NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie delegowane 2025/2180 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2631 w odniesieniu do regulacyjnych standardów technicznych określających warunki rejestracji kontrolerów zewnętrznych, kryteria oceny prawidłowego i ostrożnego zarządzania kontrolerami zewnętrznymi, odpowiedniości wiedzy, doświadczenia i wyszkolenia pracowników kontrolerów zewnętrznych oraz warunki, na jakich kontrolerzy zewnętrzni mogą zlecać swoje czynności w zakresie oceny na zasadzie outsourcingu

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2025/2180
z dnia 12 września 2025 r.
uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2631 w odniesieniu do regulacyjnych standardów technicznych określających warunki rejestracji kontrolerów zewnętrznych, kryteria oceny prawidłowego i ostrożnego zarządzania kontrolerami zewnętrznymi, odpowiedniości wiedzy, doświadczenia i wyszkolenia pracowników kontrolerów zewnętrznych oraz warunki, na jakich kontrolerzy zewnętrzni mogą zlecać swoje czynności w zakresie oceny na zasadzie outsourcingu
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2631 z dnia 22 listopada 2023 r. w sprawie europejskich zielonych obligacji oraz opcjonalnego ujawniania informacji na temat obligacji wprowadzanych do obrotu jako zrównoważone środowiskowo i obligacji powiązanych ze zrównoważonym rozwojem 1 , w szczególności jego art. 23 ust. 6 akapit trzeci, art. 27 ust. 2 akapit trzeci, art. 28 ust. 3 akapit trzeci i art. 33 ust. 7 akapit trzeci,

a także mając na uwadze, co następuje:

(1) Dobra opinia kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego ma pierwszorzędne znaczenie dla zapewnienia, aby kontroler zewnętrzny wypełniał swoje obowiązki regulacyjne. Ocena dobrej opinii powinna opierać się na informacjach na temat wcześniejszych działań tych osób, w tym informacjach na temat potencjalnie istotnych wyroków skazujących, wcześniejszych uchybień, rażącego niedbalstwa, niewłaściwego zarządzania konfliktami interesów lub naruszenia niezależności i obiektywności, a także na informacjach na temat uczciwości, etycznego postępowania i reputacji tych osób.

(2) Biorąc pod uwagę, że kadra kierownicza najwyższego szczebla i członkowie organu kierowniczego są odpowiedzialni za czynności kontrolera zewnętrznego, powinni oni posiadać wystarczające umiejętności, kwalifikacje zawodowe i doświadczenie. Ocena, czy te umiejętności, kwalifikacje zawodowe i doświadczenie są wystarczające, powinna uwzględniać życiorysy wszystkich członków kadry kierowniczej najwyższego szczebla i organu kierowniczego, w tym aktualne informacje na temat wykształcenia, szkoleń i historii zatrudnienia. Ocena ta powinna również uwzględniać ogólny skład i różnorodność kadry kierowniczej najwyższego szczebla i organu kierowniczego oraz zbiorowe umiejętności, kwalifikacje zawodowe i doświadczenie ich członków, stosownie do działalności kontrolera zewnętrznego oraz ryzyka, na jakie jest on narażony.

(3) Aby zagwarantować ciągłość i regularność kontroli zewnętrznych, kontroler zewnętrzny powinien zatrudniać odpowiednią liczbę analityków, pracowników i osób bezpośrednio zaangażowanych w czynności w zakresie oceny. W związku z tym należy uwzględnić informacje na temat personelu kontrolera zewnętrznego w odniesieniu do analityków, pracowników i osób bezpośrednio zaangażowanych w czynności w zakresie oceny. Informacje te powinny obejmować liczbę umów na czas nieokreślony i umów na czas określony, prawdopodobne przyszłe czynności w zakresie oceny oraz powody, dla których kontroler zewnętrzny uważa swoje zasoby analityczne za wystarczające.

(4) Aby zapewnić odpowiednią jakość kontroli zewnętrznych, analitycy, pracownicy i inne osoby bezpośrednio zaangażowane w czynności w zakresie oceny powinny posiadać odpowiedni poziom wiedzy, doświadczenia i wyszkolenia. Ocena powinna uwzględniać historię kształcenia, wyszkolenia i zatrudnienia tych osób. Ponadto kontrolerzy zewnętrzni powinni wprowadzić plany szkoleń i rozwoju dla wszystkich pracowników bezpośrednio zaangażowanych w czynności w zakresie oceny.

