Dziennik Ustaw - rok 2025 poz. 1069

1) ust. 1 otrzymuje brzmienie:

„1. Nadzór nad działalnością Korporacji, z wyjątkiem nadzoru, o którym mowa w ust. 1a, sprawuje minister właściwy do spraw gospodarki na zasadach określonych w niniejszej ustawie.”;

2) po ust. 1 dodaje się ust. 1a w brzmieniu:

„1a. Nadzór nad działalnością Korporacji w zakresie przewidzianym przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.³⁾) sprawuje Komisja Nadzoru Finansowego na zasadach określonych w ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2025 r. poz. 640 i 1069).”.

„Art. 26d. 1. Pracownicze towarzystwo jest obowiązane do opracowania i wprowadzenia planów awaryjnych, aby zapewnić ciągłość i regularność prowadzenia swojej działalności.

2. W przypadku zarządzania pracowniczym funduszem pracownicze towarzystwo stosuje odpowiednie i współmierne systemy, zasoby i procedury, w szczególności ustanawia sieci i systemy informatyczne oraz zarządza nimi zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.⁴⁾).

3. Przepisu ust. 2 nie stosuje się, jeżeli pracowniczy fundusz obsługuje pracownicze programy emerytalne liczące łącznie nie więcej niż 15 uczestników.”.

1) w art. 4 w ust. 1 po pkt 40b dodaje się pkt 40c w brzmieniu:

„40c) rozporządzenie 2022/2554 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.⁶⁾);”;

2) w art. 9b w ust. 2 w pkt 5 kropkę zastępuje się średnikiem i dodaje się pkt 6 w brzmieniu:

„6) posiada sieci i systemy informatyczne ustanowione i zarządzane zgodnie z rozporządzeniem 2022/2554.”;

3) w art. 133 po ust. 2a dodaje się ust. 2b w brzmieniu:

„2b. W toku kontroli Komisja Nadzoru Finansowego może wezwać osoby fizyczne lub prawne, którym bank zlecił funkcje lub działalność, w tym zewnętrznych dostawców usług ICT, o których mowa w przepisach rozdziału V rozporządzenia 2022/2554, do udzielenia informacji niezbędnych do realizacji celów nadzoru, o których mowa w ust. 1.”.

„Art. 3c. Do BGK stosuje się przepisy:

1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.⁷⁾), z tym że nie stosuje się przepisu art. 16 tego rozporządzenia;

2) ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2025 r. poz. 640 i 1069) dotyczące nadzoru nad przestrzeganiem przepisów w zakresie określonym w pkt 1.”.

1) w art. 2 po pkt 2l dodaje się pkt 2m w brzmieniu:

„2m) rozporządzeniu 2022/2554 - rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.⁸⁾);”;

2) w art. 48 w ust. 2b po pkt 1 dodaje się pkt 1a w brzmieniu:

„1a) stosować odpowiednie i współmierne rozwiązania techniczne i organizacyjne zapewniające bezpieczeństwo i kontrolę środowiska informatycznego i przetwarzania w nim danych, w tym w odniesieniu do sieci i systemów informatycznych ustanowionych i zarządzanych zgodnie z przepisami rozporządzenia 2022/2554;”;

3) w art. 70l w ust. 2 po pkt 1 dodaje się pkt 1a w brzmieniu:

„1a) stosować odpowiednie i współmierne rozwiązania techniczne i organizacyjne zapewniające bezpieczeństwo i kontrolę środowiska informatycznego i przetwarzania w nim danych, w tym w odniesieniu do sieci i systemów informatycznych ustanowionych i zarządzanych zgodnie z przepisami rozporządzenia 2022/2554;”.

1) w art. 2 po pkt 5m dodaje się pkt 5n w brzmieniu:

„5n) rozporządzeniu 2023/2631 - rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2631 z dnia 22 listopada 2023 r. w sprawie europejskich zielonych obligacji oraz opcjonalnego ujawniania informacji na temat obligacji wprowadzanych do obrotu jako zrównoważone środowiskowo i obligacji powiązanych ze zrównoważonym rozwojem (Dz. Urz. UE L 2023/2631 z 30.11.2023, z późn. zm.⁹⁾);”;

2) w art. 3 w ust. 2 wyrazy „oraz rozporządzenia 2022/858” zastępuje się wyrazami „ , rozporządzenia 2022/858 oraz rozporządzenia 2023/2631”;

3) w art. 20 w ust. 1 w pkt 1 wyrazy „oraz rozporządzeniem 2020/1503” zastępuje się wyrazami „ , rozporządzeniem 2020/1503 oraz rozporządzeniem 2023/2631”.

1) w art. 3:

a) po pkt 4zf dodaje się pkt 4zg w brzmieniu:

„4zg) rozporządzeniu 2022/2554 - rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.¹⁰⁾);”,

b) po pkt 54a dodaje się pkt 54b w brzmieniu:

„54b) ICT - rozumie się przez to technologie informacyjno-komunikacyjne, o których mowa w rozporządzeniu 2022/2554;”;

2) w art. 74e:

a) w ust. 1:

- pkt 1 otrzymuje brzmienie:

„1) zapewnienie zgodnie z przepisami rozdziału II rozporządzenia 2022/2554 odporności i wydajności sieci i systemów informatycznych w stopniu odpowiadającym skali prowadzonej działalności, w szczególności limitom i progom transakcyjnym;”,

- użyte w pkt 2 i 3 wyrazy „urządzeń i systemów teleinformatycznych” zastępuje się wyrazami „sieci i systemów informatycznych”,

- pkt 4 otrzymuje brzmienie:

„4) zapewnienie ciągłości obsługi oraz pracy sieci i systemów informatycznych wykorzystywanych w prowadzonej działalności, w tym posiada strategie i plany na rzecz ciągłości działania w zakresie ICT oraz plany reagowania i przywracania sprawności ICT ustanowione zgodnie z art. 11 rozporządzenia 2022/2554.”,

b) ust. 2 otrzymuje brzmienie:

„2. Firma inwestycyjna monitoruje działanie sieci i systemów informatycznych i przeprowadza testy operacyjnej odporności cyfrowej w zakresie oceny prawidłowości ich działania w celu identyfikowania i eliminacji potencjalnych lub rzeczywistych naruszeń wymogów, o których mowa w ust. 1, oraz wymogów, o których mowa w przepisach rozdziałów II i IV rozporządzenia 2022/2554.”;

3) w art. 83a ust. 1 otrzymuje brzmienie:

„1. Firma inwestycyjna jest obowiązana stosować w prowadzonej działalności rozwiązania techniczne i organizacyjne, w tym systemy oparte na ICT ustanowione i zarządzane zgodnie z art. 7 rozporządzenia 2022/2554, zapewniające bezpieczeństwo i ciągłość świadczonych usług maklerskich oraz ochronę interesów klientów i informacji poufnych lub stanowiących tajemnicę zawodową.”;

4) w art. 110zj w ust. 3 pkt 16 otrzymuje brzmienie:

„16) porozumienia, umowy i inne działania mające na celu utrzymanie ciągłości działania domu maklerskiego, w tym sieci i systemów informatycznych ustanowionych i zarządzanych zgodnie z przepisami rozporządzenia 2022/2554;”.

1) w art. 1 w ust. 2:

a) w pkt 4 wyrazy „rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/1129 z dnia 14 czerwca 2017 r. w sprawie prospektu, który ma być publikowany w związku z ofertą publiczną papierów wartościowych lub dopuszczeniem ich do obrotu na rynku regulowanym oraz uchylenia dyrektywy 2003/71/WE (Dz. Urz. UE L 168 z 30.06.2017, str. 12, z późn. zm.¹¹⁾)” zastępuje się wyrazami „rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/1129 z dnia 14 czerwca 2017 r. w sprawie prospektu, który ma być publikowany w związku z ofertą publiczną papierów wartościowych lub dopuszczeniem ich do obrotu na rynku regulowanym oraz uchylenia dyrektywy 2003/71/WE (Dz. Urz. UE L 168 z 30.06.2017, str. 12, z późn. zm.¹²⁾), zwanego dalej „rozporządzeniem 2017/1129” ”,

b) w pkt 15 kropkę zastępuje się średnikiem i dodaje się pkt 16 i 17 w brzmieniu:

„16) nadzór w zakresie przewidzianym przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.¹³⁾), zwanego dalej „rozporządzeniem 2022/2554”;

17) nadzór w zakresie przewidzianym przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2631 z dnia 22 listopada 2023 r. w sprawie europejskich zielonych obligacji oraz opcjonalnego ujawniania informacji na temat obligacji wprowadzanych do obrotu jako zrównoważone środowiskowo i obligacji powiązanych ze zrównoważonym rozwojem (Dz. Urz. UE L 2023/2631 z 30.11.2023, z późn. zm.¹⁴⁾), zwanego dalej „rozporządzeniem 2023/2631”, z wyłączeniem nadzoru nad emitentami europejskich zielonych obligacji będących emitentami papierów wartościowych, o których mowa w art. 1 ust. 2 lit. b oraz d rozporządzenia 2017/1129.”;

2) po art. 3v dodaje się art. 3w i art. 3x w brzmieniu:

„Art. 3w. Podmioty finansowe, o których mowa w art. 18za, przekazują Komisji informacje i sprawozdania, określone w przepisach rozporządzenia 2022/2554, w postaci elektronicznej za pomocą systemu teleinformatycznego udostępnionego na stronie internetowej Urzędu Komisji.

Art. 3x. 1. W ramach nadzoru, o którym mowa w art. 1 ust. 2 pkt 16, Komisji przysługują uprawnienia nadzorcze określone w przepisach rozdziału 2c.

2. W ramach nadzoru, o którym mowa w art. 1 ust. 2 pkt 17, Komisji przysługują uprawnienia nadzorcze określone w przepisach rozdziału 2d.”;

3) w art. 4 w ust. 1 pkt 3b otrzymuje brzmienie:

„3b) podejmowanie działań mających na celu przeciwdziałanie:

a) poważnym incydentom oraz zagrożeniom systemów teleinformatycznych w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne,

b) cyberzagrożeniom w rozumieniu art. 3 pkt 12 rozporządzenia 2022/2554 oraz incydentom związanym z ICT w rozumieniu art. 3 pkt 8 rozporządzenia 2022/2554 sieci i systemów informatycznych w rozumieniu art. 3 pkt 2 rozporządzenia 2022/2554

- wykorzystywanych przez podmioty podlegające nadzorowi Komisji, w tym przez wykonywanie zadań organu właściwego do spraw cyberbezpieczeństwa w zakresie określonym przepisami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077 i 1222 oraz z 2025 r. poz. 1017 i 1069);”;

4) w art. 4a po ust. 3 dodaje się ust. 3a i 3b w brzmieniu:

„3a. Dane osobowe, o których mowa w art. 56 ust. 1 rozporządzenia 2022/2554, Komisja przetwarza przez okres 15 lat w celu sprawowania nadzoru w zakresie, o którym mowa w art. 1 ust. 2 pkt 16, chyba że toczy się postępowanie sądowe wymagające dalszego przetwarzania tych danych.

