Sdělení ČNB o revidovaných obecných pokynech EBA k oznamování významných incidentů podle směrnice (EU) 2015/2366 o platebních službách na vnitřním trhu

(EBA/GL/2021/03)

Dne 27. července 2017 vydal Evropský orgán pro bankovnictví (EBA) na základě zmocnění uvedeného v čl. 16 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES - dále jen „nařízení o zřízení EBA“ – Revidované obecné pokyny k oznamování významných incidentů podle směrnice (EU) 2015/2366 o platebních službách na vnitřním trhu (PSD2) (EBA/GL/2021/03, externí odkaz) (dále jen „pokyny“),

Podle čl. 16 odst. 3 nařízení o zřízení EBA musí příslušné orgány a účastníci finančního trhu vynaložit veškeré úsilí, aby se těmito obecnými pokyny a doporučeními řídili. Česká národní banka potvrdila v souladu s čl. 16 odst. 3 nařízení o zřízení EBA, že se těmito pokyny hodlá řídit.

První soubor obecných pokynů (oddíl 4) je určen poskytovatelům platebních služeb uvedeným v čl. 4 odst. 11 PSD2 a uvedeným v čl. 4 odst. 1 nařízení o zřízení EBA, druhý a třetí soubor obecných pokynů (oddíly 5 a 6) je určen příslušným orgánům uvedeným v čl. 4 odst. 2 bodu i) nařízení o zřízení EBA.

Pokyny optimalizují a zjednodušují reporting závažných bezpečnostních incidentů zavedený obecnými pokyny k oznamování významných incidentů podle směrnice (EU) 2015/2366 o platebních službách na vnitřním trhu (PSD2). Cílem revize byla snaha zachytit některé dodatečné bezpečnostní incidenty a naopak redukovat počet reportovaných incidentů o ty, co nemají významný dopad na činnosti poskytovatelů platebních služeb. Revize zavádí nové kritérium zaměřené na zabezpečení sítě nebo informačních systémů používaných při poskytování platebních služeb a modifikovala prahové hodnoty určitých kritérií (dotčené transakce a dotčení uživatelé platebních služeb), na jejichž základě se poté určuje, zda se jedná o závažný bezpečnostní nebo provozní incident. K usnadnění reportingu byl modifikován formulář a pokyny k jeho vyplnění.

Pokyny nadále vymezují kritéria pro klasifikaci významných operačních a bezpečnostních incidentů poskytovateli platebních služeb i formát a postupy, které by měli dodržovat při oznamování těchto incidentů příslušnému orgánu v domovském členském státě podle čl. 96 odst. 1 PSD2. Pokyny stanoví kritéria pro klasifikaci incidentu, na základě kterých mají poskytovatelé platebních služeb povinnost vyhodnotit, zda se jedná o významný incident a jako takový jej nahlásit orgánu dohledu, metodiku pro oznamování incidentu včetně vzorového formuláře obsahujícího 3 části podle stadia, v jakém se incident nachází (úvodní, průběžná a závěrečná zpráva), časový rámec pro hlášení incidentu v konkrétním stádiu a možnost delegování oznamování incidentů poskytovatele platebních služeb na třetí stranu.  Orgánům dohledu pokyny stanoví podmínky, za kterých je vhodné, aby ohlášené incidenty sdílely i s dalšími orgány v tuzemsku, a obdobné podmínky stanoví i pro sdílení incidentů s EBA a ECB, včetně obecných postupů pro komunikaci.

Plné znění revidovaných obecných pokynů k oznamování významných incidentů podle PSD2 (externí odkaz, pouze v angličtině) zahrnuje rovněž prováděcí shrnutí, odůvodnění a doprovodné dokumenty (Executive Summary, Background and rationale, Accompanying documents).

Revidované pokyny nabývají účinnosti dne 1. 1. 2022, což je i termín, ke kterému ČNB EBA oznámila, že bude postupovat při výkonu dohledu v souladu s těmito pokyny. Ke stejnému datu se zrušují obecné pokyny k oznamování významných incidentů podle směrnice (EU) 2015/2366 (PSD2) (EBA/GL/2017/10).