Wersja obowiązująca od 2025.08.07

§ 4. [Zarządzanie ryzykiem operacyjnym] 1. Spółka prowadząca rynek regulowany zarządza ryzykiem operacyjnym, na które jest narażony prowadzony przez nią rynek regulowany, w tym ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych, zwanych dalej „ICT”, zgodnie z wymogami określonymi w rozdziale II rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2022/2554”, a w szczególności: [1]

1) opracowuje zasady identyfikacji i szacowania poziomu tego ryzyka;

2) stosuje środki skutecznie ograniczające to ryzyko.

2. W celu właściwego zarządzania ryzykiem spółka prowadząca rynek regulowany ustala i wdraża pisemne procedury dotyczące:

1) [2] (uchylony)

2) bezpieczeństwa dostępu członków rynku regulowanego do systemów informatycznych tego rynku;

3) systemu zarządzania ciągłością działania i zasad zachowania ciągłości działania w przypadku wystąpienia sytuacji nadzwyczajnych.

3. W celu właściwego zarządzania ryzykiem spółka prowadząca rynek regulowany podejmuje działania mające na celu zapewnienie ciągłości obsługi oraz pracy urządzeń i systemów informatycznych wykorzystywanych w prowadzonej działalności, w szczególności przez:

1) przeprowadzanie testów w zakresie prawidłowości działania urządzeń i systemów informatycznych w przypadku ich wdrożenia lub modyfikacji, w oparciu o opracowane, wdrożone i stosowane procedury wewnętrzne określające metodologię przeprowadzanych testów;

2) monitorowanie w czasie rzeczywistym oraz dokonywanie okresowych przeglądów i ocen wykorzystywanych urządzeń i systemów informatycznych w celu identyfikowania i eliminacji potencjalnych lub rzeczywistych zakłóceń;

3) zapewnienie wydajności urządzeń i systemów informatycznych w stopniu odpowiadającym skali prowadzonej działalności, racjonalnie przewidywanemu wzrostowi skali działalności w najbliższym czasie oraz nadzwyczajnym warunkom, które mogłyby zakłócić pracę tych urządzeń i systemów;

4) zapewnienie odpowiednich zasobów kadrowych z uwzględnieniem niezbędnych uprawnień i kwalifikacji oraz czasu niezbędnego do realizacji obowiązków;

5) zabezpieczenie urządzeń i systemów informatycznych przed utratą danych spowodowaną awarią zasilania, innymi awariami lub zakłóceniami oraz innymi zdarzeniami losowymi;

6) tworzenie z adekwatną częstotliwością, lecz przynajmniej raz dziennie, kopii bazy danych lub stosowanie innych środków technicznych umożliwiających odtworzenie danych oraz podjęcie pracy urządzeń i systemów informatycznych w sytuacji awarii lub utraty części lub całości danych w podstawowych bazach danych na skutek wystąpienia sytuacji nadzwyczajnej;

7) przechowywanie kopii bazy danych w miejscu, w którym w przypadku wystąpienia sytuacji nadzwyczajnych nie dojdzie do utraty kopii bazy danych;

8) przeprowadzanie testów zgodności systemów informatycznych członków rynku regulowanego z systemami informatycznymi tego rynku w celu ustalenia, czy systemy informatyczne członków nie zagrażają bezpieczeństwu obrotu na rynku regulowanym prowadzonym przez tę spółkę.

4. W związku z wykorzystywaniem urządzeń i systemów informatycznych w prowadzonej działalności spółka prowadząca rynek regulowany opracowuje, wdraża i stosuje odpowiednie rozwiązania:

1) zapewniające możliwość całkowitej lub częściowej blokady uczestnictwa członka rynku regulowanego w składaniu zleceń oraz anulowania transakcji;

2) ograniczające lub wstrzymujące obrót jednym lub większą liczbą instrumentów finansowych w celu utrzymania prawidłowego funkcjonowania systemów informatycznych rynku regulowanego, w szczególności rozwiązania zapewniające możliwość automatycznego blokowania zleceń przekraczających ustalony przez spółkę prowadzącą rynek regulowany próg wolumenu zleceń;

3) zapobiegające przepełnianiu arkusza zleceń.