3b. Realizowanie przez Komisję obowiązków wynikających z art. 15, art. 16, art. 18 ust. 1 lit. a i d oraz art. 19 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.¹⁵⁾), w zakresie danych pozyskanych w związku ze zgłoszeniem poważnego incydentu związanego z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554 lub znaczącego cyberzagrożenia w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, jest możliwe dopiero po zakończeniu obsługi tego zdarzenia, w związku z którym dane zostały pozyskane, lub po zakończeniu obsługi tego zdarzenia, do której te dane są niezbędne.”;

5) art. 17cc otrzymuje brzmienie:

„Art. 17cc. 1. W zakresie niezbędnym do wykonywania zadania, o którym mowa w art. 4 ust. 1 pkt 3b, Komisja może przekazywać podmiotowi podlegającemu jej nadzorowi informacje, w tym chronione na podstawie odrębnych ustaw, jeżeli ich przekazanie jest niezbędne do podjęcia przez ten podmiot działań polegających na przeciwdziałaniu:

1) cyberzagrożeniom w rozumieniu art. 3 pkt 12 rozporządzenia 2022/2554 lub incydentom związanym z ICT w rozumieniu art. 3 pkt 8 rozporządzenia 2022/2554 sieci i systemów informatycznych w rozumieniu art. 3 pkt 2 rozporządzenia 2022/2554 lub

2) poważnym incydentom lub zagrożeniom systemów teleinformatycznych w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

- wykorzystywanych przez ten podmiot lub jeżeli wymaga tego ochrona interesów jego klientów.

2. W zakresie niezbędnym do wykonywania zadania, o którym mowa w art. 4 ust. 1 pkt 3b, Komisja może żądać od podmiotu podlegającego jej nadzorowi informacji, dokumentów lub wyjaśnień na zasadach określonych w przepisach, o których mowa w art. 1 ust. 2.”;

6) po rozdziale 2b dodaje się rozdziały 2c i 2d w brzmieniu:

„Rozdział 2c

Nadzór nad podmiotami finansowymi i ich obowiązki w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego

Art. 18za. Ilekroć w niniejszym rozdziale jest mowa o podmiocie finansowym, należy przez to rozumieć podmioty finansowe, o których mowa w art. 2 ust. 2 rozporządzenia 2022/2554, z wyłączeniem podmiotów, o których mowa w art. 2 ust. 3 rozporządzenia 2022/2554.

Art. 18zb. W ramach wykonywania nadzoru, o którym mowa w art. 1 ust. 2 pkt 16, Komisja może żądać od podmiotu finansowego informacji, dokumentów lub wyjaśnień w zakresie określonym w przepisach rozporządzenia 2022/2554.

Art. 18zc. 1. Komisja może przeprowadzać kontrolę zgodności działalności podmiotów finansowych z przepisami rozporządzenia 2022/2554 w zakresie zapewnienia operacyjnej odporności cyfrowej sektora finansowego.

2. Pracownicy Urzędu Komisji wykonują czynności kontrolne po okazaniu legitymacji służbowej oraz doręczeniu upoważnienia do kontroli wydanego przez Przewodniczącego Komisji lub upoważnioną przez niego osobę.

3. Upoważnienie do kontroli, o którym mowa w ust. 2, zawiera:

1) wskazanie podstawy prawnej przeprowadzenia kontroli;

2) oznaczenie organu kontroli;

3) wskazanie daty i miejsca jego wystawienia;

4) imię i nazwisko, stanowisko służbowe oraz numer legitymacji służbowej pracownika Urzędu Komisji prowadzącego czynności kontrolne;

5) oznaczenie kontrolowanego podmiotu finansowego;

6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;

7) wskazanie zakresu przedmiotowego kontroli.

4. W toku kontroli pracownicy, o których mowa w ust. 2, mają prawo:

1) wstępu na grunt oraz do budynków, lokali i innych pomieszczeń kontrolowanego podmiotu finansowego;

2) żądania od kontrolowanego podmiotu finansowego lub osoby przez niego upoważnionej udzielenia ustnych lub pisemnych wyjaśnień związanych z przedmiotem kontroli;

3) uzyskania wyjaśnień od osób innych niż wymienione w pkt 2, pod warunkiem że wyrażą na to zgodę;

4) wglądu do dokumentów związanych z przedmiotem kontroli, w szczególności dokumentów finansowych, księgowych, handlowych, akt postępowań prowadzonych na podstawie właściwych przepisów prawa, ksiąg, ewidencji i dokumentów wewnętrznych, w tym regulaminów oraz instrukcji, dotyczących działalności kontrolowanego podmiotu finansowego, oraz żądania sporządzenia na koszt tego podmiotu kopii tych dokumentów lub wyciągów z nich, w tym w postaci dokumentu elektronicznego w rozumieniu art. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w zakresie niezbędnym do przeprowadzenia i zakończenia kontroli;

5) żądania od kontrolowanego podmiotu finansowego lub osoby przez niego upoważnionej poświadczenia za zgodność z oryginałem pozyskiwanych od tego podmiotu kopii dokumentów, o których mowa w pkt 4;

6) wglądu do danych zawartych w systemach informatycznych, związanych z przedmiotem kontroli, w szczególności dokumentów wewnętrznych potwierdzających spełnianie obowiązków w zakresie zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi, o których mowa w rozporządzeniu 2022/2554, zwanymi dalej „ICT”, lub danych dotyczących poważnych incydentów związanych z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554 oraz znaczących cyberzagrożeń w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, w zakresie niezbędnym do przeprowadzenia i zakończenia kontroli.

5. Dokumenty i informacje związane z kontrolą, w tym upoważnienie do kontroli, protokół kontroli i zalecenia pokontrolne, są sporządzane na piśmie utrwalonym w postaci papierowej albo elektronicznej. Upoważnienie do kontroli udzielone na piśmie utrwalonym w postaci papierowej opatruje się podpisem własnoręcznym. Upoważnienie do kontroli udzielone na piśmie utrwalonym w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym lub kwalifikowaną pieczęcią elektroniczną Komisji ze wskazaniem w treści pisma osoby opatrującej pismo tą pieczęcią.

6. Dokumenty i informacje, o których mowa w ust. 5, sporządzone na piśmie utrwalonym w postaci elektronicznej doręcza się na adres do doręczeń elektronicznych.

Art. 18zd. 1. Ustalenia kontroli zamieszcza się w protokole kontroli.

2. Protokół kontroli sporządza się w terminie 30 dni roboczych od dnia zakończenia czynności kontrolnych.

3. Protokół kontroli zawiera:

1) oznaczenie kontrolowanego podmiotu finansowego;

2) imię i nazwisko osoby reprezentującej kontrolowany podmiot finansowy lub nazwę organu reprezentującego ten podmiot;

3) imię i nazwisko, stanowisko służbowe oraz numer legitymacji służbowej pracownika Urzędu Komisji prowadzącego czynności kontrolne;

4) wskazanie daty rozpoczęcia i daty zakończenia czynności kontrolnych;

5) wskazanie zakresu przedmiotowego kontroli;

6) opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla przeprowadzonej kontroli;

7) pouczenie kontrolowanego podmiotu finansowego o prawie wniesienia zastrzeżeń do protokołu.

4. Protokół kontroli podpisują pracownik Urzędu Komisji wykonujący czynności kontrolne oraz osoba reprezentująca kontrolowany podmiot finansowy.

5. Protokół kontroli doręcza się kontrolowanemu podmiotowi finansowemu. Przed podpisaniem protokołu kontroli kontrolowany podmiot finansowy może w terminie 14 dni roboczych od dnia przedstawienia mu go do podpisu złożyć do niego pisemne zastrzeżenia.

6. W razie złożenia zastrzeżeń, o których mowa w ust. 5, Komisja dokonuje ich analizy w terminie 30 dni od dnia złożenia zastrzeżeń i w razie potrzeby podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń - zmienia lub uzupełnia protokół kontroli w formie aneksu do protokołu kontroli.

7. Odmowa podpisania protokołu kontroli przez kontrolowany podmiot finansowy lub zwłoka w jego podpisaniu nie wpływa na prowadzenie przez Komisję dalszych czynności kontrolnych, w szczególności na wydanie przez Komisję zaleceń pokontrolnych.

Art. 18ze. 1. Jeżeli na podstawie informacji zgromadzonych w toku kontroli Komisja uzna, że mogło dojść do naruszenia przez kontrolowany podmiot finansowy przepisów rozporządzenia 2022/2554, przepisów aktów delegowanych wydanych na podstawie art. 15, art. 16 ust. 3, art. 18 ust. 3, art. 20 lit. a, art. 26 ust. 11, art. 28 ust. 10, art. 30 ust. 5 oraz art. 41 ust. 1 lit. d rozporządzenia 2022/2554 lub przepisów aktów wykonawczych wydanych na podstawie art. 20 lit. b oraz art. 28 ust. 9 rozporządzenia 2022/2554, lub zidentyfikuje inne nieprawidłowości dotyczące zarządzania przez kontrolowany podmiot finansowy ryzykiem związanym z ICT, przekazuje temu podmiotowi zalecenia pokontrolne dotyczące usunięcia nieprawidłowości.

2. Kontrolowany podmiot finansowy w wyznaczonym terminie, nie krótszym niż 21 dni, informuje Komisję o sposobie wykonania zaleceń pokontrolnych.

Art. 18zf. W postępowaniu wyjaśniającym, o którym mowa w art. 18a, prowadzonym w celu ustalenia, czy istnieją podstawy do wszczęcia postępowania administracyjnego w sprawie naruszenia przepisów art. 5-10, art. 11 ust. 1-10, art. 12-14, art. 16 ust. 1 i 2, art. 17, art. 18 ust. 1 i 2, art. 19 ust. 1-5, art. 23-25, art. 26 ust. 1-8, art. 27, art. 28 ust. 1-8, art. 29, art. 30 ust. 1-3, art. 31 ust. 12, art. 42 oraz art. 45 ust. 3 rozporządzenia 2022/2554, przepisów aktów delegowanych wydanych na podstawie art. 15, art. 16 ust. 3, art. 18 ust. 3, art. 20 lit. a, art. 26 ust. 11, art. 28 ust. 10, art. 30 ust. 5 oraz art. 41 ust. 1 lit. d rozporządzenia 2022/2554 lub przepisów aktów wykonawczych wydanych na podstawie art. 20 lit. b oraz art. 28 ust. 9 rozporządzenia 2022/2554, Przewodniczący Komisji może zażądać od dostawcy usług telekomunikacyjnych udostępnienia informacji stanowiących tajemnicę komunikacji elektronicznej w rozumieniu art. 386 ust. 1 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz. U. poz. 1221 oraz z 2025 r. poz. 637 i 820), przechowywanych przez dostawcę usług telekomunikacyjnych, dotyczących podmiotu dokonującego czynności faktycznych lub prawnych mających związek z wyjaśnianymi okolicznościami, w tym danych abonenta pozwalających na jego identyfikację, czasu ich dokonania i innych informacji związanych z połączeniem lub przekazem, niestanowiących treści komunikatu elektronicznego.

