Sdělení ČNB o obecných pokynech EBA k oznamování významných incidentů podle směrnice (EU) 2015/2366 o platebních službách na vnitřním trhu

(EBA/GL/2017/10)

Dne 27. července 2017 vydal Evropský orgán pro bankovnictví (EBA) na základě zmocnění uvedeného v čl. 16 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES - dále jen „nařízení o zřízení EBA“ – Obecné pokyny k oznamování významných incidentů podle směrnice (EU) 2015/2366 o platebních službách na vnitřním trhu (PSD2) (EBA/GL/2017/10, externí odkaz) (dále jen „pokyny“).

Podle čl. 16 odst. 3 nařízení o zřízení EBA musí příslušné orgány a účastníci finančního trhu vynaložit veškeré úsilí, aby se těmito obecnými pokyny a doporučeními řídili. Česká národní banka potvrdila v souladu s čl. 16 odst. 3 nařízení o zřízení EBA, že se těmito pokyny hodlá řídit. 

První soubor obecných pokynů (oddíl 4) je určen poskytovatelům platebních služeb uvedeným v čl. 4 odst. 11 PSD2 a uvedeným v čl. 4 odst. 1 nařízení o zřízení EBA, druhý a třetí soubor obecných pokynů (oddíly 5 a 6) je určen příslušným orgánům uvedeným v čl. 4 odst. 2 bodu i) nařízení o zřízení EBA. 

Pokyny zejména blíže vymezují kritéria pro klasifikaci významných operačních a bezpečnostních incidentů poskytovateli platebních služeb i formát a postupy, které by měli dodržovat při oznamování těchto incidentů příslušnému orgánu v domovském členském státě podle čl. 96 odst. 1 PSD2. Pokyny stanoví

  • kritéria pro klasifikaci incidentu, na základě kterých mají poskytovatelé platebních služeb povinnost vyhodnotit, zda se jedná o významný incident a jako takový jej nahlásit orgánu dohledu,
  • metodiku pro oznamování incidentu včetně vzorového formuláře obsahujícího 3 části podle stadia, v jakém se incident nachází (úvodní, průběžná a závěrečná zpráva),
  • časový rámec pro hlášení incidentu v konkrétním stadiu a
  • možnost delegování oznamování incidentů poskytovatele platebních služeb na třetí stranu. 

Orgánům dohledu pokyny stanoví podmínky, za kterých je vhodné, aby ohlášené incidenty sdílely i s dalšími orgány v tuzemsku, a obdobné podmínky stanoví i pro sdílení incidentů s EBA a ECB, včetně obecných zásad pro komunikaci. 

Plné znění Obecných pokynů k oznamování významných incidentů podle PSD2 (externí odkaz, pouze v angličtině) zahrnuje rovněž prováděcí shrnutí, odůvodnění a doprovodné dokumenty (Executive Summary, Background and rationale, Accompanying documents). 

Pokyny nabývají účinnosti dne 13. 1. 2018, což je i termín, ke kterému ČNB oznámila, že bude postupovat při výkonu dohledu v souladu s těmito pokyny.