Rozporządzenie delegowane komisji (ue) 2025/303 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 w odniesieniu do regulacyjnych standardów technicznych określających informacje, które mają być przekazywane przez niektóre podmioty finansowe w powiadomieniu o zamiarze świadczenia usług w zakresie kryptoaktywów

Akt prawny obowiązujący

Dziennik Urzędowy Unii Europejskiej, L rok 2025 poz. 303

Wersja aktualna od 2025.03.12

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2025/303

z dnia 31 października 2024 r.

uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 w odniesieniu do regulacyjnych standardów technicznych określających informacje, które mają być przekazywane przez niektóre podmioty finansowe w powiadomieniu o zamiarze świadczenia usług w zakresie kryptoaktywów

(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów oraz zmiany rozporządzeń (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektyw 2013/36/UE i (UE) 2019/1937 (1), w szczególności jego art. 60 ust. 13 akapit trzeci,

a także mając na uwadze, co następuje:

(1)

Aby umożliwić właściwym organom ocenę, czy niektóre podmioty finansowe, które zamierzają świadczyć usługi w zakresie kryptoaktywów, spełniają mające zastosowanie wymogi określone w tytule V i, w stosownych przypadkach, w tytule VI rozporządzenia (UE) 2023/1114, informacje, które mają być przekazywane przez niektóre podmioty finansowe w powiadomieniu o zamiarze świadczenia usług w zakresie kryptoaktywów, powinny być wystarczająco szczegółowe i kompleksowe, a jednocześnie nie powodować nadmiernych obciążeń.

(2)

Zgodnie z art. 60 ust. 7 lit. a) rozporządzenia (UE) 2023/1114 powiadomienie o zamiarze świadczenia usług w zakresie kryptoaktywów musi zawierać program działania. Aby zapewnić kompletny obraz działalności, którą podmiot powiadamiający zamierza prowadzić, program działania powinien obejmować opis struktury organizacyjnej podmiotu powiadamiającego, jego strategii świadczenia usług związanych z kryptoaktywami na rzecz docelowych klientów oraz jego zdolności operacyjnej w okresie 3 lat od daty powiadomienia. W odniesieniu do strategii stosowanej w celu dotarcia do klientów podmiot powiadamiający powinien opisać środki marketingowe, z których zamierza korzystać, takie jak strony internetowe, aplikacje na telefony komórkowe, bezpośrednie spotkania, komunikaty prasowe lub wszelkie fizyczne i elektroniczne środki komunikacji, w tym narzędzia kampanii w mediach społecznościowych, reklamy internetowe lub banery, przekierowywanie reklam, umowy z influencerami, umowy o sponsorowanie, rozmowy telefoniczne, webinaria, zaproszenia na wydarzenia, kampanie afiliacyjne, techniki gamifikacji, zaproszenia do wypełnienia formularza odpowiedzi lub udziału w kursie szkoleniowym, konta demo lub materiały edukacyjne.

(3)

Aby umożliwić właściwym organom ocenę odporności podmiotu powiadamiającego na zewnętrzne wstrząsy finansowe, w tym wstrząsy dotyczące wartości kryptoaktywów, podmiot powiadamiający powinien uwzględnić w powiadomieniu w prognostycznym planie rachunkowości scenariusze warunków skrajnych symulujące groźne, choć realistyczne zdarzenia.

(4)

Aby uniknąć przestojów w działalności, które mogą mieć poważne konsekwencje finansowe, regulacyjne i wizerunkowe dla podmiotu powiadamiającego i bardziej ogólnie dla rynków kryptoaktywów, kluczowe znaczenie ma utrzymanie działalności lub co najmniej podstawowych funkcji dostawców usług w zakresie kryptoaktywów oraz ograniczenie do minimum przerw spowodowanych nieoczekiwanymi zakłóceniami, w tym cyberatakami i klęskami żywiołowymi. Powiadomienie powinno zatem zawierać szczegółowe informacje na temat rozwiązań przyjętych przez podmiot powiadamiający w celu zapewnienia ciągłości i regularności świadczenia usług w zakresie kryptoaktywów, w tym szczegółowy opis ryzyka i plany ciągłości działania.

(5)

Potrzebne są skuteczne mechanizmy, systemy i procedury zgodne z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/849 (2) służące zapewnieniu, aby podmioty powiadamiające odpowiednio ograniczały ryzyko i praktyki prania pieniędzy i finansowania terroryzmu związane ze świadczeniem usług w zakresie kryptoaktywów. Podmioty powiadamiające powinny zatem przedstawić w powiadomieniu szczegółowe informacje na temat swoich mechanizmów, systemów i procedur wprowadzonych w celu zapobiegania ryzyku związanemu z ich działalnością, między innymi w odniesieniu do przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

(6)

Ze względu na zdecentralizowany i cyfrowy charakter kryptoaktywów w przypadku dostawców usług w zakresie kryptoaktywów ryzyko dla cyberbezpieczeństwa jest znaczne i przybiera wiele form. W celu zagwarantowania, że podmiot powiadamiający jest w stanie zapobiegać naruszeniom ochrony danych i stratom finansowym, które mogą być spowodowane cyberatakami, informacje na temat wdrożonych przez podmiot powiadamiający systemów ICT i powiązanych rozwiązań w zakresie bezpieczeństwa, o których mowa w art. 60 ust. 7 lit. c) rozporządzenia (UE) 2023/1114, takie jak tożsamość i lokalizacja geograficzna dostawców, opis działań lub usług ICT zlecanych na zasadzie outsourcingu wraz z ich charakterystyką oraz kopia porozumień umownych, powinny obejmować zasoby kadrowe przeznaczone na przeciwdziałanie ryzyku w cyberprzestrzeni.

