§ 21
Dz.U. 2024 poz. 1423
Treść przepisu
§ 21.
1.
Firma inwestycyjna zabezpiecza systemy informatyczne firmy inwestycyjnej i wykorzystywane
w prowadzonej działalności maklerskiej podsystemy informatyczne w sposób uniemożliwiający
nieuprawniony dostęp do danych przetwarzanych w tych systemach i podsystemach.
2.
Firma inwestycyjna stosuje zabezpieczenia urządzeń uniemożliwiające nieuprawniony
dostęp do systemów i podsystemów informatycznych oraz przetwarzania danych. Firma
inwestycyjna opracowuje i wdraża wewnętrzne procedury regulujące dostęp do systemów
i podsystemów informatycznych oraz jego kontrolę, zapewniające możliwość odtworzenia
dostępu wraz z historią modyfikacji i przetwarzania danych.
3.
Firma inwestycyjna stosuje mechanizmy służące zapewnieniu bezpieczeństwa środków przekazu
informacji i ich uwierzytelniania, minimalizowaniu ryzyka uszkodzenia danych oraz
nieuprawnionego dostępu i zapobieganiu wyciekowi informacji, zgodnie z wymogami określonymi
w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia
2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającym
rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014
oraz (UE) nr 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 153, z późn. zm.) 6)Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 2024/90177 z
12.03.2024..
4.
Firma inwestycyjna podejmuje działania mające na celu zapewnienie ciągłości obsługi
oraz pracy urządzeń oraz systemów i podsystemów informatycznych wykorzystywanych w
prowadzonej działalności maklerskiej, w szczególności przez:
1)
przeprowadzanie testów prawidłowości działania urządzeń oraz systemów i podsystemów
informatycznych w przypadku ich wdrożenia lub modyfikacji, w oparciu o opracowane,
wdrożone i stosowane procedury wewnętrzne określające metodologię przeprowadzanych
testów;
2)
monitorowanie w czasie rzeczywistym oraz dokonywanie okresowych przeglądów i ocen
wykorzystywanych urządzeń oraz systemów i podsystemów informatycznych w celu identyfikowania
i eliminacji potencjalnych lub rzeczywistych zakłóceń;
3)
zapewnienie wydajności urządzeń oraz systemów i podsystemów informatycznych w stopniu
odpowiadającym skali prowadzonej działalności, racjonalnie przewidywalnego wzrostu
skali działalności w najbliższym czasie oraz nadzwyczajnych warunków, które mogłyby
zakłócić pracę urządzeń oraz systemów i podsystemów informatycznych;
4)
zapewnienie odpowiednich zasobów kadrowych posiadających stosowne uprawnienia do dostępu
do urządzeń oraz systemów i podsystemów, odpowiednie kwalifikacje oraz wystarczającą
ilość czasu na realizację obowiązków;
5)
zabezpieczenie urządzeń oraz systemów i podsystemów informatycznych przed utratą danych
spowodowaną awarią zasilania, innymi awariami lub zakłóceniami oraz innymi zdarzeniami
losowymi;
6)
opracowanie i wdrożenie procedur związanych z wykorzystywaniem urządzeń oraz systemów
i podsystemów informatycznych oraz procedur w zakresie zapewnienia ciągłości działania
i zasad zachowania ciągłości działania w przypadku wystąpienia sytuacji nadzwyczajnych;
7)
tworzenie, nie rzadziej niż raz dziennie, kopii baz danych i posiadanie niezbędnych
narzędzi umożliwiających odtworzenie i wykorzystanie danych oraz podjęcie pracy urządzeń
oraz systemów i podsystemów informatycznych w przypadku awarii lub utraty części lub
całości danych w bazach danych na skutek wystąpienia sytuacji nadzwyczajnej;
8)
przechowywanie kopii baz danych w miejscu, w którym nie dojdzie do utraty kopii baz
danych w przypadku awarii lub utraty części lub całości danych w bazach danych na
skutek wystąpienia sytuacji nadzwyczajnej.
5.
W związku z wykorzystywaniem urządzeń oraz systemów i podsystemów informatycznych
w ramach działalności skutkującej wprowadzaniem zleceń do systemu obrotu firma inwestycyjna
w zakresie, w którym nie podlega regulacjom rozporządzenia delegowanego Komisji (UE) 2017/589 z dnia 19 lipca 2016 r. uzupełniającego
dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych
standardów technicznych określających wymogi organizacyjne dla firm inwestycyjnych
prowadzących handel algorytmiczny
(Dz. Urz. UE L 87 z 31.03.2017, str. 417), opracowuje, wdraża i stosuje odpowiednie rozwiązania zapewniające:
1)
możliwość automatycznego odrzucania, blokowania lub anulowania wprowadzonych do systemów
lub podsystemów zleceń, które nie spełniają wymagań określonych przez przepisy prawa,
firmę inwestycyjną lub inny podmiot, w tym spółkę prowadzącą rynek regulowany lub
ASO;
2)
informowanie inspektora nadzoru, o którym mowa w § 24 ust. 2, i kierownika jednostki
realizującej funkcję zarządzania ryzykiem albo osoby odpowiedzialnej za wdrożenie
systemu zarządzania ryzykiem o przypadku zamiaru wykonania lub przekazania w systemach
lub podsystemach informatycznych zleceń, które zostały zablokowane lub anulowane;
3)
zgodność funkcji urządzeń oraz systemów i podsystemów informatycznych z wymaganiami
systemów informatycznych podmiotu, do którego są kierowane zlecenia, w szczególności
spółki prowadzącej rynek regulowany lub ASO oraz podmiotów prowadzących rozliczenie
lub rozrachunek transakcji, których uczestnikiem jest firma inwestycyjna.
