Plné znění - 2/2022 Sb.

Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu

2/2022 Sb.
 

Vyhláška

Čl. I

Účinnost Čl. II

INFORMACE

2

VYHLÁŠKA

ze xxx 22. xxxxxxxx 2021,

xxxxxx xx xxxx xxxxxxxx č. 7/2018 Sb., x xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx platební instituce, xxxxxxx informací x xxxxxxxxx xxxx, xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx
&xxxx;

Xxxxx xxxxxxx xxxxx xxxxxxx xxxxx §263 xxxxxx x. 370/2017 Xx., x xxxxxxxxx xxxxx, x xxxxxxxxx §16 odst. 5, §17 xxxx. 3, §20 xxxx. 4, §46 xxxx. 2, §48 odst. 4, §59 odst. 4, §65x odst. 2, §74 odst. 6, §75 xxxx. 3, §78 xxxx. 4 x §100 xxxx. 4 tohoto xxxxxx:

Xx. I

Vyhláška č. 7/2018 Sb., x některých xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, správce xxxxxxxxx x xxxxxxxxx xxxx, xxxxxxxxxxxxx xxxxxxxxxx služeb xxxxxx rozsahu, instituce xxxxxxxxxxxxxx peněz x xxxxxxxxxx elektronických peněz xxxxxx rozsahu, xx xxxx takto:

1. §1 xxxxxx xxxxxxx x xxxxxxxx pod čarou x. 1 xxx:

"§1

Xxxxxxx xxxxxx

Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx předpisy Xxxxxxxx xxxx¹⁾ x upravuje

a) xxxxxx xxxxxx některých xxxxxxxxx xx řídicí x kontrolní xxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx,

x) způsob xxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx x reklamací x xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx x vydavatele elektronických xxxxx xxxxxx xxxxxxx,

x) xxxxxxxx pro výpočet xxxx kapitálu x xxxxxxxxxx přiměřenosti platební xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxx včetně xxxxxxxxxxxx xxxxxxxx, xxxxx xx mohou xxx xxxxxxx xxxxxxxxxx přiměřenosti xxxxxxxxxx,

x) xxxxxxxxx xxxxx xxxxxxxxxx xxxxxx x xxxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxxxx zajištění xxx xxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx peněz x správce xxxxxxxxx x xxxxxxxxx xxxx.

¹⁾ Xx. 4 xxx 46, xx. 8 xxxx. 2, xx. 9, xx. 9 xxxx. 1 /xxxx/ x čl. 9 xxxx. 2 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx (XX) 2015/2366 xx dne 25. xxxxxxxxx 2015 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx, xxxxxx xx mění xxxxxxxx 2002/65/XX, 2009/110/XX x 2013/36/XX x nařízení (XX) č. 1093/2010 x zrušuje směrnice 2007/64/XX.

Xx. 5 xxxx. 2, xx. 5 xxxx. 3, čl. 5 xxxx. 4 x xx. 5 xxxx. 6 xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx 2009/110/XX xx xxx 16. xxxx 2009 x xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx, x xxxxx xxxxxx x x obezřetnostním xxxxxxx xxx xxxxx xxxxxxxx, x xxxxx xxxxxxx 2005/60/XX x 2006/48/XX x x xxxxxxx xxxxxxxx 2000/46/XX.".

2. Xxxx xxxxx včetně xxxxxxx xxx:

"XXXX XXXXX

XXXXXX XXXXXX XXXXXXXXX POŽADAVKŮ

HLAVA I

ZPŮSOB XXXXXX XXXXXXXXX XXXXXXXXX XX ŘÍDICÍ X XXXXXXXXX XXXXXX PLATEBNÍ XXXXXXXXX

(X §20 xxxx. 4 zákona)

§2

Vnitřní předpisy

(1) Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx stanovené xx xxxxxx x xxxxxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx, xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxx xxx, plány x xxxxx vnitřně xxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx instituce.

(2) Xxxxxxxx xxxxxxxxx stanoví a xxxxxxxxx postup pro xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx a xxxxxxx, xxx xxxxxxx xxxxxxxx xxxx pravidelně xxxxxxxxxxxxx a případně xxxxxxxxxx.

(3) Xxxxxxxx instituce xxxxxxx, aby xxxxxxx xxxxxxxx xxxx v xxxxxxx x xxxxx xxxxxxxxx x xxxxxxx x xxxxxxx povolení x činnosti xxxxxxxx xxxxxxxxx nebo xxxxxx xxxxxxxxx, xx jejichž xxxxxxx xxxx povolení x xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxx §11 xxxxxx.

(4) Xxxxxxxx xxxxxxxxx xxxxxxxx ve xxxxxxxxx xxxxxxxxxx obecné xxxxxx a xxxxxxxxxx xxxxxx Evropským orgánem xxx bankovnictví, Evropským xxxxxxx pro xxxxx xxxxxx x trhy, Xxxxxxxxx orgánem xxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx nebo Xxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxx dohledu x xxxxxx poskytovatelům xxxxxxxxxx xxxxxx.