(7)

Wyodrębnianie kryptoaktywów i środków pieniężnych klientów chroni ich przed stratami dostawcy usług w zakresie kryptoaktywów oraz przed niewłaściwym wykorzystaniem ich kryptoaktywów i środków pieniężnych. W art. 70 rozporządzenia (UE) 2023/1114 zobowiązano zatem dostawców usług w zakresie kryptoaktywów do wprowadzenia odpowiednich mechanizmów mających na celu zabezpieczenie praw własności klientów. Wymóg ten ma również zastosowanie do dostawców usług w zakresie kryptoaktywów, którzy nie świadczą usług w zakresie przechowywania i administrowania.

(8)

Aby umożliwić właściwym organom ocenę adekwatności zasad funkcjonowania platform obrotu kryptoaktywami stosowanych przez podmiot powiadamiający, w opisie tych zasad podmiot powiadamiający powinien szczegółowo określić konkretne elementy. W szczególności podmiot powiadamiający powinien szczegółowo opisać aspekty zasad funkcjonowania dotyczące dopuszczania kryptoaktywów do obrotu, obrotu nimi i ich rozrachunku. W odniesieniu do dopuszczania kryptoaktywów do obrotu podmioty powiadamiające powinny przedstawić szczegółowe informacje na temat sposobu, w jaki dopuszczone kryptoaktywa są zgodne z zasadami podmiotu powiadamiającego, rodzajów kryptoaktywów, których podmiot powiadamiający nie dopuszcza do obrotu na swojej platformie, oraz powodów takich wykluczeń, a także na temat opłat za dopuszczenie do obrotu. W odniesieniu do obrotu kryptoaktywami podmiot powiadamiający powinien określić zasady funkcjonowania regulujące realizowanie i anulowanie zleceń, przejrzystość i prowadzenie rejestrów. Ponadto podmiot powiadamiający powinien uwzględnić w opisie zasad funkcjonowania elementy regulujące rozrachunek transakcji na kryptoaktywach zawartych na platformie obrotu, w tym informację, czy rozrachunek jest inicjowany z wykorzystaniem technologii rozproszonego rejestru (DLT), ramy czasowe rozpoczęcia realizacji, definicję momentu, w którym rozrachunek jest ostateczny, wszystkie weryfikacje wymagane do zapewnienia skutecznego rozrachunku transakcji oraz wszelkie środki mające na celu ograniczenie przypadków nieprzeprowadzenia rozrachunku.

(9)

Aby umożliwić właściwym organom ocenę odpowiedniości podmiotu powiadamiającego w odniesieniu do świadczenia niektórych usług związanych z kryptoaktywami, takich jak wymiana kryptoaktywów na środki pieniężne lub inne kryptoaktywa, realizowanie zleceń, świadczenie usług doradztwa w zakresie kryptoaktywów lub zarządzanie portfelem kryptoaktywów oraz usługi transferu, podmiot powiadamiający powinien szczegółowo określić sposób świadczenia tych usług związanych z kryptoaktywami, a także mechanizmy wprowadzone w celu zapewnienia przestrzegania przez podmiot powiadamiający odpowiednich przepisów rozporządzenia (UE) 2023/1114 dotyczących świadczenia tych usług związanych z kryptoaktywami.

(10)	Wszelkie przetwarzanie danych osobowych na podstawie niniejszego rozporządzenia powinno odbywać się zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (3).

(11)	Podstawę niniejszego rozporządzenia stanowi projekt regulacyjnych standardów technicznych przedłożony Komisji przez Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA), który opracowano w ścisłej współpracy z Europejskim Urzędem Nadzoru Bankowego.

(12)

ESMA przeprowadził otwarte konsultacje publiczne na temat projektu regulacyjnych standardów technicznych, który stanowi podstawę niniejszego rozporządzenia, dokonał analizy potencjalnych powiązanych kosztów i korzyści oraz zwrócił się o opinię do Grupy Interesariuszy z Sektora Giełd i Papierów Wartościowych powołanej zgodnie z art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1095/2010 (4).

(13)	Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (5) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który przedstawił formalne uwagi w dniu 21 czerwca 2024 r.,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

Program działania

1. Do celów art. 60 ust. 7 lit. a) rozporządzenia (UE) 2023/1114 podmiot powiadamiający przekazuje właściwemu organowi program działania na okres 3 lat od daty powiadomienia, zawierający następujące informacje:

w przypadku gdy podmiot powiadamiający należy do grupy zdefiniowanej w art. 2 pkt 11 dyrektywy Parlamentu Europejskiego i Rady 2013/34/UE (6) - wyjaśnienie, w jaki sposób działalność podmiotu powiadamiającego wpisuje się w strategię grupy i w jaki sposób współdziała z działalnością innych podmiotów należących do tej grupy, w tym zwięzły opis obecnej i planowanej organizacji i struktury tej grupy;

wyjaśnienie, w jaki sposób działalność podmiotów powiązanych z podmiotem powiadamiającym, w tym w przypadku, gdy w grupie znajdują się podmioty objęte regulacją, prawdopodobnie wpłynie na działalność podmiotu powiadamiającego, w tym wykaz podmiotów powiązanych z podmiotem powiadamiającym oraz informacje na ich temat, a w przypadku podmiotów objętych regulacją - usługi świadczone przez te podmioty oraz nazwy domen każdej strony internetowej prowadzonej przez te podmioty;

c)	wykaz usług w zakresie kryptoaktywów, które podmiot powiadamiający zamierza świadczyć, oraz rodzaje kryptoaktywów, których te usługi w zakresie kryptoaktywów będą dotyczyć;