Art. 18zg. 1. Podmiot finansowy zgłasza Komisji poważny incydent związany z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 1 akapit pierwszy rozporządzenia 2022/2554, przekazując wstępne powiadomienie, i przekazuje sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554.

2. Komisja przekazuje niezwłocznie Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Ministra Obrony Narodowej, zwanemu dalej „CSIRT MON”, Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy, zwanemu dalej „CSIRT NASK”, albo Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Szefa Agencji Bezpieczeństwa Wewnętrznego, zwanemu dalej „CSIRT GOV”, o których mowa odpowiednio w art. 2 pkt 1, 2 i 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, zgodnie z ich właściwością, wstępne powiadomienie i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, pochodzące od:

1) podmiotu finansowego będącego podmiotem kluczowym, o którym mowa w ust. 4;

2) podmiotu finansowego będącego podmiotem ważnym, o którym mowa w ust. 5.

3. W uzasadnionych przypadkach Komisja może przekazać niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, wstępne powiadomienia i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, pochodzące od podmiotu finansowego niebędącego podmiotem, o którym mowa w ust. 4 i 5.

4. Podmiotami finansowymi będącymi podmiotami kluczowymi są:

1) instytucja kredytowa, o której mowa w art. 4 ust. 1 pkt 17 ustawy - Prawo bankowe,

2) bank krajowy, o którym mowa w art. 4 ust. 1 pkt 1 ustawy - Prawo bankowe,

3) oddział banku zagranicznego, o którym mowa w art. 4 ust. 1 pkt 20 ustawy - Prawo bankowe,

4) oddział instytucji kredytowej, o którym mowa w art. 4 ust. 1 pkt 18 ustawy - Prawo bankowe,

5) spółdzielcza kasa oszczędnościowo-kredytowa,

6) spółka prowadząca rynek regulowany, o której mowa w art. 14 ust. 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

7) CCP, o którym mowa w art. 3 pkt 49 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

8) centralny depozyt papierów wartościowych, o którym mowa w art. 3 pkt 21a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

9) podmiot, o którym mowa w art. 48 ust. 7 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

10) podmiot prowadzący ASO w rozumieniu art. 3 pkt 2 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

11) podmiot prowadzący OTF w rozumieniu art. 3 pkt 10b ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

12) administrator kluczowych wskaźników referencyjnych, o którym mowa w art. 3 pkt 57 rozporządzenia 2022/2554,

13) podmiot utworzony na podstawie art. 67 ustawy - Prawo bankowe

- którzy przekraczają pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.¹⁶⁾) według stanu na dzień sporządzenia sprawozdania finansowego.

5. Podmiotami finansowymi będącymi podmiotami ważnymi są podmioty, o których mowa w ust. 4 pkt 1-12, które spełniają pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu według stanu na dzień sporządzenia sprawozdania finansowego oraz które nie są podmiotami, o których mowa w ust. 4.

6. Komisja przekazuje organom wskazanym w art. 19 ust. 6 rozporządzenia 2022/2554, w sposób określony w tym przepisie, szczegółowe informacje na temat poważnego incydentu związanego z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554, zawierające taki sam zakres danych, jak informacje zawarte we wstępnych powiadomieniach i sprawozdaniach, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554.

7. Wstępne powiadomienia i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, są przekazywane w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci elektronicznej - przy użyciu innych dostępnych środków komunikacji, w terminach i z wykorzystaniem wzorów określonych we wspólnych regulacyjnych standardach technicznych i wspólnych wykonawczych standardach technicznych, o których mowa w art. 20 rozporządzenia 2022/2554.

Art. 18zh. 1. Podmiot finansowy może przekazać Komisji powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554.

2. Komisja przekazuje niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego będącego podmiotem, o którym mowa w art. 18zg ust. 4 lub 5.

3. W uzasadnionych przypadkach Komisja może przekazać niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego niebędącego podmiotem, o którym mowa w art. 18zg ust. 4 i 5.

4. Powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, jest przekazywane w terminach i z wykorzystaniem wzorów określonych we wspólnych regulacyjnych standardach technicznych i wspólnych wykonawczych standardach technicznych, o których mowa w art. 20 rozporządzenia 2022/2554, w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej - przy użyciu innych dostępnych środków komunikacji.

Art. 18zi. 1. Podmioty finansowe przekazują Komisji informacje, o których mowa w:

1) art. 28 ust. 3 akapit trzeci rozporządzenia 2022/2554, w terminie określonym w decyzjach Europejskiego Urzędu Nadzoru Bankowego, Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych oraz Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych;

2) art. 28 ust. 3 akapit piąty rozporządzenia 2022/2554, niezwłocznie, nie później niż w terminie 14 dni przed dniem związania się postanowieniami umownymi albo od dnia, w którym dana funkcja stała się krytyczna lub istotna.

2. Centralne depozyty papierów wartościowych w rozumieniu art. 3 pkt 21a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi przekazują Komisji kopie wyników testów ciągłości działania w zakresie ICT lub podobnych testów zgodnie z art. 11 ust. 9 rozporządzenia 2022/2554.

Art. 18zj. Podmioty finansowe powiadamiają Komisję o przystąpieniu do ustaleń dotyczących wymiany informacji, o których mowa w art. 45 ust. 1 rozporządzenia 2022/2554, oraz o ustaniu członkostwa, zgodnie z art. 45 ust. 3 rozporządzenia 2022/2554.

Art. 18zk. 1. Spośród podmiotów finansowych wymienionych w art. 26 ust. 1 rozporządzenia 2022/2554 Komisja w oparciu o ocenę elementów wskazanych w art. 26 ust. 8 akapit trzeci rozporządzenia 2022/2554 określa, w drodze decyzji, podmiot finansowy obowiązany do przeprowadzenia zaawansowanych testów, o których mowa w art. 26 ust. 1 rozporządzenia 2022/2554, z uwzględnieniem kryteriów określonych w art. 4 ust. 2 rozporządzenia 2022/2554.

2. Podmiot finansowy określony zgodnie z ust. 1 przekazuje Komisji, w celu zatwierdzenia, wynik oceny dokonanej zgodnie z art. 26 ust. 2 akapit trzeci rozporządzenia 2022/2554, wskazującej, które krytyczne lub istotne funkcje należy objąć zaawansowanymi testami, o których mowa w art. 26 ust. 1 rozporządzenia 2022/2554.

3. Podmiot finansowy określony zgodnie z ust. 1 przekazuje Komisji informacje, o których mowa w art. 26 ust. 6 rozporządzenia 2022/2554.

4. Komisja przekazuje podmiotowi finansowemu określonemu zgodnie z ust. 1 poświadczenie, o którym mowa w art. 26 ust. 7 rozporządzenia 2022/2554.

5. Komisja w oparciu o ocenę elementów wskazanych w art. 26 ust. 1 rozporządzenia 2022/2554 może zalecić podmiotowi finansowemu określonemu zgodnie z ust. 1 zmniejszenie albo zwiększenie częstotliwości przeprowadzania zaawansowanych testów, o których mowa w art. 26 ust. 1 rozporządzenia 2022/2554.

6. W przypadku gdy podmiot finansowy określony zgodnie z ust. 1 zamierza korzystać z usług testerów wewnętrznych zgodnie z art. 26 ust. 8 rozporządzenia 2022/2554, przekazuje do zatwierdzenia Komisji informacje o zamiarze korzystania z ich usług. Komisja zatwierdza zamiar korzystania z usług testerów wewnętrznych.

7. Komisja przed zatwierdzeniem zamiaru korzystania z usług testerów wewnętrznych, o którym mowa w ust. 6, ocenia, czy testerzy wewnętrzni spełniają wymogi określone w art. 27 ust. 1 i ust. 2 lit. b oraz c rozporządzenia 2022/2554.

Art. 18zl. 1. Komisja informuje podmiot finansowy o ryzyku zidentyfikowanym w zaleceniach, o których mowa w art. 35 ust. 1 lit. d rozporządzenia 2022/2554, w odniesieniu do kluczowego zewnętrznego dostawcy usług ICT w rozumieniu art. 3 pkt 23 rozporządzenia 2022/2554, zwanego dalej „kluczowym zewnętrznym dostawcą usług ICT”, z którym ten podmiot finansowy zawarł umowę.

2. Podmiot finansowy informuje Komisję o sposobie uwzględnienia ryzyka zidentyfikowanego w zaleceniach, o których mowa w art. 35 ust. 1 lit. d rozporządzenia 2022/2554, w szczególności o zmianach postanowień umowy zawartej z kluczowym zewnętrznym dostawcą usług ICT.

3. W przypadku gdy Komisja uzna, że podmiot finansowy nie uwzględnił ryzyka zidentyfikowanego w zaleceniach, o których mowa w art. 35 ust. 1 lit. d rozporządzenia 2022/2554, lub uwzględnił je w sposób niewystarczający, informuje podmiot finansowy o możliwości wydania decyzji, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554.

4. Przed wydaniem decyzji, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, Komisja może skonsultować się z organami, o których mowa w art. 42 ust. 5 rozporządzenia 2022/2554. Przepisu art. 106 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego nie stosuje się.

5. W terminie 60 dni od dnia otrzymania przez podmiot finansowy informacji, o której mowa w ust. 3, Komisja może wydać decyzję, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, nakazującą podmiotowi finansowemu tymczasowe zawieszenie, w całości albo części, korzystania z usługi świadczonej przez kluczowego zewnętrznego dostawcę usług ICT lub jej wdrażania albo nakazującą podmiotowi finansowemu wypowiedzenie, w całości albo części, postanowień umowy z kluczowym zewnętrznym dostawcą usług ICT.

6. Komisja, wydając decyzję, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, nakazującą podmiotowi finansowemu tymczasowe zawieszenie, w całości albo części, korzystania z usługi świadczonej przez kluczowego zewnętrznego dostawcę usług ICT lub jej wdrażania, określa termin obowiązywania tej decyzji.

7. W przypadku gdy ryzyko zidentyfikowane w zaleceniach, o których mowa w art. 35 ust. 1 lit. d rozporządzenia 2022/2554, zostało wyeliminowane przed upływem terminu obowiązywania decyzji, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, Komisja stwierdza wygaśnięcie tej decyzji.

8. W przypadku gdy podmiot finansowy nie uwzględnił ryzyka zidentyfikowanego w zaleceniach, o których mowa w art. 35 ust. 1 lit. d rozporządzenia 2022/2554, albo uwzględnił je w sposób niewystarczający, Komisja może jednorazowo przedłużyć, w drodze decyzji, termin obowiązywania decyzji, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, i określić nowy termin jej obowiązywania.

9. W przypadku gdy podmiot finansowy nie uwzględnił ryzyka zidentyfikowanego w zaleceniach, o których mowa w art. 35 ust. 1 lit. d rozporządzenia 2022/2554, albo uwzględnił je w sposób niewystarczający w terminie przedłużonym zgodnie z ust. 8, Komisja wydaje decyzję, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, nakazującą podmiotowi finansowemu wypowiedzenie, w całości albo części, postanowień umowy z kluczowym zewnętrznym dostawcą usług ICT.