(5) Platební xxxxxxxxx xxxxxxx, aby všichni xxxxxxxxxx xxxx x xxxxxxxxxxx vnitřními xxxxxxxx x jejich xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxx x xxxxxxx x xxxx.

§3

Xxxxxxxxxxx a xxxxxxxxxxx procesy

Platební instituce xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx x aby xxxxxxx xxxxxxxxxx xxxxxxxxxxx x rozhodovací xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx souvisejících xxxxxxxxxx x xxxxxxxxx x xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx, uchovávat x zpětně xxxxxxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxxxxx xxxxxx xxxx xxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx.

§4

Xxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx rizik

(1) Xxxxxxxx xxxxxxxxx zavede x xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxxxxxxxxxxx x platebními xxxxxxxx, které poskytuje, xxxxxxxx xxx xxxxxxxx xxxxxx xxxxx a xxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnostních a xxxxxxxxxx incidentů, x xx x pro xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxx vždy xxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxx zahrnují xxxxxxx

x) xxxxxx xxxxxx x xxxxxxxx narušení xxxxxxxxxx xxx, integrity xxxxxxx x xxx nebo xxxxxxxxxxx xxxxxxx a xxx xxxx v xxxxxxxx neschopnosti změnit xxxxxxxxxx x xxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxx a s xxxxxxxxxxx xxxxxxx, xxxxx xx mění xxxxxxxxx xxxx xxxxxxxx,

x) xxxxxxxxxxxx xxxxxx vyplývající x xxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxxx xxxxxx kybernetických xxxxx xxxx x nedostatečného xxxxxxxxx zabezpečení.

(3) Xxxxxxxxxxx x řízení rizik x oblasti informačních x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxxx xx xxxx xx mohla xxx xxxxxxxxx x xxxxxxxxxxx x jí xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxx uvedeny v xxxxxxx x této xxxxxxxx.

(4) Xxxxxxxx instituce xxxxxxxxx politiku xxxxxxxxxxx xxxxxxxxx, xxxxx vymezuje xxxxxx x xxxxxxxx xx xxxxxxx důvěrnosti, xxxxxxxxx a dostupnosti xxx a xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xx xxxxx xxxxxxxxx xxxxxxxxxx bezpečnostní opatření x souladu s xxxxxxxxxxxx x řízení xxxxx podle xxxxxxx x této xxxxxxxx.

§5

Xxxxxx xxxxxxxxxx stížností a xxxxxxxxx

(1) Xxxxxxxx xxxxxxxxx xxxxxx x uplatňuje xxxxxxx pro xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx uživatelů xxxxxxxxxx xxxxxx, xxxxx

x) xxxx xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx poskytování xxxxxxxxxx xxxxxx, xxxxxxx xxxx xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx,

x) xxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx x zajišťují xxxxxxxxxxxx x xxxxxxxxxx možných xxxxxx zájmů xxx xxxxxxxxx x xxxx.

(2) Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx v xxxxxxx xx xxxxxxxxxxx xxxxxxx xxxxxxxxx a reklamace x nakládání x xxxx, x xx xxxxxxxx splňujícím xxxxxxxxx xx bezpečnost informací.

(3) Xxxxxxxx xxxxxxxxx nastaví xxxxxx xxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxx, xx xx xxxxxxxx xxxxxxxxxx bez xxxxxxxxxx xxxxxxx Xxxxx xxxxxxx xxxxx xx xxxxxxxx informace o xxxxxxxxxxx a reklamacích x x nakládání x xxxx včetně xxxxxxxxxxx postupů xxxxxx xxxxxxxxxx.

(4) Xxxxxxxx xxxxxxxxx xxxxxxxx analyzuje xxxxx x xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxx vyřízení x xxxxx zabezpečit xxxxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxx, xxxxxxx

x) xxxxxxxxx důvody xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx x identifikuje hlavní xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx a xxxxxxxxx,

x) xxxxxxxx, xxx xxxxxxxxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx i xxxx xxxxxxx, xxxxxx xxxx xxxxxxxx, xxxxxx xxxx, xxxxxxx xx xxxxxxxx xxxx xxxxxxxxx přímo xxxxxx,

x) x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx.

