Wersja obowiązująca od 2025.08.07

[Zgłoszenie Komisji poważnego incydentu związanego z ICT] [16] 1. Podmiot finansowy zgłasza Komisji poważny incydent związany z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 1 akapit pierwszy rozporządzenia 2022/2554, przekazując wstępne powiadomienie, i przekazuje sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554.

2. Komisja przekazuje niezwłocznie Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Ministra Obrony Narodowej, zwanemu dalej „CSIRT MON”, Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy, zwanemu dalej „CSIRT NASK”, albo Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Szefa Agencji Bezpieczeństwa Wewnętrznego, zwanemu dalej „CSIRT GOV”, o których mowa odpowiednio w art. 2 pkt 1, 2 i 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, zgodnie z ich właściwością, wstępne powiadomienie i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, pochodzące od:

1) podmiotu finansowego będącego podmiotem kluczowym, o którym mowa w ust. 4;

2) podmiotu finansowego będącego podmiotem ważnym, o którym mowa w ust. 5.

3. W uzasadnionych przypadkach Komisja może przekazać niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, wstępne powiadomienia i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, pochodzące od podmiotu finansowego niebędącego podmiotem, o którym mowa w ust. 4 i 5.

4. Podmiotami finansowymi będącymi podmiotami kluczowymi są:

1) instytucja kredytowa, o której mowa w art. 4 ust. 1 pkt 17 ustawy – Prawo bankowe,

2) bank krajowy, o którym mowa w art. 4 ust. 1 pkt 1 ustawy – Prawo bankowe,

3) oddział banku zagranicznego, o którym mowa w art. 4 ust. 1 pkt 20 ustawy – Prawo bankowe,

4) oddział instytucji kredytowej, o którym mowa w art. 4 ust. 1 pkt 18 ustawy – Prawo bankowe,

5) spółdzielcza kasa oszczędnościowo-kredytowa,

6) spółka prowadząca rynek regulowany, o której mowa w art. 14 ust. 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

7) CCP, o którym mowa w art. 3 pkt 49 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

8) centralny depozyt papierów wartościowych, o którym mowa w art. 3 pkt 21a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

9) podmiot, o którym mowa w art. 48 ust. 7 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

10) podmiot prowadzący ASO w rozumieniu art. 3 pkt 2 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

11) podmiot prowadzący OTF w rozumieniu art. 3 pkt 10b ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

12) administrator kluczowych wskaźników referencyjnych, o którym mowa w art. 3 pkt 57 rozporządzenia 2022/2554,

13) podmiot utworzony na podstawie art. 67 ustawy – Prawo bankowe

– którzy przekraczają pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.) według stanu na dzień sporządzenia sprawozdania finansowego.

5. Podmiotami finansowymi będącymi podmiotami ważnymi są podmioty, o których mowa w ust. 4 pkt 1–12, które spełniają pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu według stanu na dzień sporządzenia sprawozdania finansowego oraz które nie są podmiotami, o których mowa w ust. 4.

6. Komisja przekazuje organom wskazanym w art. 19 ust. 6 rozporządzenia 2022/2554, w sposób określony w tym przepisie, szczegółowe informacje na temat poważnego incydentu związanego z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554, zawierające taki sam zakres danych, jak informacje zawarte we wstępnych powiadomieniach i sprawozdaniach, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554.

7. Wstępne powiadomienia i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, są przekazywane w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji, w terminach i z wykorzystaniem wzorów określonych we wspólnych regulacyjnych standardach technicznych i wspólnych wykonawczych standardach technicznych, o których mowa w art. 20 rozporządzenia 2022/2554.

[16] Rozdział 2c dodany przez art. 8 pkt 6 ustawy z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji (Dz.U. poz. 1069). Zmiana weszła w życie 7 sierpnia 2025 r.

