1.
Firma inwestycyjna zabezpiecza systemy informatyczne firmy inwestycyjnej i wykorzystywane w prowadzonej działalności maklerskiej podsystemy informatyczne w sposób uniemożliwiający nieuprawniony dostęp do danych przetwarzanych w tych systemach i podsystemach.
2.
Firma inwestycyjna stosuje zabezpieczenia urządzeń uniemożliwiające nieuprawniony dostęp do systemów i podsystemów informatycznych oraz przetwarzania danych. Firma inwestycyjna opracowuje i wdraża wewnętrzne procedury regulujące dostęp do systemów i podsystemów informatycznych oraz jego kontrolę, zapewniające możliwość odtworzenia dostępu wraz z historią modyfikacji i przetwarzania danych.
3.
Firma inwestycyjna stosuje mechanizmy służące zapewnieniu bezpieczeństwa środków przekazu informacji i ich uwierzytelniania, minimalizowaniu ryzyka uszkodzenia danych oraz nieuprawnionego dostępu i zapobieganiu wyciekowi informacji, zgodnie z wymogami określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającym rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) nr 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 153, z późn. zm.).
4.
Firma inwestycyjna podejmuje działania mające na celu zapewnienie ciągłości obsługi oraz pracy urządzeń oraz systemów i podsystemów informatycznych wykorzystywanych w prowadzonej działalności maklerskiej, w szczególności przez:
1)
przeprowadzanie testów prawidłowości działania urządzeń oraz systemów i podsystemów informatycznych w przypadku ich wdrożenia lub modyfikacji, w oparciu o opracowane, wdrożone i stosowane procedury wewnętrzne określające metodologię przeprowadzanych testów;
2)
monitorowanie w czasie rzeczywistym oraz dokonywanie okresowych przeglądów i ocen wykorzystywanych urządzeń oraz systemów i podsystemów informatycznych w celu identyfikowania i eliminacji potencjalnych lub rzeczywistych zakłóceń;
3)
zapewnienie wydajności urządzeń oraz systemów i podsystemów informatycznych w stopniu odpowiadającym skali prowadzonej działalności, racjonalnie przewidywalnego wzrostu skali działalności w najbliższym czasie oraz nadzwyczajnych warunków, które mogłyby zakłócić pracę urządzeń oraz systemów i podsystemów informatycznych;
4)
zapewnienie odpowiednich zasobów kadrowych posiadających stosowne uprawnienia do dostępu do urządzeń oraz systemów i podsystemów, odpowiednie kwalifikacje oraz wystarczającą ilość czasu na realizację obowiązków;
5)
zabezpieczenie urządzeń oraz systemów i podsystemów informatycznych przed utratą danych spowodowaną awarią zasilania, innymi awariami lub zakłóceniami oraz innymi zdarzeniami losowymi;
6)
opracowanie i wdrożenie procedur związanych z wykorzystywaniem urządzeń oraz systemów i podsystemów informatycznych oraz procedur w zakresie zapewnienia ciągłości działania i zasad zachowania ciągłości działania w przypadku wystąpienia sytuacji nadzwyczajnych;
7)
tworzenie, nie rzadziej niż raz dziennie, kopii baz danych i posiadanie niezbędnych narzędzi umożliwiających odtworzenie i wykorzystanie danych oraz podjęcie pracy urządzeń oraz systemów i podsystemów informatycznych w przypadku awarii lub utraty części lub całości danych w bazach danych na skutek wystąpienia sytuacji nadzwyczajnej;
8)
przechowywanie kopii baz danych w miejscu, w którym nie dojdzie do utraty kopii baz danych w przypadku awarii lub utraty części lub całości danych w bazach danych na skutek wystąpienia sytuacji nadzwyczajnej.
5.
