Nie wszystkie TFI będą podlegać pod rozporządzenie DORA
2024-05-09
Obowiązek utworzenia zgodnych z unijnymi wymogami ram zarządzania ryzykiem w obszarze cyberbezpieczeństwa zależy od osiągnięcia określonych progów zarządzanych aktywów. Ale czujność powinny zachować również TFI „podprogowe”.
Operacyjna odporność cyfrowa to ostatnio jedno z najczęstszych haseł pojawiających się w kontekście wymogów regulacyjnych dla instytucji działających na rynku finansowym oraz kapitałowym. Wszystko za sprawą rozporządzenia unijnego z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego – znanego szerszej grupie odbiorców pod skrótem „DORA”. Podmioty finansowe – jako te podlegające pod wymogi DORA – mają czas do 17 stycznia 2025 r. na stworzenie zgodnych z wymogami DORA ram zarządzania ryzykiem w obszarze cyberbezpieczeństwa.
Szereg wyzwań
Dla niektórych podmiotów podlegających pod zakres zastosowania DORA wdrożenie wymogów regulacyjnych w obszarze ICT (technologii informacyjno-komunikacyjnych) będzie nie lada wyzwaniem. Dostosowanie do wymogów DORA to nie tylko odpowiednie przygotowanie na poziomie dokumentacji regulacyjnej (choć i ta część będzie żmudna i czasochłonna, bowiem wdrożenie DORA wymaga aktualizacji bądź stworzenia kilkudziesięciu procedur wewnętrznych), ale również stworzenie odpowiednich narzędzi, mechanizmów oraz zapewnienie programów i systemów do skutecznego wykonania procedur wewnętrznych, a przez to do skutecznego zadbania o bezpieczeństwo środowiska teleinformatycznego.
Zakres zastosowania
W gronie podmiotów zobowiązanych do wdrożenia wymogów DORA, zgodnie z wolą ustawodawcy unijnego, znalazły się towarzystwa funduszy inwestycyjnych (TFI). Analiza przepisów DORA prowadzi jednak do wniosku, że nie wszystkie TFI będą objęte zakresem zastosowania tego aktu unijnego.
Jak wynika z motywów rozporządzenia DORA, niektóre podmioty finansowe korzystają ze zwolnień lub są objęte bardzo łagodnymi ramami regulacyjnymi na mocy odpowiednich przepisów sektorowych prawa UE. W ocenie ustawodawcy unijnego, w świetle tych zwolnień włączenie takich podmiotów finansowych do zakresu stosowania rozporządzenia DORA nie byłoby proporcjonalne.
Kluczowe progi aktywów
Zgodnie z art. 2 ust. 1 lit. k i l DORA, rozporządzenie to ma zastosowanie m.in. do zarządzających alternatywnymi funduszami inwestycyjnymi (ZAFI) oraz do spółek zarządzających. W kontekście ZAFI wskazać należy, że na gruncie prawa krajowego pojęcie ZAFI obejmuje zarówno TFI, jak i zarządzających alternatywnymi spółkami inwestycyjnymi (tzw. ZASI). Z art. 2 ust. 1 lit. k DORA wynikałoby zatem, że wymogom DORA winny sprostać towarzystwa funduszy inwestycyjnych – wymienione wprost – zgodnie z nomenklaturą stosowaną przez ustawodawcę unijnego na gruncie dyrektywy 2011/61/UE („dyrektywa ZAFI”) – jako ZAFI. W odniesieniu jednak do TFI, jak i ZASI (łącznie jako ZAFI) ustawodawca unijny zdecydował się na wyłączenie stosowania DORA w zakresie, w jakim łączna wartość zarządzanych przez takiego ZAFI aktywów (w tym nabytych za pomocą dźwigni finansowej) ogółem nie przekracza progu:
- 100 mln EUR lub
- 500 mln EUR – gdy ZAFI zarządza AFI (alternatywnymi funduszami inwestycyjnymi), które nie stosują dźwigni finansowej i jednocześnie, w których prawa do umorzenia nie mogą być wykonywane przez pięć lat od daty początkowej inwestycji (minimum 5-letni lock up).
Powyższe progi odnoszą się jednak wyłącznie do tych TFI, które zarządzają alternatywnymi funduszami inwestycyjnymi (AFI), a więc na gruncie ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi do TFI zarządzających funduszami inwestycyjnymi zamkniętymi (FIZ) oraz specjalistycznymi funduszami inwestycyjnymi (SFIO).
Nasuwa się zatem pytanie, co z towarzystwami funduszy inwestycyjnych, które zarządzają również albo tylko i wyłącznie funduszami inwestycyjnymi otwartymi (FIO), które na gruncie prawodawstwa unijnego kwalifikuje się jako przedsiębiorstwa zbiorowego inwestowania w zbywalne papiery wartościowe (UCITS)?
Ustawodawca unijny wyodrębnił zatem wprost w rozporządzeniu DORA spółki zarządzające (zdefiniowane w rozporządzeniu DORA z odesłaniem do dyrektywy 2009/65/WE; „dyrektywa UCITS”), jako podlegające pod zakres zastosowania jej przepisów i jednocześnie nie przewidział wyłączeń w odniesieniu do tych podmiotów. Należy więc wnioskować, że pod zakres zastosowania przepisów DORA będą bezwzględnie podlegać TFI, które zarządzają:
- co najmniej jednym FIO – bez względu na to, czy zarządzają dodatkowo AFI, jak i czy aktywa tych AFI przekraczają progi, o których mowa powyżej,
- wyłącznie FIZ i SFIO (jako AFI), pod warunkiem że łączna wartość zarządzanych aktywów tych funduszy przekracza progi odpowiednio 100 mln EUR i 500 mln EUR.
