10. kadencja, 37. posiedzenie, 1. dzień - Podsekretarz Stanu w Ministerstwie Finansów Jurand Drop

10. kadencja, 37. posiedzenie, 1. dzień (24-06-2025)

7. punkt porządku dziennego:

Sprawozdanie Komisji Finansów Publicznych o rządowym projekcie ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji (druki nr 1262 i 1326).

Podsekretarz Stanu w Ministerstwie Finansów Jurand Drop:

    Panie Marszałku! Panie Posłanki! Panowie Posłowie! Odpowiadając na pytania i wątpliwości, które zostały zadane i wyrażone w czasie dyskusji, chciałbym przedstawić następujące informacje i przejść przez te wątpliwości, które sobie zanotowałem.

    Jeśli chodzi o wątpliwości pana posła Kowalskiego, który powiedział, że ustawa jest niepotrzebna, stwierdzam, że ustawa akurat jest bardzo potrzebna, ponieważ w tym momencie rozporządzenie DORA funkcjonuje. To jest odpowiedź, prawdę mówiąc, na większość pytań. W tym momencie rozporządzenie DORA obowiązuje nasze podmioty, dlatego że to jest rozporządzenie unijne, które obowiązuje bezpośrednio, wszystko jedno, czy podejmiemy jakieś działania, czy nie. To, co robimy w tej ustawie, to jest dostosowanie naszego prawa, żeby było spójne z tym rozporządzeniem, żeby nie było wątpliwości prawnych dla samych podmiotów, które muszą wykonywać zobowiązania rozporządzenia, a także wskazujemy sposób nadzoru i wskazujemy podmiot, który będzie nadzorował, czyli KNF. Dostosowujemy nasze prawo tak, żeby to było dobrze stosowane i żeby nie było dziur w systemie, by była rozwiązana ta kwestia, o której wiele pań posłanek i wielu panów posłów wspominało, to znaczy żeby bezpieczeństwo naszych pieniędzy, pieniędzy obywateli utrzymywanych w instytucjach finansowych było wyższe.

    Ustawa z pewnością jest potrzebna. Natomiast z pewnością nie jest sprzeczna... Tutaj przechodzimy do tego, co pewnie będzie odpowiedzią na wiele, wiele pytań, do sprawy tego, jakich podmiotów ona dotyczy, jakie podmioty wskazujemy jako te, które muszą to stosować i które będą objęte nadzorem KNF-u, a które są z tego wyłączone. To ta sprawa ścieżki narodowej. Tutaj największa dyskusja, co też pokazały nasze wypowiedzi, dotyczy sektora SKOK-ów. Trzeba podkreślić, że tylko SKOK-i, które spełniają warunki dotyczące co najmniej średniego przedsiębiorstwa, czyli zatrudniające powyżej 50 pracowników, i których obrót lub roczna suma bilansowa przekraczają 10 mln euro, zostaną objęte art. 5-15 rozporządzenia DORA. Czyli małe przedsiębiorstwa, małe SKOK-i, bo to dotyczy wszystkich małych przedsiębiorstw finansowych, są z tego wyłączone.

    Obowiązki będą musiały spełniać tylko takie podmioty, które są duże i które przede wszystkim mają bardzo dużą liczbę klientów. Na skutek tego musimy zadbać o to, żeby były one przygotowane na incydenty cybernetyczne. Mają one też potencjał administracyjny i instytucjonalny, żeby te obowiązki, te standardy spełniać. Dokładnie tego chcemy od tych instytucji. Wobec tego w przypadku SKOK-ów małe SKOK-i są wyłączone, natomiast SKOK-i... Mamy tutaj Kasę Krajową, która jest taką czapką nad całym systemem SKOK-ów i najważniejszym elementem dla bezpieczeństwa całego systemu SKOK-ów, także tych mniejszych, i Kasę Stefczyka, która też jest bardzo dużą co do aktywów kasą, bo to jest ponad 8 mld zł. To są dwie instytucje, które są kluczowe dla naszego systemu SKOK-ów i które są bardzo dużymi instytucjami, więc muszą spełniać obowiązki, jakie wskazuje rozporządzenie DORA, właśnie po to, żeby zagwarantować bezpieczeństwo systemu finansowego i bezpieczeństwo bardzo dużej liczby obywateli trzymających tam swoje środki. Mają one potencjał i tak czy siak wydają pieniądze na przygotowanie się na incydenty cybernetyczne. Wobec tego na powracające tutaj argumenty, że wymaga to nakładów finansowych, odpowiem, że akurat te dwie duże instytucje SKOK-ów, o których mówiłem, tak czy siak ponoszą te nakłady. One muszą je ponosić i na pewno chcemy, żeby je ponosiły, by zapewniały ten poziom cyberbezpieczeństwa w Polsce.