d)	informacje na temat innej planowanej działalności, regulowanej zgodnie z prawem Unii lub prawem krajowym lub nieregulowanej, w tym na temat wszelkich usług innych niż usługi w zakresie kryptoaktywów, które podmiot powiadamiający zamierza świadczyć;

e)	informację, czy podmiot powiadamiający zamierza dokonywać oferty publicznej kryptoaktywów lub czy ubiega się o dopuszczenie kryptoaktywów do obrotu, a jeśli tak, to jakiego rodzaju kryptoaktywów;

f)	wykaz jurysdykcji, zarówno w Unii, jak i w państwach trzecich, w których podmiot powiadamiający zamierza świadczyć usługi w zakresie kryptoaktywów, w tym informacje na temat docelowej liczby klientów według obszarów geograficznych;

g)	rodzaje potencjalnych klientów, do których skierowane są usługi w zakresie kryptoaktywów świadczone przez podmiot powiadamiający;

opis środków dostępu klientów do usług w zakresie kryptoaktywów świadczonych przez podmiot powiadamiający, w tym wszystkie następujące elementy:

(i)

nazwy domen dla każdej strony internetowej lub innej aplikacji opartej na ICT, za pośrednictwem której podmiot powiadamiający będzie świadczył usługi w zakresie kryptoaktywów, oraz informacje na temat języków, w których dana strona internetowa lub inna aplikacja oparta na ICT będą dostępne, rodzaje usług w zakresie kryptoaktywów, do których będzie można uzyskać dostęp za pośrednictwem tej strony internetowej lub innej aplikacji opartej na ICT oraz, w stosownych przypadkach, w których państwach członkowskich będzie można uzyskać dostęp do tej strony internetowej lub innej aplikacji opartej na ICT;

(ii)

nazwę każdej aplikacji opartej na ICT udostępnianej klientom w celu umożliwienia im dostępu do usług w zakresie kryptoaktywów, języki, w których ta aplikacja oparta na ICT jest dostępna, oraz usługi w zakresie kryptoaktywów, do których można uzyskać dostęp za pośrednictwem tej aplikacji opartej na ICT;

planowane działania marketingowe i promocyjne oraz ustalenia dotyczące usług w zakresie kryptoaktywów, w tym:

(i)	wszystkie środki marketingowe, które mają być stosowane w odniesieniu do każdej z usług;

(ii)	zamierzone sposoby identyfikacji podmiotu powiadamiającego;

(iii)

informacje na temat odpowiedniej kategorii docelowych klientów;

(iv)	rodzaje kryptoaktywów;

(v)	języki, które będą używane w działaniach marketingowych i promocyjnych;

j)	szczegółowy opis zasobów kadrowych, finansowych i zasobów ICT przeznaczonych na świadczenie zamierzonych usług w zakresie kryptoaktywów oraz ich lokalizacja geograficzna;

politykę podmiotu powiadamiającego w zakresie outsourcingu i w jaki sposób została ona dostosowana do usług w zakresie kryptoaktywów oraz szczegółowy opis planowanych przez podmiot powiadamiający rozwiązań dotyczących outsourcingu, w tym wewnątrzgrupowych, a także sposób, w jaki podmiot powiadamiający będzie przestrzegał art. 73 rozporządzenia (UE) 2023/1114, w tym informacje na temat stanowiska lub osoby odpowiedzialnych za outsourcing, zasobów kadrowych i zasobów ICT przeznaczonych na kontrolowanie funkcji, usług lub działalności zleconych na zasadzie outsourcingu w ramach powiązanych rozwiązań oraz na temat oceny ryzyka związanego z outsourcingiem;

l)	wykaz podmiotów, które będą świadczyć usługi w zakresie kryptoaktywów zlecane na zasadzie outsourcingu, ich lokalizacja geograficzna oraz odnośne zlecane usługi;

prognostyczny plan rachunkowości obejmujący scenariusze warunków skrajnych na poziomie indywidualnym i, w stosownych przypadkach, skonsolidowanym i subskonsolidowanym zgodnie z dyrektywą 2013/34/UE, z uwzględnieniem wszelkich pożyczek wewnątrzgrupowych, które zostały lub mają zostać udzielone przez podmiot powiadamiający i na jego rzecz;

n)	wszelką wymianę kryptoaktywów na środki pieniężne i inną działalność w zakresie kryptoaktywów, którą podmiot powiadamiający zamierza prowadzić, w tym za pośrednictwem wszelkich aplikacji zdecentralizowanego finansowania, z którymi podmiot powiadamiający zamierza współpracować na własny rachunek.

2. W przypadku gdy podmiot powiadamiający zamierza świadczyć usługę przyjmowania i przekazywania zleceń związanych z kryptoaktywami w imieniu klientów, przekazuje właściwemu organowi kopię procedur i opis mechanizmów zapewniających zgodność z art. 80 rozporządzenia (UE) 2023/1114.

3. W przypadku gdy podmiot powiadamiający zamierza świadczyć usługę plasowania kryptoaktywów, przekazuje właściwemu organowi kopię procedur służących identyfikowaniu konfliktów interesów, zapobieganiu im, zarządzaniu nimi i ich ujawnianiu oraz opis rozwiązań wprowadzonych w celu zapewnienia zgodności z art. 79 rozporządzenia (UE) 2023/1114 i rozporządzeniem delegowanym Komisji ustanawiającym standardy techniczne na podstawie art. 72 ust. 5 rozporządzenia (UE) 2023/1114.

