Zmiany w raportowaniu incydentów na podstawie PSD2

Od 17 stycznia 2025 roku obowiązywać będzie Rozporządzenia DORA¹. Ustanawia ono wymogi m.in. w zakresie raportowania poważnych incydentów związanych z ICT (technologie informacyjno-komunikacyjne) oraz poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami.

Przepisy DORA zastępują określony w art. 32g ustawy o usługach płatniczych obowiązek zgłaszania incydentów dyrektywy w stosunku do dostawców usług płatniczych objętych zakresem stosowania Rozporządzenia DORA.

Dotyczy to następujących podmiotów nadzorowanych przez KNF:

• banków krajowych,
• oddziałów banku zagranicznego,
• krajowych instytucji pieniądza elektronicznego,
• krajowych instytucji płatniczych,
• spółdzielczych kas oszczędnościowo-kredytowych i Krajowej Spółdzielczej Kasy Oszczędnościowo-Kredytowej,
• biur usług płatniczych,
• małych instytucji płatniczych,
• dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku.

Od 17 stycznia 2025 roku podmioty te powinny zgłaszać poważne incydenty operacyjne lub poważne incydenty bezpieczeństwa związane z płatnościami w rozumieniu art. 3 pkt 11 Rozporządzenia DORA w ramach mechanizmu raportowania wprowadzonego Rozporządzeniem DORA.

Działania te mają na celu zmniejszenie obciążenia administracyjnego podmiotów finansowych, które objęte są wymogami Rozporządzenia DORA. Zmiany te zapobiegają też podwójnemu raportowaniu tych samych zdarzeń, jako incydentów na podstawie dwóch różnych regulacji, o czym mowa w motywie 23 Rozporządzenia DORA.

W przypadku wskazanych podmiotów nadzorowanych, po rozpoczęciu stosowania Rozporządzenia DORA, do zgłaszania poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami zgodnie z Rozporządzeniem DORA, nie będą miały zastosowania Wytyczne Europejskiego Urzędu Nadzoru Bankowego (EUNB) dotyczące zgłaszania poważnych incydentów zgodnie z dyrektywą (UE) 2015/2366 (PSD2). Od 17 stycznia 2025 roku znajdą w tym zakresie zastosowanie przepisy Rozporządzenia DORA oraz przepisy odpowiednich powiązanych z nim aktów wykonawczych. Dotyczy to w szczególności kryteriów klasyfikacji incydentu oraz zakresu informacji/wzoru formularza dot. takiego zgłoszenia. Szczegółowe regulacje w tym zakresie obejmują:

1. regulacyjne standardy techniczne określające kryteria klasyfikacji incydentów związanych z ICT i cyberzagrożeń, progi istotności i szczegółowe informacje dotyczące zgłaszania poważnych incydentów, o których mowa w art. 18 ust. 3 Rozporządzenia DORA²,
2. regulacyjne standardy techniczne w sprawie ustalenia treści zgłoszeń dotyczących poważnych incydentów związanych z ICT oraz określenia terminów dotyczących wstępnego powiadomienia i poszczególnych sprawozdań dotyczących omawianych zgłoszeń, o których mowa w art. 20 lit. a) pkt i) oraz ii) Rozporządzenia DORA³,
3. wykonawcze standardy techniczne w sprawie standardowych formularzy, wzorów i procedur stosowanych przez podmioty finansowe do celów zgłaszania poważnych incydentów związanych z ICT, o których mowa w art. 20 lit. b) Rozporządzenia DORA⁴.

Zmianie ulegnie również techniczny sposób zgłaszania poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami realizowanymi przez podmioty nadzorowane, objęte Rozporządzeniem DORA. Od 17 stycznia 2025 roku, dla podmiotów nadzorowanych objętych wymogami Rozporządzenia DORA, nie będzie miał już w tym zakresie zastosowania dotychczasowy formularz zgłaszania incydentów na podstawie dyrektywy PSD2 oraz dotychczasowy kanał ich raportowania. Zastąpi go formularz oraz kanał komunikacji do zgłaszania incydentów zgodnie z Rozporządzeniem DORA. Szczegółowe informacje na temat zgłaszania incydentów oraz kanału komunikacji zostaną udostępnione na stronie Rozporządzenie DORA.