Na polskim rynku będą zatem takie TFI (jak i ZASI), które nie będą zobowiązane do stosowania wymogów regulacyjnych DORA, bo też pod zakres podmiotowy tego rozporządzenia w ogóle nie będą podpadać.
TFI podprogowe w gotowości
W związku z tym, że ustawodawca przyjął kryterium warunkujące podleganie bądź nie pod wymogi DORA na podstawie wartości zarządzanych przez TFI aktywów AFI (odpowiednio 100 mln EUR i 500 mln EUR) i jednocześnie nie przewidział przepisów przejściowych, które wprowadzałyby dla takich TFI odpowiedni okres na dostosowanie, pojawia się pytanie o to, czy i ewentualnie w jaki sposób TFI, które zarządzają sumą aktywów nieznacznie pod progami wynikającymi z dyrektywy ZAFI (przez odesłanie z poziomu DORA) mają przygotować się na potencjalne wdrożenie wymogów?
Wydaje się, że TFI podprogowe powinny przyjąć ostrożnościowe podejście do kwestii objęcia zakresem zastosowania wymogów DORA i w sposób odpowiedni zarządzić tym ryzykiem. W tym celu TFI podprogowe powinny rozważyć przyjęcie rozwiązań monitorujących obowiązki wdrożenia DORA na wypadek przekroczenia progów, które automatycznie będą skutkowały objęciem ich zakresem zastosowania.
Jaka jednak wartość zarządzanych aktywów AFI powinna zmusić TFI do podjęcia działań wdrażających jeszcze przed przekroczeniem tych progów? Wydaje się, że każde TFI powinno dokonać samokontroli w zakresie ryzyka podlegania pod przepisy DORA. Jeśli już teraz TFI zarządza aktywami AFI przykładowo o wartości 90 mln EUR, powinno zastanowić się:
- jak w perspektywie czasu może kształtować się wartość zarządzanych aktywów AFI,
- czy planowane jest np. utworzenie nowego AFI, przeprowadzenie większej emisji w funduszu już zarządzanym, czy też spodziewany jest znaczny wzrost wartości danego aktywa,
- jak te okoliczności wpłyną na łączną wartość zarządzanych aktywów AFI i jaki jest stopień prawdopodobieństwa przekroczenia progów z DORA.
Ostrzegawcze limity
Te z TFI, które na dzień dzisiejszy zarządzają aktywami AFI, a są daleko pod progiem z DORA, powinny niezależnie przyjąć wewnętrzny próg zarządzanych aktywów AFI, którego przekroczenie będzie obligowało TFI do podjęcia działań zmierzających do przygotowania do stosowania wymogów DORA. Przykładowo TFI, które na dzień dzisiejszy zarządza 60 mln EUR, powinno z ostrożności przyjąć wewnętrzny próg na poziomie np. 80 – 90 mln EUR, którego przekroczenie będzie aktualizowało podjęcie działań przygotowawczych do wdrożenia. Dobór odpowiednich „progów ostrzegawczych” będzie uzależniony od specyfiki działalności danego TFI, jak i estymowanego wzrostu wartości zarządzanych aktywów AFI w bliskiej przyszłości.
Dzięki przyjęciu działań ostrożnościowych oraz progów ostrzegawczych faktyczne ich przekroczenie po pierwsze nie będzie dla TFI zaskakujące, a po drugie z momentem przekroczenia (i objęcia zakresem zastosowania DORA) TFI będzie już dostosowane. Jednocześnie jeśli TFI dotychczas zarządzające wyłącznie AFI podejmie decyzję o utworzeniu FIO, będzie musiało pamiętać, że automatycznie wpadnie pod zakres zastosowania przepisów DORA jako spółka zarządzająca UCITS.
Zdaniem autorów
Analiza przepisów DORA w zakresie wyłączenia ich stosowania w odniesieniu do tych TFI, które zarządzają wyłącznie AFI poniżej progów wskazanych w dyrektywie ZAFI, do której odwołują się przepisy DORA, prowadzi do wniosku, że TFI podprogowe nie mogą spać spokojnie. Brak przepisów przejściowych po przekroczeniu progów, które implikuje obowiązek stosowania DORA, skutkuje tym, że również mniejsze TFI powinny przygotować się do wdrożenia wymogów DORA albo co najmniej odpowiednio zarządzić ryzykiem wpadnięcia w zakres zastosowania wymogów unijnych w obszarze operacyjnej odporności cyfrowej.
Tomasz Kamiński, Adwokat, Wspólnik w Krzysztof Rożko i Wspólnicy Kancelaria Prawna
Tomasz Kamiński w Rankingu Kancelarii Prawniczych „Rzeczpospolita 2023” jest indywidualnie rekomendowany w kategorii Private equity.
Tomasz Kamiński w Rankingu The Legal 500 EMEA 2024 jest rekomendowany w kategorii Capital Markets.
Nikola Jadwiszczak – Niedbałka, Radca prawny w Krzysztof Rożko i Wspólnicy Kancelaria Prawna
Nikola Jadwiszczak – Niedbałka w Rankingu The Legal 500 EMEA 2024 jest rekomendowana w kategorii Capital Markets oraz Investment Funds.
Rekomendacje Kancelarii KRWLEGAL w rankingach: IFLR1000 w kategoriach Capital Markets: Equity oraz M&A, The Legal 500 EMEA 2024 w kategoriach: Capital Markets i Investment Funds oraz jako lider „Rzeczpospolita 2023” w kategoriach: doradzanie prywatnym klientom (Private Clients) private equity, rynki kapitałowe i doradztwo regulacyjne.