Artykuł 2

Plan ciągłości działania

1. Do celów art. 60 ust. 7 lit. b) pkt (iii) rozporządzenia (UE) 2023/1114 podmiot powiadamiający przedkłada właściwemu organowi szczegółowy opis swojego planu ciągłości działania, w tym kroków, jakie należy podjąć w celu zapewnienia ciągłości i regularności świadczenia usług w zakresie kryptoaktywów.

2. Opis, o którym mowa w ust. 1, obejmuje:

a)	szczegółowe informacje stanowiące dowód na to, że sporządzony plan ciągłości działania jest odpowiedni oraz że wprowadzono mechanizmy służące utrzymaniu tego planu i jego okresowemu testowaniu;

w odniesieniu do krytycznych lub istotnych funkcji obsługiwanych przez zewnętrznych dostawców usług - szczegółowe informacje na temat sposobu zapewnienia ciągłości działania, w przypadku gdy jakość świadczenia takich funkcji pogorszy się do niedopuszczalnego poziomu lub gdy zewnętrzny dostawca nie wywiąże się ze świadczenia tych funkcji;

c)	informacje na temat sposobu zapewnienia ciągłości działania w przypadku śmierci kluczowej osoby oraz, w stosownych przypadkach, ryzyka politycznego w jurysdykcjach usługodawcy.

Artykuł 3

Wykrywanie przypadków prania pieniędzy i finansowania terroryzmu oraz zapobieganie im

Do celów art. 60 ust. 7 lit. b) pkt (i) oraz (ii) rozporządzenia (UE) 2023/1114 podmiot powiadamiający przekazuje właściwemu organowi informacje na temat swoich mechanizmów kontroli wewnętrznej, polityk i procedur służących zapewnieniu zgodności z przepisami prawa krajowego transponującymi dyrektywę (UE) 2015/849 oraz na temat ram oceny ryzyka na potrzeby zarządzania ryzykiem prania pieniędzy i finansowania terroryzmu, w tym wszystkie następujące elementy:

dokonaną przez podmiot powiadamiający ocenę nieodłącznego i rezydualnego ryzyka prania pieniędzy i finansowania terroryzmu związanego z jego działalnością, w tym ryzyka związanego z:

(i)	bazą klientów podmiotu powiadamiającego;

(ii)	świadczonymi usługami;

(iii)

wykorzystywanymi kanałami dystrybucji;

(iv)	geograficznymi obszarami działania;

środki, które podmiot powiadamiający wprowadził lub wprowadzi, aby zapobiec zidentyfikowanym zagrożeniom i spełnić mające zastosowanie wymogi w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w tym proces oceny ryzyka stosowany przez podmiot powiadamiający, polityka i procedury służące spełnianiu wymogów należytej staranności wobec klienta oraz polityka i procedury wykrywania i zgłaszania podejrzanych transakcji lub działań;

szczegółowe informacje na temat tego, w jaki sposób mechanizmy kontroli wewnętrznej, polityki i procedury są odpowiednie i proporcjonalne do skali, charakteru, nieodłącznego ryzyka prania pieniędzy i finansowania terroryzmu, w tym zakres świadczonych usług w zakresie kryptoaktywów, złożoność modelu biznesowego oraz sposób, w jaki podmiot powiadamiający zapewnia zgodność z dyrektywą (UE) 2015/849 i rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2023/1113 (7);

d)	tożsamość osoby odpowiedzialnej za zapewnienie przestrzegania przez podmiot powiadamiający wymogów w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w tym dowody potwierdzające jej umiejętności i wiedzę fachową;

e)	ustalenia oraz zasoby kadrowe i finansowe zapewniające - na podstawie wskaźników rocznych - odpowiednie przeszkolenie personelu podmiotu powiadamiającego w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz w zakresie konkretnych rodzajów ryzyka związanych z kryptoaktywami;

f)	kopię polityki, procedur i systemów podmiotu powiadamiającego w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;

g)	dokument zawierający podsumowanie zmian wprowadzonych w procedurach i systemach podmiotu powiadamiającego dotyczących przeciwdziałania praniu pieniędzy i zwalczania terroryzmu w związku z zamiarem świadczenia usług w zakresie kryptoaktywów;

h)	częstotliwość oceny adekwatności i skuteczności mechanizmów kontroli wewnętrznej, polityk i procedur, w tym tożsamość lub stanowisko osoby odpowiedzialnej za taką ocenę.

Artykuł 4

Systemy ICT i powiązane rozwiązania w zakresie bezpieczeństwa

Do celów art. 60 ust. 7 lit. c) rozporządzenia (UE) 2023/1114 podmiot powiadamiający przekazuje właściwemu organowi następujące informacje:

dokumentację techniczną systemów ICT, wykorzystywanej infrastruktury DLT, w stosownych przypadkach, oraz rozwiązań w zakresie bezpieczeństwa, w tym opis rozwiązań oraz przeznaczonych zasobów ICT i zasobów kadrowych ustanowionych w celu zapewnienia zgodności z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/2554 (8), w tym:

(i)

opis sposobu, w jaki podmiot powiadamiający zapewnia solidne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem związanym z ICT będące częścią jego ogólnego systemu zarządzania ryzykiem, w tym szczegółowy opis systemów, protokołów i narzędzi ICT oraz wyjaśnienie, w jaki sposób procedury, polityki i systemy podmiotu powiadamiającego zapewnią bezpieczeństwo, integralność, dostępność, autentyczność i poufność danych zgodnie z rozporządzeniami (UE) 2022/2554 i (UE) 2016/679;