10. Komisja, wydając decyzję, o której mowa w ust. 8, oraz decyzję, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, uwzględnia okoliczności określone w art. 42 ust. 8 rozporządzenia 2022/2554.

11. Decyzja wydana na podstawie ust. 8 oraz decyzja, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554, są natychmiast wykonalne.

12. Komisja zgodnie z art. 42 ust. 9 rozporządzenia 2022/2554 informuje członków forum nadzoru, o których mowa w art. 32 ust. 4 lit. a-c rozporządzenia 2022/2554, oraz wspólną sieć nadzoru ustanowioną zgodnie z art. 34 ust. 1 rozporządzenia 2022/2554 o wydaniu decyzji na podstawie ust. 8 oraz decyzji, o której mowa w art. 42 ust. 6 rozporządzenia 2022/2554.

13. W celu stosowania spójnych środków następczych w zakresie nadzoru Komisja może uwzględnić wydane przez wiodący organ nadzorczy, wyznaczony zgodnie z art. 31 ust. 1 lit. b rozporządzenia 2022/2554, niewiążące i niejawne opinie na potrzeby właściwych organów, o których mowa w art. 46 rozporządzenia 2022/2554, zgodnie z art. 42 ust. 7 rozporządzenia 2022/2554.

Art. 18zm. 1. W przypadku naruszenia obowiązku, o którym mowa w przepisach art. 5-10, art. 11 ust. 1-10, art. 12-14, art. 16 ust. 1 i 2, art. 17, art. 18 ust. 1 i 2, art. 19 ust. 1-5, art. 23-25, art. 26 ust. 1-8, art. 27, art. 28 ust. 1-8, art. 29, art. 30 ust. 1-3, art. 31 ust. 12, art. 42 oraz art. 45 ust. 3 rozporządzenia 2022/2554, przepisach aktów delegowanych wydanych na podstawie art. 15, art. 16 ust. 3, art. 18 ust. 3, art. 20 lit. a, art. 26 ust. 11, art. 28 ust. 10, art. 30 ust. 5 oraz art. 41 ust. 1 lit. d rozporządzenia 2022/2554 lub przepisach aktów wykonawczych wydanych na podstawie art. 20 lit. b oraz art. 28 ust. 9 rozporządzenia 2022/2554, Komisja może, w drodze decyzji:

1) nakazać osobie fizycznej, osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej zaprzestanie danego zachowania oraz powstrzymanie się od takiego zachowania w przyszłości;

2) zakazać osobie odpowiedzialnej za to naruszenie pełnienia funkcji członka zarządu lub rady nadzorczej albo innej funkcji kierowniczej podmiotu finansowego przez okres nie krótszy niż miesiąc i nie dłuższy niż rok;

3) nałożyć karę pieniężną do wysokości nieprzekraczającej:

a) w przypadku osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej:

- kwoty 20 869 500 zł lub 10 % całkowitego rocznego przychodu, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji - 10 % składki przypisanej brutto, wykazanych w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, albo

- dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku tego naruszenia - w przypadku gdy jest możliwe ich ustalenie,

b) w przypadku osoby fizycznej odpowiedzialnej za to naruszenie, która w tym okresie pełniła obowiązki członka zarządu albo innego organu zarządzającego tego podmiotu finansowego - kwoty 3 042 410 zł,

c) w przypadku innej osoby fizycznej odpowiedzialnej za to naruszenie - sześciokrotności kwoty otrzymywanego przez ukaranego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop wypoczynkowy.

2. W przypadku gdy osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, o których mowa w ust. 1 pkt 3 lit. a, jest jednostką dominującą albo jednostką zależną jednostki dominującej, która ma obowiązek sporządzać skonsolidowane sprawozdania finansowe zgodnie z ustawą z dnia 29 września 1994 r. o rachunkowości, karę pieniężną, o której mowa w ust. 1 pkt 3 lit. a, ustala się na podstawie całkowitych rocznych przychodów, a w przypadku zakładu ubezpieczeń lub zakładu reasekuracji - składki przypisanej brutto, wykazanych w ostatnim rocznym skonsolidowanym sprawozdaniu finansowym jednostki dominującej za rok obrotowy, zatwierdzonym przez organ zatwierdzający jednostki dominującej.

3. Komisja, wydając decyzje, o których mowa w ust. 1, uwzględnia okoliczności, o których mowa w art. 51 ust. 2 rozporządzenia 2022/2554.

4. Decyzje, o których mowa w ust. 1 pkt 1 i 2, są natychmiast wykonalne.

5. Komisja udostępnia zgodnie z art. 54 rozporządzenia 2022/2554 na swojej stronie internetowej komunikaty o decyzjach, o których mowa w ust. 1, maksymalnie przez okres 5 lat, licząc od dnia ich udostępnienia, z tym że informacje dotyczące imienia i nazwiska osoby, na którą została nałożona sankcja, dostępne są na tej stronie maksymalnie przez rok.

Art. 18zn. Komisja w zakresie nadzoru przewidzianego przepisami rozporządzenia 2022/2554 współpracuje oraz wymienia informacje i dokumenty z:

1) właściwymi organami, o których mowa w art. 46 rozporządzenia 2022/2554, państw członkowskich Unii Europejskiej lub państw członkowskich Europejskiego Porozumienia o Wolnym Handlu (EFTA) - stron umowy o Europejskim Obszarze Gospodarczym oraz Europejskim Urzędem Nadzoru Bankowego, Europejskim Urzędem Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych, Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych oraz bankami centralnymi Europejskiego Systemu Banków Centralnych w zakresie niezbędnym do wykonywania obowiązków wynikających z rozporządzenia 2022/2554;

2) odpowiednim wiodącym organem nadzorczym wyznaczonym zgodnie z art. 31 ust. 1 lit. b rozporządzenia 2022/2554 oraz Komisją Europejską;

3) organami właściwymi do spraw cyberbezpieczeństwa, o których mowa w art. 41 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, CSIRT MON, CSIRT NASK, CSIRT GOV oraz Pojedynczym Punktem Kontaktowym do spraw cyberbezpieczeństwa, o którym mowa w art. 4 pkt 18 tej ustawy;

4) organami, o których mowa w art. 17 i art. 17b-17g.

Art. 18zo. Do kontroli, o której mowa w art. 18zc ust. 1, w zakresie nieuregulowanym w niniejszym rozdziale stosuje się przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców.

Rozdział 2d

Nadzór nad emitentami europejskich zielonych obligacji

Art. 18zp. Przepisów niniejszego rozdziału nie stosuje się do:

1) emitentów europejskich zielonych obligacji będących papierami wartościowymi, o których mowa w art. 1 ust. 2 lit. b oraz d rozporządzenia 2017/1129;

2) jednostek inicjujących w rozumieniu art. 2 pkt 3 rozporządzenia 2017/2402, korzystających ze środków pochodzących z emisji obligacji sekurytyzacyjnych, o których mowa w art. 2 pkt 22 rozporządzenia 2023/2631, mających oznakowanie „europejska zielona obligacja” lub „EuGB”, będących papierami wartościowymi, o których mowa w art. 1 ust. 2 lit. d rozporządzenia 2017/1129, wyłącznie w zakresie tych papierów wartościowych.

Art. 18zq. 1. Komisja może przeprowadzać kontrolę:

1) emitenta europejskich zielonych obligacji w zakresie wypełniania obowiązków wynikających z przepisów tytułu II rozdziału 2 rozporządzenia 2023/2631;

2) jednostki specjalnego przeznaczenia do celów sekurytyzacji w rozumieniu art. 2 pkt 2 rozporządzenia 2017/2402, która emituje obligacje sekurytyzacyjne, o których mowa w art. 2 pkt 22 rozporządzenia 2023/2631, mające oznakowanie „europejska zielona obligacja” lub „EuGB”, w zakresie wypełniania obowiązków wynikających z art. 14 ust. 1, art. 15, art. 18 i art. 19 rozporządzenia 2023/2631;

3) jednostki inicjującej w rozumieniu art. 2 pkt 3 rozporządzenia 2017/2402 w zakresie wypełniania obowiązków wynikających z przepisów tytułu II rozdziału 2, art. 18 i art. 19 rozporządzenia 2023/2631 - w przypadku gdy korzysta ona ze środków pochodzących z emisji obligacji sekurytyzacyjnych, o których mowa w art. 2 pkt 22 rozporządzenia 2023/2631, mających oznakowanie „europejska zielona obligacja” lub „EuGB”;

4) emitenta obligacji, w tym jednostki specjalnego przeznaczenia do celów sekurytyzacji w rozumieniu art. 2 pkt 2 rozporządzenia 2017/2402, który korzysta ze wspólnych wzorów formularzy, o których mowa w art. 21 rozporządzenia 2023/2631, w zakresie zgodności ujawnianych informacji z tymi wzorami formularzy.

2. Pracownicy Urzędu Komisji wykonują czynności kontrolne po okazaniu legitymacji służbowej oraz doręczeniu upoważnienia do kontroli wydanego przez Przewodniczącego Komisji lub upoważnioną przez niego osobę.

3. Upoważnienie do kontroli, o którym mowa w ust. 2, zawiera:

1) wskazanie podstawy prawnej przeprowadzenia kontroli;

2) oznaczenie organu kontroli;

3) wskazanie daty i miejsca jego wystawienia;

4) imię i nazwisko, stanowisko służbowe oraz numer legitymacji służbowej pracownika Urzędu Komisji prowadzącego czynności kontrolne;

5) oznaczenie kontrolowanego podmiotu;

6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;

7) wskazanie zakresu przedmiotowego kontroli.

4. W toku kontroli pracownicy, o których mowa w ust. 2, mają prawo:

1) wstępu na grunt oraz do budynków, lokali i innych pomieszczeń kontrolowanego podmiotu;

2) żądania od kontrolowanego podmiotu lub od osoby przez niego upoważnionej udzielenia ustnych lub pisemnych wyjaśnień związanych z przedmiotem kontroli;

3) wglądu do dokumentów związanych z przedmiotem kontroli, w szczególności dokumentów finansowych, księgowych, handlowych, akt postępowań prowadzonych na podstawie właściwych przepisów prawa, ksiąg, ewidencji i dokumentów wewnętrznych, w tym regulaminów oraz instrukcji, dotyczących działalności kontrolowanego podmiotu, oraz żądania sporządzenia na koszt tego podmiotu kopii tych dokumentów lub wyciągów z nich, w tym w postaci dokumentu elektronicznego w rozumieniu art. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w zakresie niezbędnym do przeprowadzenia i zakończenia kontroli;

4) żądania od kontrolowanego podmiotu lub osoby przez niego upoważnionej poświadczenia za zgodność z oryginałem pozyskiwanych od tego podmiotu kopii dokumentów, o których mowa w pkt 3;

5) wglądu do danych zawartych w systemie teleinformatycznym związanych z przedmiotem kontroli, w szczególności dokumentów finansowych, księgowych, handlowych, akt postępowań prowadzonych na podstawie właściwych przepisów prawa, ksiąg, ewidencji i dokumentów wewnętrznych, w tym regulaminów oraz instrukcji, dotyczących działalności kontrolowanego podmiotu, oraz żądania sporządzenia na koszt tego podmiotu kopii tych danych lub wyciągów z nich, w tym w postaci dokumentu elektronicznego w rozumieniu art. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w zakresie niezbędnym do przeprowadzenia i zakończenia kontroli.

