Streszczenie oceny skutków

Ocena skutków wniosku dotyczącego rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego

A. Zasadność działań

Dlaczego należy podjąć działania? Na czym polega problem?

Sektor finansowy w znacznym stopniu polega na technologiach informacyjno-komunikacyjnych (ICT). Trwająca obecnie pandemia COVID-19 prawdopodobnie przyspieszy proces integracji sektora finansowego z ICT, biorąc pod uwagę korzyści wynikające z zapewnienia stałego zdalnego dostępu do usług finansowych. Zależność od technologii cyfrowych wzbudza jednak pewne obawy – przedsiębiorstwa muszą być w stanie radzić sobie z potencjalnymi zakłóceniami funkcjonowania ICT, aby mieć możliwość należytego odniesienia się do incydentów i zagrożeń cyfrowych oraz aby utrzymać ciągłość świadczenia usług. W ramach sektora finansowego cechującego się silnymi wzajemnymi powiązaniami i oferującego usługi transgraniczne o kluczowym znaczeniu, od których zależy funkcjonowanie gospodarki realnej, luki wynikające z uzależnienia od ICT – mimo że wywierają one podobny wpływ również w przypadku innych sektorów gospodarki – są szczególnie silnie odczuwalne z uwagi na 1) intensywne i szerokie wykorzystywanie ICT oraz 2) możliwości szybkiego rozprzestrzenienia się skutków incydentu operacyjnego, do którego doszło w jednym przedsiębiorstwie finansowym lub podsektorze finansowym, na inne przedsiębiorstwa lub części sektora finansowego, a ostatecznie na pozostałą część gospodarki.

Choć sektor finansowy znajduje się na bardzo zaawansowanym etapie integracji rynkowej i regulacyjnej, a jego funkcjonowanie opiera się na jednolitym zbiorze zharmonizowanych przepisów – jednolitym zbiorze przepisów UE – reakcja UE na wzrost potrzeb w zakresie odporności operacyjnej na szczeblu horyzontalnym i sektorowym:

-opierała się na minimalnym poziomie harmonizacji, pozostawiając przestrzeń dla wykładni przepisów dokonywanej na szczeblu krajowym i doprowadzając do fragmentacji jednolitego rynku, albo

-była zbyt ogólna i miała zbyt ograniczony zakres obowiązywania, ponieważ odnosiła się w różnym stopniu do ogólnego ryzyka operacyjnego i regulowała częściowo tylko niektóre elementy operacyjnej odporności cyfrowej (np. zarządzanie ryzykiem związanym z ICT, zgłaszanie incydentów oraz ryzyko związane z zewnętrznymi dostawcami usług ICT), pozostawiając inne w niezmienionym stanie (faza testowa).

Jak dotąd interwencja UE nie odniosła się do ryzyka operacyjnego w sposób odpowiadający potrzebom przedsiębiorstw finansowych związanym ze zdolnością do wyeliminowania luk związanych z ICT, reagowania na nie i przywracania gotowości do pracy po ich wystąpieniu ani nie zapewniła organom nadzoru finansowego narzędzi pozwalających im wypełniać powierzone im obowiązki w zakresie ograniczania niestabilności finansowej wynikającej ze wspomnianych luk związanych z ICT.

Istniejące obecnie luki i niespójności doprowadziły do rozpowszechnienia się nieskoordynowanych inicjatyw krajowych (np. w obszarze przeprowadzania testów) i podejść nadzorczych (np. do kwestii uzależnienia od zewnętrznych dostawców usług ICT), które przekładają się na przypadki pokrywania się przepisów i dublowania wymogów oraz na wysokie koszty administracyjne i koszty przestrzegania przepisów dla transgranicznych przedsiębiorstw finansowych albo uniemożliwiają wykrywanie ryzyka związanego z ICT i reagowanie na to ryzyko. Ogólnie rzecz biorąc, nie zagwarantowano stabilności ani integralności sektora finansowego, a jednolity rynek usług finansowych pozostaje rozdrobniony, co skutkuje osłabieniem ochrony konsumentów i inwestorów.

Jaki jest cel inicjatywy?