W związku z wykorzystywaniem urządzeń oraz systemów i podsystemów informatycznych w ramach działalności skutkującej wprowadzaniem zleceń do systemu obrotu firma inwestycyjna w zakresie, w którym nie podlega regulacjom rozporządzenia delegowanego Komisji (UE) 2017/589 z dnia 19 lipca 2016 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne dla firm inwestycyjnych prowadzących handel algorytmiczny (Dz. Urz. UE L 87 z 31.03.2017, str. 417), opracowuje, wdraża i stosuje odpowiednie rozwiązania zapewniające:
1)
możliwość automatycznego odrzucania, blokowania lub anulowania wprowadzonych do systemów lub podsystemów zleceń, które nie spełniają wymagań określonych przez przepisy prawa, firmę inwestycyjną lub inny podmiot, w tym spółkę prowadzącą rynek regulowany lub ASO;
2)
informowanie inspektora nadzoru, o którym mowa w § 24 ust. 2, i kierownika jednostki realizującej funkcję zarządzania ryzykiem albo osoby odpowiedzialnej za wdrożenie systemu zarządzania ryzykiem o przypadku zamiaru wykonania lub przekazania w systemach lub podsystemach informatycznych zleceń, które zostały zablokowane lub anulowane;
3)
zgodność funkcji urządzeń oraz systemów i podsystemów informatycznych z wymaganiami systemów informatycznych podmiotu, do którego są kierowane zlecenia, w szczególności spółki prowadzącej rynek regulowany lub ASO oraz podmiotów prowadzących rozliczenie lub rozrachunek transakcji, których uczestnikiem jest firma inwestycyjna.
6.
Firma inwestycyjna, która prowadzi rachunki lub rachunki pieniężne, zapewnia, że systemy i podsystemy informatyczne gwarantują możliwość tworzenia, za okresy nie krótsze niż okresy, w których firma inwestycyjna jest obowiązana do przechowywania danych związanych z prowadzoną działalnością maklerską, historii rachunków lub rachunków pieniężnych oraz rejestrów operacyjnych, zawierających chronologiczne zestawienie dokonywanych operacji, w szczególności dane dotyczące:
1)
w odniesieniu do rachunku pieniężnego:
a) salda początkowego i końcowego środków pieniężnych za każdy dzień,
b) wpłat na rachunek, z uwzględnieniem wpłat dokonanych w formie przelewu, w szczególności kwot poszczególnych wpłat, daty i opisu operacji oraz dokumentu źródłowego,
c) wypłat z rachunku, w szczególności kwot poszczególnych wypłat, daty i opisu operacji oraz dokumentu źródłowego,
d) przelewów środków pieniężnych z rachunku, w szczególności kwot poszczególnych przelewów, daty i opisu operacji oraz dokumentu źródłowego,
e) środków z rozliczonych w danym dniu transakcji, w szczególności kwot rozliczonych środków, daty i opisu operacji oraz dokumentu źródłowego,
f) blokady środków pieniężnych w związku ze złożeniem zlecenia kupna instrumentów finansowych, w szczególności kwot środków objętych blokadą, daty i opisu operacji oraz numeru zlecenia,
g) blokady środków pieniężnych ustanowionej w przypadku innym niż określony w lit. f, w szczególności kwoty środków objętych blokadą,
h) zniesienia blokady środków pieniężnych w związku z anulowaniem zlecenia kupna instrumentów finansowych, w szczególności daty i numeru zlecenia,
i) naliczonych odsetek za opóźnienie, w szczególności daty i opisu operacji;
a) salda początkowego i końcowego środków pieniężnych za każdy dzień,
b) wpłat na rachunek, z uwzględnieniem wpłat dokonanych w formie przelewu, w szczególności kwot poszczególnych wpłat, daty i opisu operacji oraz dokumentu źródłowego,
c) wypłat z rachunku, w szczególności kwot poszczególnych wypłat, daty i opisu operacji oraz dokumentu źródłowego,
d) przelewów środków pieniężnych z rachunku, w szczególności kwot poszczególnych przelewów, daty i opisu operacji oraz dokumentu źródłowego,
e) środków z rozliczonych w danym dniu transakcji, w szczególności kwot rozliczonych środków, daty i opisu operacji oraz dokumentu źródłowego,