Wersja obowiązująca od 2025.08.07

[Zgłoszenie Komisji poważnego incydentu związanego z ICT] [16] 1. Podmiot finansowy zgłasza Komisji poważny incydent związany z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 1 akapit pierwszy rozporządzenia 2022/2554, przekazując wstępne powiadomienie, i przekazuje sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554.

2. Komisja przekazuje niezwłocznie Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Ministra Obrony Narodowej, zwanemu dalej „CSIRT MON”, Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy, zwanemu dalej „CSIRT NASK”, albo Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego działającemu na poziomie krajowym, prowadzonemu przez Szefa Agencji Bezpieczeństwa Wewnętrznego, zwanemu dalej „CSIRT GOV”, o których mowa odpowiednio w art. 2 pkt 1, 2 i 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, zgodnie z ich właściwością, wstępne powiadomienie i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, pochodzące od:

1) podmiotu finansowego będącego podmiotem kluczowym, o którym mowa w ust. 4;

2) podmiotu finansowego będącego podmiotem ważnym, o którym mowa w ust. 5.

3. W uzasadnionych przypadkach Komisja może przekazać niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, wstępne powiadomienia i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, pochodzące od podmiotu finansowego niebędącego podmiotem, o którym mowa w ust. 4 i 5.

4. Podmiotami finansowymi będącymi podmiotami kluczowymi są:

1) instytucja kredytowa, o której mowa w art. 4 ust. 1 pkt 17 ustawy – Prawo bankowe,

2) bank krajowy, o którym mowa w art. 4 ust. 1 pkt 1 ustawy – Prawo bankowe,

3) oddział banku zagranicznego, o którym mowa w art. 4 ust. 1 pkt 20 ustawy – Prawo bankowe,

4) oddział instytucji kredytowej, o którym mowa w art. 4 ust. 1 pkt 18 ustawy – Prawo bankowe,

5) spółdzielcza kasa oszczędnościowo-kredytowa,

6) spółka prowadząca rynek regulowany, o której mowa w art. 14 ust. 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

7) CCP, o którym mowa w art. 3 pkt 49 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

8) centralny depozyt papierów wartościowych, o którym mowa w art. 3 pkt 21a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

9) podmiot, o którym mowa w art. 48 ust. 7 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

10) podmiot prowadzący ASO w rozumieniu art. 3 pkt 2 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

11) podmiot prowadzący OTF w rozumieniu art. 3 pkt 10b ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi,

12) administrator kluczowych wskaźników referencyjnych, o którym mowa w art. 3 pkt 57 rozporządzenia 2022/2554,

13) podmiot utworzony na podstawie art. 67 ustawy – Prawo bankowe

– którzy przekraczają pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.) według stanu na dzień sporządzenia sprawozdania finansowego.

5. Podmiotami finansowymi będącymi podmiotami ważnymi są podmioty, o których mowa w ust. 4 pkt 1–12, które spełniają pułapy dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu według stanu na dzień sporządzenia sprawozdania finansowego oraz które nie są podmiotami, o których mowa w ust. 4.

6. Komisja przekazuje organom wskazanym w art. 19 ust. 6 rozporządzenia 2022/2554, w sposób określony w tym przepisie, szczegółowe informacje na temat poważnego incydentu związanego z ICT w rozumieniu art. 3 pkt 10 rozporządzenia 2022/2554, zawierające taki sam zakres danych, jak informacje zawarte we wstępnych powiadomieniach i sprawozdaniach, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554.

7. Wstępne powiadomienia i sprawozdania, o których mowa w art. 19 ust. 4 rozporządzenia 2022/2554, są przekazywane w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji, w terminach i z wykorzystaniem wzorów określonych we wspólnych regulacyjnych standardach technicznych i wspólnych wykonawczych standardach technicznych, o których mowa w art. 20 rozporządzenia 2022/2554.

[16] Rozdział 2c dodany przez art. 8 pkt 6 ustawy z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji (Dz.U. poz. 1069). Zmiana weszła w życie 7 sierpnia 2025 r.