(ii)

wskazanie usług ICT wspierających krytyczne lub istotne funkcje, opracowanych lub utrzymywanych przez podmiot powiadamiający, a także usług świadczonych przez zewnętrznych dostawców usług, opis takich ustaleń umownych oraz sposób, w jaki ustalenia te są zgodne z art. 73 rozporządzenia (UE) 2023/1114 i rozdziałem V rozporządzenia (UE) 2022/2554;

(iii)

opis stosowanych przez podmiot powiadamiający procedur, polityk, rozwiązań i systemów w zakresie bezpieczeństwa i zarządzania incydentami;

jeżeli jest dostępny, opis audytu cyberbezpieczeństwa przeprowadzonego przez zewnętrznego audytora ds. cyberbezpieczeństwa posiadającego wystarczające doświadczenie zgodnie z rozporządzeniem delegowanym Komisji ustanawiającym standardy techniczne na podstawie art. 26 ust. 11 akapit czwarty rozporządzenia (UE) 2022/2554, w idealnym przypadku obejmującego następujące audyty lub testy przeprowadzane przez zewnętrzne niezależne strony:

(i)	rozwiązania w zakresie cyberbezpieczeństwa organizacji, bezpieczeństwa fizycznego i bezpiecznego cyklu życia oprogramowania;

(ii)	oceny podatności na zagrożenia i oceny bezpieczeństwa sieci;

(iii)

przeglądy konfiguracji zasobów ICT wspierających krytyczne i istotne funkcje zdefiniowane w art. 3 pkt 22 rozporządzenia (UE) 2022/2554;

(iv)

testy penetracyjne zasobów ICT wspierających krytyczne i istotne funkcje, zdefiniowane w art. 3 pkt 17 rozporządzenia (UE) 2022/2554, zgodnie ze wszystkimi następującymi podejściami do testów audytowych:

czarna skrzynka: audytorzy nie posiadają informacji innych niż adresy IP i adresy URL związane z kontrolowanym celem. Etap ten jest zwykle poprzedzony wyszukiwaniem informacji i identyfikacją celu poprzez wysyłanie zapytań dotyczących usług systemu nazw domen (DNS), skanowanie otwartych portów, odkrywanie obecności urządzeń filtrujących;

2)	etap szarej skrzynki: audytorzy dysponują wiedzą o standardowym użytkowniku systemu informacyjnego (prawnie uzasadnione uwierzytelnianie, „standardowe” stanowisko robocze). Identyfikatory mogą należeć do różnych profili użytkowników, aby umożliwić przetestowanie różnych poziomów uprzywilejowania;

3)	etap białej skrzynki: audytorzy dysponują jak największą ilością informacji technicznych (architektura, kod źródłowy, kontakty telefoniczne, identyfikatory itp.) przed rozpoczęciem analizy, a także dostępem do kontaktów technicznych związanych z celem;

(v)	w przypadku gdy podmiot powiadamiający wykorzystuje lub opracowuje inteligentne umowy - przegląd ich kodu źródłowego pod kątem cyberbezpieczeństwa;

c)	opis ewentualnych przeprowadzonych audytów systemów ICT, w tym wykorzystywanej infrastruktury DLT i rozwiązań w zakresie bezpieczeństwa;

d)	opis istotnych informacji, o których mowa w lit. a) i b), w języku niespecjalistycznym.

Artykuł 5

Wyodrębnianie kryptoaktywów i środków pieniężnych klientów oraz sprawowanie nad nimi pieczy

1. Do celów art. 60 ust. 7 lit. d) rozporządzenia (UE) 2023/1114 podmiot powiadamiający, który zamierza przechowywać kryptoaktywa należące do klientów lub środki dostępu do takich kryptoaktywów bądź środki pieniężne klientów inne niż tokeny będące e-pieniądzem, przekazuje właściwemu organowi szczegółowy opis swoich procedur dotyczących wyodrębniania kryptoaktywów i środków pieniężnych klientów zawierający następujące elementy:

opis sposobu, w jaki podmiot powiadamiający zapewnia, aby:

(i)	środki pieniężne klientów nie były wykorzystywane na jego własny rachunek;

(ii)	kryptoaktywa należące do klientów nie były wykorzystywane na jego własny rachunek;

(iii)

portfele zawierające kryptoaktywa klientów różniły się od portfeli własnych podmiotu powiadamiającego;

b)	szczegółowy opis systemu zatwierdzania kluczy kryptograficznych i sprawowania pieczy nad kluczami kryptograficznymi, w tym dla portfeli wielopodpisowych;

c)	opis sposobu, w jaki podmiot powiadamiający wyodrębnia kryptoaktywa klientów, w tym od kryptoaktywów innych klientów, w przypadku gdy portfele zawierające kryptoaktywa więcej niż jednego klienta są przechowywane na rachunkach zbiorczych;

opis procedury zapewniającej, że środki pieniężne klientów - inne niż tokeny będące e-pieniądzem - zostaną zdeponowane w banku centralnym lub instytucji kredytowej do końca dnia roboczego następującego po dniu otrzymania tych środków pieniężnych i że będą one przechowywane na rachunku dającym się wyodrębnić od wszelkich innych rachunków wykorzystywanych do przechowywania środków pieniężnych należących do podmiotu powiadamiającego;

w przypadku gdy podmiot powiadamiający nie zamierza deponować środków pieniężnych we właściwym banku centralnym - czynniki, które podmiot powiadamiający bierze pod uwagę przy wyborze instytucji kredytowych, w których będzie deponował środki pieniężne klientów, w tym polityka dywersyfikacji podmiotu powiadamiającego, o ile jest ona dostępna, oraz częstotliwość przeglądu wyboru instytucji kredytowych, w których będą deponowane środki pieniężne klientów;

f)	opis sposobu, w jaki podmiot powiadamiający zapewnia, by klienci byli informowani jasnym, zwięzłym i niespecjalistycznym językiem o kluczowych aspektach systemów, polityk i procedur podmiotu powiadamiającego służących zapewnieniu zgodności z art. 70 ust. 1, 2 i 3 rozporządzenia (UE) 2023/1114.