Ogólnym celem inicjatywy jest zwiększenie operacyjnej odporności cyfrowej sektora finansowego w UE poprzez uproszczenie i udoskonalenie istniejących unijnych przepisów dotyczących usług finansowych oraz wprowadzenie nowych wymogów w obszarach, w których odnotowano niedociągnięcia, aby:

·usprawnić proces zarządzania ryzykiem związanym z ICT przez przedsiębiorstwa finansowe;

·zwiększyć poziom wiedzy organów nadzoru na temat zagrożeń i incydentów;

·udoskonalić metody stosowane przez przedsiębiorstwa finansowe do testowania ich systemów ICT oraz

·poprawić nadzór nad ryzykiem wynikającym z uzależnienia przedsiębiorstw finansowych od zewnętrznych dostawców usług ICT.

Ściślej rzecz biorąc, przyjęcie wniosku doprowadziłoby do stworzenia spójniejszych i bardziej jednolitych mechanizmów zgłaszania incydentów, a tym samym do zmniejszenia obciążeń administracyjnych spoczywających na instytucjach finansowych oraz do poprawy skuteczności nadzoru.

Na czym polega wartość dodana podjęcia działań na poziomie UE? 

Funkcjonowanie jednolitego rynku usług finansowych w UE reguluje pokaźny zbiór przepisów przyjętych na szczeblu UE, zapewniających przedsiębiorstwom finansowym, które uzyskały zezwolenie na prowadzenie działalności w jednym państwie członkowskim, możliwość oferowania swoich usług na całym obszarze jednolitego rynku dzięki paszportowi UE. W rezultacie przyjęcie przepisów na szczeblu krajowym nie przyczyniłoby się w odpowiednim stopniu do zwiększenia odporności operacyjnej przedsiębiorstw finansowych korzystających z paszportu. Ponadto w następstwie kryzysu finansowego w jednolitym zbiorze przepisów UE wprowadzono bardzo szczegółowe przepisy o charakterze normatywnym odnoszące się do „tradycyjnych” rodzajów ryzyka takich jak ryzyko kredytowe, ryzyko rynkowe, ryzyko kontrahenta i ryzyko płynności. Istniejące przepisy w zakresie ryzyka operacyjnego mają wciąż ogólny charakter. Zwiększenie operacyjnej odporności cyfrowej wiąże się z koniecznością dostosowania przepisów w zakresie ryzyka operacyjnego, które przyjęto już na szczeblu UE – oznacza to, że odporność tę można wzmocnić i uzupełnić wyłącznie na szczeblu UE.

B. Rozwiązania

Jakie warianty legislacyjne i nielegislacyjne rozważono? Czy wskazano preferowany wariant? Jak uzasadniono ten wybór lub jego brak? 

W ocenie skutków wzięto pod uwagę trzy warianty poza scenariuszem odniesienia zakładającym brak działań związanych z unijnymi przepisami w zakresie usług finansowych. Ściślej rzecz biorąc:

·„brak działań”: przepisy dotyczące odporności operacyjnej będą nadal wynikać z obecnego, różniącego się zestawu unijnych przepisów dotyczących usług finansowych, częściowo z dyrektywy dotyczącej cyberbezpieczeństwa oraz istniejących lub przyszłych systemów krajowych;

·wariant 1 – wzmocnienie buforów kapitałowych: zastosowanie tego wariantu doprowadziłoby do wprowadzenia dodatkowego bufora kapitałowego mającego na celu zwiększenie zdolności przedsiębiorstw finansowych do pokrywania strat, które mogą pojawić się ze względu na brak odporności operacyjnej;

·wariant 2 – przyjęcie aktu prawnego dotyczącego operacyjnej odporności cyfrowej w branży usług finansowych: zastosowanie tego wariantu doprowadziłoby do wprowadzenia kompleksowych ram na szczeblu UE ustanawiających przepisy w zakresie operacyjnej odporności cyfrowej mające zastosowanie do wszystkich regulowanych instytucji finansowych, co pozwoliłoby:

oradzić sobie z ryzykiem związanym z ICT w bardziej kompleksowy sposób;

ozapewnić organom nadzoru finansowego dostęp do informacji dotyczących incydentów związanych z ICT;

