Sdělení ČNB o obecných pokynech k bezpečnostním opatřením podle PSD2

(EBA/GL/2017/17)

Dne 12. ledna 2018 vydal Evropský orgán pro bankovnictví (EBA) na základě zmocnění uvedeného v čl. 16 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES – dále jen „nařízení o zřízení EBA“ – Obecné pokyny EBA k bezpečnostním opatřením v souvislosti s operačními a bezpečnostními riziky platebních služeb podle směrnice (EU) 2015/2366 (PSD2) (EBA/GL/2017/17, externí odkaz) (dále jen „pokyny“).

Podle čl. 16 odst. 3 nařízení o zřízení EBA musí příslušné orgány a účastníci finančního trhu vynaložit veškeré úsilí, aby se těmito obecnými pokyny a doporučeními řídili. Česká národní banka potvrdila v souladu s čl. 16 odst. 3 nařízení o zřízení EBA, že se těmito pokyny hodlá řídit.

Nová směrnice o platebních službách na vnitřním trhu (č. 2015/2366, dále „PSD2“) ve svém článku 95 odst. 3 ukládá EBA vypracovat obecné pokyny ke stanovení, provádění a sledování bezpečnostních opatření. Podle těchto pokynů mají poskytovatelé platebních služeb (dále „PSPs“)1 zavést rámec s příslušnými opatřeními určenými ke zmírnění rizik a kontrolními mechanismy s cílem řídit operační a bezpečnostní rizika související s platebními službami, které poskytují.

Obecné pokyny (GL) jsou posledním ze tří předpisů týkajících se bezpečnosti, k jejichž vypracování dostala EBA mandát v PSD2 (předcházející jsou RTS k silné autentizaci a společné a bezpečné komunikaci a obecné pokyny k oznamování významných incidentů).

Při přípravě GL vycházela EBA z již platných obecných pokynů k bezpečnosti internetových plateb podle PSD1 (EBA/GL/2014/12) a z dalších standardů platných pro jiné oblasti související s operačními a bezpečnostními riziky. GL stanoví požadavky, které mají PSPs zavést, aby zmírnili operační a bezpečnostní rizika plynoucí z poskytování platebních služeb. GL obsahují 9 pokynů pro PSPs, které se týkají všeobecných zásad, správy a řízení, posouzení rizik, ochrany před operačními a bezpečnostními riziky, odhalování neobvyklé činnosti, zajištění kontinuity činnosti při mimořádných událostech, testování bezpečnostních opatření, informovanosti o situaci a soustavného učení a řízení vztahů s uživateli platebních služeb.

Pokyny jsou určeny poskytovatelům platebních služeb podle čl. 4 odst. 11 směrnice (EU) 2015/2366 a uvedeným v definici „finančních institucí“ v čl. 4 odst. 1 nařízení o zřízení EBA a příslušným orgánům podle čl. 4 odst. 2 bodu i) uvedeného nařízení s odkazem na zrušenou směrnici 2007/64/ES3 (v současnosti směrnice (EU) 2015/23664).

Plné znění obecných pokynů k bezpečnostním opatřením v souvislosti s operačními a bezpečnostními riziky platebních služeb podle směrnice (EU) 2015/2366 (PSD2) (pdf, 1163 kB, externí odkaz, pouze v angličtině) zahrnuje rovněž prováděcí shrnutí, odůvodnění a doprovodné dokumenty (Executive Summary, Background and rationale, Accompanying documents).

Pokyny nabyly účinnosti 13. ledna 2018. ČNB oznámila, že postupuje při výkonu dohledu v souladu s těmito pokyny.  


1 Poskytovateli platebních služeb se rozumí úvěrová instituce, platební instituce, správce informací o platebním účtu, instituce elektronických peněz, poskytovatel platebních služeb malého rozsahu a vydavatel elektronických peněz malého rozsahu.