Jakie zmiany dla uczestników polskiego rynku obsługi gotówki wprowadza implementacja unijnej dyrektywy CER?

Czym jest dyrektywa CER i jaki jest cel jej wprowadzenia?

Projekt ustawy dotyczy wprowadzenia dyrektywy CER przygotowanej przez Parlament Europejski i Radę z dnia 14 grudnia 2022 roku. Ma ona zapewnić wdrożenie rozwiązań stanowiących podstawy zarządzania ryzykiem. 

Celem dyrektywy jest zapewnienie ciągłości świadczenia kluczowych usług realizowanych w krytycznych sektorach lub podsektorach wskazanych w dyrektywie (m.in. energetyce, transporcie, sektorze zdrowia czy bankowości).

Posiadanie przez dane państwo planów zarządzania ryzykiem jest o tyle istotne, że będą one miały bezpośrednie przełożenie na możliwość pozyskiwania środków finansowych w ramach funduszy unijnych. Oznacza to konieczność opracowania planu zarządzania ryzykiem na szczeblu krajowym lub regionalnym, powiązanego ze strategiami adaptacji do zmian klimatu.

Regulacje z zakresu zarządzania ryzykiem obowiązujące obecnie w Polsce nie spełniają wymogów przewidzianych w dyrektywie. Konieczna jest zatem modyfikacja rozwiązań, zapewniająca podstawy prawne i organizacyjne, pozwalająca spełnić wymogi dyrektywy.

Wymogi CER częściowo pokrywają się w wymaganiami DORA w zakresie cyberbezpieczeństwa. Między tymi aktami jest jednak znacząca różnica. DORA to rozporządzenie, czyli obowiązujący akt prawny, natomiast CER jest dyrektywą. Oznacza to, że dokument ten opisuje jedynie wymagania minimalne, które mogą być rozszerzone na poziomie krajowym.

Aby poznać szczegóły dotyczące wymogów jakie będą obowiązywały w Polsce, musimy zaczekać na uchwalenie ustawy, a potem wszystkich aktów wykonawczych do niej.

Bardzo istotnym faktem wynikającym z CER jest zmiana podejścia do działań z podmiotowego na procesowy. Podejście procesowe uwzględnia ciągłość biznesową działania organizacji i odnosi się głównie do usług, które zazwyczaj nie są świadczone przez jednego dostawcę i są najczęściej zbiorem kilku usług. Usługi te są niezależnie od siebie i są dostarczane przez różnych operatorów.

Co to oznacza można stwierdzić na przykładzie usługi wypłaty gotówki z bankomatu. Żeby taka usługa była możliwa, konieczne jest zapewnienie dostępności kilku usług składowych: zasilania elektrycznego bankomatu, sieci internetowej do łączności z system rozliczeniowym, systemu rozliczeniowego banku, z którego wypłacane są środki, sprawności samego bankomatu oraz dostarczenia do niego gotówki.

Tylko jeśli wszystkie te usługi są dostępne, wypłata jest możliwa.

Infrastruktura krytyczna w dyrektywie CER

Wdrożenie rozwiązań zawartych w dyrektywie będzie wymagało redefiniowania regulacji dotyczących infrastruktury krytycznej. Jest ona niezbędna do świadczenia usług kluczowych przez podmioty krytyczne.

Przepisy zakładają nie tylko utrzymanie dotychczasowego poziomu ochrony infrastruktury krytycznej, ale również wprowadzenie dodatkowych mechanizmów ochronnych. Projektowane rozwiązania mają na celu wzmocnienie mechanizmów ochrony infrastruktury krytycznej niezbędnej dla funkcjonowania państwa oraz jego obywateli.

Bardzo ważne z pewnością będą wnioski z pandemii COVID oraz przebiegu wojny w Ukrainie i pojawiających się działań o charakterze sabotażowym i hybrydowym. Do infrastruktury krytycznej określonej w CER zaliczają się również podmioty biorące udział w procesie obiegu gotówki.

Jaki będzie wpływ ustawy na sektor finansowy?

Obecnie mamy do czynienia dopiero z projektem ustawy wprowadzającej dyrektywę, której to zapisy będą się jeszcze zmieniać. W praktyce bardzo dużo będzie też zależało od aktów wykonawczych, ale już dzisiaj możemy stwierdzić, że wpływ tych przepisów na rynek gotówki będzie znaczący.

Sektory bankowości i infrastruktury rynków finansowych zostały już zakwalifikowane jako sektory krytyczne. Najważniejszym pojęciem w nowej dyrektywie jest „podmiot krytyczny”.

W obszarze bankowości podmiotami krytycznymi są instytucje kredytowe, czyli przedsiębiorstwa których działalność polega na przyjmowaniu depozytów lub innych funduszy podlegających zwrotowi od klientów oraz udzielaniu kredytów na swój własny rachunek. Formalnie są to więc wszystkie banki, łącznie z najmniejszymi bankami spółdzielczymi.

Co ciekawe, definicja ta nie obejmuje Narodowego Banku Polskiego. Nie ma jednak wątpliwości, że bank centralny będzie zaangażowany w prace związane z realizacją implementacji dyrektywy CER.

Podmiotem odpowiedzialnym za sektory finansowe w Polsce będzie Komisja Nadzoru Finansowego i to ona będzie przygotowywała szczegółowe przepisy, a potem je egzekwowała. KNF m.in. będzie identyfikował infrastrukturę krytyczną. Mogą się na nią składać obiekt, urządzenie, instalacja lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje i sieć, systemy lub usługa.

Jakie warunki musi spełnić podmiot krytyczny?