ozapewnić przedsiębiorstwom finansowym możliwość oceny skuteczności stosowanych przez siebie środków zabezpieczających i środków zwiększających odporność oraz zidentyfikowania luk związanych z ICT;

oudoskonalić przepisy w zakresie outsourcingu regulujące kwestie związane ze sprawowaniem pośredniego nadzoru nad zewnętrznymi dostawcami usług ICT;

ozapewnić możliwość sprawowania bezpośredniego nadzoru nad działalnością zewnętrznych dostawców usług ICT w sytuacji, gdy świadczą oni usługi na rzecz przedsiębiorstw finansowych oraz

ozachęcać do dzielenia się wynikami analiz zagrożeń prowadzonych w sektorze finansowym;

·wariant 3 – przyjęcie aktu prawnego dotyczącego odporności w połączeniu z ustanowieniem scentralizowanego mechanizmu nadzoru nad kluczowymi zewnętrznymi dostawcami usług: poza przyjęciem aktu prawnego dotyczącego odporności operacyjnej (wariant 2) powołano by nowy organ odpowiedzialny za sprawowanie nadzoru nad zewnętrznymi dostawcami usług ICT świadczącymi kluczowe usługi ICT na rzecz przedsiębiorstw finansowych. Ponadto zastosowanie tego wariantu w wyraźniejszy sposób wyłączyłoby sektor finansowy z zakresu obowiązywania dyrektywy dotyczącej cyberbezpieczeństwa.

Preferowanym wariantem jest wariant 2. W porównaniu z pozostałymi wariantami wariant preferowany w największym stopniu przyczynia się do osiągnięcia celów inicjatywy, uwzględniając jednocześnie kryteria skuteczności i spójności. Wariant ten cieszy się również największym poparciem zainteresowanych stron.

Jak kształtuje się poparcie dla poszczególnych wariantów?

Większość zainteresowanych stron (z sektora prywatnego i publicznego) zgadza się co do tego, że zwiększenie odporności operacyjnej przedsiębiorstw finansowych wiąże się z koniecznością podjęcia działania na szczeblu UE. Wiele zainteresowanych stron uważa również, że podjęcie działania na szczeblu UE jest konieczne, aby rozwiązać problem obciążeń regulacyjnych wynikających z nakładania na przedsiębiorstwa finansowe obowiązku przestrzegania dublujących się i niespójnych przepisów ustanowionych w dyrektywie dotyczącej cyberbezpieczeństwa, prawodawstwie unijnym w zakresie usług finansowych oraz w ustawodawstwie krajowym (np. jeżeli chodzi o zgłaszanie incydentów). Niewielka liczba zainteresowanych stron opowiedziała się zatem za niepodejmowaniem żadnych działań. Niewielka liczba zainteresowanych stron dostrzega korzyści wynikające z zagwarantowania odporności operacyjnej poprzez zwiększenie buforów kapitałowych (wariant 1). Podejście przewidziane w wariancie pierwszym jest jednak tradycyjnym podejściem do ryzyka operacyjnego wykorzystywanym w szczególności w sektorze bankowości i jako takie jest brane pod uwagę m.in. przez instytucje ustanawiające normy międzynarodowe. Propozycja wprowadzenia środków jakościowych opisanych w wariancie 2, które uprościłyby i udoskonaliłyby unijne przepisy finansowe oraz wprowadziłyby nowe wymogi w obszarach, w których zidentyfikowano niedociągnięcia, utrzymując jednocześnie związki z horyzontalną dyrektywą dotyczącą cyberbezpieczeństwa, spotkała się z szerokim poparciem zainteresowanych stron, które wzięły udział w konsultacjach publicznych. Choć niektóre zainteresowane strony (głównie z sektora publicznego) dostrzegają korzyści wynikające ze wzmocnienia nadzoru nad zewnętrznymi dostawcami usług ICT przewidzianego w wariancie 3, powołanie nowego organu UE odpowiedzialnego za sprawowanie takiego nadzoru spotkało się jedynie z ograniczonym poparciem zainteresowanych stron, podobnie jak niemal pełne odcięcie się od ram dyrektywy dotyczącej cyberbezpieczeństwa.

C. Skutki wdrożenia preferowanego wariantu

Jakie korzyści przyniesie wdrożenie preferowanego wariantu lub – jeśli go nie wskazano – głównych wariantów?