W przypadku braku możliwości dokonania zgłoszenia za pośrednictwem kanału komunikacji DORA, zgłoszenie będzie można przesłać na  adres: csirt@knf.gov.pl

Raportowanie incydentów na podstawie PSD2 do 16 stycznia 2025 roku

Przepisy ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (u.u.p.) nałożyły na dostawców usług płatniczych obowiązek raportowania do organu nadzoru informacji o poważnych incydentach operacyjnych lub poważnych incydentach związanych z bezpieczeństwem, w tym w charakterze teleinformatycznym (incydenty).  

Zgodnie z art. 32g u.u.p. dostawca usług płatniczych przekazuje niezwłocznie KNF lub innemu właściwemu organowi nadzoru informację o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, w tym o charakterze teleinformatycznym. 

Jeżeli incydent ma lub może mieć wpływ na interesy finansowe użytkowników, dostawca bez zbędnej zwłoki powiadamia o incydencie użytkowników korzystających z usług tego dostawcy oraz informuje ich o dostępnych środkach, które może podjąć w celu ograniczenia negatywnych skutków incydentu. 

Szczegółowe instrukcje dla dostawców dotyczące zgłaszania incydentów zostały uregulowane w Wytycznych Europejskiego Urzędu Nadzoru Bankowego (EUNB) dotyczących zgłaszania poważnych incydentów zgodnie z dyrektywą (UE) 2015/2366 (PSD2), które dostępne są na stronie EUNB.

Zgłoszenia dotyczące incydentów należy przekazywać za pośrednictwem elektronicznej skrzynki podawczej UKNF (ESP), która jest dostępna na platformie ePUAP. 

Etapy postępowania przy zgłaszaniu incydentów za pośrednictwem elektronicznej skrzynki podawczej UKNF:

1. W celu skorzystania z ESP UKNF należy wypełnić formularz na stronie ePUAP pod adresem: https://epuap.gov.pl/wps/portal/strefa-klienta/katalog-spraw/pismo-ogolne-do-podmiotu-publicznego.
2. Spośród dostępnych kategorii należy wybrać „Pisma do urzędu” z obszaru „Sprawy ogólne”.
3. Następnie należy wybrać opcję „Pismo ogólne do podmiotu publicznego”, a następnie „Załatw sprawę”.
4. W dalszej kolejności należy zalogować do platformy ePUAP za pomocą profilu zaufanego i wypełnić dostępny formularz.
5. Do formularza należy załączyć wypełnione sprawozdanie. Formularz do pobrania poniżej.
6. W tytule pisma należy wskazać nazwę podmiotu, którego dotyczy zgłoszenie wraz z dopiskiem zgodnie z formatem: „Nazwa podmiotu_Poważny incydent”.
7. W polu „Opis sprawy” należy zawrzeć krótki opis sprawy oraz imię i nazwisko oraz nr telefonu osoby odpowiedzialnej za przekazywane zgłoszenie. 
8. Po podpisaniu dokumentu podpisem elektronicznym należy go wysłać za pomocą przycisku „Wyślij”. 

______________________
¹rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011
²rozporządzenie delegowane Komisji (UE) 2024/1772 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających kryteria klasyfikacji incydentów związanych z ICT i cyberzagrożeń, progi istotności i szczegółowe informacje dotyczące zgłaszania poważnych incydentów;
³Commission delegated regulation (EU) …/... of 23.10.2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the content and time limits for the initial notification of, and intermediate and final report on, major ICT-related incidents, and the content of the voluntary notification for significant cyber threats (przyjęty przez Komisję Europejską, oczekuje na opublikowanie w Dzienniku Urzędowym UE);
⁴Commission delegated regulation (EU) …/... of 23.10.2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the content and time limits for the initial notification of, and intermediate and final report on, major ICT-related incidents, and the content of the voluntary notification for significant cyber threats (przyjęty przez Komisję Europejską, oczekuje na opublikowanie w Dzienniku Urzędowym UE);