(5) W celu zagwarantowania, aby struktury decyzyjne zapewniały prawidłowe i ostrożne zarządzanie kontrolerem zewnętrznym, kontrolerzy zewnętrzni powinni mieć wdrożone uzgodnienia dotyczące ładu korporacyjnego określające organizację, zakres, cel i funkcjonowanie ich organów zarządzających, takich jak organ kierowniczy, rada nadzorcza i odpowiednie komitety.

(6) Utrzymanie przejrzystej i skutecznej struktury organizacyjnej jest również kluczowym elementem prawidłowego i ostrożnego zarządzania. Aby zapewnić przejrzystość i skuteczność swojej struktury organizacyjnej, kontrolerzy zewnętrzni powinni posiadać wyraźną strukturę raportowania, podział obowiązków i kanały komunikacji, które wspierają odpowiedzialność i podejmowanie decyzji. Z tego samego powodu kontrolerzy zewnętrzni powinni wdrażać i odpowiednio dokumentować stosowne zasady i procedury w odniesieniu do swoich struktur zarządzania, kontroli wewnętrznych, ciągłości działania, systemów przetwarzania informacji, prowadzenia rejestrów, administracji i rachunkowości.

(7) Biorąc pod uwagę znaczenie funkcji kontroli wewnętrznej dla prawidłowego i ostrożnego zarządzania kontrolerem zewnętrznym, kontrolerzy zewnętrzni powinni wprowadzić ramy kontroli wewnętrznej zapewniające odpowiednie uprawnienia osób odpowiedzialnych za pełnienie tych funkcji oraz ich wyraźne oddzielenie od linii biznesowych, które nadzorują.

(8) Aby zapewnić prawidłowe i ostrożne zarządzanie wypełnianiem obowiązków wynikających z rozporządzenia (UE) 2023/2361, kontrolerzy zewnętrzni powinni dopilnować, aby zasady i procedury niezbędne do zapewnienia zgodności z tym rozporządzeniem były zatwierdzane przez ich organ kierowniczy.

(9) Ramy zarządzania konfliktami interesów kontrolera zewnętrznego powinny zawierać kompleksowe zasady przeciwdziałania konfliktom interesów zatwierdzoną przez organ kierowniczy, a także wykaz konfliktów interesów. Zasady przeciwdziałania konfliktom interesów powinny obejmować procedury i mechanizmy kontroli zarządzania ryzykiem umożliwiające wykrywanie i eliminowanie rzeczywistych lub potencjalnych konfliktów interesów oraz zarządzanie nimi w przejrzysty sposób. Zasady te powinny również określać, którymi konfliktami interesów zdaniem kontrolera zewnętrznego powinno się zarządzać lub które powinno się ujawniać w przejrzysty sposób, a które należy wyeliminować. Ponadto zasady te powinny przewidywać odpowiedni nadzór i zarządzanie w odniesieniu do sytuacji, w których profesjonalny osąd lub podejmowanie decyzji mogą być zagrożone.

(10) Kontrolerzy zewnętrzni powinni ocenić, czy dostawcy usług będący osobami trzecimi są w stanie wykonywać czynności w zakresie oceny w sposób niezawodny i profesjonalny. W tym względzie kontrolerzy zewnętrzni powinni rozważyć, czy specjalistyczna wiedza i dostępność dostawcy usług będącego osobą trzecią są odpowiednie dla czynności zleconych na zasadzie outsourcingu. W tym celu kontrolerzy zewnętrzni powinni uwzględnić kluczowe elementy związane z dostawcą usług będącym osobą trzecią i ustaleniami dotyczącymi outsourcingu, takie jak model biznesowy usługodawcy, kwalifikacje jego personelu, ramy kontroli, wykorzystanie automatyzacji i technologii w zleconych na zasadzie outsourcingu czynnościach w zakresie oceny oraz zgodność usługodawcy z przepisami.

(11) Kontrolerzy zewnętrzni powinni zapewnić, aby outsourcing czynności w zakresie oceny nie pogorszył w istotny sposób jakości ich kontroli wewnętrznej. W tym względzie kontrolerzy zewnętrzni powinni ocenić zakres swojej zależności od dostawcy usług będącego osobą trzecią i powinni monitorować i kontrolować działania, które przeciwdziałają ryzyku wynikającemu z outsourcingu, w szczególności w odniesieniu do państw trzecich. Kontrolerzy zewnętrzni powinni stosować kontrole wewnętrzne w celu zapewnienia odpowiednich ustaleń w odniesieniu do jakości usług świadczonych przez dostawcę usług będącego osobą trzecią. Kontrolerzy zewnętrzni powinni wprowadzić odpowiednie praktyki w odniesieniu do dokumentacji i prowadzenia ewidencji przez dostawców usług będących osobami trzecimi. Powinno to umożliwić kontrolerowi zewnętrznemu i Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych (ESMA) dostęp do wszystkich niezbędnych informacji oraz zapewnić, aby outsourcing czynności w zakresie oceny nie ograniczał zdolności ESMA do nadzorowania przestrzegania przez kontrolera zewnętrznego przepisów rozporządzenia (UE) 2023/2631.

