Raportowanie incydentów na podstawie PSD2 - Komisja Nadzoru Finansowego

Data aktualizacji:

Przepisy ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (u.u.p.) nałożyły na dostawców usług płatniczych obowiązek raportowania do organu nadzoru informacji o poważnych incydentach operacyjnych lub poważnych incydentach związanych z bezpieczeństwem, w tym w charakterze teleinformatycznym (incydenty).  

Zgodnie z art. 32g u.u.p. dostawca usług płatniczych przekazuje niezwłocznie KNF lub innemu właściwemu organowi nadzoru informację o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, w tym o charakterze teleinformatycznym. 

Jeżeli incydent ma lub może mieć wpływ na interesy finansowe użytkowników, dostawca bez zbędnej zwłoki powiadamia o incydencie użytkowników korzystających z usług tego dostawcy oraz informuje ich o dostępnych środkach, które może podjąć w celu ograniczenia negatywnych skutków incydentu. 

Szczegółowe instrukcje dla dostawców dotyczące zgłaszania incydentów zostały uregulowane w Wytycznych Europejskiego Urzędu Nadzoru Bankowego (EUNB) dotyczących zgłaszania poważnych incydentów zgodnie z dyrektywą (UE) 2015/2366 (PSD2), które dostępne są na stronie EUNB.

Zgłoszenia dotyczące incydentów należy przekazywać za pośrednictwem elektronicznej skrzynki podawczej UKNF (ESP), która jest dostępna na platformie ePUAP. 

Etapy postępowania przy zgłaszaniu incydentów za pośrednictwem elektronicznej skrzynki podawczej UKNF:

  1. W celu skorzystania z ESP UKNF należy wypełnić formularz na stronie ePUAP pod adresem: https://epuap.gov.pl/wps/portal/strefa-klienta/katalog-spraw/pismo-ogolne-do-podmiotu-publicznego.
  2. Spośród dostępnych kategorii należy wybrać „Pisma do urzędu” z obszaru „Sprawy ogólne”.
  3. Następnie należy wybrać opcję „Pismo ogólne do podmiotu publicznego”, a następnie „Załatw sprawę”.
  4. W dalszej kolejności należy zalogować do platformy ePUAP za pomocą profilu zaufanego i wypełnić dostępny formularz.
  5. Do formularza należy załączyć wypełnione sprawozdanie. Formularz do pobrania poniżej.
  6. W tytule pisma należy wskazać nazwę podmiotu, którego dotyczy zgłoszenie wraz z dopiskiem zgodnie z formatem: „Nazwa podmiotu_Poważny incydent”.
  7. W polu „Opis sprawy” należy zawrzeć krótki opis sprawy oraz imię i nazwisko oraz nr telefonu osoby odpowiedzialnej za przekazywane zgłoszenie. 
  8. Po podpisaniu dokumentu podpisem elektronicznym należy go wysłać za pomocą przycisku „Wyślij”. 

Nie należy ingerować w strukturę przekazanego szablonu – nie należy dodawać ani usuwać wierszy i kolumn, zmieniać komórek arkusza lub uzupełniać pliku o dodatkowe arkusze (zakładki) lub w jakikolwiek sposób ingerować w zawarte w szablonie makropolecenia lub zmieniać treści pól, które nie zostały przeznaczone do wypełnienia przez podmiot.

Formularze sprawozdawcze nie powinny zawierać odwołań do innych arkuszy kalkulacyjnych, baz danych, innych zewnętrznych plików (źródeł danych) oraz odwołań do stron www i albo innych adresów internetowych. W poszczególnych polach powinny znajdować się opisy tekstowe lub oznaczenia odpowiadające udostępnionej strukturze sprawozdania. W polach nie należy umieszczać elementów graficznych/obrazów ani osadzać plików lub innych obiektów.

Do pobrania

Formularz sprawozdawczy raportowania do KNF

plik .xlsm, 184,4kB
Pobierz