Uwarunkowania prawne nadzoru nad cyberbezpieczeństwem rynku finansowego w Polsce

Bartosz Biderman; Kamil Mroczka

doi:10.26354/bb.3.2.87.2022

Published: 2022-07-12

Vol. 87 No. 2 (2022)

Legal status of supervision over cybersecurity of the financial market in Poland

Bartosz Biderman

, Kamil Mroczka

Section: Problems and Opinions

https://doi.org/10.26354/bb.3.2.87.2022

Abstract

The essential purpose of the paper is to analyse the legal conditions determining the system of cybersecurity of the financial market in Poland. The authors have performed a dogmatical legal analysis of provisions of the Polish and, partly, EU legislation and then discussed the implementation of the provisions in the financial sector. The analysis covers the role and position of the KNF Board as an authority competent for cybersecurity for the banking sector and the infrastructure of financial markets. The paper also presents a catalogue of the institution’s tasks and activities that have been undertaken to perform the tasks properly. The paper includes an in-depth analysis of recommendations and guidelines adopted by the KNF Board in the area of cybersecurity, and points their specific legal nature. The paper also explores the process of establishing the CSIRT KNF team and discusses its special role in building cyber resilience of the Polish cybersecurity system. Special emphasis is placed on the important role of financial education, in particular the need to run awareness-raising and educational campaigns regarding cybersecurity. The conclusions include the authors’ free thoughts on the further development of cyber threats and a presentation of ideas on how to prevent them.

Keywords:

cyber security , financial market , national cyber security system , KNF Board

JEL Codes

G32, L88, M15, F52

Download files

pdf (Język Polski)

Citation rules

Biderman, B., & Mroczka, K. (2022). Legal status of supervision over cybersecurity of the financial market in Poland. Safe Bank, 87(2), 47–71. https://doi.org/10.26354/bb.3.2.87.2022

Cited by / Share

Licence

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

References

Banasiński C., Rojszczak M., Chmielewski J.M., Hydzik W., Łuczak J., Nowak W., Waćkowski K., Zarządzanie podatnościami oprogramowania i systemów IT [w:] Banasiński C., Rojszczak M., Chmielewski J. M., Hydzik W., Łuczak J., Nowak W., Waćkowski K., Cyberbezpieczeństwo, Warszawa 2020, LEX.
Google Scholar

Chłopecki A., Zakres, sposób i skutki stosowania „miękkiego prawa” jako alternatywy dla regulacji ustawowych – na przykładzie rynku finansowego, „Wiadomości Ubezpieczeniowe” 2013, nr 3 (wydanie specjalne.
Google Scholar

Czech T., Charakter prawny rekomendacji Komisji Nadzoru Finansowego, „Przegląd Prawa Publicznego” 2009, nr 11.
Google Scholar

Dąbrowska P., Koncepcja „nowego rządzenia” w prawie Unii Europejskiej a Konstytucja dla Europy, [w:] Konstytucja dla Europy. Przyszły fundament Unii Europejskiej, red. Dudzik S., Kraków 2005.
Google Scholar

Dobre praktyki w zakresie przeciwdziałania atakom DDoS, Rekomendacja CSIRT KNF, luty 2022; https://www.knf.gov.pl/knf/pl/komponenty/img/Dobre%20praktyki%20w%20zakresie%20przeciwdzia%C5%82ania%20atakom%20DDoS_77247.pdf [dostęp: 08.05.2022].
Google Scholar

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
Google Scholar

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, Dz. Urz. UE L 194 z 19.07.2016.
Google Scholar

Głuchowski J., [w:] System prawa finansowego, t. IV, red. Głuchowski J., Warszawa 2010.
Google Scholar

Hoff W., Recepcja pojęcia regulacji i organu regulacyjnego na przykładzie polskiego prawa, „Państwo i Prawo” 2005, nr 8.
Google Scholar

Krzyżewski J. A., Rekomendacje nadzorcze – charakter prawny i zakres mocy obowiązującej, „Prawo Bankowe” 2000, nr 7-8.
Google Scholar

Lewandowski D., Regulacyjna funkcja nadzoru bankowego. Nadzorcze rekomendacje ostrożnościowe A, B, C z dnia 3 marca 1997 r., „Prawo Bankowe” 1997, nr 3.
Google Scholar

Liderman K., Dziesięć definicji, [w:] Przestępczość teleinformatyczna 2017, red. Kosiński J., Szczytno 2018.
Google Scholar

Mroczka K., Maderak K., Zieliński K., Nadzór nad cyberbezpieczeństwem rynku finansowego w Polsce [w:] Finanse cyfrowe. Informatyzacja, cyfryzacja i danetyzacja, red. Gąsiorkiewicz L., Monkiewicz J., Warszawa 2021.
Google Scholar

Nadolska A., Soft law w regulacji rynku finansowego w Polsce: rekomendacje, wytyczne i lista ostrzeżeń publicznych KNF, Warszawa 2021.
Google Scholar

Nieborak T, Uwagi do rozdziału 1. Przepisy ogólne [w:] T. Nieborak, T. Sójka (red.), Ustawa o nadzorze nad rynkiem kapitałowym. Komentarz, Warszawa 2011.
Google Scholar

Ochnio M., Rekomendacje organu nadzoru bankowego w świetle polskiego systemu źródeł prawa, [w:] Źródła prawa z perspektywy piętnastu lat obowiązywania Konstytucji, red. Zubik M., Puchta R., Warszawa 2013.
Google Scholar

Ofiarski Z., Status prawny i funkcje rekomendacji wydawanych przez Komisję Nadzoru Finansowego oraz Komitet Stabilności Finansowej, „Przegląd Ustawodawstwa Gospodarczego” 2017, nr 9.
Google Scholar