5. Dokumenty i informacje związane z kontrolą, w tym upoważnienie do kontroli, protokół kontroli i zalecenia pokontrolne, są sporządzane na piśmie utrwalonym w postaci papierowej albo elektronicznej. Upoważnienie do kontroli udzielone na piśmie utrwalonym w postaci papierowej opatruje się podpisem własnoręcznym. Upoważnienie do kontroli udzielone na piśmie utrwalonym w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym lub kwalifikowaną pieczęcią elektroniczną Komisji ze wskazaniem w treści pisma osoby opatrującej pismo tą pieczęcią.

6. Dokumenty i informacje, o których mowa w ust. 5, sporządzone na piśmie utrwalonym w postaci elektronicznej doręcza się na adres do doręczeń elektronicznych.

7. Przekazanie Komisji informacji na podstawie przepisów rozporządzenia 2023/2631 nie narusza obowiązku zachowania tajemnicy zawodowej, a także innych obowiązków zachowania poufności informacji, wynikających z obowiązujących przepisów prawa lub umowy. Przekazanie Komisji informacji na podstawie przepisów rozporządzenia 2023/2631 nie może stanowić przyczyny rozwiązania z osobą przekazującą informacje stosunku pracy albo umowy zlecenia, umowy o dzieło lub innej umowy o podobnym charakterze.

Art. 18zr. Do kontroli, o której mowa w art. 18zq ust. 1, w zakresie nieuregulowanym w niniejszym rozdziale stosuje się przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców.

Art. 18zs. 1. Na żądanie Komisji lub osoby przez nią upoważnionej osoby uprawnione do reprezentowania podmiotu, o którym mowa w art. 18zq ust. 1, lub wchodzące w skład jego organów zarządzających i nadzorczych albo pozostające z tym podmiotem w stosunku pracy albo umowy zlecenia, umowy o dzieło lub innej umowy o podobnym charakterze są obowiązane do niezwłocznego sporządzenia i przekazania na koszt podmiotu, o którym mowa w art. 18zq ust. 1, kopii dokumentów i innych nośników informacji oraz do udzielenia pisemnych lub ustnych wyjaśnień związanych z wypełnianiem obowiązków, o których mowa w art. 18zq ust. 1.

2. Obowiązek, o którym mowa w ust. 1, spoczywa również na biegłym rewidencie oraz osobach uprawnionych do reprezentowania firmy audytorskiej lub pozostających z tą firmą w stosunku pracy albo umowy zlecenia, umowy o dzieło lub innej umowy o podobnym charakterze, w zakresie dotyczącym czynności podejmowanych przez te osoby lub tę firmę w związku z wykonywaniem na rzecz podmiotu, o którym mowa w art. 18zq ust. 1, czynności rewizji finansowej, o których mowa w art. 47 ust. 1 ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym, lub świadczeniem na jego rzecz innych usług wymienionych w art. 47 ust. 2 tej ustawy. Nie narusza to obowiązku zachowania tajemnicy, o której mowa w art. 78 ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym.

Art. 18zt. 1. W przypadku gdy podmiot, o którym mowa w art. 18zq ust. 1 pkt 1-3, nie udostępnia na swojej stronie internetowej:

1) arkusza informacyjnego europejskiej zielonej obligacji, o którym mowa w art. 10 ust. 1 lit. a rozporządzenia 2023/2631, albo gdy udostępniony arkusz nie zawiera informacji, o których mowa w załączniku I do rozporządzenia 2023/2631,

2) wyników kontroli przedemisyjnej, o których mowa w art. 15 ust. 1 lit. b rozporządzenia 2023/2631, wyników kontroli poemisyjnej, o których mowa w art. 11 ust. 8 rozporządzenia 2023/2631, lub wyników kontroli sprawozdania dotyczącego wpływu, o których mowa w art. 12 ust. 3 rozporządzenia 2023/2631, wraz z zawartymi w nich ocenami,

3) sprawozdania z alokacji, o którym mowa w art. 11 ust. 1 rozporządzenia 2023/2631, albo gdy udostępnione sprawozdanie nie zawiera informacji, o których mowa w załączniku II do rozporządzenia 2023/2631,

4) sprawozdania dotyczącego wpływu, o którym mowa w art. 12 ust. 1 rozporządzenia 2023/2631, albo gdy udostępnione sprawozdanie nie zawiera informacji, o których mowa w załączniku III do rozporządzenia 2023/2631

- Komisja może, w drodze decyzji, nakazać podmiotowi udostępnienie tych dokumentów albo zawarcie w tych dokumentach wymaganych informacji.

2. Przed wydaniem decyzji, o której mowa w ust. 1, Komisja może zalecić podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1-3, na piśmie utrwalonym w postaci papierowej albo elektronicznej udostępnienie dokumentów, o których mowa w ust. 1, albo zawarcie w tych dokumentach wymaganych informacji.

3. W przypadku gdy podmiot, o którym mowa w art. 18zq ust. 1 pkt 1-3, narusza obowiązek, o którym mowa w art. 15 ust. 4 rozporządzenia 2023/2631, Komisja może, w drodze decyzji, nakazać temu podmiotowi przekazanie Komisji informacji zgodnie z art. 15 ust. 4 rozporządzenia 2023/2631.

4. Przed wydaniem decyzji, o której mowa w ust. 3, Komisja może zalecić podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1-3, na piśmie utrwalonym w postaci papierowej albo elektronicznej przekazanie Komisji informacji zgodnie z art. 15 ust. 4 rozporządzenia 2023/2631.

Art. 18zu. 1. W przypadku gdy podmiot, o którym mowa w art. 18zq ust. 1 pkt 4, narusza obowiązki, o których mowa w art. 21 rozporządzenia 2023/2631, Komisja może, w drodze decyzji, nakazać temu podmiotowi zawarcie we wspólnych wzorach formularzy, o których mowa w art. 21 rozporządzenia 2023/2631, wymaganych informacji w ramach okresowego ujawniania informacji po emisji.

2. Przed wydaniem decyzji, o której mowa w ust. 1, Komisja może zalecić podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 4, na piśmie utrwalonym w postaci papierowej albo elektronicznej zawarcie we wspólnych wzorach formularzy, o których mowa w art. 21 rozporządzenia 2023/2631, wymaganych informacji w ramach okresowego ujawniania informacji po emisji.

Art. 18zv. 1. W przypadku naruszenia lub uzasadnionego podejrzenia naruszenia przez podmiot, o którym mowa w art. 18zq ust. 1 pkt 1, obowiązków, o których mowa w przepisach tytułu II rozdziału 2 rozporządzenia 2023/2631, podmiot, o którym mowa w art. 18zq ust. 1 pkt 2, obowiązków, o których mowa w art. 14 ust. 1, art. 15, art. 18 lub art. 19 rozporządzenia 2023/2631, lub podmiot, o którym mowa w art. 18zq ust. 1 pkt 3, obowiązków, o których mowa w przepisach tytułu II rozdziału 2, art. 18 lub art. 19 rozporządzenia 2023/2631, Komisja może, w drodze decyzji:

1) nakazać podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, oferującemu, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, podmiotowi, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, lub innemu podmiotowi działającemu w ich imieniu lub na ich zlecenie wstrzymanie rozpoczęcia prowadzenia reklamy europejskich zielonych obligacji lub przerwanie jej prowadzenia na okres nie dłuższy niż 10 dni roboczych, wskazując nieprawidłowości, które należy usunąć w tym okresie, lub

2) zakazać podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, oferującemu, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, podmiotowi, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, lub innemu podmiotowi działającemu w ich imieniu lub na ich zlecenie rozpoczęcia prowadzenia reklamy europejskich zielonych obligacji lub nakazać przerwanie jej prowadzenia, lub

3) nakazać podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, oferującemu, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, lub innemu podmiotowi uczestniczącemu w ofercie, subskrypcji lub sprzedaży w imieniu lub na zlecenie podmiotu, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, lub oferującego, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, wstrzymanie rozpoczęcia oferty publicznej, subskrypcji lub sprzedaży europejskich zielonych obligacji albo przerwanie ich przebiegu na okres nie dłuższy niż 10 dni roboczych, wskazując nieprawidłowości, które należy usunąć w tym okresie, lub

4) zakazać podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, oferującemu, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, lub innemu podmiotowi uczestniczącemu w ofercie, subskrypcji lub sprzedaży w imieniu lub na zlecenie podmiotu, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, lub oferującego, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, rozpoczęcia oferty publicznej, subskrypcji lub sprzedaży europejskich zielonych obligacji albo dalszego ich prowadzenia, lub

5) nakazać podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, podmiotowi, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, lub podmiotowi występującemu w ich imieniu lub na ich zlecenie wstrzymanie ubiegania się o dopuszczenie lub wprowadzenie europejskich zielonych obligacji do obrotu na rynku regulowanym na okres nie dłuższy niż 10 dni roboczych, wskazując nieprawidłowości, które należy usunąć w tym okresie, lub

6) zakazać podmiotowi, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, podmiotowi, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, lub podmiotowi występującemu w ich imieniu lub na ich zlecenie ubiegania się o dopuszczenie lub wprowadzenie europejskich zielonych obligacji do obrotu na rynku regulowanym.

2. Przed wydaniem decyzji, o której mowa w ust. 1, Komisja może zalecić na piśmie utrwalonym w postaci papierowej albo elektronicznej zaprzestanie naruszania obowiązków wynikających z przepisów tytułu II rozdziału 2 oraz art. 18 i art. 19 rozporządzenia 2023/2631.

3. Po otrzymaniu zalecenia, o którym mowa w ust. 2:

1) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, oferujący, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, lub podmiot, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, powstrzymują się od rozpoczęcia prowadzenia reklamy europejskich zielonych obligacji albo przerywają jej prowadzenie,

2) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, lub oferujący, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, powstrzymują się od rozpoczęcia oferty publicznej, subskrypcji lub sprzedaży europejskich zielonych obligacji albo przerywają ich przebieg,

3) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, lub podmiot, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, powstrzymują się od ubiegania się o dopuszczenie lub wprowadzenie europejskich zielonych obligacji do obrotu na rynku regulowanym

- do czasu usunięcia wskazanych w zaleceniu naruszeń, jeżeli jest to konieczne do usunięcia tych naruszeń.

4. W związku z daną emisją europejskich zielonych obligacji Komisja może wielokrotnie zastosować środki przewidziane w ust. 1 i 2.

Art. 18zw. 1. W przypadku gdy podmiot, o którym mowa w art. 18zq ust. 1, nie przestrzega przepisów rozporządzenia 2023/2631, Komisja może, w drodze decyzji, zdecydować o podaniu do publicznej wiadomości, na koszt tego podmiotu, informacji o nieprzestrzeganiu przez ten podmiot przepisów rozporządzenia 2023/2631, wskazując naruszenia prawa, oraz zobowiązać ten podmiot do udostępnienia tej informacji na jego stronie internetowej.