(12) Aby zapewnić wystarczający stopień nadzoru nad czynnościami zlecanymi na zasadzie outsourcingu, kontrolerzy zewnętrzni powinni przeprowadzać regularne oceny.

(13) Regulacyjne standardy techniczne, które mają zostać przyjęte na podstawie uprawnień określonych w art. 23 ust. 6 akapit trzeci, art. 27 ust. 2 akapit trzeci, art. 28 ust. 3 akapit trzeci i art. 33 ust. 7 akapit trzeci rozporządzenia (UE) 2023/2631, należy połączyć w jedno rozporządzenie delegowane Komisji w celu zapewnienia, aby wszystkie przepisy określające rejestrację kontrolerów zewnętrznych zostały skonsolidowane w jednym rozporządzeniu.

(14) Informacje przekazywane ESMA mogą zawierać informacje dotyczące tożsamości kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego składającego wniosek, a także spełniania kryteriów przez analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny. Informacje takie obejmują dane osobowe. Zgodnie z zasadą minimalizacji danych zapisaną w art. 4 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 2  należy wymagać wyłącznie tych danych osobowych, które są niezbędne dla ESMA do oceny zdolności kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego składającego wniosek oraz analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny, do spełnienia wymogów określonych w rozporządzeniu (UE) 2023/2631.

(15) Niniejsze rozporządzenie nie narusza praw podstawowych i jest zgodne z zasadami uznanymi w Karcie praw podstawowych Unii Europejskiej, a w szczególności z prawem do ochrony danych osobowych. Przetwarzanie danych osobowych do celów niniejszego rozporządzenia powinno odbywać się zgodnie z prawem Unii w zakresie ochrony danych osobowych. W związku z tym wszelkie przetwarzanie danych osobowych przez ESMA w ramach stosowania niniejszego rozporządzenia powinno odbywać się zgodnie z rozporządzeniem (UE) 2018/1725. Wszelkie przetwarzanie danych osobowych przez podmioty składające wniosek o rejestrację w charakterze kontrolera zewnętrznego w ramach stosowania niniejszego rozporządzenia powinno odbywać się zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 3  oraz krajowymi wymogami w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

(16) Aby umożliwić ESMA przeprowadzenie oceny do celów rejestracji i bieżącego nadzoru, przy jednoczesnym zapewnieniu odpowiednich zabezpieczeń, dane osobowe dotyczące dobrej opinii kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego powinny być przechowywane przez kontrolerów zewnętrznych i ESMA przez okres nie dłuższy niż pięć lat po zakończeniu pełnienia funkcji przez danego członka lub ewentualnego cofnięcia rejestracji danego kontrolera zewnętrznego.

(17) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który w dniu 7 lipca 2025 r. wydał swoją opinię.

(18) Podstawę niniejszego rozporządzenia stanowi projekt regulacyjnych standardów technicznych przedłożony Komisji przez ESMA.

(19) ESMA przeprowadził otwarte konsultacje publiczne na temat projektu regulacyjnych standardów technicznych, który stanowi podstawę niniejszego rozporządzenia, dokonał analizy potencjalnych powiązanych kosztów i korzyści oraz zwrócił się o opinię do Grupy Interesariuszy z Sektora Giełd i Papierów Wartościowych powołanej zgodnie z art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1095/2010 4 ,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Kryteria pozwalające stwierdzić, że kadra kierowniczej najwyższego szczebla i członkowie organu kierowniczego kontrolera zewnętrznego składającego wniosek cieszą się wystarczająco dobrą opinią