5. O istotnych zdarzeniach mogących wpłynąć na ryzyko operacyjne lub powodujących urzeczywistnienie się tego ryzyka spółka prowadząca rynek regulowany informuje Komisję niezwłocznie, lecz nie później niż w terminie 24 godzin od powzięcia informacji o takim zdarzeniu.

6. Przepisów ust. 2–4 nie stosuje się do spółki prowadzącej rynek regulowany, do której ma zastosowanie rozporządzenie delegowane Komisji (UE) nr 2017/584 z dnia 14 lipca 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne w zakresie systemów obrotu (Dz. Urz. UE L 87 z 31.03.2017, str. 350).

[1] § 4 ust. 1 w brzmieniu ustalonym przez § 1 pkt 1 lit. a) rozporządzenia Ministra Finansów z dnia 5 lipca 2025 r. zmieniającego rozporządzenie w sprawie szczegółowych warunków, jakie musi spełniać rynek regulowany oraz platforma aukcyjna (Dz.U. poz. 974). Zmiana weszła w życie 7 sierpnia 2025 r.

[2] § 4 ust. 2 pkt 1 uchylony przez § 1 pkt 1 lit. b) rozporządzenia Ministra Finansów z dnia 5 lipca 2025 r. zmieniającego rozporządzenie w sprawie szczegółowych warunków, jakie musi spełniać rynek regulowany oraz platforma aukcyjna (Dz.U. poz. 974). Zmiana weszła w życie 7 sierpnia 2025 r.

Wersja obowiązująca od 2025.08.07

§ 4. [Zarządzanie ryzykiem operacyjnym] 1. Spółka prowadząca rynek regulowany zarządza ryzykiem operacyjnym, na które jest narażony prowadzony przez nią rynek regulowany, w tym ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych, zwanych dalej „ICT”, zgodnie z wymogami określonymi w rozdziale II rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE L 333 z 27.12.2022, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2022/2554”, a w szczególności: [1]

1) opracowuje zasady identyfikacji i szacowania poziomu tego ryzyka;

2) stosuje środki skutecznie ograniczające to ryzyko.

2. W celu właściwego zarządzania ryzykiem spółka prowadząca rynek regulowany ustala i wdraża pisemne procedury dotyczące:

1) [2] (uchylony)

2) bezpieczeństwa dostępu członków rynku regulowanego do systemów informatycznych tego rynku;

3) systemu zarządzania ciągłością działania i zasad zachowania ciągłości działania w przypadku wystąpienia sytuacji nadzwyczajnych.

3. W celu właściwego zarządzania ryzykiem spółka prowadząca rynek regulowany podejmuje działania mające na celu zapewnienie ciągłości obsługi oraz pracy urządzeń i systemów informatycznych wykorzystywanych w prowadzonej działalności, w szczególności przez:

1) przeprowadzanie testów w zakresie prawidłowości działania urządzeń i systemów informatycznych w przypadku ich wdrożenia lub modyfikacji, w oparciu o opracowane, wdrożone i stosowane procedury wewnętrzne określające metodologię przeprowadzanych testów;

2) monitorowanie w czasie rzeczywistym oraz dokonywanie okresowych przeglądów i ocen wykorzystywanych urządzeń i systemów informatycznych w celu identyfikowania i eliminacji potencjalnych lub rzeczywistych zakłóceń;

3) zapewnienie wydajności urządzeń i systemów informatycznych w stopniu odpowiadającym skali prowadzonej działalności, racjonalnie przewidywanemu wzrostowi skali działalności w najbliższym czasie oraz nadzwyczajnym warunkom, które mogłyby zakłócić pracę tych urządzeń i systemów;

4) zapewnienie odpowiednich zasobów kadrowych z uwzględnieniem niezbędnych uprawnień i kwalifikacji oraz czasu niezbędnego do realizacji obowiązków;

5) zabezpieczenie urządzeń i systemów informatycznych przed utratą danych spowodowaną awarią zasilania, innymi awariami lub zakłóceniami oraz innymi zdarzeniami losowymi;