Olszak M., Rekomendacje organu nadzoru bankowego – geneza, przedmiot regulacji, charakter prawny, „Przegląd Ustawodawstwa Gospodarczego” 2010, z. 11.
Google Scholar

Piątek S., Obowiązki przedsiębiorców telekomunikacyjnych w zakresie cyberbezpieczeństwa, „internetowy Kwartalnik Antymonopolowy i Regulacyjny” 2020, nr 2(9).
Google Scholar

Pietrzyk M., Soft law i hard law w europejskim prawie administracyjnym: relacja alternatywy, uzupełnienia, wykluczenia oraz przejścia, [w:] Administracja publiczna wobec wyzwań i oczekiwań społecznych, red. Giełda M., Raszewska-Sałecka R., Wrocław 2015.
Google Scholar

Prawo spółdzielcze. System Prawa Prywatnego, tom 21, red. K. Pietrzykowski, Warszawa 2020.
Google Scholar

Radoniewicz F. [w:] Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, red. Kitler W., Taczkowska-Olszewska J., Radoniewicz F., Warszawa 2019.
Google Scholar

Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach przyjęta przez KNF w styczniu 2013 r. (Uchwała Nr 7/2013 Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. w sprawie wydania Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, Dz. Urz. KNF z 2013 r. poz. 5).
Google Scholar

Rojszczak M., Cyberbezpieczeństwo w łączności elektronicznej, [w:] Cyberbezpieczeństwo. Zarys wykładu, red. Banasiński C., Warszawa 2018.
Google Scholar

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013, Dz. U. UE. L. z 2019 r. Nr 151.
Google Scholar

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WEDz., Urz. UE L 257 z 28.08.2014.
Google Scholar

Rozporządzenie wykonawcze Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ, Dz. U. UE. L. z 2018 r. Nr 26.
Google Scholar

Sejm Rzeczypospolitej Polskiej, Rządowy projekt ustawy o nadzorze nad rynkiem finansowym, druk nr 654, http://orka.sejm.gov.pl/Druki5ka.nsf/wgdruku/654, [dostęp: 14 października 2020].
Google Scholar

Sejm VIII Kadencji, Rządowy projekt ustawy o krajowym systemie cyberbezpieczeństwa, Druk nr 2505.
Google Scholar

Szpor G. [w:] Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, red. Czaplicki K., Gryszczyńska A., Warszawa 2019.
Google Scholar

Uchwała nr 7/2013 Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. w sprawie wydania Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, Dz. Urz. KNF z 2013 r. poz. 5.
Google Scholar

Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, t.j. Dz. U. z 2021 r. poz. 576 z późn. zm.
Google Scholar

Ustawa z dnia 17 grudnia 2021 r. o zmianie niektórych ustaw w związku z powołaniem Centralnego Biura Zwalczania Cyberprzestępczości, Dz. U. poz. 2447.
Google Scholar

Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, system teleinformatyczny wraz z przetwarzanymi w nim danymi w postaci elektronicznej, Dz. U. z 2020 r. poz. 346, 568 i 695.
Google Scholar

Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, Dz. U. z 2020 r. poz. 344.
Google Scholar

Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych, t.j. Dz. U. z 2021 r. poz. 1907 z późn. zm.
Google Scholar

Ustawa z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa, Dz. U. poz. 2333.
Google Scholar

Ustawa z dnia 20 grudnia 1996 r. o gospodarce komunalnej, Dz. U. z 2019 r. poz. 712 i 2020.
Google Scholar

Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz. U. z 2019 r. poz. 869, z późn. zm.
Google Scholar

Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe, t.j. Dz. U. z 2021 r. poz. 2439 z późn. zm.
Google Scholar

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, t.j. Dz. U. z 2020 r. poz. 1369 z późn. zm.
Google Scholar

Ustawa z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych, t.j. Dz. U. z 2021 r. poz. 1844 z późn. zm.
Google Scholar

Ustawa z dnia 5 sierpnia 2015 r. o nadzorze makroostrożnościowym nad systemem finansowym i zarządzaniu kryzysowym w systemie finansowym, t.j. Dz. U. z 2021 r. poz. 140 z późn. zm.
Google Scholar

Wajda P., Cyberbezpieczeństwo – sektorowe aspekty regulacyjne, „internetowy Kwartalnik Antymonopolowy i Regulacyjny” 2020, nr 2(9).
Google Scholar

Wajda P, Rekomendacje Komisji Nadzoru Finansowego dla zakładów ubezpieczeń i zakładów reasekuracji, „Wiadomości Ubezpieczeniowe” 2016, nr 3.
Google Scholar

Wyrok Sądu Okręgowego w Łodzi z dnia 16 maja 2019 r., sygn. III Ca 2139/18.
Google Scholar

Wyrok Trybunału Konstytucyjnego z dnia 15 czerwca 2011 r., sygn. akt K 2/09, Dz. U z 2011 r., nr 134, poz. 788.
Google Scholar

Zalcewicz A., [w:] Ustawa o usługach płatniczych. Komentarz, wyd. II, red. Byrski J., Warszawa 2021.
Google Scholar

Bartosz Biderman

https://orcid.org/0000-0002-8503-5207

Affiliation:

doktorant Wojskowej Akademii Technicznej Poland

Kamil Mroczka

https://orcid.org/0000-0003-3809-3479

Affiliation:

Wydział Nauk Politycznych i Studiów Międzynarodowych, Uniwersytet Warszawski, dyrektor generalny Urząd Komisji Nadzoru Finansowego Poland

Vol. 87 No. 2 (2022)
Published: 2022-07-12

ISSN: 1429-2939

eISSN: 2544-7068

10.26354

Publisher

Bankowy Fundusz Gwarancyjny

Licence CC

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Submit

-->