2. Jeżeli w terminie 3 miesięcy od dnia otrzymania decyzji, o której mowa w ust. 1, podmiot, o którym mowa w art. 18zq ust. 1, nie zaprzestał naruszania przepisów rozporządzenia 2023/2631, Komisja może, w drodze decyzji, zdecydować o podaniu do publicznej wiadomości, na koszt tego podmiotu, informacji o zaprzestaniu spełniania przez ten podmiot wymogów rozporządzenia 2023/2631, które pozwalają, na podstawie art. 3 rozporządzenia 2023/2631, na stosowanie w odniesieniu do wyemitowanych przez ten podmiot obligacji oznakowania „europejska zielona obligacja” lub „EuGB”, oraz zobowiązać ten podmiot do udostępnienia tej informacji na jego stronie internetowej.

Art. 18zx. 1. Decyzja o zastosowaniu środków, o których mowa w art. 18zv ust. 1 oraz art. 18zw, podlega natychmiastowemu wykonaniu. Uzasadnienie decyzji doręcza się w terminie 14 dni od dnia doręczenia decyzji. Termin na złożenie wniosku o ponowne rozpatrzenie sprawy biegnie od dnia doręczenia uzasadnienia decyzji.

2. W przypadku gdy oferta publiczna, subskrypcja lub sprzedaż europejskich zielonych obligacji dokonywane na podstawie tej oferty są przeprowadzane za pośrednictwem firmy inwestycyjnej, postanowienie o wszczęciu postępowania w sprawie zastosowania środków, o których mowa w art. 18zv ust. 1 i art. 18zw, i decyzję o ich zastosowaniu doręcza się tej firmie inwestycyjnej, a w przypadku pośrednictwa więcej niż jednej firmy inwestycyjnej - jednej z tych firm. Doręczenie firmie inwestycyjnej uważa się za doręczenie stronie.

3. W przypadku braku pośrednictwa firmy inwestycyjnej doręczenie postanowienia o wszczęciu postępowania w sprawie zastosowania środków, o których mowa w art. 18zv ust. 1 i art. 18zw, i decyzji o ich zastosowaniu następuje także przez ich udostępnienie na stronie internetowej Komisji i jest skuteczne z dniem ich udostępnienia.

4. Niezwłocznie po wydaniu postanowienia o wszczęciu postępowania w sprawie zastosowania środków, o których mowa w art. 18zv ust. 1 i art. 18zw, komunikat o wszczęciu tego postępowania jest udostępniany na stronie internetowej Komisji.

5. Niezwłocznie po wydaniu decyzji o zastosowaniu środków, o których mowa w art. 18zv ust. 1 i art. 18zw, komunikat o zastosowaniu tych środków jest udostępniany na stronie internetowej Komisji.

Art. 18zy. W przypadku ustania przyczyn wydania decyzji o zastosowaniu środków, o których mowa w art. 18zv ust. 1 lub art. 18zw, Komisja uchyla tę decyzję:

1) z urzędu albo

2) na wniosek podmiotu, o którym mowa w art. 18zq ust. 1, oferującego, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, lub podmiotu, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych.

Art. 18zz. 1. W przypadku gdy podmiot, o którym mowa w art. 18zq ust. 1 pkt 1, nie wykonuje obowiązków, o których mowa w przepisach tytułu II rozdziału 2 rozporządzenia 2023/2631, podmiot, o którym mowa w art. 18zq ust. 1 pkt 2, nie wykonuje obowiązków, o których mowa w art. 14 ust. 1, art. 15, art. 18 lub art. 19 rozporządzenia 2023/2631, podmiot, o którym mowa w art. 18zq ust. 1 pkt 3, nie wykonuje obowiązków, o których mowa w przepisach tytułu II rozdziału 2, art. 18 lub art. 19 rozporządzenia 2023/2631, albo wykonuje je nienależycie lub podmiot, o którym mowa w art. 18zq ust. 1 pkt 4, nie wykonuje obowiązków, o których mowa w art. 21 rozporządzenia 2023/2631, albo wykonuje je nienależycie, Komisja może, w drodze decyzji:

1) nakazać osobom odpowiedzialnym za zaistniałe naruszenie zaprzestanie działań skutkujących powstaniem naruszeń i niepodejmowanie tych działań w przyszłości lub

2) nałożyć na ten podmiot karę pieniężną do wysokości nieprzekraczającej kwoty 2 170 650 zł lub kwoty stanowiącej równowartość 0,5 % całkowitego rocznego przychodu wykazanego w ostatnim sprawozdaniu finansowym za rok obrotowy, zatwierdzonym przez organ zatwierdzający, lub

3) nałożyć karę pieniężną do wysokości nieprzekraczającej kwoty 217 065 zł na osoby fizyczne odpowiedzialne za zaistniałe naruszenia.

2. W przypadku gdy:

1) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1-3, nie wykonuje nakazu, o którym mowa w art. 18zt ust. 1 lub 3, albo wykonuje go nienależycie,

2) podmiot, o którym mowa w art. 18zq ust. 1 pkt 4, nie wykonuje nakazu, o którym mowa w art. 18zu ust. 1, albo wykonuje go nienależycie,

3) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, oferujący, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, podmiot, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, lub inny podmiot działający w ich imieniu lub na ich zlecenie nie wykonuje nakazu, o którym mowa w art. 18zv ust. 1 pkt 1, albo wykonuje go nienależycie, albo narusza zakaz, o którym mowa w art. 18zv ust. 1 pkt 2,

4) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, oferujący, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, lub inny podmiot uczestniczący w ofercie, subskrypcji lub sprzedaży w imieniu lub na zlecenie podmiotu, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, lub oferującego, o którym mowa w art. 2 lit. i rozporządzenia 2017/1129, nie wykonuje nakazu, o którym mowa w art. 18zv ust. 1 pkt 3, albo wykonuje go nienależycie, albo narusza zakaz, o którym mowa w art. 18zv ust. 1 pkt 4,

5) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1 albo 2, podmiot, o którym mowa w art. 11a ust. 2 ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych, lub podmiot występujący w ich imieniu lub na ich zlecenie nie wykonuje nakazu, o którym mowa w art. 18zv ust. 1 pkt 5, albo wykonuje go nienależycie, albo narusza zakaz, o którym mowa w art. 18zv ust. 1 pkt 6

- Komisja może nałożyć na ten podmiot karę pieniężną do wysokości 5 000 000 zł.

3. W przypadku gdy jest możliwe ustalenie kwoty korzyści uzyskanych lub strat unikniętych w wyniku naruszenia przepisów wymienionych w ust. 1, kara pieniężna, o której mowa w ust. 1 pkt 2, może zostać nałożona do wysokości dwukrotności kwoty korzyści uzyskanych lub strat unikniętych.

4. W przypadku gdy podmiot, o którym mowa w art. 18zq ust. 1, jest jednostką dominującą albo jednostką zależną jednostki dominującej, która sporządza skonsolidowane sprawozdanie finansowe, całkowity roczny przychód, o którym mowa w ust. 1 pkt 2, stanowi kwota całkowitego skonsolidowanego rocznego przychodu jednostki dominującej najwyższego szczebla wykazana w ostatnim skonsolidowanym sprawozdaniu finansowym jednostki dominującej za rok obrotowy, zatwierdzonym przez organ zatwierdzający jednostki dominującej.

5. Komisja, ustalając rodzaj i wysokość kary, uwzględnia okoliczności, o których mowa w art. 50 ust. 1 rozporządzenia 2023/2631.

6. W przypadku podmiotu, o którym mowa w art. 18zq ust. 1, będącego funduszem inwestycyjnym zamkniętym kara pieniężna jest nakładana na towarzystwo funduszy inwestycyjnych będące organem tego funduszu.

7. W przypadku podmiotu, o którym mowa w art. 18zq ust. 1, będącego alternatywną spółką inwestycyjną zarządzaną przez zewnętrznie zarządzającego ASI albo zarządzającego z UE w rozumieniu ustawy o funduszach inwestycyjnych kara pieniężna nakładana jest odpowiednio na tych zarządzających.

8. W przypadku stwierdzenia naruszenia przepisów tytułu II rozdziału 2, art. 18, art. 19 lub art. 21 rozporządzenia 2023/2631 przez osobę fizyczną Komisja może, w decyzji o zastosowaniu środków, o których mowa w ust. 1, zakazać tej osobie fizycznej udziału w procesie emisji europejskich zielonych obligacji na czas określony, nieprzekraczający roku.

9. W przypadku gdy podmiot, o którym mowa w art. 18zq ust. 1 pkt 1, poważnie i wielokrotnie naruszył obowiązki, o których mowa w przepisach tytułu II rozdziału 2 rozporządzenia 2023/2631, podmiot, o którym mowa w art. 18zq ust. 1 pkt 2, poważnie i wielokrotnie naruszył obowiązki, o których mowa w art. 14 ust. 1, art. 15, art. 18 lub art. 19 rozporządzenia 2023/2631, lub podmiot, o którym mowa w art. 18zq ust. 1 pkt 3, poważnie i wielokrotnie naruszył obowiązki, o których mowa w przepisach tytułu II rozdziału 2, art. 18 lub art. 19 rozporządzenia 2023/2631, Komisja może dodatkowo zakazać temu podmiotowi emitowania europejskich zielonych obligacji przez okres nieprzekraczający roku.

Art. 18zza. 1. W przypadku gdy:

1) podmiot, o którym mowa w art. 18zq ust. 1 pkt 1, dla którego Rzeczpospolita Polska jest przyjmującym państwem członkowskim w rozumieniu art. 2 pkt 8 rozporządzenia 2023/2631, nie wykonuje obowiązków, o których mowa w przepisach tytułu II rozdziału 2, art. 18 lub art. 19 rozporządzenia 2023/2631, albo wykonuje te obowiązki nienależycie,

2) podmiot, o którym mowa w art. 18zq ust. 1 pkt 2, dla którego Rzeczpospolita Polska jest przyjmującym państwem członkowskim w rozumieniu art. 2 pkt 8 rozporządzenia 2023/2631, nie wykonuje obowiązków, o których mowa w art. 14 ust. 1, art. 15, art. 18 lub art. 19 rozporządzenia 2023/2631, albo wykonuje te obowiązki nienależycie albo jego jednostka inicjująca w rozumieniu art. 2 pkt 3 rozporządzenia 2017/2402, która korzysta ze środków pochodzących z emisji obligacji sekurytyzacyjnych, o których mowa w art. 2 pkt 22 rozporządzenia 2023/2631, mających oznakowanie „europejska zielona obligacja” lub „EuGB”, wyemitowanych przez ten podmiot, nie wykonuje obowiązków, o których mowa w przepisach tytułu II rozdziału 2 lub art. 18 lub art. 19 rozporządzenia 2023/2631, albo wykonuje te obowiązki nienależycie

- Komisja przekazuje informację o tym zdarzeniu właściwemu organowi państwa macierzystego w rozumieniu art. 2 pkt 7 rozporządzenia 2023/2631 tego podmiotu oraz Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych.