Zastosowanie wariantu 2 pozwoliłoby odnieść się do ryzyka związanego z ICT w całym sektorze finansowym dzięki zwiększeniu zdolności instytucji finansowych w zakresie radzenia sobie z incydentami związanymi z ICT. Ograniczyłoby to ryzyko szybkiego rozprzestrzenienia się cyberincydentu na rynkach finansowych. Choć oszacowanie kosztów związanych z incydentami operacyjnymi w sektorze finansowym jest trudne (nie wszystkie incydenty są zgłaszane, brak jest pewności co do skali kosztów), wyniki analiz branżowych sugerują, że koszty dla sektora finansowego UE oscylują w granicach 2–27 mld EUR rocznie. Wprowadzenie preferowanego wariantu pozwoliłoby zmniejszyć te koszty bezpośrednie oraz ograniczyć wszelkie szerzej zakrojone skutki, jakie poważne cyberincydenty mogą wywierać na stabilność finansową. Wyeliminowanie pokrywających się wymogów w zakresie zgłaszania doprowadziłoby do zmniejszenia obciążeń administracyjnych. Na przykład w przypadku niektórych największych banków wspomniane oszczędności kosztów mogłyby wynieść od 40 do 100 mln EUR rocznie. Wprowadzenie mechanizmu bezpośredniego zgłaszania zwiększyłoby również wiedzę organów nadzoru na temat incydentów związanych z ICT. Stosowanie zharmonizowanych praktyk w zakresie testowania przyczyniłoby się do wzrostu wykrywalności nieznanych luk i nieznanego ryzyka. Wiązałoby się również z obniżeniem kosztów, w szczególności dla przedsiębiorstw działających w skali transgranicznej. Na przykład całkowite oczekiwane korzyści dla 44 największych banków transgranicznych wynikające z wprowadzenia wspólnego podejścia do testowania mogłyby wynieść od 11 do 88 mln EUR. Dzięki wprowadzeniu spójnego zbioru przepisów w zakresie zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT przedsiębiorstwa finansowe uzyskałyby większą kontrolę nad sposobem, w jaki zewnętrzni dostawcy usług zapewniają zgodność z obowiązującymi ramami prawnymi, co mogłoby zwiększyć poczucie pewności organów nadzoru. Wprowadzenie tych przepisów wiązałoby się również z korzyściami ostrożnościowymi związanymi ze sprawowaniem nadzoru nad zewnętrznymi dostawcami usług ICT. Ogólnie rzecz biorąc, wprowadzenie wariantu preferowanego przyniosłoby szersze korzyści społeczne wynikające ze zwiększenia odporności otoczenia operacyjnego dla wszystkich uczestników rynku finansowego oraz ze wzmocnienia ochrony konsumentów i inwestorów.

Jakie są koszty wdrożenia preferowanego wariantu lub – jeśli go nie wskazano – głównych wariantów?

Wdrożenie wariantu preferowanego wiązałoby się z koniecznością poniesienia zarówno kosztów jednorazowych, jak i kosztów okresowych. Jeżeli chodzi o koszty jednorazowe, wynikają one głównie z inwestycji w systemy IT, dlatego też trudno przedstawić je w ujęciu ilościowym, biorąc pod uwagę zróżnicowany stan dotychczasowych systemów stosowanych przez poszczególne przedsiębiorstwa. Nawet jeżeli nie dokonano by żadnej interwencji regulacyjnej, niektóre przedsiębiorstwa finansowe poczyniły już znaczne inwestycje w systemy ICT. Oznacza to, że w przypadku dużych przedsiębiorstw finansowych koszty związane z wdrożeniem środków przedstawionych we wniosku prawdopodobnie byłyby niskie. Przewiduje się, że koszty związane z wdrożeniem tych środków będą również niższe w przypadku mniejszych przedsiębiorstw, ponieważ przedsiębiorstwa te podlegałyby mniej rygorystycznym środkom proporcjonalnym do niższego poziomu ryzyka związanego z prowadzoną przez nie działalnością. Jeżeli chodzi o testy, z szacunków sporządzonych przez Europejskie Urzędy Nadzoru wynika, że koszty związane z przeprowadzaniem testów penetracyjnych pod kątem wyszukiwania zagrożeń wyniosłyby od 0,1 % do 0,3 % całkowitego budżetu zainteresowanych przedsiębiorstw przeznaczanego na ICT. Koszty związane ze zgłaszaniem incydentów zostałyby drastycznie zmniejszone z uwagi na wyeliminowanie przypadków pokrywania się przepisów w tym zakresie z analogicznymi przepisami dyrektywy dotyczącej cyberbezpieczeństwa. Organy nadzoru również poniosą pewne koszty z uwagi na konieczność wykonywania dodatkowych zadań. Na przykład w przypadku organów nadzoru sprawujących bezpośredni nadzór nad zewnętrznymi dostawcami usług ICT można oczekiwać, że szacowana skala wzrostu liczby ekwiwalentów pełnego czasu pracy (EPC) wyniosłaby od 1 do 5 EPC dla organu wiodącego oraz około 0,25 EPC dla organów uczestniczących.

