1. Firma inwestycyjna zabezpiecza systemy informatyczne firmy inwestycyjnej i wykorzystywane w prowadzo- nej działalności maklerskiej podsystemy informatyczne w sposób uniemożliwiający nieuprawniony dostęp do danych prze- twarzanych w tych systemach i podsystemach. 2. Firma inwestycyjna stosuje zabezpieczenia urządzeń uniemożliwiające nieuprawniony dostęp do systemów i pod- systemów informatycznych oraz przetwarzania danych. Firma inwestycyjna opracowuje i wdraża wewnętrzne procedury regulujące dostęp do systemów i podsystemów informatycznych oraz jego kontrolę, zapewniające możliwość odtworzenia dostępu wraz z historią modyfikacji i przetwarzania danych. 3. Firma inwestycyjna stosuje mechanizmy służące zapewnieniu bezpieczeństwa środków przekazu informacji i ich uwierzytelniania, minimalizowaniu ryzyka uszkodzenia danych oraz nieuprawnionego dostępu i zapobieganiu wyciekowi informacji, zgodnie z wymogami określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającym rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) nr 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 153, z późn. zm.6)). 4. Firma inwestycyjna podejmuje działania mające na celu zapewnienie ciągłości obsługi oraz pracy urządzeń oraz syste- mów i podsystemów informatycznych wykorzystywanych w prowadzonej działalności maklerskiej, w szczególności przez:
1) przeprowadzanie testów prawidłowości działania urządzeń oraz systemów i podsystemów informatycznych w przy- padku ich wdrożenia lub modyfikacji, w oparciu o opracowane, wdrożone i stosowane procedury wewnętrzne określa- jące metodologię przeprowadzanych testów;
2) monitorowanie w czasie rzeczywistym oraz dokonywanie okresowych przeglądów i ocen wykorzystywanych urządzeń oraz systemów i podsystemów informatycznych w celu identyfikowania i eliminacji potencjalnych lub rzeczywistych zakłóceń;
3) zapewnienie wydajności urządzeń oraz systemów i podsystemów informatycznych w stopniu odpowiadającym skali prowadzonej działalności, racjonalnie przewidywalnego wzrostu skali działalności w najbliższym czasie oraz nadzwy- czajnych warunków, które mogłyby zakłócić pracę urządzeń oraz systemów i podsystemów informatycznych;
4) zapewnienie odpowiednich zasobów kadrowych posiadających stosowne uprawnienia do dostępu do urządzeń oraz systemów i podsystemów, odpowiednie kwalifikacje oraz wystarczającą ilość czasu na realizację obowiązków;
5) zabezpieczenie urządzeń oraz systemów i podsystemów informatycznych przed utratą danych spowodowaną awarią zasilania, innymi awariami lub zakłóceniami oraz innymi zdarzeniami losowymi;
6) opracowanie i wdrożenie procedur związanych z wykorzystywaniem urządzeń oraz systemów i podsystemów infor- matycznych oraz procedur w zakresie zapewnienia ciągłości działania i zasad zachowania ciągłości działania w przy- padku wystąpienia sytuacji nadzwyczajnych;
7) tworzenie, nie rzadziej niż raz dziennie, kopii baz danych i posiadanie niezbędnych narzędzi umożliwiających odtwo- rzenie i wykorzystanie danych oraz podjęcie pracy urządzeń oraz systemów i podsystemów informatycznych w przy- padku awarii lub utraty części lub całości danych w bazach danych na skutek wystąpienia sytuacji nadzwyczajnej;
8) przechowywanie kopii baz danych w miejscu, w którym nie dojdzie do utraty kopii baz danych w przypadku awarii lub utraty części lub całości danych w bazach danych na skutek wystąpienia sytuacji nadzwyczajnej.
6) Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024. Dziennik Ustaw – 12 – Poz. 1423 5. W związku z wykorzystywaniem urządzeń oraz systemów i podsystemów informatycznych w ramach działalności skutkującej wprowadzaniem zleceń do systemu obrotu firma inwestycyjna w zakresie, w którym nie podlega regulacjom rozporządzenia delegowanego Komisji (UE) 2017/589 z dnia 19 lipca 2016 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi orga- nizacyjne dla firm inwestycyjnych prowadzących handel algorytmiczny (Dz. Urz. UE L 87 z 31.03.2017, str. 417), opraco- wuje, wdraża i stosuje odpowiednie rozwiązania zapewniające:
1) możliwość automatycznego odrzucania, blokowania lub anulowania wprowadzonych do systemów lub podsystemów zleceń, które nie spełniają wymagań określonych przez przepisy prawa, firmę inwestycyjną lub inny podmiot, w tym spółkę prowadzącą rynek regulowany lub ASO;
2) informowanie inspektora nadzoru, o którym mowa w § 24 ust. 2, i kierownika jednostki realizującej funkcję zarządzania ryzykiem albo osoby odpowiedzialnej za wdrożenie systemu zarządzania ryzykiem o przypadku zamiaru wykonania lub przekazania w systemach lub podsystemach informatycznych zleceń, które zostały zablokowane lub anulowane;
3) zgodność funkcji urządzeń oraz systemów i podsystemów informatycznych z wymaganiami systemów informatycz- nych podmiotu, do którego są kierowane zlecenia, w szczególności spółki prowadzącej rynek regulowany lub ASO oraz podmiotów prowadzących rozliczenie lub rozrachunek transakcji, których uczestnikiem jest firma inwestycyjna. 6. Firma inwestycyjna, która prowadzi rachunki lub rachunki pieniężne, zapewnia, że systemy i podsystemy informa- tyczne gwarantują możliwość tworzenia, za okresy nie krótsze niż okresy, w których firma inwestycyjna jest obowiązana do przechowywania danych związanych z prowadzoną działalnością maklerską, historii rachunków lub rachunków pienięż- nych oraz rejestrów operacyjnych, zawierających chronologiczne zestawienie dokonywanych operacji, w szczególności dane dotyczące:
1) w odniesieniu do rachunku pieniężnego:
a) salda początkowego i końcowego środków pieniężnych za każdy dzień,
b) wpłat na rachunek, z uwzględnieniem wpłat dokonanych w formie przelewu, w szczególności kwot poszczególnych wpłat, daty i opisu operacji oraz dokumentu źródłowego,
c) wypłat z rachunku, w szczególności kwot poszczególnych wypłat, daty i opisu operacji oraz dokumentu źródłowego,
d) przelewów środków pieniężnych z rachunku, w szczególności kwot poszczególnych przelewów, daty i opisu ope- racji oraz dokumentu źródłowego,
e) środków z rozliczonych w danym dniu transakcji, w szczególności kwot rozliczonych środków, daty i opisu ope- racji oraz dokumentu źródłowego,
f) blokady środków pieniężnych w związku ze złożeniem zlecenia kupna instrumentów finansowych, w szczególno- ści kwot środków objętych blokadą, daty i opisu operacji oraz numeru zlecenia,
g) blokady środków pieniężnych ustanowionej w przypadku innym niż określony w lit. f, w szczególności kwoty środków objętych blokadą,
h) zniesienia blokady środków pieniężnych w związku z anulowaniem zlecenia kupna instrumentów finansowych, w szczególności daty i numeru zlecenia,
i) naliczonych odsetek za opóźnienie, w szczególności daty i opisu operacji;
2) w odniesieniu do rachunku papierów wartościowych i rachunku zbiorczego:
a) salda początkowego i końcowego dla każdego rodzaju instrumentów finansowych za każdy dzień,
b) blokady instrumentów finansowych, w szczególności liczby instrumentów finansowych objętych blokadą, daty i opisu operacji,
c) nabycia instrumentów finansowych w drodze wykonania zlecenia kupna w obrocie zorganizowanym, w szczegól- ności daty i numeru zlecenia oraz liczby instrumentów finansowych,
d) nabycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności liczby instrumentów finan- sowych, daty zapisania na rachunku i opisu operacji oraz dokumentu źródłowego,
e) zbycia instrumentów finansowych w drodze wykonania zlecenia sprzedaży w obrocie zorganizowanym, w szcze- gólności daty i numeru zlecenia oraz liczby instrumentów finansowych,
f) zbycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
g) przeniesienia instrumentów finansowych na inny rachunek papierów wartościowych lub rachunek zbiorczy nale- żący do tego samego podmiotu, w szczególności liczby instrumentów finansowych, daty i opisu operacji oraz do- kumentu źródłowego. Dziennik Ustaw – 13 – Poz. 1423 7. Przepisy ust. 6 pkt 2 stosuje się odpowiednio w przypadku rejestrowania przez firmę inwestycyjną instrumentów finansowych w sposób inny niż na rachunkach papierów wartościowych lub na rachunkach zbiorczych. 8. W przypadku przechowywania instrumentów finansowych systemy i podsystemy informatyczne firmy inwestycyj- nej gwarantują możliwość rejestrowania danych umożliwiających identyfikację instrumentów finansowych będących przed- miotem poszczególnych operacji. 9. Przepisy:
1) ust. 1–4 i ust. 6 pkt 2 stosuje się odpowiednio do banku powierniczego w zakresie systemów informatycznych służą- cych do prowadzenia rachunków;
2) ust. 1–5 i ust. 6 pkt 2 stosuje się odpowiednio do banku powierniczego w zakresie systemów informatycznych służą- cych do wykonywania czynności pośrednictwa w pożyczkach papierów wartościowych. 10. Przepisów ust. 1–8 nie stosuje się do:
1) zagranicznej firmy inwestycyjnej;
2) firmy inwestycyjnej prowadzącej ASO lub OTF, w zakresie prowadzenia ASO lub OTF, do której ma zastosowanie rozporządzenie delegowane Komisji (UE) 2017/584 z dnia 14 lipca 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne w zakresie systemów obrotu (Dz. Urz. UE L 87 z 31.03.2017, str. 350).
Treść przepisu