6) tworzenie z adekwatną częstotliwością, lecz przynajmniej raz dziennie, kopii bazy danych lub stosowanie innych środków technicznych umożliwiających odtworzenie danych oraz podjęcie pracy urządzeń i systemów informatycznych w sytuacji awarii lub utraty części lub całości danych w podstawowych bazach danych na skutek wystąpienia sytuacji nadzwyczajnej;

7) przechowywanie kopii bazy danych w miejscu, w którym w przypadku wystąpienia sytuacji nadzwyczajnych nie dojdzie do utraty kopii bazy danych;

8) przeprowadzanie testów zgodności systemów informatycznych członków rynku regulowanego z systemami informatycznymi tego rynku w celu ustalenia, czy systemy informatyczne członków nie zagrażają bezpieczeństwu obrotu na rynku regulowanym prowadzonym przez tę spółkę.

4. W związku z wykorzystywaniem urządzeń i systemów informatycznych w prowadzonej działalności spółka prowadząca rynek regulowany opracowuje, wdraża i stosuje odpowiednie rozwiązania:

1) zapewniające możliwość całkowitej lub częściowej blokady uczestnictwa członka rynku regulowanego w składaniu zleceń oraz anulowania transakcji;

2) ograniczające lub wstrzymujące obrót jednym lub większą liczbą instrumentów finansowych w celu utrzymania prawidłowego funkcjonowania systemów informatycznych rynku regulowanego, w szczególności rozwiązania zapewniające możliwość automatycznego blokowania zleceń przekraczających ustalony przez spółkę prowadzącą rynek regulowany próg wolumenu zleceń;

3) zapobiegające przepełnianiu arkusza zleceń.

5. O istotnych zdarzeniach mogących wpłynąć na ryzyko operacyjne lub powodujących urzeczywistnienie się tego ryzyka spółka prowadząca rynek regulowany informuje Komisję niezwłocznie, lecz nie później niż w terminie 24 godzin od powzięcia informacji o takim zdarzeniu.

6. Przepisów ust. 2–4 nie stosuje się do spółki prowadzącej rynek regulowany, do której ma zastosowanie rozporządzenie delegowane Komisji (UE) nr 2017/584 z dnia 14 lipca 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne w zakresie systemów obrotu (Dz. Urz. UE L 87 z 31.03.2017, str. 350).

[1] § 4 ust. 1 w brzmieniu ustalonym przez § 1 pkt 1 lit. a) rozporządzenia Ministra Finansów z dnia 5 lipca 2025 r. zmieniającego rozporządzenie w sprawie szczegółowych warunków, jakie musi spełniać rynek regulowany oraz platforma aukcyjna (Dz.U. poz. 974). Zmiana weszła w życie 7 sierpnia 2025 r.

[2] § 4 ust. 2 pkt 1 uchylony przez § 1 pkt 1 lit. b) rozporządzenia Ministra Finansów z dnia 5 lipca 2025 r. zmieniającego rozporządzenie w sprawie szczegółowych warunków, jakie musi spełniać rynek regulowany oraz platforma aukcyjna (Dz.U. poz. 974). Zmiana weszła w życie 7 sierpnia 2025 r.

Wersja archiwalna obowiązująca od 2019.04.22 do 2025.08.06

§ 4. [Zarządzanie ryzykiem operacyjnym ] 1. Spółka prowadząca rynek regulowany zarządza ryzykiem operacyjnym, na które jest narażony prowadzony przez nią rynek regulowany, a w szczególności:

1) opracowuje zasady identyfikacji i szacowania poziomu tego ryzyka;

2) stosuje środki skutecznie ograniczające to ryzyko.

2. W celu właściwego zarządzania ryzykiem spółka prowadząca rynek regulowany ustala i wdraża pisemne procedury dotyczące:

1) zarządzania technicznym funkcjonowaniem systemów informatycznych rynku regulowanego;

2) bezpieczeństwa dostępu członków rynku regulowanego do systemów informatycznych tego rynku;

3) systemu zarządzania ciągłością działania i zasad zachowania ciągłości działania w przypadku wystąpienia sytuacji nadzwyczajnych.

