Uwarunkowania prawne nadzoru nad cyberbezpieczeństwem rynku finansowego w Polsce

Bartosz Biderman; Kamil Mroczka

doi:10.26354/bb.3.2.87.2022

Published : 2022-07-12

Vol. 87 No. 2 (2022)

Legal status of supervision over cybersecurity of the financial market in Poland

Bartosz Biderman

https://orcid.org/0000-0002-8503-5207

Kamil Mroczka

https://orcid.org/0000-0003-3809-3479

DOI: https://doi.org/10.26354/bb.3.2.87.2022

Abstract

The essential purpose of the paper is to analyse the legal conditions determining the system of cybersecurity of the financial market in Poland. The authors have performed a dogmatical legal analysis of provisions of the Polish and, partly, EU legislation and then discussed the implementation of the provisions in the financial sector. The analysis covers the role and position of the KNF Board as an authority competent for cybersecurity for the banking sector and the infrastructure of financial markets. The paper also presents a catalogue of the institution’s tasks and activities that have been undertaken to perform the tasks properly. The paper includes an in-depth analysis of recommendations and guidelines adopted by the KNF Board in the area of cybersecurity, and points their specific legal nature. The paper also explores the process of establishing the CSIRT KNF team and discusses its special role in building cyber resilience of the Polish cybersecurity system. Special emphasis is placed on the important role of financial education, in particular the need to run awareness-raising and educational campaigns regarding cybersecurity. The conclusions include the authors’ free thoughts on the further development of cyber threats and a presentation of ideas on how to prevent them.

Keywords:

cyber security, financial market, national cyber security system, KNF Board

JEL Codes

G32, L88, M15, F52

Details

References

Statistics

Authors

Download files

pdf (Język Polski)

Citation rules

Biderman, B., & Mroczka, K. (2022). Legal status of supervision over cybersecurity of the financial market in Poland. Safe Bank, 87(2), 47–71. https://doi.org/10.26354/bb.3.2.87.2022

Altmetric indicators

Cited by / Share

Licence

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

References

Banasiński C., Rojszczak M., Chmielewski J.M., Hydzik W., Łuczak J., Nowak W., Waćkowski K., Zarządzanie podatnościami oprogramowania i systemów IT [w:] Banasiński C., Rojszczak M., Chmielewski J. M., Hydzik W., Łuczak J., Nowak W., Waćkowski K., Cyberbezpieczeństwo, Warszawa 2020, LEX.

Chłopecki A., Zakres, sposób i skutki stosowania „miękkiego prawa” jako alternatywy dla regulacji ustawowych – na przykładzie rynku finansowego, „Wiadomości Ubezpieczeniowe” 2013, nr 3 (wydanie specjalne.

Czech T., Charakter prawny rekomendacji Komisji Nadzoru Finansowego, „Przegląd Prawa Publicznego” 2009, nr 11.

Dąbrowska P., Koncepcja „nowego rządzenia” w prawie Unii Europejskiej a Konstytucja dla Europy, [w:] Konstytucja dla Europy. Przyszły fundament Unii Europejskiej, red. Dudzik S., Kraków 2005.

Dobre praktyki w zakresie przeciwdziałania atakom DDoS, Rekomendacja CSIRT KNF, luty 2022; https://www.knf.gov.pl/knf/pl/komponenty/img/Dobre%20praktyki%20w%20zakresie%20przeciwdzia%C5%82ania%20atakom%20DDoS_77247.pdf [dostęp: 08.05.2022].

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Głuchowski J., [w:] System prawa finansowego, t. IV, red. Głuchowski J., Warszawa 2010.

Hoff W., Recepcja pojęcia regulacji i organu regulacyjnego na przykładzie polskiego prawa, „Państwo i Prawo” 2005, nr 8.

Krzyżewski J. A., Rekomendacje nadzorcze – charakter prawny i zakres mocy obowiązującej, „Prawo Bankowe” 2000, nr 7-8.

Lewandowski D., Regulacyjna funkcja nadzoru bankowego. Nadzorcze rekomendacje ostrożnościowe A, B, C z dnia 3 marca 1997 r., „Prawo Bankowe” 1997, nr 3.

Liderman K., Dziesięć definicji, [w:] Przestępczość teleinformatyczna 2017, red. Kosiński J., Szczytno 2018.

Mroczka K., Maderak K., Zieliński K., Nadzór nad cyberbezpieczeństwem rynku finansowego w Polsce [w:] Finanse cyfrowe. Informatyzacja, cyfryzacja i danetyzacja, red. Gąsiorkiewicz L., Monkiewicz J., Warszawa 2021.

Nadolska A., Soft law w regulacji rynku finansowego w Polsce: rekomendacje, wytyczne i lista ostrzeżeń publicznych KNF, Warszawa 2021.

Nieborak T, Uwagi do rozdziału 1. Przepisy ogólne [w:] T. Nieborak, T. Sójka (red.), Ustawa o nadzorze nad rynkiem kapitałowym. Komentarz, Warszawa 2011.

