§ 1.[Zakres przedmiotowy] Rozporządzenie określa:

1) kryteria oceny zasad funkcjonowania systemu płatności;

2) szczegółowy zakres informacji i danych oraz rodzaj dokumentów dołączanych do wniosku o udzielenie zgody na prowadzenie systemu płatności;

3) szczegółowy zakres informacji i danych, o których mowa w art. 17b i art. 18 ust. 6a ustawy z dnia 24 sierpnia 2001 r. o ostateczności rozrachunku w systemach płatności i systemach rozrachunku papierów wartościowych oraz zasadach nadzoru nad tymi systemami, zwanej dalej „ustawą”.

§ 2.[Ocena zasad funkcjonowania systemu płatności] Prezes Narodowego Banku Polskiego, zwany dalej „Prezesem NBP”, dokonuje oceny zasad funkcjonowania systemu płatności w oparciu o ustalenia, czy zasady te:

1) precyzyjnie określają prawa i obowiązki podmiotu prowadzącego system płatności, uczestników oraz podmiotów, którym zostały powierzone zadania związane z funkcjonowaniem systemu płatności, w tym dostawców infrastruktury technicznej;

2) w zakresie dostępu do systemu płatności zostały określone według obiektywnych, równych i proporcjonalnych kryteriów;

3) uwzględniają plan ciągłości działania systemu płatności, umożliwiający utrzymanie funkcji krytycznych tego systemu;

4) w zakresie zarządzania ryzykiem zapewniają sprawność i bezpieczeństwo funkcjonowania systemu płatności oraz systemów płatności i infrastruktury innego rodzaju, z którymi jest powiązane funkcjonowanie systemu płatności;

5) zapewniają monitorowanie realizacji zleceń rozrachunku;

6) zapewniają właściwe zabezpieczenie ekspozycji kredytowej podmiotu prowadzącego system płatności oraz wszystkich uczestników tego systemu;

7) zapewniają sprawność i bezpieczeństwo funkcjonowania systemu płatności w przypadku niewykonania zobowiązań przez uczestników systemu płatności;

8) zapewniają sprawność i bezpieczeństwo rozliczania i rozrachunku zleceń rozrachunku;

9) nie powodują zagrożeń dla stabilności systemu finansowego, w szczególności systemu płatniczego;

10) zapewniają skuteczność, rzetelność i przejrzystość zarządzania systemem płatności;

11) w zakresie systemu informatycznego i stosowanych technologii zapewniają:

a) odpowiedni poziom niezawodności systemów informatycznych i stosowanych technologii,

b) właściwe zabezpieczenie przed nieuprawnionym dostępem lub ingerencją z zewnątrz,

c) integralność i bezpieczeństwo przetwarzanych informacji, w tym przez stosowanie bezpiecznych, szyfrowanych kanałów komunikacji;

12) zapewniają dostęp do informacji o prawach i obowiązkach uczestników oraz podmiotu prowadzącego system płatności oraz o ryzyku związanym z uczestnictwem w systemie płatności.

§ 3.[Dokumenty i informacje dołączane do wniosku] Dokumenty i informacje dołączane do wniosku o udzielenie zgody na prowadzenie systemu płatności obejmują:

1) nazwę, formę prawną i adres siedziby podmiotu prowadzącego system płatności;

2) regulacje wewnętrzne regulujące zasady funkcjonowania systemu płatności;

3) procedurę przekazywania uczestnikom systemu płatności oraz podmiotom, które zamierzają zostać uczestnikami tego systemu, informacji o prawach i obowiązkach uczestników systemu płatności i podmiotu prowadzącego ten system oraz o ryzyku związanym z uczestnictwem w systemie płatności;

4) nazwę, formę prawną i adres siedziby potencjalnych uczestników systemu płatności oraz podmiotów, z którymi podmiot prowadzący system płatności zamierza współpracować, w tym w zakresie wspierania płynności tych podmiotów;

5) typy zleceń rozrachunku przetwarzanych w systemie płatności;

6) procedurę przetwarzania zleceń rozrachunku i dokonywania rozrachunku, wskazującą moment wprowadzenia zlecenia rozrachunku do systemu płatności oraz moment, od którego zlecenie rozrachunku nie może zostać odwołane przez jego uczestnika lub osobę trzecią;

7) opis przepływu komunikatów w systemie płatności;

8) opis przepływu środków pieniężnych pomiędzy uczestnikami systemu płatności, podmiotem prowadzącym system płatności i innymi podmiotami lub systemami powiązanymi;

9) opis struktury organizacyjnej podmiotu prowadzącego system płatności, wraz z jej schematem graficznym;

10) opis systemu kontroli wewnętrznej podmiotu prowadzącego system płatności;

11) procedurę monitorowania i rejestrowania realizacji zleceń rozrachunku;