2. W przypadku gdy mimo poinformowania przez Komisję właściwy organ państwa macierzystego w rozumieniu art. 2 pkt 7 rozporządzenia 2023/2631 podmiotu, o którym mowa w ust. 1, nie podejmuje działań mających zapobiec dalszemu naruszaniu przepisów prawa lub gdy te działania są nieskuteczne, Komisja może, w celu ochrony interesu inwestorów, po uprzednim poinformowaniu tego organu zastosować sankcje, o których mowa w art. 18zz ust. 1. Komisja niezwłocznie przekazuje Komisji Europejskiej i Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych informację o zastosowaniu tych sankcji.

Art. 18zzb. 1. Komisja przekazuje do publicznej wiadomości przez udostępnienie na swojej stronie internetowej:

1) informację o treści rozstrzygnięcia oraz rodzaju i charakterze naruszenia, zawierającą imię i nazwisko osoby fizycznej lub firmę (nazwę) podmiotu, wobec których zastosowano środek, o którym mowa w art. 18zz ust. 1, 2, 8 i 9;

2) w przypadku złożenia wniosku o ponowne rozpatrzenie sprawy lub skargi do wojewódzkiego sądu administracyjnego w odniesieniu do decyzji o zastosowaniu środka, o którym mowa w art. 18zz ust. 1, 2, 8 i 9 - informację o ich złożeniu, jeżeli Komisja przekazała do publicznej wiadomości informację o decyzji, której ten wniosek lub ta skarga dotyczą;

3) informację o treści rozstrzygnięcia ostatecznej decyzji o zastosowaniu środka, o którym mowa w art. 18zz ust. 1, 2, 8 i 9, a w przypadku gdy w odniesieniu do decyzji o zastosowaniu środka, o którym mowa w art. 18zz ust. 1, 2, 8 i 9, została wniesiona skarga do wojewódzkiego sądu administracyjnego - informację o treści prawomocnego wyroku sądu administracyjnego;

4) informację o uchyleniu, zmianie albo stwierdzeniu nieważności przez Komisję ostatecznej decyzji o zastosowaniu środka, o którym mowa w art. 18zz ust. 1, 2, 8 i 9.

2. Przekazanie do publicznej wiadomości informacji, o której mowa w ust. 1 pkt 1, następuje niezwłocznie po doręczeniu decyzji stronie postępowania.

3. Komisja może, w drodze uchwały, opóźnić przekazanie do publicznej wiadomości informacji, o której mowa w ust. 1, lub przekazać taką informację bez wskazywania osoby fizycznej lub firmy (nazwy) podmiotu, wobec których zastosowano środek, w przypadku stwierdzenia, że podanie takiej informacji do publicznej wiadomości:

1) wyrządziłoby niewspółmierną i znaczącą szkodę uczestnikom rynku finansowego;

2) jest nieproporcjonalne do wagi stwierdzonego naruszenia - w przypadku danych osobowych lub firmy (nazwy) podmiotu;

3) stanowiłoby poważne zagrożenie dla stabilności systemu finansowego lub będącego w toku postępowania administracyjnego, wyjaśniającego lub karnego.

4. Komisja może nie przekazywać do publicznej wiadomości informacji o zastosowaniu środka, o którym mowa w art. 18zz ust. 1, 2, 8 i 9, w przypadku stwierdzenia, że podanie takiej informacji do publicznej wiadomości mogłoby:

1) naruszyć stabilność systemu finansowego lub

2) wyrządzić niewspółmierną i znaczącą szkodę podmiotom, które dopuściły się naruszenia.

5. W przypadku gdy Komisja nie przekazała do publicznej wiadomości informacji o imieniu i nazwisku osoby fizycznej lub firmie (nazwie) podmiotu, może upublicznić te dane, jeżeli ustały przesłanki, o których mowa w ust. 3, nie później jednak niż w terminie 5 lat, licząc od dnia wydania decyzji o zastosowaniu środka, o którym mowa w art. 18zz ust. 1, 2, 8 i 9, wobec tej osoby lub tego podmiotu.

6. Informacje, o których mowa w ust. 1, są dostępne na stronie internetowej Komisji przez co najmniej 5 lat, licząc od dnia ich udostępnienia, z tym że informacje dotyczące imienia i nazwiska osoby fizycznej, wobec której został zastosowany środek, o którym mowa w art. 18zz ust. 1, 2, 8 i 9, są dostępne na tej stronie przez rok.

Art. 18zzc. 1. Komisja równocześnie z przekazaniem do publicznej wiadomości informacji, o których mowa w art. 18zzb ust. 1, przekazuje te informacje Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych.

2. Po zastosowaniu środków, o których mowa w art. 18zzb ust. 3 i 4, Komisja niezwłocznie informuje o tym Europejski Urząd Nadzoru Giełd i Papierów Wartościowych.

3. Komisja przekazuje corocznie Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych informację o przypadkach zastosowania w poprzednim roku kalendarzowym środków, o których mowa w art. 18zz ust. 1, 2, 8 i 9.”;

7) w art. 19a dodaje się ust. 9 w brzmieniu:

„9. W przypadku otrzymania zwrotu, o którym mowa w art. 43 ust. 1 rozporządzenia 2022/2554, kwotę różnicy, o której mowa w ust. 7 zdanie drugie, pomniejsza się o kwotę tego zwrotu.”;

8) w art. 19e ust. 1 i 2 otrzymują brzmienie:

„1. Wpływy z tytułu kar pieniężnych nakładanych przez Komisję na podstawie art. 3c ust. 1 pkt 5, art. 3g ust. 1 pkt 7, art. 3h ust. 2 pkt 2, art. 3ha ust. 1 pkt 2, art. 3s ust. 1, art. 11c ust. 7, art. 18u, art. 18zm ust. 1 pkt 3 i art. 18zz ust. 1 pkt 2 i 3 i ust. 2 oraz na podstawie ustaw, o których mowa w art. 1 ust. 2, stanowią przychód Funduszu Edukacji Finansowej, o którym mowa w ustawie z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej (Dz. U. z 2024 r. poz. 1109 oraz z 2025 r. poz. 146 i 1069).

2. Do należności z tytułu kar pieniężnych nakładanych przez Komisję na podstawie art. 3c ust. 1 pkt 5, art. 3g ust. 1 pkt 7, art. 3h ust. 2 pkt 2, art. 3ha ust. 1 pkt 2, art. 3s ust. 1, art. 11c ust. 7, art. 18u, art. 18zm ust. 1 pkt 3 i art. 18zz ust. 1 pkt 2 i 3 i ust. 2 oraz na podstawie ustaw, o których mowa w art. 1 ust. 2, stosuje się odpowiednio przepisy działu III ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa oraz przepisy ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.”;

9) w art. 20b w ust. 1 po wyrazach „art. 3d ust. 2,” dodaje się wyrazy „art. 18zc ust. 1 oraz art. 18zq ust. 1,”.

„Art. 2a. 1. Do kasy i Kasy Krajowej stosuje się przepisy:

1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.¹⁷⁾);

2) ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2025 r. poz. 640 i 1069) dotyczące nadzoru nad przestrzeganiem przepisów w zakresie określonym w pkt 1.

2. Do kasy i Kasy Krajowej przekraczającej pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.¹⁸⁾) według stanu na dzień sporządzenia sprawozdania finansowego, lub która spełnia pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do tego rozporządzenia według stanu na dzień sporządzenia sprawozdania finansowego, nie stosuje się przepisu art. 16 rozporządzenia, o którym mowa w ust. 1 pkt 1.”.

1) w art. 2 po pkt 9aa dodaje się pkt 9ab w brzmieniu:

„9ab) ICT - technologie informacyjno-komunikacyjne, o których mowa w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.¹⁹⁾), zwanym dalej „rozporządzeniem 2022/2554”;”;

2) w art. 6 pkt 10 otrzymuje brzmienie:

„10) usług świadczonych przez dostawców usług technicznych, wspierających świadczenie usług płatniczych, jeżeli nie wchodzą oni w posiadanie środków pieniężnych będących przedmiotem transakcji płatniczej, w szczególności usług przetwarzania i przechowywania danych, usług powierniczych i ochrony prywatności, uwierzytelniania danych i podmiotów, ICT, dostarczania technologii informatycznych i sieci komunikacyjnych, dostarczania i utrzymania terminali i urządzeń wykorzystywanych do świadczenia usług płatniczych, z wyjątkiem usług inicjowania transakcji płatniczej i usług dostępu do informacji o rachunku;”;

3) po art. 32g dodaje się art. 32ga w brzmieniu:

„Art. 32ga. Przepisów art. 32g nie stosuje się do dostawców, o których mowa w art. 4 ust. 2 pkt 1-4, 6 i 9-12.”;

4) w art. 61 w ust. 1 pkt 6 otrzymuje brzmienie:

„6) opis systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, zatwierdzone regulacje wewnętrzne w tym zakresie oraz ustalenia dotyczące korzystania z usług ICT w rozumieniu art. 3 pkt 21 rozporządzenia 2022/2554, wykazujące, że te zasady zarządzania ryzykiem i mechanizmy kontroli wewnętrznej są proporcjonalne, właściwe, rzetelne i adekwatne;”;

5) w art. 64a:

a) w ust. 1 w pkt 4:

- lit. b otrzymuje brzmienie:

„b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w przepisach rozdziału III rozporządzenia 2022/2554,”,

- lit. e otrzymuje brzmienie:

„e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na rzecz ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, a także procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów zgodnie z przepisami rozporządzenia 2022/2554,”,

b) ust. 3a otrzymuje brzmienie:

„3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu operacyjnej odporności cyfrowej zgodnie z przepisami rozdziału II rozporządzenia 2022/2554, w szczególności w zakresie bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów ICT stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w przepisach działu IIa.”;

6) w art. 86 w ust. 5 wprowadzenie do wyliczenia otrzymuje brzmienie:

„Krajowa instytucja płatnicza może powierzyć innemu przedsiębiorcy wykonywanie istotnych czynności operacyjnych, w tym związanych z systemami ICT, jeżeli nie wpłynie to niekorzystnie na prowadzenie przez krajową instytucję płatniczą działalności zgodnie z przepisami prawa i wydanym jej zezwoleniem oraz na ostrożne i stabilne zarządzanie krajową instytucją płatniczą oraz jeżeli:”.

1) w art. 6 w ust. 2 pkt 4 otrzymuje brzmienie:

„4) określony został cel emisji - wskazanie tego celu, a w przypadku europejskich zielonych obligacji, o których mowa w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2631 z dnia 22 listopada 2023 r. w sprawie europejskich zielonych obligacji oraz opcjonalnego ujawniania informacji na temat obligacji wprowadzanych do obrotu jako zrównoważone środowiskowo i obligacji powiązanych ze zrównoważonym rozwojem (Dz. Urz. UE L 2023/2631 z 30.11.2023, z późn. zm.²⁰⁾), ogólne wskazanie tego celu wraz z informacją, że planowana alokacja przychodów z obligacji jest określona w arkuszu informacyjnym europejskiej zielonej obligacji, o którym mowa w art. 10 ust. 1 lit. a tego rozporządzenia;”;

2) uchyla się art. 27p-27r.