2. Zgodnie z art. 70 ust. 5 rozporządzenia (UE) 2023/1114 dostawcy usług w zakresie kryptoaktywów, którzy są instytucjami pieniądza elektronicznego lub instytucjami kredytowymi, przekazują wyłącznie informacje określone w ust. 1 niniejszego artykułu.

Artykuł 6

Polityka w zakresie przechowywania i administrowania

Do celów art. 60 ust. 7 lit. e) rozporządzenia (UE) 2023/1114 podmiot powiadamiający przekazuje właściwemu organowi następujące informacje:

opis uzgodnień związanych z rodzajem przechowywania oferowanego klientom, kopię standardowej umowy podmiotu powiadamiającego o przechowywanie kryptoaktywów i administrowanie nimi w imieniu klientów zgodnie z art. 75 ust. 1 rozporządzenia (UE) 2023/1114 oraz kopię podsumowania dotyczącego polityki w zakresie przechowywania udostępnianego klientom zgodnie z art. 75 ust. 3 akapit trzeci tego rozporządzenia;

politykę podmiotu powiadamiającego w zakresie przechowywania i administrowania, w tym opis zidentyfikowanych źródeł ryzyka operacyjnego i ryzyka ICT dla sprawowania pieczy i kontroli nad kryptoaktywami lub środkami dostępu do kryptoaktywów klientów, wraz z następującymi elementami:

(i)	polityki i procedury służące zapewnieniu zgodności z art. 75 ust. 8 rozporządzenia (UE) 2023/1114 oraz opis rozwiązań w tym zakresie;

(ii)	polityki i procedury służące zarządzaniu ryzykiem operacyjnym i ryzykiem związanym z ICT, w tym w przypadku, gdy przechowywanie kryptoaktywów i administrowanie nimi w imieniu klientów jest zlecane osobie trzeciej, oraz opis systemów i mechanizmów kontroli w tym zakresie;

(iii)

polityki i procedury dotyczące systemów zapewniających wykonywanie praw związanych z kryptoaktywami przez klientów oraz opis tych systemów;

(iv)	polityki i procedury dotyczące systemów zapewniających, aby kryptoaktywa lub środki dostępu zostały zwrócone klientom, oraz opis tych systemów;

c)	informacje na temat sposobu identyfikacji kryptoaktywów i środków dostępu do kryptoaktywów klientów;

d)	informacje na temat rozwiązań mających na celu zminimalizowanie ryzyka utraty kryptoaktywów lub środków dostępu do kryptoaktywów;

w przypadku gdy dostawca usług w zakresie kryptoaktywów powierzył osobie trzeciej zapewnianie przechowywania kryptoaktywów i administrowanie nimi w imieniu klientów:

(i)	informacje na temat tożsamości każdej osoby trzeciej zapewniającej usługę przechowywania kryptoaktywów i administrowania nimi oraz jej statusu zgodnie z art. 59 lub 60 rozporządzenia (UE) 2023/1114;

(ii)

opis wszelkich funkcji związanych z przechowywaniem kryptoaktywów i administrowaniem nimi, które zostały delegowane przez dostawcę usług w zakresie kryptoaktywów, w stosownych przypadkach wykaz wszelkich podmiotów, którym delegowano lub subdelegowano funkcje, oraz wszelkie konflikty interesów, które mogą wyniknąć z takiego delegowania;

(iii)

opis sposobu, w jaki podmiot powiadamiający zamierza nadzorować delegowanie lub subdelegowanie.

Artykuł 7

Zasady funkcjonowania platformy obrotu i wykrywanie nadużyć na rynku

1. Do celów art. 60 ust. 7 lit. f) rozporządzenia (UE) 2023/1114 podmiot powiadamiający, który zamierza prowadzić platformę obrotu kryptoaktywami, przekazuje właściwemu organowi następujące informacje:

a)	zasady dotyczące dopuszczania kryptoaktywów do obrotu;

b)	proces zatwierdzania kryptoaktywów do obrotu, w tym środki należytej staranności wobec klienta stosowane zgodnie z dyrektywą (UE) 2015/849;

c)	wykaz wszelkich kategorii kryptoaktywów, które nie będą dopuszczane do obrotu, oraz powody takiego wykluczenia;

d)	politykę i procedury regulujące dopuszczanie do obrotu oraz wysokość opłat z tego tytułu wraz z opisem, w stosownych przypadkach, członkostwa, rabatów i związanych z nimi warunków;

e)	zasady regulujące realizowanie zleceń, w tym wszelkie procedury anulowania wykonanych zleceń i ujawniania takich informacji uczestnikom rynku;

f)	metody stosowane w celu oceny odpowiedniości kryptoaktywów zgodnie z art. 76 ust. 2 rozporządzenia (UE) 2023/1114;

g)	systemy, procedury i mechanizmy wprowadzone w celu zapewnienia zgodności z art. 76 ust. 7 rozporządzenia (UE) 2023/1114;

sposób podawania do wiadomości publicznej wszelkich cen kupna i sprzedaży oraz poziomu zainteresowania zawarciem transakcji po tych cenach, ogłaszanych dla kryptoaktywów za pośrednictwem jego platformy obrotu, a także cenę, wolumen i czas transakcji zrealizowanych w odniesieniu do kryptoaktywów będących przedmiotem obrotu na jego platformie obrotu, zgodnie z art. 76 ust. 9 i 10 rozporządzenia (UE) 2023/1114;

i)	struktury opłat oraz uzasadnienie zgodności tych struktur z wymogami art. 76 ust. 13 rozporządzenia (UE) 2023/1114;

j)	systemy, procedury i rozwiązania wprowadzone w celu przechowywania do dyspozycji właściwego organu danych dotyczących wszystkich zleceń lub mechanizm zapewniający właściwemu organowi dostęp do arkusza zleceń i wszelkich innych systemów transakcyjnych;

w odniesieniu do rozrachunku transakcji:

(i)	czy ostateczny rozrachunek transakcji jest inicjowany w rozproszonym rejestrze czy poza nim;

(ii)	ramy czasowe, w których inicjowany jest ostateczny rozrachunek transakcji na kryptoaktywach;

(iii)

sposób weryfikacji dostępności środków pieniężnych i kryptoaktywów;

(iv)	sposób potwierdzenia odpowiednich szczegółów transakcji;

(v)	środki przewidziane w celu ograniczenia przypadków nieprzeprowadzenia rozrachunku;

(vi)	moment, w którym rozrachunek jest ostateczny, oraz moment, w którym ostateczny rozrachunek jest inicjowany po zrealizowaniu transakcji;

l)	procedury i systemy wprowadzone w celu wykrywania nadużyć na rynku i zapobiegania im, w tym informacje na temat przekazywania właściwemu organowi informacji o możliwych przypadkach nadużyć.

2. Podmioty powiadamiające, które zamierzają prowadzić platformę obrotu kryptoaktywami, przekazują właściwemu organowi kopię zasad funkcjonowania platformy obrotu oraz wszelkich procedur służących wykrywaniu nadużyć na rynku i zapobieganiu im.

Artykuł 8

Wymiana kryptoaktywów na środki pieniężne lub inne kryptoaktywa

Do celów art. 60 ust. 7 lit. g) rozporządzenia (UE) 2023/1114 podmiot powiadamiający, który zamierza wymieniać kryptoaktywa na środki pieniężne lub na inne kryptoaktywa, przekazuje właściwemu organowi następujące informacje:

a)	opis polityki handlowej ustanowionej zgodnie z art. 77 ust. 1 rozporządzenia (UE) 2023/1114;

b)	metodę określania ceny kryptoaktywów, które podmiot powiadamiający oferuje do wymiany na środki pieniężne lub inne kryptoaktywa zgodnie z art. 77 ust. 2 rozporządzenia (UE) 2023/1114, w tym w jaki sposób wolumen kryptoaktywów i zmienność rynku kryptoaktywów wpływają na mechanizm wyceny.

Artykuł 9

Polityka realizowania zleceń

Do celów art. 60 ust. 7 lit. h) rozporządzenia (UE) 2023/1114 podmiot powiadamiający, który zamierza realizować zlecenia dotyczące kryptoaktywów w imieniu klientów, przekazuje właściwemu organowi swoją politykę realizowania zleceń, zawierającą następujące informacje:

a)	rozwiązania zapewniające, by klient wyraził zgodę na politykę realizowania zleceń przed realizacją zlecenia;

b)	wykaz platform obrotu kryptoaktywami, na których podmiot powiadamiający będzie polegał w celu realizowania zleceń, oraz kryteria oceny systemów realizowania zleceń uwzględnione w polityce realizowania zleceń zgodnie z art. 78 ust. 6 rozporządzenia (UE) 2023/1114;

z których platform obrotu podmiot powiadamiający zamierza korzystać w odniesieniu do każdego rodzaju kryptoaktywów oraz potwierdzenie, że podmiot powiadamiający nie otrzyma żadnego wynagrodzenia, rabatu lub korzyści niepieniężnej w zamian za przekierowanie otrzymanych zleceń na określoną platformę obrotu kryptoaktywami;

sposób, w jaki podczas realizowania zleceń uwzględnia się cenę, koszty, szybkość, prawdopodobieństwo wykonania i rozrachunku, wielkość, charakter, warunki przechowywania kryptoaktywów lub wszelkie inne istotne czynniki, które są brane pod uwagę w ramach wszystkich niezbędnych kroków w celu uzyskania możliwie najlepszego wyniku dla klienta;

e)	w stosownych przypadkach mechanizmy informowania klientów o tym, że podmiot powiadamiający będzie realizował zlecenia poza platformą obrotu, oraz w jaki sposób podmiot powiadamiający uzyska uprzednią wyraźną zgodę klientów przed wykonaniem takich zleceń;

sposób, w jaki klient jest ostrzegany, że wszelkie szczególne instrukcje od klienta mogą uniemożliwić podmiotowi powiadamiającemu podjęcie niezbędnych kroków, zgodnie z rozwiązaniami, które podmiot powiadamiający ustanowił i wdrożył w swojej polityce realizowania zleceń, w celu uzyskania możliwie najlepszego wyniku wykonania tych zleceń w odniesieniu do elementów objętych tymi instrukcjami;

g)	proces wyboru systemów obrotu, stosowane strategie realizowania zleceń, mechanizmy wykorzystywane do analizy uzyskanej jakości wykonania oraz sposób monitorowania i weryfikowania przez podmiot powiadamiający, że osiągnięte zostały możliwie najlepsze wyniki dla klientów;

h)	rozwiązania służące zapobieganiu niewłaściwemu wykorzystywaniu przez pracowników podmiotu powiadamiającego wszelkich informacji dotyczących zleceń klientów;

i)	rozwiązania i procedury dotyczące sposobu, w jaki podmiot powiadamiający będzie przekazywał klientom informacje na temat swojej polityki realizowania zleceń i powiadamiał ich o wszelkich istotnych zmianach w swojej polityce realizowania zleceń;

j)	rozwiązania mające na celu wykazanie właściwemu organowi zgodności z art. 78 rozporządzenia (UE) 2023/1114 na wniosek tego właściwego organu.