    Wracając teraz do konkretnych pytań, do tego, co mówił pan poseł Kowalski, czyli że to jest sprzeczne z prawem Unii Europejskiej, z art. 16, odpowiem, że to nie jest sprzeczne z tym artykułem. Odpowiedziałem też znowu panu posłowi Kowalskiemu, który mówił, że nawet najmniejsze podmioty będą musiały wydatkować środki, że to nie jest prawda. Najmniejsze podmioty są z tego wyłączone. Ścieżka narodowa została właśnie zachowana, przyjęta. Teraz to, co pan poseł Kowalski mówił: co by było, gdyby ta ustawa nie weszła w życie. Rozporządzenie DORA tak czy siak obowiązuje. Ono jest naszym prawem wewnętrznym, ponieważ jest to prawo, rozporządzenie unijne. Wtedy nie mielibyśmy dostosowanego naszego prawa wewnętrznego. Najważniejsze byłoby wyższe ryzyko w systemie i byłyby także wyższe koszty dla wszystkich podmiotów, które z jednej strony musiałyby stosować rozporządzenie, a z drugiej strony nie miałyby konkretnych przepisów, np. dotyczących nadzoru, więc nie wiadomo by było, jak to wszystko rozwiązywać.

    Jeśli chodzi o panią poseł Skowrońską, która mówiła potem, to odpowiem, że SKOK-i są w systemie i mają - o czym już było w fazie pytań - audyt systemów informatycznych. W tym momencie to, co jest dobre dla tych małych podmiotów, to jest spójność zasad. To nie jest zmniejszenie obowiązków, to nie jest wyłączenie jakichś audytów, ale to jest stworzenie i ujednolicenie systemu oraz standardów akurat cyberbezpieczeństwa, które te podmioty muszą spełniać.

    Jeśli chodzi o wypowiedź pana posła Wiplera, to przepisy rozporządzenia DORA nie wdrażają zielonych obligacji. To są dwie różne rzeczy i jedno z drugim nie ma nic wspólnego. Z pewnością nie prowadzi to do żadnej monopolizacji w finansach. Wprost przeciwnie, sprzyja temu, by była konkurencja na rynku i by właśnie tej monopolizacji nie było.

    Co do zielonych obligacji, bo to też się tutaj pojawiało w kilku wypowiedziach, to w tej ustawie wprowadzamy dobrowolne standardy. Chodzi o to, żeby podmioty, które chcą emitować zielone obligacje, mogły to robić. Dlaczego będą tego chciały? Bo np. są inwestorzy, którzy chcą takie obligacje kupić. My tworzymy system, który pozwoli tym podmiotom emitować zielone obligacje, obniży koszty transakcyjne, bo w ekonomii jest asymetria informacji. Dzięki temu będą one mogły emitować te obligacje i ponosić niższe koszty pozyskiwania kapitału.

    ? propos wypowiedzi pana posła Sachajki powiem, że z pewnością, tak jak już to mówiłem o SKOK-ach, nie ma tutaj żadnego uderzenia w małe podmioty ani ograniczania suwerenności. Tak czy siak to jest stosowane. Właśnie wprost przeciwnie, dzięki temu nasze podmioty będą działały na równych zasadach, tak jak podmioty z innych krajów.

    Patrzę na pozostałe pytania. Pani posłanka Gembicka pytała, na ile jest to wdrażanie, a na ile jest to wykraczanie poza regulacje unijne. Jest to robione w taki sposób, który ma zapewnić funkcjonowanie prawa unijnego w takim stopniu, w jakim to jest wymagane. Tak jak mówiłem, najmniejsze podmioty zgodnie ze ścieżką narodową są wyłączone, natomiast podmioty, które są kluczowe dla cyberbezpieczeństwa, są włączone, i to jest dokładnie zgodne z prawem europejskim. Pytanie pani posłanki o zielone obligacje - o tym już mówiłem: zielone obligacje są dobrowolnym standardem, a nie żadnym narzuconym obowiązkiem emisji czy coś takiego.

    Pani posłanka Jachira też mówiła o zielonych obligacjach.

    Pan poseł Porzucek - z pewnością nie uderzamy tutaj w żadne podmioty, żeby obniżyć ich konkurencyjność. Wprost przeciwnie, chcemy zwiększyć konkurencyjność naszych podmiotów poprzez to, że mają jasne reguły. W naszych podmiotach jest tak, że utrzymywanie pieniędzy jest równie korzystne, równie bezpieczne w tym wypadku, tak jak w innych podmiotach w innych krajach.

    To jest odpowiedź także na pytanie pana posła Sachajki, pytanie o wpływ konkurencyjności naszych podmiotów w stosunku do podmiotów zagranicznych. Podmioty zagraniczne tak samo stosują rozporządzenie DORA, jeśli mówimy o Unii Europejskiej. Tak samo stosują rozporządzenie DORA i tak samo podlegają kontroli organów krajowych. Tam, gdzie jest to jasno stwierdzone, którym organom podlegają, tam jest to bardziej konkurencyjne, wobec czego my w tym momencie zwiększamy konkurencyjność naszych podmiotów.

    Czy znane są przypadki ataków? Pan poseł Józefaciuk wspomniał o takim ataku, więc nie będę tego rozwijał. Natomiast było pytanie pana posła Józefaciuka, jeśli chodzi o małe i średnie przedsiębiorstwa. To są przepisy dotyczące cyberbezpieczeństwa dużych podmiotów, kluczowych podmiotów, natomiast tak jak wspomniałem, są wyłączone przedsiębiorstwa zatrudniające poniżej 50 pracowników, chodzi o kwotę poniżej 10 mld euro, wobec czego są przewidziane zasady, które tam, gdzie to jest niepotrzebne... Bo dlaczego chcielibyśmy wyłączyć małe i średnie przedsiębiorstwa? Ponieważ nie są kluczowe dla bezpieczeństwa całego systemu. Wtedy one są wyłączone, np. małe SKOK-i, natomiast tam, gdzie są to duże podmioty - w SKOK-ach to były Kasa Krajowa i Kasa Stefczyka - one są kluczowe dla całego systemu, wobec czego muszą być, podlegać... Ale to wtedy nie są małe i średnie przedsiębiorstwa.

    Oczywiście KNF - odpowiadam na pytanie pana posła Józefaciuka - ma inne standardy, inne sposoby nadzoru dla dużych i małych podmiotów, wobec czego w ramach nadzoru to już jest zróżnicowane i tam są wyłączenia dla małych i średnich w kontekście nadzoru KNF-owego.

    Jeśli chodzi o pytanie pana posła Tumanowicza, nie ma tutaj, tak jak opisywałem, większego rygoru, niż wymaga... Pan poseł Tumanowicz powiedział: Komisja Europejska. Nie chodzi o Komisję Europejską, tylko chodzi o prawo Unii Europejskiej, którą my także sami współtworzyliśmy. To poprzedni rząd przyjmował to...

    (Poseł Witold Tumanowicz: ...dyrektywy nadzoruje Komisja.)

    Tak, natomiast wdrożenie będzie później. Natomiast w tym momencie to są nasze wspólne zobowiązania całej wspólnoty. Natomiast oczywiście, tak jak mówiłem, nie chcemy... Przewidujemy to nie bardziej rygorystycznie i pod tym względem raczej nie będzie znowu... Kontrola Komisji nie będzie taka, że coś robimy w niewłaściwy sposób, nie spodziewamy się tego. Natomiast oczywiście Komisja Europejska patrzy na czas wdrożenia, wobec czego przy okazji dyrektywy DORA mamy jakiś termin.

    Poziom zatrudnienia w KNF-ie - też pytanie pana posła Tumanowicza. Jest już departament w KNF-ie zajmujący się tym obszarem i nieprzewidywane jest zwiększenie zatrudnienia.

    Jeśli chodzi o pytanie pani poseł Czechak, krajowe standardy są takie same, bo to jest rozporządzenie, krajowe i europejskie są takie same. W kontekście obligacji zielonych to są dobrowolne standardy. To my dajemy narzędzie (Dzwonek) naszym firmom, żeby mogły emitować obligacje, które będą kupowane przez inwestorów, krajowych czy zagranicznych, które będą rozpoznawane jako obligacje zielone.

    Myślę, że to mniej więcej wszystko.

Przebieg posiedzenia