1. 
Do celów art. 23 ust. 2 lit. a) pkt (i) rozporządzenia (UE) 2023/2631 opinię kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego składającego wniosek uznaje się za wystarczająco dobrą, jeżeli ich wcześniejsza działalność związana z dziedziną prawidłowego i ostrożnego zarządzania wykaże, że są oni w stanie pełnić swoje funkcje w sposób uczciwy i etyczny.
2. 
Do celów ust. 1 ESMA uwzględnia następujące informacje:
a)
dokument potwierdzający, że nie ma wpisów w rejestrach karnych dotyczących prania pieniędzy, finansowania terroryzmu, świadczenia usług finansowych lub usług dotyczących danych, popełnienia oszustwa lub sprzeniewierzenia, zwłaszcza w postaci zaświadczenia urzędowego, lub - w przypadku gdy takie zaświadczenie nie jest dostępne w danym państwie członkowskim - oświadczenie o dobrej opinii i upoważnienie ESMA do zwrócenia się do odpowiednich organów o takie informacje na temat tego, czy członek organu zarządzającego został skazany za jakiekolwiek przestępstwo w związku z praniem pieniędzy, finansowaniem terroryzmu, świadczeniem usług finansowych lub usług dotyczących danych bądź też w związku z popełnieniem oszustwa lub sprzeniewierzenia;
b)
oświadczenie własne każdego z członków kadry kierowniczej najwyższego szczebla i organu kierowniczego stwierdzające, czy członek ten:
(i)
w przypadku gdy dowód braku wpisu w rejestrach karnych nie jest dostępny - został skazany za jakiekolwiek przestępstwo;
(ii)
jest przedmiotem niekorzystnej decyzji wydanej w wyniku jakichkolwiek postępowań dyscyplinarnych dotyczących świadczenia usług finansowych lub związanych ze zrównoważonym rozwojem prowadzonych przez organ regulacyjny lub organ rządowy;
(iii)
jest przedmiotem niekorzystnej decyzji wydanej w postępowaniu cywilnym w związku ze świadczeniem usług finansowych lub związanych ze zrównoważonym rozwojem bądź też w związku z popełnieniem nieprawidłowości lub oszustwa podczas zarządzania podmiotem prawnym;
(iv)
był członkiem kadry kierowniczej najwyższego szczebla lub zarządu przedsiębiorstwa, wobec którego wydano niekorzystną decyzję lub na które nałożono sankcję organu regulacyjnego, bądź też którego rejestracja lub zezwolenie zostały wycofane przez organ regulacyjny;
(v)
otrzymał odmowę prawa prowadzenia działalności wymagającej rejestracji lub wydania zezwolenia przez organ regulacyjny;
(vi)
został poddany przez organ regulacyjny ocenie kompetencji i reputacji, w wyniku której wydano decyzję negatywną lub ocenę pozytywną z zastrzeżeniem szczególnych warunków;
(vii)
był członkiem kadry kierowniczej najwyższego szczebla lub zarządu przedsiębiorstwa, które ogłosiło upadłość lub likwidację lub zostało objęte zarządem komisarycznym w czasie zatrudnienia w tym przedsiębiorstwie lub w ciągu roku po ustaniu zatrudnienia w tym przedsiębiorstwie;
(viii)
został ukarany grzywną, zawieszony, zdyskwalifikowany lub poddany jakimkolwiek innym sankcjom przez samorząd zawodowy związany z działalnością finansową lub handlową;
(ix)
został zwolniony ze stanowiska dyrektora, ze stanowiska związanego z funkcją kierowniczą, zwolniony z pracy lub innego stanowiska w przedsiębiorstwie w wyniku naruszenia przepisów lub zaniedbania obowiązków;
(x)
ma lub miał jakiekolwiek stosunki, stanowiska lub udziały, które mogłyby, bezpośrednio lub pośrednio, wpływać na interesy kontrolera zewnętrznego oraz na rzetelność jego czynności w zakresie oceny.
c)
kontroler zewnętrzny składający wniosek zapewnia, aby jedynie osoby odpowiedzialne za wniosek miały dostęp do informacji, o których mowa w ust. 2 lit. a). Informacje te przechowuje się oddzielnie od innych informacji dotyczących kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego. Dostęp do tych informacji podlega rejestracji. Informacji tych nie przechowuje się, jeżeli dotyczą one kandydatów na członków kadry kierowniczej najwyższego szczebla lub członków organu kierowniczego kontrolera zewnętrznego składającego wniosek, którzy nie zostali powołani.
d)
ESMA zapewnia, aby do informacji, o których mowa w ust. 2 lit. a), dostęp miały wyłącznie osoby odpowiedzialne za ocenę odpowiedniości kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego. Informacje te przechowuje się oddzielnie od innych informacji dotyczących kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego. Dostęp do tych informacji podlega rejestracji. Informacji tych nie przechowuje się, jeżeli dotyczą one kandydatów na członków kadry kierowniczej najwyższego szczebla lub członków organu kierowniczego kontrolera zewnętrznego składającego wniosek, którzy nie zostali powołani.
e)
dane osobowe dotyczące dobrej opinii kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego przechowywane są przez kontrolerów zewnętrznych i ESMA tak długo, jak jest to konieczne do oceny pierwotnej rejestracji i bieżącego nadzoru, stosownie do przypadku, i nie dłużej niż pięć lat po zakończeniu pełnienia funkcji przez danego członka lub ewentualnego cofnięcia rejestracji danego kontrolera zewnętrznego.
Artykuł  2