Artykuł 10

Doradztwo w zakresie kryptoaktywów lub zarządzanie portfelami kryptoaktywów

Do celów art. 60 ust. 7 lit. i) rozporządzenia (UE) 2023/1114 podmiot powiadamiający, który zamierza świadczyć usługi doradztwa w zakresie kryptoaktywów lub zarządzania portfelami kryptoaktywów, przekazuje właściwemu organowi następujące informacje:

szczegółowy opis rozwiązań wprowadzonych przez podmiot powiadamiający w celu zapewnienia zgodności z art. 81 ust. 7 rozporządzenia (UE) 2023/1114, obejmujący następujące elementy:

(i)	mechanizmy skutecznego kontrolowania, oceny i utrzymywania wiedzy ogólnej i fachowej osób fizycznych świadczących doradztwo w zakresie kryptoaktywów lub zarządzających portfelami kryptoaktywów;

(ii)

rozwiązania zapewniające, aby osoby fizyczne zaangażowane w świadczenie usług doradztwa lub zarządzanie portfelami znały, rozumiały i stosowały wewnętrzne polityki i procedury podmiotu powiadamiającego w celu zapewnienia zgodności z rozporządzeniem (UE) 2023/1114, w szczególności z art. 81 ust. 1 tego rozporządzenia, oraz z dyrektywą (UE) 2015/849;

(iii)

wielkość zasobów kadrowych i finansowych, które podmiot powiadamiający planuje przeznaczyć co roku na rozwój zawodowy i szkolenia pracowników świadczących doradztwo w zakresie kryptoaktywów lub zarządzających portfelami kryptoaktywów;

mechanizmy skutecznego kontrolowania, oceny i utrzymywania niezbędnej wiedzy ogólnej i fachowej osób fizycznych świadczących doradztwo w imieniu podmiotu powiadamiającego, zgodnie z kryteriami takiej oceny stosowanymi w przepisach krajowych, tak aby można było przeprowadzić ocenę odpowiedniości, o której mowa w art. 81 ust. 1 rozporządzenia (UE) 2023/1114.

Artykuł 11

Usługi transferu

Do celów art. 60 ust. 7 lit. k) rozporządzenia (UE) 2023/1114 podmiot powiadamiający, który zamierza świadczyć usługi transferu kryptoaktywów w imieniu klientów, przekazuje właściwemu organowi następujące informacje:

a)	szczegółowe informacje na temat rodzajów kryptoaktywów, w odniesieniu do których podmiot powiadamiający zamierza świadczyć usługi transferu;

szczegółowy opis rozwiązań wprowadzonych przez podmiot powiadamiający w celu zapewnienia zgodności z art. 82 rozporządzenia (UE) 2023/1114, w tym szczegółowe informacje na temat rozwiązań podmiotu powiadamiającego służących szybkiemu, skutecznemu i dogłębnemu przeciwdziałaniu ryzyku podczas świadczenia usług transferu kryptoaktywów w imieniu klientów, z uwzględnieniem potencjalnych awarii w działaniu i ryzyka w cyberprzestrzeni, oraz przeznaczone na ten cel zasoby ICT i zasoby kadrowe;

c)	informacje na temat polisy ubezpieczeniowej podmiotu powiadamiającego, o ile jest dostępna, w tym opis zakresu ubezpieczenia obejmującego szkody dla kryptoaktywów klienta, które mogą wynikać z ryzyka w cyberprzestrzeni;

d)	mechanizmy służące zapewnieniu, aby klienci byli odpowiednio informowani o rozwiązaniach, o których mowa w lit. b).

Artykuł 12

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 31 października 2024 r.

W imieniu Komisji

Przewodnicząca

Ursula VON DER LEYEN

(1) Dz.U. L 150 z 9.6.2023, s. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz.U. L 141 z 5.6.2015, s. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1095/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/77/WE (Dz.U. L 331 z 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6) Dyrektywa Parlamentu Europejskiego i Rady 2013/34/UE z dnia 26 czerwca 2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek, zmieniająca dyrektywę Parlamentu Europejskiego i Rady 2006/43/WE oraz uchylająca dyrektywy Rady 78/660/EWG i 83/349/EWG (Dz.U. L 182 z 29.6.2013, s. 19, ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1113 z dnia 31 maja 2023 r. w sprawie informacji towarzyszących transferom środków pieniężnych i niektórych kryptoaktywów oraz zmiany dyrektywy (UE) 2015/849 (Dz.U. L 150 z 9.6.2023, s. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(8) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U. L 333 z 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

* Autentyczne są wyłącznie dokumenty UE opublikowane w formacie PDF w Dzienniku Urzędowym Unii Europejskiej.

Powiązane z aktem prawnym

Chcesz uzyskać dostęp? Skorzystaj z bezpłatnego abonamentu

TESTUJ INFORLEX przez 5 dni za darmo!

Jeśli już masz abonament Inforlex Zaloguj się

Powiązane z artykułem:

Chcesz uzyskać dostęp? Skorzystaj z bezpłatnego abonamentu

TESTUJ INFORLEX przez 5 dni za darmo!

Jeśli już masz abonament Inforlex Zaloguj się