zbiór dobrych praktyk przeciwdziałania praniu pieniędzy i finansowania terroryzmu. Ich lista stale się poszerza i warto ją śledzić na bieżąco.

MiCA a SFDR – raportowanie niefinansowe dla branży kryptowalut

Rozporządzenie Parlamentu Europejskiego i Rady 2019/2088⁵ zostało zaprojektowane, aby zapewnić inwestorom większą transparentność rynków finansowych i umożliwić świadome podejmowanie decyzji dotyczących zakupu lub sprzedaży instrumentów finansowych. Wprowadza ono także obowiązek dążenia organizacji finansowych do zrównoważonego rozwoju i publikowania raportowania niefinansowego na stronie internetowej.

Podmioty CASP nie są bezpośrednio zobowiązane do stosowania SFDR, ponieważ kryptoaktywa, które kwalifikują się jako instrumenty finansowe na mocy innych aktów unijnych, nie podlegają regulacji MiCA. Nie wszystkie kryptowaluty będą zaś instrumentami finansowymi.

Należy jednak pamiętać, że SFDR pośrednio dotyczy rynku kryptowalut, ponieważ zarówno podmioty oferujące cyfrowe aktywa, jak i inwestorzy powinni uwzględniać w swoich decyzjach politykę ESG. Czynniki środowiskowe, społeczne i związane z zarządzaniem mogą powodować, że dana instytucja finansowa nie zdecyduje się na lokowanie środków w kryptowalutach lub też ograniczy swoją ekspozycję, np. poprzez ulokowanie większych środków w aktywie neutralnym dla ESG.

Z tego względu organizacje działające w branży kryptowalut powinny analizować wpływ swojej działalności na kwestie niefinansowe. Wiele VASP/CASP będzie objętych obligatoryjnym raportowaniem ESG, ale warto rozważyć także możliwość zbierania i publikowania informacji dobrowolnie. Niesie to ze sobą wiele korzyści, w tym:

zwiększoną transparentność,
budowanie zaufania użytkowników i instytucji finansowych,
tworzenie przewagi konkurencyjnej,
przygotowanie organizacji do dalszych zmian legislacyjnych.

Raportowanie ESG w przypadku CASP powinno uwzględniać przede wszystkim kwestie związane z emisyjnością zanieczyszczeń. Jest to w dużej mierze związane z technologią rozproszonego rejestru (ang. DLT), która potrzebuje ogromnych ilości energii elektrycznej do tworzenia i obsługi kolejnych węzłów z zapisanymi informacjami.

Compliance z MiCA oraz innymi aktami prawnymi – jak możemy Ci pomóc?

Prowadzenie działalności gospodarczej w zakresie kryptowalut wymaga nie tylko rozbudowanej infrastruktury IT. Konieczne jest wypełnienie obowiązków nakładanych przez rozproszoną regulację, która – w przypadku Polski – nie obowiązuje jeszcze w całości. To złożony proces, dlatego warto skorzystać z usług profesjonalistów. Kancelaria Prawna RPMS oferuje swoim klientom:

kompleksowe audyty compliance w zakresie niezbędnym do działania jako CASP,
opracowanie niezbędnej dokumentacji, procedur i polityk w ramach AML, NIS2, DORA i MiCA,
reprezentację przed organami nadzoru (KNF, GIIF),
bieżące wsparcie w działalności, w tym raportowanie.

¹https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02023R1114-20240109

²https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX:32022R2554

³https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555

⁴https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180000723

⁵https://eur-lex.europa.eu/eli/reg/2019/2088/oj/eng

Pytania i odpowiedzi

Jakie sankcje przewiduje polska ustawa implementująca DORA za niedostosowanie organizacji do unijnego reżimu cyberbezpieczeństwa?

Zgodnie z art. 18zf projektu ustawy o odporności cyfrowej sektora finansowego organ nadzoru może w drodze decyzji: zakazać dalszego działania wyrządzającego szkodę, zakazać osobie pełniącej funkcję kierowniczą sprawowania zarządu nad podmiotem, a także nałożyć karę pieniężną. Wysokość sankcji w przypadku spółek wynosi 20 869 500 zł lub 10% przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych albo dwukrotność wysokości szkody, jeżeli da się ustalić jej wysokość.

Czy przedsiębiorca objęty działaniem NIS2 musi uzyskać wpis do specjalnego rejestru?

Tak, niezbędne jest uzyskanie wpisu do rejestru podmiotów kluczowych i ważnych prowadzonego przez Ministra Cyfryzacji. Na organizacji spoczywa jednak obowiązek samoidentyfikacji, a wpis jest dokonywany na wniosek zainteresowanego.

Kiedy VASP/CASP powinien stosować środki bezpieczeństwa finansowego w rozumieniu ustawy AML?

Stosownie do brzmienia art. 35 ust. 1 ustawy AML instytucje obowiązane stosują środki bezpieczeństwa finansowego m.in. w przypadku nawiązania stosunków gospodarczych, podejrzenia prania pieniędzy lub wątpliwości co do kompletności danych otrzymanych od klienta. Dodatkowo trzeba je wdrożyć, jeżeli transakcja okazjonalna z wykorzystaniem kryptowalut jest wykonywana na kwotę stanowiącą równowartość 1000 euro lub więcej.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam

3/5 - (liczba głosów: 2)