Podmiot krytyczny będzie miał obowiązek wdrożenia rozwiązań organizacyjno-technicznych, składających się z: polityk zarządzania ryzykiem,  bezpieczeństwa fizycznego w tym ochrony fizycznej budynków i terenów, ochrony infrastruktury krytycznej, bezpieczeństwa osobowego dotyczącego pracowników i dostawców zewnętrznych, cyberbezpieczeństwa, bezpieczeństwa prawnego świadczenia usługi kluczowej, ciągłości działania i odtwarzania, zdolności do ochrony informacji niejawnych, szkoleń i ćwiczeń personelu przygotowujących na różnego rodzaju zagrożenia oraz realizacji okresowych audytów i certyfikacji.

Rozwiązania te będą musiały między innymi uwzględniać wymagania określone w Polskich Normach:

• PN-EN ISO/IEC 27001,

• PN-EN ISO 22301,

• PN-EN 50131 lub

• PN-EN 60839 lub

• PN-EN 62676

oraz minimalnych standardach ochrony infrastruktury krytycznej, o których będzie mowa w przepisach wykonawczych.

Ponadto podmiot krytyczny będzie miał obowiązek przeprowadzania, na własny koszt, co najmniej raz na 3 lata, audytu zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej. W swoim zakresie będzie on obejmował wdrożone rozwiązania organizacyjno-techniczne.

A jaka jest sytuacja firm CIT i innych uczestników rynku gotówki?

Na ten moment firmy CIT nie zaliczają się do sektorów krytycznych i sytuacja ta raczej się nie zmieni. Firmy te będą usługodawcami w zakresie transportu i przetwarzania gotówki dla banków.

Ich obowiązki będą takie same jak dostawców serwisu sprzętu gotówkowego. To oznacza, że zarówno dostawcy sprzętu jak i firmy CIT będą musiały posiadać zdolność do ochrony informacji niejawnych oraz stosowania tych przepisów przy projektowaniu i wykonywaniu obiektów, urządzeń instalacji i innych systemów będących elementami infrastruktury krytycznej a także posiadać certyfikaty potwierdzające posiadanie właściwych kompetencji i uprawnień, które będą określone w aktach wykonawczych.

To warunki konieczne współpracy z podmiotem krytycznym, ponieważ będzie on zobowiązany, żeby w postępowaniach przetargowych lub zamówieniach żądać od usługodawców tych poświadczeń i dokumentów. Szczegółowe wymagania dotyczące certyfikatów będzie określał KNF.

W procesie obiegu gotówki ważną rolę pełnią również sieci handlowe. W ustawie wprost wymieniony jest sektor „produkcja, przetwarzanie i dystrybucja żywności”, w którym podmiotami krytycznymi są „przedsiębiorstwo publiczne lub prywatne, typu non-profit lub nie, prowadzące jakąkolwiek działalność związaną z jakimkolwiek etapem produkcji, przetwarzania i dystrybucji żywności”.

Z pewnością wprowadzone zostaną w tym zakresie duże ograniczenia dotyczące uznawania przedsiębiorstw za podmioty krytyczne, ale wszystko wskazuje na to, że największe sieci handlowe w Polsce będą za takie uznane. Oznacza to, że również ich usługodawcy będą podlegali opisanym powyżej wymogom.

Bardzo trudno natomiast dzisiaj przewidywać czy pojawią się dodatkowe wymagania, związane z udziałem takich sieci w procesie obsługi gotówki.

Proces zapewnienia ciągłości dostaw gotówki nadal ważny

Proces zapewnienia ciągłości dostaw gotówki prawie na pewno będzie usługą krytyczną. Można tak wnioskować uwzględniając sytuacje pojawienia się pandemii Covid oraz wybuchu wojny w Ukrainie.

Oba te wydarzenia pokazały, jak ważna jest gotówka. Na początku pandemii w 2020 roku można było zaobserwować ogromne zapotrzebowanie na gotówkę. Proces ten powtórzył się w momencie wybuchu wojny w Ukrainie. Ludzie masowo wypłacali pieniądze, obawiając się zaprzestania działania banków i elektronicznych systemów płatniczych.

Gotówka okazała się najbardziej przewidywalnym środkiem płatniczym.

Jakie są konsekwencje implementacji dyrektywy CER dla firm i rynku gotówkowego?

Wszystko wskazuje na to, że nie tylko firmy CIT, ale najprawdopodobniej również firmy serwisujące urządzenia gotówkowe, takie jak bankomaty czy sortery, będąc usługodawcami podmiotów krytycznych, odczują duże zmiany.

Będą one musiały wprowadzić nowe procedury. A to oznacza dużo dodatkowej pracy i kosztów dla banków, firm CIT i dostawców. Można się obawiać, że z tego powodu wzrosną koszty obsługi gotówki. Receptą na to mogą być odpowiednie i wczesne przygotowania do wprowadzenia nowych regulacji, które pozwolą uniknąć nadmiernych i nieprzewidzianych kosztów.

Obecnie trudno przewidzieć dokładny harmonogram wprowadzania regulacji. Polska już ma opóźnienie we wdrażaniu dyrektywy CER, ale są szanse, że proces legislacyjny zakończy się w najbliższych miesiącach. Natomiast dużo dłużej potrwa przygotowanie szczegółowych przepisów wykonawczych i ich wdrożenie. Można zakładać, że cały proces potrwa 2-3 lata. Jest więc czas na przygotowania.

Zapraszamy do dyskusji i zadawania pytań dotyczących dyrektywy CER i wszystkich aspektów jej wprowadzania w Polsce. Chętnie podzielimy się posiadaną wiedzą i wesprzemy w przygotowaniach do spełnienia wymagań nowych przepisów prawnych.

Krzysztof Kołodziejczyk

wiceprezes zarządu POFOG/prezes Talemax Sp. z o.o.