Ochnio M., Rekomendacje organu nadzoru bankowego w świetle polskiego systemu źródeł prawa, [w:] Źródła prawa z perspektywy piętnastu lat obowiązywania Konstytucji, red. Zubik M., Puchta R., Warszawa 2013.

Ofiarski Z., Status prawny i funkcje rekomendacji wydawanych przez Komisję Nadzoru Finansowego oraz Komitet Stabilności Finansowej, „Przegląd Ustawodawstwa Gospodarczego” 2017, nr 9.

Olszak M., Rekomendacje organu nadzoru bankowego – geneza, przedmiot regulacji, charakter prawny, „Przegląd Ustawodawstwa Gospodarczego” 2010, z. 11.

Piątek S., Obowiązki przedsiębiorców telekomunikacyjnych w zakresie cyberbezpieczeństwa, „internetowy Kwartalnik Antymonopolowy i Regulacyjny” 2020, nr 2(9).

Pietrzyk M., Soft law i hard law w europejskim prawie administracyjnym: relacja alternatywy, uzupełnienia, wykluczenia oraz przejścia, [w:] Administracja publiczna wobec wyzwań i oczekiwań społecznych, red. Giełda M., Raszewska-Sałecka R., Wrocław 2015.

Prawo spółdzielcze. System Prawa Prywatnego, tom 21, red. K. Pietrzykowski, Warszawa 2020.

Radoniewicz F. [w:] Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, red. Kitler W., Taczkowska-Olszewska J., Radoniewicz F., Warszawa 2019.

Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach przyjęta przez KNF w styczniu 2013 r. (Uchwała Nr 7/2013 Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. w sprawie wydania Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, Dz. Urz. KNF z 2013 r. poz. 5).

Rojszczak M., Cyberbezpieczeństwo w łączności elektronicznej, [w:] Cyberbezpieczeństwo. Zarys wykładu, red. Banasiński C., Warszawa 2018.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013, Dz. U. UE. L. z 2019 r. Nr 151.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WEDz., Urz. UE L 257 z 28.08.2014.

Rozporządzenie wykonawcze Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ, Dz. U. UE. L. z 2018 r. Nr 26.

Sejm Rzeczypospolitej Polskiej, Rządowy projekt ustawy o nadzorze nad rynkiem finansowym, druk nr 654, http://orka.sejm.gov.pl/Druki5ka.nsf/wgdruku/654, [dostęp: 14 października 2020].

Sejm VIII Kadencji, Rządowy projekt ustawy o krajowym systemie cyberbezpieczeństwa, Druk nr 2505.

Szpor G. [w:] Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, red. Czaplicki K., Gryszczyńska A., Warszawa 2019.

Uchwała nr 7/2013 Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. w sprawie wydania Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, Dz. Urz. KNF z 2013 r. poz. 5.

Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, t.j. Dz. U. z 2021 r. poz. 576 z późn. zm.

Ustawa z dnia 17 grudnia 2021 r. o zmianie niektórych ustaw w związku z powołaniem Centralnego Biura Zwalczania Cyberprzestępczości, Dz. U. poz. 2447.

Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, system teleinformatyczny wraz z przetwarzanymi w nim danymi w postaci elektronicznej, Dz. U. z 2020 r. poz. 346, 568 i 695.

Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, Dz. U. z 2020 r. poz. 344.

Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, t.j. Dz. U. z 2021 r. poz. 1907 z późn. zm.

Ustawa z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa, Dz. U. poz. 2333.

Ustawa z dnia 20 grudnia 1996 r. o gospodarce komunalnej, Dz. U. z 2019 r. poz. 712 i 2020.

Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz. U. z 2019 r. poz. 869, z późn. zm.

Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe, t.j. Dz. U. z 2021 r. poz. 2439 z późn. zm.

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, t.j. Dz. U. z 2020 r. poz. 1369 z późn. zm.

Ustawa z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych, t.j. Dz. U. z 2021 r. poz. 1844 z późn. zm.

Ustawa z dnia 5 sierpnia 2015 r. o nadzorze makroostrożnościowym nad systemem finansowym i zarządzaniu kryzysowym w systemie finansowym, t.j. Dz. U. z 2021 r. poz. 140 z późn. zm.

Wajda P., Cyberbezpieczeństwo – sektorowe aspekty regulacyjne, „internetowy Kwartalnik Antymonopolowy i Regulacyjny” 2020, nr 2(9).

Wajda P, Rekomendacje Komisji Nadzoru Finansowego dla zakładów ubezpieczeń i zakładów reasekuracji, „Wiadomości Ubezpieczeniowe” 2016, nr 3.

Wyrok Sądu Okręgowego w Łodzi z dnia 16 maja 2019 r., sygn. III Ca 2139/18.

Wyrok Trybunału Konstytucyjnego z dnia 15 czerwca 2011 r., sygn. akt K 2/09, Dz. U z 2011 r., nr 134, poz. 788.

Zalcewicz A., [w:] Ustawa o usługach płatniczych. Komentarz, wyd. II, red. Byrski J., Warszawa 2021.