6.
Firma inwestycyjna, która prowadzi rachunki lub rachunki pieniężne, zapewnia, że systemy
i podsystemy informatyczne gwarantują możliwość tworzenia, za okresy nie krótsze niż
okresy, w których firma inwestycyjna jest obowiązana do przechowywania danych związanych
z prowadzoną działalnością maklerską, historii rachunków lub rachunków pieniężnych
oraz rejestrów operacyjnych, zawierających chronologiczne zestawienie dokonywanych
operacji, w szczególności dane dotyczące:
1)
w odniesieniu do rachunku pieniężnego:
a)
salda początkowego i końcowego środków pieniężnych za każdy dzień,
b)
wpłat na rachunek, z uwzględnieniem wpłat dokonanych w formie przelewu, w szczególności
kwot poszczególnych wpłat, daty i opisu operacji oraz dokumentu źródłowego,
c)
wypłat z rachunku, w szczególności kwot poszczególnych wypłat, daty i opisu operacji
oraz dokumentu źródłowego,
d)
przelewów środków pieniężnych z rachunku, w szczególności kwot poszczególnych przelewów,
daty i opisu operacji oraz dokumentu źródłowego,
e)
środków z rozliczonych w danym dniu transakcji, w szczególności kwot rozliczonych
środków, daty i opisu operacji oraz dokumentu źródłowego,
f)
blokady środków pieniężnych w związku ze złożeniem zlecenia kupna instrumentów finansowych,
w szczególności kwot środków objętych blokadą, daty i opisu operacji oraz numeru zlecenia,
g)
blokady środków pieniężnych ustanowionej w przypadku innym niż określony w lit. f,
w szczególności kwoty środków objętych blokadą,
h)
zniesienia blokady środków pieniężnych w związku z anulowaniem zlecenia kupna instrumentów
finansowych, w szczególności daty i numeru zlecenia,
i)
naliczonych odsetek za opóźnienie, w szczególności daty i opisu operacji;
2)
w odniesieniu do rachunku papierów wartościowych i rachunku zbiorczego:
a)
salda początkowego i końcowego dla każdego rodzaju instrumentów finansowych za każdy
dzień,
b)
blokady instrumentów finansowych, w szczególności liczby instrumentów finansowych
objętych blokadą, daty i opisu operacji,
c)
nabycia instrumentów finansowych w drodze wykonania zlecenia kupna w obrocie zorganizowanym,
w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
d)
nabycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności liczby
instrumentów finansowych, daty zapisania na rachunku i opisu operacji oraz dokumentu
źródłowego,
e)
zbycia instrumentów finansowych w drodze wykonania zlecenia sprzedaży w obrocie zorganizowanym,
w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
f)
zbycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności daty
i numeru zlecenia oraz liczby instrumentów finansowych,
g)
przeniesienia instrumentów finansowych na inny rachunek papierów wartościowych lub
rachunek zbiorczy należący do tego samego podmiotu, w szczególności liczby instrumentów
finansowych, daty i opisu operacji oraz dokumentu źródłowego.
7.
Przepisy ust. 6 pkt 2 stosuje się odpowiednio w przypadku rejestrowania przez firmę
inwestycyjną instrumentów finansowych w sposób inny niż na rachunkach papierów wartościowych
lub na rachunkach zbiorczych.
8.
W przypadku przechowywania instrumentów finansowych systemy i podsystemy informatyczne
firmy inwestycyjnej gwarantują możliwość rejestrowania danych umożliwiających identyfikację
instrumentów finansowych będących przedmiotem poszczególnych operacji.
9.
Przepisy:
1)
ust. 1-4 i ust. 6 pkt 2 stosuje się odpowiednio do banku powierniczego w zakresie
systemów informatycznych służących do prowadzenia rachunków;
2)
ust. 1-5 i ust. 6 pkt 2 stosuje się odpowiednio do banku powierniczego w zakresie
systemów informatycznych służących do wykonywania czynności pośrednictwa w pożyczkach
papierów wartościowych.
10.
Przepisów ust. 1-8 nie stosuje się do:
1)
zagranicznej firmy inwestycyjnej;
2)
firmy inwestycyjnej prowadzącej ASO lub OTF, w zakresie prowadzenia ASO lub OTF, do
której ma zastosowanie rozporządzenie delegowane Komisji (UE) 2017/584 z dnia 14 lipca 2016 r. uzupełniające
dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych
standardów technicznych określających wymogi organizacyjne w zakresie systemów obrotu
(Dz. Urz. UE L 87 z 31.03.2017, str. 350).
Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy