Sdělení ČNB o obecných pokynech EBA pro řízení rizik v oblasti IKT a bezpečnosti

(EBA/GL/2019/04)

Dne 28. listopadu 2019 vydal Evropský orgán pro bankovnictví (EBA) na základě zmocnění uvedeného v čl. 16 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES - dále jen "nařízení o zřízení EBA" - Obecné pokyny pro řízení rizik v oblasti IKT a bezpečnosti (externí odkaz, dále jen "pokyny").

Podle čl. 16 odst. 3 nařízení o zřízení EBA musí příslušné orgány a účastníci finančního trhu vynaložit veškeré úsilí, aby se těmito pokyny a doporučeními řídili. Česká národní banka potvrdila v souladu s čl. 16 odst. 3 nařízení o zřízení EBA, že se těmito pokyny hodlá řídit.

Pokyny jsou určeny finančním institucím, které pro účely těchto pokynů zahrnují:

  1. poskytovatele platebních služeb ve smyslu čl. 4 odst. 11 směrnice PSD2 a
  2. instituce, které jsou úvěrovými institucemi a investičními podniky ve smyslu čl. 4 odst. 1 bodu 3 nařízení (EU) č. 575/2013.

Tyto pokyny se rovněž použijí na příslušné orgány ve smyslu čl. 4 odst. 1 bodu 40 nařízení (EU) č. 575/2013, mezi něž patří i Evropská centrální banka, pokud jde o záležitosti vztahující se k úkolům, které jí byly svěřeny nařízením (EU) č. 1024/2013, a na příslušné orgány podle směrnice PSD2 ve smyslu čl. 4 odst. 2 bodu i) nařízení (EU) č. 1093/2010.

Pokyny upřesňují opatření k řízení rizik, která podle článku 74 směrnice 2013/36/EU (CRD) musí přijmout instituce k řízení svých rizik v oblasti IKT a bezpečnosti u všech činností a která musí podle čl. 95 odst. 1 směrnice (EU) 2015/2366 (PSD2) přijmout poskytovatelé platebních služeb k řízení operačních a bezpečnostních rizik (ve smyslu "rizik v oblasti IKT a bezpečnosti") souvisejících s jimi poskytovanými platebními službami. Pokyny obsahují požadavky týkající se bezpečnosti informací, včetně kybernetické bezpečnosti, a to v rozsahu, v němž jsou tyto informace uchovávány v systémech IKT. 

Plné znění Obecných pokynů pro řízení rizik v oblasti IKT a bezpečnosti (externí odkaz, pouze v angličtině) zahrnuje rovněž prováděcí shrnutí, odůvodnění a doprovodné dokumenty (Executive Summary, Background and rationale, Accompanying documents).

Pokyny nabývají účinnosti dne 30. června 2020, což je i termín, ke kterému ČNB oznámila, že bude postupovat při výkonu dohledu v souladu s těmito pokyny. Ke stejnému datu se zrušují obecné pokyny k bezpečnostním opatřením v souvislosti s operačními a bezpečnostními riziky platebních služeb podle PSD2 (EBA/GL/2017/17).