Jakie będą skutki dla przedsiębiorstw, MŚP i mikroprzedsiębiorstw?

Preferowany wariant obejmowałby wszystkie przedsiębiorstwa finansowe, aby zwiększyć odporność operacyjną całego sektora. Nadanie proponowanym środkom tak szerokiego charakteru jest istotne, biorąc pod uwagę fakt, że sektor finansowy charakteryzuje się licznymi wzajemnymi powiązaniami, a także zważywszy na potrzebę zapewnienia odpowiedniego poziomu ogólnie rozumianej odporności operacyjnej. Przy ustanawianiu podstawowych wymogów obowiązujących w głównych obszarach interwencji zastosowanie miałaby jednak zasada proporcjonalności – zarówno w odniesieniu do wszystkich podsektorów traktowanych łącznie, jak i w obrębie każdego podsektora z osobna. Wymogi te uwzględniałyby m.in. różnice między modelami biznesowymi przedsiębiorstw, ich wielkość, profil ryzyka, znaczenie systemowe itp. Na przykład środki w zakresie zgłaszania incydentów i przeprowadzania testów stosowane w odniesieniu do mniejszych przedsiębiorstw finansowych byłyby mniej rygorystyczne.

Czy przewiduje się znaczące skutki dla budżetów i administracji krajowych? 

Nie. Jak wykazano powyżej, wypełnianie dodatkowych obowiązków nadzorczych może wiązać się z koniecznością nieznacznego zwiększenia zasobów przeznaczanych na podejmowanie działań nadzorczych – obowiązek pokrycia kosztów tych działań może spoczywać w całości lub częściowo (w przypadku wprowadzenia opłat nadzorczych) na budżetach publicznych.

Czy wystąpią inne znaczące skutki? 

Społeczno-gospodarcze skutki pandemii COVID-19 dowodzą kluczowego znaczenia cyfrowych rynków finansowych i kwestii ich odporności operacyjnej. Przyjęcie preferowanego wariantu położyłoby solidny fundament pod dalsze działania przyczyniające się do odpowiedniego wykorzystania potencjału transformacji cyfrowej poprzez zapewnienie odporności operacyjnej jednolitego rynku usług finansowych, w tym również w ramach unii bankowej i unii rynków kapitałowych, na podstawie wspólnego zbioru przepisów i wymogów służących zagwarantowaniu bezpieczeństwa, wydajności, stabilności oraz równych warunków działania. Opisane działania wzmocnią również pozycję Europy jako światowego lidera w dziedzinie finansów i technologii cyfrowych zgodnie z celem Komisji wyznaczonym w jej komunikacie pt. „Kształtowanie cyfrowej przyszłości Europy”.

D. Działania następcze

Kiedy nastąpi przegląd przyjętej polityki? 

Pierwszy przegląd polityki nastąpiłby po upływie trzech lat od dnia wejścia instrumentu prawnego w życie. Komisja przekazałaby Parlamentowi Europejskiemu i Radzie sprawozdanie z takiego przeglądu. Przegląd mógłby zostać w stosownych przypadkach uzupełniony konsultacjami publicznymi, badaniami, dyskusjami ekspertów, ankietami i warsztatami.