„1) kar pieniężnych nakładanych przez Komisję Nadzoru Finansowego na podstawie ustaw, o których mowa w art. 1 ust. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2025 r. poz. 640 i 1069), oraz art. 3c ust. 1 pkt 5, art. 3g ust. 1 pkt 7, art. 3h ust. 2 pkt 2, art. 3ha ust. 1 pkt 2, art. 3s ust. 1, art. 11c ust. 7, art. 18u, art. 18zm ust. 1 pkt 3 oraz art. 18zz ust. 1 pkt 2 i 3 oraz ust. 2 tej ustawy, z wyjątkiem kar pieniężnych nakładanych przez Komisję Nadzoru Finansowego na podstawie art. 138 ust. 3 pkt 3a i art. 141 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe oraz art. 72 ustawy z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych;”.

„2. W celu realizacji zadań, o których mowa w ust. 1, zakład ubezpieczeń i zakład reasekuracji ustanawiają także sieci i systemy informatyczne oraz zarządzają nimi zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.²¹⁾).

3. Przepisu ust. 2 nie stosuje się do zakładów ubezpieczeń, które spełniają warunki, o których mowa w art. 101 ust. 1 i art. 109 ust. 1. Przepisy art. 101 ust. 2 i 4 oraz art. 109 ust. 3 stosuje się odpowiednio.”.

1) w art. 2 po pkt 55c dodaje się pkt 55d w brzmieniu:

„55d) rozporządzenie 2022/2554 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.²²⁾);”;

2) w art. 80 po ust. 2 dodaje się ust. 2a w brzmieniu:

„2a. Fundusz, dokonując oceny wykonalności planów przymusowej restrukturyzacji i grupowych planów przymusowej restrukturyzacji, stosuje kryteria obejmujące:

1) prawne aspekty działalności podmiotu lub podmiotu należącego do grupy, stosowane przez niego procedury, jego strukturę i funkcjonowanie linii biznesowych;

2) specyfikę świadczonych usług;

3) obsługę systemów informacji zarządczej;

4) stosowanie gwarancji wewnątrzgrupowych, transakcji zabezpieczających oraz możliwość wsparcia ze strony państw trzecich;

5) operacyjną odporność cyfrowej sieci i systemów informatycznych;

6) wpływ, jaki przymusowa restrukturyzacja miałaby na podmioty powiązane, w tym wierzycieli, kontrahentów, pracowników, a także funkcjonowanie systemów płatniczych, rozliczeniowych oraz całego systemu finansowego i gospodarki.”;

3) w art. 81 w ust. 1:

a) pkt 3 otrzymuje brzmienie:

„3) sposób wydzielenia, w niezbędnym zakresie, funkcji krytycznych i głównych linii biznesowych podmiotu z innych funkcji, w tym w celu zapewnienia ich ciągłości i operacyjnej odporności cyfrowej, o której mowa w art. 3 pkt 1 rozporządzenia 2022/2554;”,

b) pkt 16 otrzymuje brzmienie:

„16) opis podstawowych operacji i systemów zapewniających ciągłość funkcjonowania procesów operacyjnych podmiotu, w tym sieci i systemów informatycznych, o których mowa w art. 3 pkt 2 rozporządzenia 2022/2554;”;

4) art. 87 otrzymuje brzmienie:

„Art. 87. Minister właściwy do spraw instytucji finansowych określi, w drodze rozporządzenia:

1) szczegółowy zakres, sposób, tryb i terminy przekazywania Funduszowi przez podmioty informacji niezbędnych do opracowania, przeglądu i aktualizacji planów przymusowej restrukturyzacji i grupowych planów przymusowej restrukturyzacji, uwzględniając rozmiar podmiotu, jego profil ryzyka, formę prawną oraz udział w systemie ochrony instytucjonalnej;

2) szczegółowe kryteria dokonywanej przez Fundusz oceny wykonalności planów przymusowej restrukturyzacji i grupowych planów przymusowej restrukturyzacji, o których mowa w art. 80 ust. 2a, uwzględniając potrzebę zapewnienia realizacji celów przymusowej restrukturyzacji.”.

1) w art. 62 w ust. 2 w pkt 2 wyrazy „art. 80 pkt 2” zastępuje się wyrazami „art. 80 ust. 1 pkt 2”;

2) w art. 83:

a) w ust. 1 w pkt 4 wyrazy „w art. 80 pkt 1” zastępuje się wyrazami „w art. 80 ust. 1 pkt 1”,

b) w ust. 2 we wprowadzeniu do wyliczenia wyrazy „w art. 80 pkt 2” zastępuje się wyrazami „w art. 80 ust. 1 pkt 2”,

c) w ust. 3 we wprowadzeniu do wyliczenia wyrazy „w art. 80 pkt 3” zastępuje się wyrazami „w art. 80 ust. 1 pkt 3”.

1) po art. 16 dodaje się art. 16a w brzmieniu:

„Art. 16a. Operatorzy usług kluczowych działający w sektorze bankowym i infrastruktury rynków finansowych w zakresie, w jakim mają obowiązek stosować rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.²³⁾), nie stosują przepisów art. 8, art. 9 ust. 1 pkt 2, art. 10-12 i art. 15.”;

2) w art. 65 w ust. 1 w pkt 7 kropkę zastępuje się średnikiem i dodaje się pkt 8 w brzmieniu:

„8) współdziałania zespołów CSIRT MON, CSIRT GOV i CSIRT NASK oraz Komisji Nadzoru Finansowego w zakresie działalności operatorów usług kluczowych działających w sektorze bankowym i infrastruktury rynków finansowych.”;

3) w art. 66 w ust. 4 w pkt 4 kropkę zastępuje się średnikiem i dodaje się pkt 5 w brzmieniu:

„5) Przewodniczący Komisji Nadzoru Finansowego.”.

Prezydent Rzeczypospolitej Polskiej: A. Duda

¹⁾ Niniejsza ustawa:

1) służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1 oraz Dz. Urz. UE L 2024/90177 z 12.03.2024);

2) służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2631 z dnia 22 listopada 2023 r. w sprawie europejskich zielonych obligacji oraz opcjonalnego ujawniania informacji na temat obligacji wprowadzanych do obrotu jako zrównoważone środowiskowo i obligacji powiązanych ze zrównoważonym rozwojem (Dz. Urz. UE L 2023/2631 z 30.11.2023 oraz Dz. Urz. UE L 2023/2869 z 20.12.2023);

3) w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 r. w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego (Dz. Urz. UE L 333 z 27.12.2022, str. 153);

4) w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady 2014/59/UE z dnia 15 maja 2014 r. ustanawiającą ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych oraz zmieniającą dyrektywę Rady 82/891/EWG i dyrektywy Parlamentu Europejskiego i Rady 2001/24/WE, 2002/47/WE, 2004/25/WE, 2005/56/WE, 2007/36/WE, 2011/35/UE, 2012/30/UE i 2013/36/EU oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 i (UE) nr 648/2012 (Dz. Urz. UE L 173 z 12.06.2014, str. 190, Dz. Urz. UE L 349 z 05.12.2014, str. 68, Dz. Urz. UE L 345 z 27.12.2017, str. 96, Dz. Urz. UE L 150 z 07.06.2019, str. 296, Dz. Urz. UE L 203 z 01.08.2019, str. 10, Dz. Urz. UE L 314 z 05.12.2019, str. 64, Dz. Urz. UE L 328 z 18.12.2019, str. 29, Dz. Urz. UE L 22 z 22.01.2021, str. 1, Dz. Urz. UE L 275 z 25.10.2022, str. 1, Dz. Urz. UE L 333 z 27.12.2022, str. 153, Dz. Urz. UE L 2023/2864 z 20.12.2023, Dz. Urz. UE L 2024/1174 z 22.04.2024 oraz Dz. Urz. UE L 2025/1 z 08.01.2025).

²⁾ Niniejszą ustawą zmienia się ustawy: ustawę z dnia 7 lipca 1994 r. o ubezpieczeniach gwarantowanych przez Skarb Państwa, ustawę z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych, ustawę z dnia 29 sierpnia 1997 r. - Prawo bankowe, ustawę z dnia 14 marca 2003 r. o Banku Gospodarstwa Krajowego, ustawę z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, ustawę z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym, ustawę z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi, ustawę z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym, ustawę z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych, ustawę z dnia 19 sierpnia 2011 r. o usługach płatniczych, ustawę z dnia 15 stycznia 2015 r. o obligacjach, ustawę z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej, ustawę z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, ustawę z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji, ustawę z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń oraz ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

³⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

⁴⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

⁵⁾ Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2024 r. poz. 1685 i 1863 oraz z 2025 r. poz. 146, 222, 525, 769 i 820.

⁶⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

⁷⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

⁸⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

⁹⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2023/2869 z 20.12.2023.

¹⁰⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

¹¹⁾ Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 320 z 11.12.2019, str. 1, Dz. Urz. UE L 347 z 20.10.2020, str. 1 oraz Dz. Urz. UE L 68 z 26.02.2021, str. 1.

¹²⁾ Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 320 z 11.12.2019, str. 1, Dz. Urz. UE L 347 z 20.10.2020, str. 1, Dz. Urz. UE L 68 z 26.02.2021, str. 1, Dz. Urz. UE L 2023/2869 z 20.12.2023 oraz Dz. Urz. UE L 2024/2809 z 14.11.2024.

¹³⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

¹⁴⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2023/2869 z 20.12.2023.

¹⁵⁾ Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35.

¹⁶⁾ Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 149 z 07.06.2016, str. 10, Dz. Urz. UE L 156 z 20.06.2017, str. 1, Dz. Urz. UE L 26 z 31.01.2018, str. 53, Dz. Urz. UE L 215 z 07.07.2020, str. 3, Dz. Urz. UE L 89 z 16.03.2021, str. 1, Dz. Urz. UE L 270 z 29.07.2021, str. 39, Dz. Urz. UE L 119 z 05.05.2023, str. 159, Dz. Urz. UE L 167 z 30.06.2023, str. 1 oraz Dz. Urz. UE L 329 z 15.12.2025, str. 28.

¹⁷⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

¹⁸⁾ Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 329 z 15.12.2025, str. 28, Dz. Urz. UE L 149 z 07.06.2016, str. 10, Dz. Urz. UE L 156 z 20.06.2017, str. 1, Dz. Urz. UE L 26 z 31.01.2018, str. 53, Dz. Urz. UE L 215 z 07.07.2020, str. 3, Dz. Urz. UE L 89 z 16.03.2021, str. 1, Dz. Urz. UE L 270 z 29.07.2021, str. 39, Dz. Urz. UE L 119 z 05.05.2023, str. 159 oraz Dz. Urz. UE L 167 z 30.06.2023, str. 1.

¹⁹⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

²⁰⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2023/2869 z 20.12.2023.

²¹⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

²²⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

²³⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.

²⁴⁾ Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z 12.03.2024.