12) procedurę zarządzania poszczególnymi rodzajami ryzyka występującego w związku z funkcjonowaniem systemu płatności;

13) procedurę określającą zasady postępowania w przypadku niewykonania zobowiązań przez uczestników systemu płatności;

14) wskazanie zidentyfikowanych funkcji krytycznych systemu płatności oraz planu ciągłości działania systemu płatności;

15) procedurę postępowania w przypadku wystąpienia zdarzenia, o którym mowa w art. 18 ust. 6a pkt 1 ustawy, zwanego dalej „incydentem”;

16) wskazanie rozwiązań technologicznych, z uwzględnieniem architektury systemów teleinformatycznych, w tym w zakresie:

a) produkcyjnego i zapasowego środowiska teleinformatycznego,

b) sposobu monitorowania realizacji zleceń rozrachunku,

c) przepływu danych,

d) bezpieczeństwa danych i systemów;

17) procedurę fizycznego i zdalnego zabezpieczenia przed niepowołanym dostępem do infrastruktury systemu płatności;

18) metodykę przeprowadzania testów bezpieczeństwa systemów teleinformatycznych i planu ciągłości działania;

19) zasady dotyczące funkcjonowania systemu opłat i kar w relacjach pomiędzy wszystkimi uczestnikami systemu płatności i podmiotem prowadzącym ten system;

20) wzory umów, o których mowa w art. 17 ust. 2 pkt 2 ustawy;

21) wyniki audytu systemu teleinformatycznego lub operacyjnego przeprowadzonego przez podmiot zewnętrzny, jeżeli został dokonany;

22) poświadczenia zgodności funkcjonowania systemu płatności z międzynarodowymi normami i standardami, jeżeli zostały uzyskane;

23) oświadczenie, o którym mowa w art. 17 ust. 2 pkt 3 ustawy.

§ 4.[Dokumenty i informacje przekazywane w przypadku, o którym mowa w art. 17b ustawy] Dokumenty i informacje przekazywane Prezesowi NBP w przypadku, o którym mowa w art. 17b ustawy, obejmują dokumenty i informacje wskazane w § 3 pkt 1, 5–8, 11–16, 18, 21 i 22 w zakresie związanym z funkcjonowaniem porozumienia o międzysystemowej realizacji zleceń rozrachunku.

§ 5.[Dane, o których mowa w art. 18 ust. 6a pkt 2 ustawy] 1. Dane, o których mowa w art. 18 ust. 6a pkt 2 ustawy, obejmują kwartalne informacje, w ujęciu miesięcznym, o:

1) dostępności operacyjnej i przepustowości systemu płatności;

2) liczbie i wartości zleceń rozrachunku, ze wskazaniem:

a) sesji rozliczeniowej lub rozrachunku brutto w czasie rzeczywistym,

b) zleceń rozrachunków niezrealizowanych na koniec zamierzonego dnia roboczego systemu,

c) krajowych i transgranicznych zleceń rozrachunku,

d) poszczególnych uczestników,

e) liczby i wartości zleceń płatniczych;

3) liczbie dni operacyjnych systemu płatności;

4) wielkości środków wykorzystanych w ramach systemu gwarantowania rozliczeń lub rozrachunku zleceń rozrachunku.

2. Podmiot prowadzący system płatności przekazuje Prezesowi NBP informacje o:

1) wynikach przeprowadzonych testów warunków skrajnych, jeżeli zostały one przeprowadzone;

2) uczestnikach pośrednich, ze wskazaniem uczestników powiązanych z takimi uczestnikami.

§ 6.[Informacja o incydencie] Informacja o incydencie obejmuje:

1) nazwę podmiotu prowadzącego system płatności;

2) nazwę systemu płatności;

3) opis incydentu, ze wskazaniem:

a) daty i godziny wystąpienia i zakończenia incydentu oraz jego wykrycia,

b) przyczyny incydentu,

c) wpływu incydentu na funkcjonalność operacyjną systemu płatności, ze wskazaniem czasu niedostępności systemu płatności,

d) opisu przebiegu incydentu;

4) opis skutków incydentu;

5) opis działania podjętego w celu usunięcia skutków incydentu;

6) planowane działania w celu zapobieżenia wystąpieniu podobnych przypadków w przyszłości.

§ 7.[Przekazywanie po raz pierwszy danych, o których mowa w art. 18 ust. 6a pkt 2 ustawy] 1. Dane, o których mowa w art. 18 ust. 6a pkt 2 ustawy – w zakresie określonym w § 5 ust. 1, po raz pierwszy są przekazywane za pierwszy pełny kwartał roku kalendarzowego następujący po kwartale, w którym rozporządzenie weszło w życie.

2. Przepis § 6 stosuje się do incydentów, które wystąpiły po dniu wejścia w życie rozporządzenia.

§ 8.[Wejście w życie] Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.