Kryteria pozwalające stwierdzić, że umiejętności, kwalifikacje zawodowe i odpowiednie doświadczenie kadry kierowniczej najwyższego szczebla oraz członków organu kierowniczego kontrolera zewnętrznego składającego wniosek są wystarczające

1. 
ESMA stwierdza, że umiejętności, kwalifikacje zawodowe i stosowne doświadczenie kadry kierowniczej najwyższego szczebla i członków organu kierowniczego kontrolera zewnętrznego składającego wniosek są wystarczające zgodnie z art. 23 ust. 2 lit. a) pkt (ii)-(iv) rozporządzenia (UE) 2023/2631, jeżeli te umiejętności, kwalifikacje i doświadczenie są odpowiednie do charakteru i skali kontroli zewnętrznych przeprowadzanych przez kontrolera zewnętrznego składającego wniosek oraz do zadań wymaganych od kontrolerów zewnętrznych na podstawie tego rozporządzenia.
2. 
Do celów ust. 1 ESMA uwzględnia następujące informacje:
a)
aktualny życiorys każdego członka kadry kierowniczej najwyższego szczebla i organu kierowniczego kontrolera zewnętrznego zawierający szczegółowe informacje istotne dla zadań wymaganych od kontrolerów zewnętrznych zgodnie z rozporządzeniem (UE) 2023/2631, w tym:
(i)
szczegółowe informacje na temat wykształcenia, w tym świadectwa akademickie i zawodowe, oraz na temat innych odpowiednich szkoleń;
(ii)
historię zatrudnienia, w tym zakres i czas trwania pełnionych funkcji, ze szczególnym uwzględnieniem wszelkich czynności istotnych dla działalności kontrolerów zewnętrznych;
b)
stosowność wiedzy uzyskanej dzięki kształceniu i szkoleniu w odniesieniu do usług finansowych lub usług związanych ze zrównoważonym rozwojem w ramach działalności kontrolerów zewnętrznych;
c)
stosowność doświadczenia zawodowego zdobytego w ramach działalności w zakresie czynności, które mają być wykonywane przez kontrolera zewnętrznego, takich jak zapewnienie jakości, kontrola jakości, przeprowadzanie kontroli przedemisyjnych i poemisyjnych oraz kontroli sprawozdań dotyczących wpływu i wydawanie zewnętrznych opinii na temat dostosowania lub usługi finansowe;
d)
zbiorowe i aktualne umiejętności, kwalifikacje zawodowe i doświadczenie kadry kierowniczej najwyższego szczebla i członków organu kierowniczego, istotne z punktu widzenia zadań wymaganych od kontrolerów zewnętrznych na podstawie rozporządzenia (UE) 2023/2631 oraz powiązanego ryzyka.
Artykuł  3

Kryteria pozwalające stwierdzić, że liczba analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny jest wystarczająca

1. 
ESMA stwierdza, że liczba analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności kontrolera zewnętrznego w zakresie oceny jest wystarczająca zgodnie z art. 23 ust. 2 lit. b) rozporządzenia (UE) 2023/2631, jeżeli liczba ta jest odpowiednia do charakteru i skali kontroli zewnętrznych przeprowadzanych przez kontrolera zewnętrznego oraz zadań wymaganych od kontrolerów zewnętrznych na podstawie tego rozporządzenia.
2. 
Do celów ust. 1 ESMA uwzględnia następujące informacje:
a)
łączną liczbę analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny, ich staż pracy, opisy stanowisk pracy, stały lub tymczasowy charakter ich umów o pracę oraz powody, dla których kontroler zewnętrzny uważa te liczby i role za odpowiednie;
b)
spodziewaną liczbę i czas trwania kontroli zewnętrznych, które mają zostać przeprowadzone w ciągu najbliższych 24 miesięcy, oraz powody, dla których kontroler zewnętrzny uważa, że liczba pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny jest proporcjonalna do liczby i czasu trwania przyszłych kontroli zewnętrznych.
Artykuł  4

Kryteria pozwalające stwierdzić wystarczający poziom wiedzy, doświadczenia i wyszkolenia analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny

1. 
ESMA stwierdza, że wiedza, doświadczenie i wyszkolenie analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny są wystarczające zgodnie z art. 23 ust. 2 lit. a) rozporządzenia (UE) 2023/2631, jeżeli ich wiedza, doświadczenie i wyszkolenie są odpowiednie do charakteru i skali kontroli zewnętrznych, które mają być przeprowadzone przez kontrolera zewnętrznego, oraz do zadań wymaganych od kontrolerów zewnętrznych na podstawie tego rozporządzenia.
2. 
Do celów ust. 1 ESMA uwzględnia następujące informacje:
a)
rodzaj czynności w zakresie oceny, które osoby bezpośrednio zaangażowane w te czynności mają przeprowadzić w ciągu najbliższych 24 miesięcy;
b)
historię zatrudnienia osób, o których mowa w lit. a), w tym charakter i staż pracy świadczonej na poprzednich stanowiskach i pełnione obowiązki;
c)
doświadczenie osób, o których mowa w lit. a), związane z zapewnianiem jakości, kontrolą jakości, przeprowadzaniem kontroli przedemisyjnych i poemisyjnych oraz kontroli sprawozdań dotyczących wpływu i wydawaniem zewnętrznych opinii na temat dostosowania lub z usługami finansowymi;
d)
wykształcenie osób, o których mowa w lit. a), oraz wszelkie uzyskane odpowiednie certyfikaty lub kwalifikacje zawodowe;
e)
inne osiągnięcia zawodowe i akademickie osób, o których mowa w lit. a), istotne ze względu na charakter pełnionych przez nie funkcji;
f)
plan szkoleń i rozwoju osób, o których mowa w lit. a);
g)
w stosownych przypadkach - wykorzystanie technologii automatyzacji w czynnościach w zakresie oceny.
3. 
Kontrolerzy zewnętrzni zapewniają uwzględnienie informacji, o których mowa w ust. 2 niniejszego artykułu, na potrzeby stwierdzenia, że wiedza, doświadczenie i wyszkolenie analityków, pracowników i innych osób, z których usług korzystają lub których usługi kontrolują, i które bezpośrednio biorą udział w czynnościach w zakresie oceny, są wystarczające zgodnie z art. 28 ust. 1 rozporządzenia (UE) 2023/2631.
Artykuł  5

Kryteria oceny prawidłowego i ostrożnego zarządzania przez kontrolerów zewnętrznych

1. 
W ramach oceny prawidłowego i ostrożnego zarządzania kontrolerzy zewnętrzni zapewniają spełnienie następujących kryteriów:
a)
uzgodnienia dotyczące ładu korporacyjnego określają co najmniej organizację, zakres, cel i funkcjonowanie organów zarządzających kontrolera zewnętrznego, w tym wyraźną strukturę raportowania, podział obowiązków i kanały komunikacji;
b)
istnieją odpowiednie ramy kontroli wewnętrznej;
c)
rozwiązania organizacyjne zapewniają ciągłość i regularność wykonywania czynności w zakresie oceny, ochronę poufności i bezpieczeństwa dokumentacji dotyczącej świadczonych usług, należyte procedury administracyjne i rachunkowe oraz odpowiednie systemy przetwarzania informacji;
d)
obowiązuje ochrona anonimowości sygnalistów i zakaz odwetu;
e)
konsekwentnie sprawdzane są transakcje z podmiotami powiązanymi, osobiste transakcje pracowników, inna działalność gospodarcza oraz przyjmowanie prezentów i przejawów gościnności;
f)
zapewniona jest niezależność pracowników podlegających mechanizmom wynagrodzenia zmiennego;
g)
organ kierowniczy kontrolera zewnętrznego przyjmuje zasady i procedury zgodnie z niniejszym rozporządzeniem.
2. 
Do celów ust. 1 lit. b) kontrolerzy zewnętrzni zapewniają, aby ramy kontroli wewnętrznej spełniały następujące kryteria:
a)
mechanizmy kontroli wewnętrznej są dostosowane do charakteru, skali i złożoności kontrolera zewnętrznego;
b)
osoby odpowiedzialne za kontrole wewnętrzne są w stanie uzyskać informacje niezbędne do pełnienia swojej funkcji i zgłaszać swoje ustalenia organowi kierowniczemu kontrolera zewnętrznego;
c)
funkcje kontroli wewnętrznej są niezależne i wyraźnie oddzielone od linii biznesowych prowadzących czynności w zakresie oceny.
3. 
Kontroler zewnętrzny ocenia kryteria, o których mowa w ust. 1 i 2, przed przeprowadzeniem czynności w zakresie kontroli zewnętrznej, a następnie co najmniej raz na 24 miesiące lub gdy tylko kontroler zewnętrzny dowie się o znacznych odchyleniach od tych kryteriów.
Artykuł  6