3. W celu właściwego zarządzania ryzykiem spółka prowadząca rynek regulowany podejmuje działania mające na celu zapewnienie ciągłości obsługi oraz pracy urządzeń i systemów informatycznych wykorzystywanych w prowadzonej działalności, w szczególności przez:

1) przeprowadzanie testów w zakresie prawidłowości działania urządzeń i systemów informatycznych w przypadku ich wdrożenia lub modyfikacji, w oparciu o opracowane, wdrożone i stosowane procedury wewnętrzne określające metodologię przeprowadzanych testów;

2) monitorowanie w czasie rzeczywistym oraz dokonywanie okresowych przeglądów i ocen wykorzystywanych urządzeń i systemów informatycznych w celu identyfikowania i eliminacji potencjalnych lub rzeczywistych zakłóceń;

3) zapewnienie wydajności urządzeń i systemów informatycznych w stopniu odpowiadającym skali prowadzonej działalności, racjonalnie przewidywanemu wzrostowi skali działalności w najbliższym czasie oraz nadzwyczajnym warunkom, które mogłyby zakłócić pracę tych urządzeń i systemów;

4) zapewnienie odpowiednich zasobów kadrowych z uwzględnieniem niezbędnych uprawnień i kwalifikacji oraz czasu niezbędnego do realizacji obowiązków;

5) zabezpieczenie urządzeń i systemów informatycznych przed utratą danych spowodowaną awarią zasilania, innymi awariami lub zakłóceniami oraz innymi zdarzeniami losowymi;

6) tworzenie z adekwatną częstotliwością, lecz przynajmniej raz dziennie, kopii bazy danych lub stosowanie innych środków technicznych umożliwiających odtworzenie danych oraz podjęcie pracy urządzeń i systemów informatycznych w sytuacji awarii lub utraty części lub całości danych w podstawowych bazach danych na skutek wystąpienia sytuacji nadzwyczajnej;

7) przechowywanie kopii bazy danych w miejscu, w którym w przypadku wystąpienia sytuacji nadzwyczajnych nie dojdzie do utraty kopii bazy danych;

8) przeprowadzanie testów zgodności systemów informatycznych członków rynku regulowanego z systemami informatycznymi tego rynku w celu ustalenia, czy systemy informatyczne członków nie zagrażają bezpieczeństwu obrotu na rynku regulowanym prowadzonym przez tę spółkę.

4. W związku z wykorzystywaniem urządzeń i systemów informatycznych w prowadzonej działalności spółka prowadząca rynek regulowany opracowuje, wdraża i stosuje odpowiednie rozwiązania:

1) zapewniające możliwość całkowitej lub częściowej blokady uczestnictwa członka rynku regulowanego w składaniu zleceń oraz anulowania transakcji;

2) ograniczające lub wstrzymujące obrót jednym lub większą liczbą instrumentów finansowych w celu utrzymania prawidłowego funkcjonowania systemów informatycznych rynku regulowanego, w szczególności rozwiązania zapewniające możliwość automatycznego blokowania zleceń przekraczających ustalony przez spółkę prowadzącą rynek regulowany próg wolumenu zleceń;

3) zapobiegające przepełnianiu arkusza zleceń.

5. O istotnych zdarzeniach mogących wpłynąć na ryzyko operacyjne lub powodujących urzeczywistnienie się tego ryzyka spółka prowadząca rynek regulowany informuje Komisję niezwłocznie, lecz nie później niż w terminie 24 godzin od powzięcia informacji o takim zdarzeniu.

6. Przepisów ust. 2–4 nie stosuje się do spółki prowadzącej rynek regulowany, do której ma zastosowanie rozporządzenie delegowane Komisji (UE) nr 2017/584 z dnia 14 lipca 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do regulacyjnych standardów technicznych określających wymogi organizacyjne w zakresie systemów obrotu (Dz. Urz. UE L 87 z 31.03.2017, str. 350).