f) blokady środków pieniężnych w związku ze złożeniem zlecenia kupna instrumentów finansowych, w szczególności kwot środków objętych blokadą, daty i opisu operacji oraz numeru zlecenia,
g) blokady środków pieniężnych ustanowionej w przypadku innym niż określony w lit. f, w szczególności kwoty środków objętych blokadą,
h) zniesienia blokady środków pieniężnych w związku z anulowaniem zlecenia kupna instrumentów finansowych, w szczególności daty i numeru zlecenia,
i) naliczonych odsetek za opóźnienie, w szczególności daty i opisu operacji;
2)
w odniesieniu do rachunku papierów wartościowych i rachunku zbiorczego:
a) salda początkowego i końcowego dla każdego rodzaju instrumentów finansowych za każdy dzień,
b) blokady instrumentów finansowych, w szczególności liczby instrumentów finansowych objętych blokadą, daty i opisu operacji,
c) nabycia instrumentów finansowych w drodze wykonania zlecenia kupna w obrocie zorganizowanym, w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
d) nabycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności liczby instrumentów finansowych, daty zapisania na rachunku i opisu operacji oraz dokumentu źródłowego,
e) zbycia instrumentów finansowych w drodze wykonania zlecenia sprzedaży w obrocie zorganizowanym, w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
f) zbycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
g) przeniesienia instrumentów finansowych na inny rachunek papierów wartościowych lub rachunek zbiorczy należący do tego samego podmiotu, w szczególności liczby instrumentów finansowych, daty i opisu operacji oraz dokumentu źródłowego.
a) salda początkowego i końcowego dla każdego rodzaju instrumentów finansowych za każdy dzień,
b) blokady instrumentów finansowych, w szczególności liczby instrumentów finansowych objętych blokadą, daty i opisu operacji,
c) nabycia instrumentów finansowych w drodze wykonania zlecenia kupna w obrocie zorganizowanym, w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
d) nabycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności liczby instrumentów finansowych, daty zapisania na rachunku i opisu operacji oraz dokumentu źródłowego,
e) zbycia instrumentów finansowych w drodze wykonania zlecenia sprzedaży w obrocie zorganizowanym, w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
f) zbycia instrumentów finansowych poza obrotem zorganizowanym, w szczególności daty i numeru zlecenia oraz liczby instrumentów finansowych,
g) przeniesienia instrumentów finansowych na inny rachunek papierów wartościowych lub rachunek zbiorczy należący do tego samego podmiotu, w szczególności liczby instrumentów finansowych, daty i opisu operacji oraz dokumentu źródłowego.
7.
Przepisy ust. 6 pkt 2 stosuje się odpowiednio w przypadku rejestrowania przez firmę inwestycyjną instrumentów finansowych w sposób inny niż na rachunkach papierów wartościowych lub na rachunkach zbiorczych.
8.
W przypadku przechowywania instrumentów finansowych systemy i podsystemy informatyczne firmy inwestycyjnej gwarantują możliwość rejestrowania danych umożliwiających identyfikację instrumentów finansowych będących przedmiotem poszczególnych operacji.
9.
Przepisy:
1)
ust. 1–4 i ust. 6 pkt 2 stosuje się odpowiednio do banku powierniczego w zakresie systemów informatycznych służących do prowadzenia rachunków;
2)
ust. 1–5 i ust. 6 pkt 2 stosuje się odpowiednio do banku powierniczego w zakresie systemów informatycznych służących do wykonywania czynności pośrednictwa w pożyczkach papierów wartościowych.
10.
Przepisów ust. 1–8 nie stosuje się do:
1)
zagranicznej firmy inwestycyjnej;
2)
firmy inwestycyjnej prowadzącej ASO lub OTF, w zakresie prowadzenia ASO lub OTF, do której ma zastosowanie rozporządzenie delegowane Komisji (UE) 2017/584 z dnia 14 lipca 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne w zakresie systemów obrotu (Dz. Urz. UE L 87 z 31.03.2017, str. 350).