Kryteria oceny zarządzania konfliktami interesów

1. 
W ramach oceny zarządzania konfliktami interesów kontrolerzy zewnętrzni zapewniają spełnienie następujących kryteriów:
a)
istnieją zasady przeciwdziałania konfliktom interesów;
b)
istnieje skuteczny proces zgodności, który jest odpowiedni do monitorowania wdrażania zasad przeciwdziałania konfliktom interesów, w tym nadzór nad organem kierowniczym;
c)
istnieją procedury szkolenia i zwiększania wiedzy na temat treści zasad przeciwdziałania konfliktom interesów wśród

kadry kierowniczej najwyższego szczebla, członków organu kierowniczego, analityków, pracowników i wszelkich innych osób fizycznych, z których usług korzysta lub których usługi kontroluje kontroler zewnętrzny, w tym przed podjęciem przez te osoby obowiązków po raz pierwszy.

d)
prowadzony jest wykaz faktycznych lub potencjalnych konfliktów interesów istotnych dla kontrolera zewnętrznego, w tym proponowane środki łagodzące;
e)
wprowadzono procedury zarządzania ryzykiem oraz kontrole zapobiegawcze i wykrywające w odniesieniu do identyfikacji, eliminowania i ujawniania konfliktów interesów i zarządzania nimi;
f)
zidentyfikowano konflikty interesów, które mają być eliminowane lub zarządzane i ujawniane w przejrzysty sposób;
g)
zapewniona jest niezależność analityków, pracowników i innych osób bezpośrednio zaangażowanych w czynności w zakresie oceny.
2. 
Kontroler zewnętrzny ocenia kryteria, o których mowa w ust. 1, przed przeprowadzeniem czynności w zakresie kontroli zewnętrznej, a następnie co najmniej raz na 24 miesiące lub gdy tylko kontroler zewnętrzny dowie się o znacznych odchyleniach dotyczących zarządzania konfliktami interesów.
Artykuł  7

Kryteria oceny zdolności i możliwości wykonywania czynności w zakresie oceny przez dostawców usług będących osobami trzecimi

1. 
W ramach oceny, czy dostawcy usług będący osobami trzecimi mają zdolność i możliwość wykonywania czynności w zakresie oceny w sposób niezawodny i profesjonalny, kontrolerzy zewnętrzni zapewniają spełnienie następujących kryteriów:
a)
dostawca usług będący osobą trzecią posiada specjalistyczną wiedzę w kwestiach związanych z czynnościami zleconymi na zasadzie outsourcingu;
b)
dostawca usług będący osobą trzecią może wykonywać czynności zlecone na zasadzie outsourcingu w okresie planowanego outsourcingu;
c)
dostawca usług będący osobą trzecią posiada ramy kontroli wewnętrznej zapewniające odpowiednie wykonywanie czynności zleconych na zasadzie outsourcingu.
2. 
W ocenie, o której mowa w ust. 1, uwzględnia się następujące informacje dotyczące dostawcy usług będącego osobą trzecią:
a)
model biznesowy, oferowane usługi, własność, struktura grupy i status podmiotu regulowanego lub nadzorowanego;
b)
kwalifikacje personelu biorącego udział w czynnościach w zakresie oceny zlecone na zasadzie outsourcingu;
c)
zasady i procedury stosowane w odniesieniu do wykonywania czynności zleconych na zasadzie outsourcingu, w tym wykorzystanie dokładnych i wiarygodnych informacji i danych;
d)
prowadzone czynności w zakresie kontroli i monitorowania w celu zapewnienia skutecznego stosowania zasad i procedur dotyczących wykonywania czynności zleconych na zasadzie outsourcingu;
e)
w stosownych przypadkach - wykorzystanie technologii automatyzacji w czynnościach w zakresie oceny;
f)
wymogi prawne i regulacyjne mające zastosowanie do działalności dostawcy usług będącego osobą trzecią.
Artykuł  8

Kryteria zapewniające, aby czynności w zakresie oceny zlecane na zasadzie outsourcingu nie wpływały w istotny sposób na jakość kontroli wewnętrznej kontrolera zewnętrznego

W ramach zapewnienia, aby outsourcing czynności w zakresie oceny nie pogorszył w istotny sposób jakości kontroli wewnętrznej, kontrolerzy zewnętrzni zapewniają spełnienie następujących kryteriów:

a)
oczekiwana liczba i rodzaj czynności w zakresie oceny, które mają zostać zlecone na zasadzie outsourcingu, nie prowadzą do nadmiernego polegania na dostawcy usług będącym osobą trzecią;
b)
wprowadzono zabezpieczenia w celu zarządzania ryzykiem związanym z outsourcingiem, w tym ryzykiem zależności w odniesieniu do realizacji czynności w zakresie oceny zleconych na zasadzie outsourcingu;
c)
wprowadzono rozwiązania zapewniające ciągłość świadczenia usług, w tym plany awaryjne i okresowe testy systemów zapasowych;
d)
wprowadzono rozwiązania zapewniające bezpieczeństwo danych i systemów, w tym wszelkiego rodzaju wykorzystanie technologii przetwarzania w chmurze;
e)
wprowadzono zabezpieczenia zapewniające, aby kontroler zewnętrzny był w stanie monitorować i nadzorować czynności w zakresie oceny zlecone na zasadzie outsourcingu;
f)
w przypadku gdy dalsze zlecanie czynności w zakresie oceny na zasadzie outsourcingu przez dostawcę usług będącego osobą trzecią jest dozwolone na podstawie umowy, czynności te spełniają kryteria określone w lit. a)-e).
Artykuł  9

Kryteria zapewniające, aby czynności w zakresie oceny zlecane na zasadzie outsourcingu nie ograniczały w istotny sposób zdolności ESMA do nadzorowania przestrzegania przepisów przez kontrolerów zewnętrznych

W ramach zapewnienia, aby outsourcing nie ograniczał w istotny sposób zdolności ESMA do nadzorowania przestrzegania przez kontrolerów zewnętrznych przepisów rozporządzenia (UE) 2023/2631, kontrolerzy zewnętrzni zapewniają spełnienie następujących kryteriów:

a)
stale dysponuje odpowiednią dokumentacją i ewidencją wszystkich imion i nazwisk oraz stanowisk osób odpowiedzialnych za zatwierdzanie i monitorowanie outsourcingu;
b)
dostawca usług będący osobą trzecią jest w stanie dostarczyć kontrolerowi zewnętrznemu wszystkich niezbędnych informacji dotyczących czynności w zakresie oceny zleconych na zasadzie outsourcingu, wymaganych przez kontrolera zewnętrznego do wykazania, że kontroler zewnętrzny przestrzega przepisów rozporządzenia (UE) 2023/2631;
c)
w przypadku gdy czynności w zakresie oceny są zlecane na zasadzie outsourcingu dostawcy usług będącego osobą trzecią z państwa trzeciego, kontroler zewnętrzny i dostawca usług będący osobą trzecią posiadają procedury zapewniające zarządzanie ryzykiem wynikającym z następujących czynników:
(i)
rozbieżne wymogi regulacyjne lub systemy prawne;
(ii)
brak strategii wyjścia lub jej nieterminowa realizacja w przypadku przerw w świadczeniu usług lub awarii;
(iii)
incydenty związane z bezpieczeństwem informacji i danych;
(iv)
naruszenie poufnego charakteru informacji;
(v)
brak możliwości szybkiego dostępu ESMA i kontrolera zewnętrznego do zewnętrznych rejestrów, w tym w przypadku gdy rejestry te są przechowywane w jurysdykcjach państw trzecich.
Artykuł  10

Ocena kryteriów outsourcingu czynności w zakresie oceny

Kontrolerzy zewnętrzni oceniają zgodność z kryteriami określonymi w niniejszym rozporządzeniu przed rozpoczęciem czynności w zakresie oceny zleconych na zasadzie outsourcingu, a następnie co najmniej raz na 24 miesiące lub gdy tylko kontroler zewnętrzny dowie się o znacznych odchyleniach w zdolności dostawców usług będących osobami trzecimi do wykonywania czynności w zakresie oceny w sposób niezawodny i profesjonalny.

Artykuł  11

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 12 września 2025 r.

1 Dz.U. L, 2023/2631, 30.11.2023, ELI: http://data.europa.eu/eli/reg/2023/2631/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1095/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/77/WE (Dz.U. L 331 z 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.2180

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie delegowane 2025/2180 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2631 w odniesieniu do regulacyjnych standardów technicznych określających warunki rejestracji kontrolerów zewnętrznych, kryteria oceny prawidłowego i ostrożnego zarządzania kontrolerami zewnętrznymi, odpowiedniości wiedzy, doświadczenia i wyszkolenia pracowników kontrolerów zewnętrznych oraz warunki, na jakich kontrolerzy zewnętrzni mogą zlecać swoje czynności w zakresie oceny na zasadzie outsourcingu
Data aktu:2025-09-12
Data ogłoszenia:2025-12-30
Data wejścia w życie:2026-01-19