(5) Xxxxxxxx instituce

a) xxxxxxxx uživateli platebních xxxxxx xx požádání x xxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx písemnou xxxxxxxxx x svém xxxxxxx xxxxxxxxxx stížnosti xxxx xxxxxxxxx, a xx x českém xxxxxx xxxx x jiném xxxxxx, xxxxx xx xx něm x xxxxxxxxxx platebních xxxxxx xxxxxxx,

x) xxxxxxxxxx uživatelům xxxxxxxxxx xxxxxx a xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx c) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx x uživateli xxxxxxxxxx xxxxxx ve xxxxx xxxxxxxxxx xxxxxxxxxx, x xx-xx xxxxxxx xxxxxxxxxxx stránky, xxxx xx xxxx, a xx alespoň x xxxxxx xxxxxx,

x) poskytuje xxxxxxxxxxxx, xxxxxx a xxxxxxxx xxxxxxxxx x xxxxxxx vyřizování xxxxxxxxx x reklamací, xxxxx xxxxxxxx

1. xxxxxxxx údaje x xxx, xxx xxxxxxxx xxxx xxxxxxxxx xxxxx, xxxxxxx druh xxxxxxxxx, xxxxx xxxx xxxxxxxx platebních služeb xxxxx, x xxxxxxxxx xxxxx osoby xxxx xxxxxx platební xxxxxxxxx, xxxxxx xx xxx xxxxxxxx nebo xxxxxxxxx xxxxxxx,

2. xxxxxxxxx x xxxxx, xx xxxxx xxxx xxxxxxxx platebních xxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx, x x xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx,

3. xxxxxxxxx průběžné xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo reklamace,

4. xxxxxxxxx o xxxxxxxxxxx xxxxxxx Xxxxx národní xxxxx, Xxxxxxxxx xxxxxxxxxx xxxxxxx a Xxxxxxxxx xxxxxxxxx ochránce práv.

(6) Xxxxxxxx xxxxxxxxx

x) xxxxxx xxxxx, které lze xx ní rozumně xxxxxxxxx, xxx xxxxxxx x prověřila xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxx xxxxxxxxx xxxx xxxxxxxxx,

x) komunikuje x xxxxxxxxxx platebních xxxxxx xxxxxxxxxxx a srozumitelným xxxxxxxx,

x) xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx x xxxxxxxxxx xx xxxxxxx xxxxx §258 xxxxxx; xxxxxx-xx xxxx xxxxx xxxxxxx, informuje xxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxx x xxxxxxx, kdy xxxx xxxxxxxx stížnosti xxxx xxxxxxxxx dokončeno,

d) xxx xxxxxxx xxxxxxxxxx, xxxxx plně nevyhovuje xxxxxxxxxx uživatele xxxxxxxxxx xxxxxx, x něm xxxxxxxx xxxxxxxx řešení xxxxxxxxx nebo xxxxxxxxx x uvede informaci x xxxxxxxx xxxxxxxxx xxxxxxxxxx služeb na xxxxxxxxx nebo xxxxxxxxx xxxxx x obrátit xx xx Kancelář xxxxxxxxxx arbitra, Českou xxxxxxx xxxxx a xx věcech xxxxx xx rovné zacházení x ochrany před xxxxxxxxxxxx xx Xxxxxxxx xxxxxxxxx xxxxxxxx práv, xxxxxxx xxxxxxxx xxxx xxxxxxxxx údaje daného xxxxxx, xxxx xx xxxx.

XXXXX XX

XXXXXX XXXXXX XXXXXXXXX XXXXXXXXX NA XXXXXX X XXXXXXXXX XXXXXX XXXXXXXXX XXXXXXXXXXXXXX XXXXX

(X §78 xxxx. 4 zákona)

§6

 Pro xxxxxxxxx xxxxxxxxxxxxxx xxxxx se xxxxxxx §2 až 5 obdobně.

HLAVA III

ZPŮSOB XXXXXX XXXXXXXXX XXXXXXXXX XX ŘÍDICÍ X XXXXXXXXX XXXXXX SPRÁVCE XXXXXXXXX X XXXXXXXXX XXXX

(X §48 xxxx. 4 xxxxxx)

§7

(1) Xxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx xx xxxxxxx §2 a 3 obdobně.

(2) Xxx xxxxxxxxxx požadavků na xxxxxx xxxxxx bezpečnostních x provozních rizik xxxxxxxxx správce xxxxxxxxx x platebním xxxx xxxxxxx podle §4.

(3) Xxx xxxxxxxxxx požadavků xx vyřizování stížností x xxxxxxxxx postupuje xxxxxxx xxxxxxxxx o xxxxxxxxx účtu obdobně xxxxx §5.

XXXXX XX

XXXXXX XXXXXX XXXXXXXXX NA XXXXXX ŘÍZENÍ XXXXXXXXXXXXXX X XXXXXXXXXX XXXXX X XXXXXX XXXXXXXXXX XXXXXXXXX A REKLAMACÍ X POSKYTOVATELE XXXXXXXXXX XXXXXX MALÉHO XXXXXXX

(X §59 odst. 4 xxxxxx)

§8

(1) Xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx rozsahu xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx a provozních xxxxx a xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx do xxxxx xxxxxxxxx xxxxxxxx x xxx xxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxxxxxxx postupuje obdobně xxxxx §2 xxxx. 2 až 5.

(2) Xxx naplňování požadavků xx xxxxxxxxxxx x xxxxxxxxxxx procesy týkající xx xxxxxxx xxxxxx xxxxxxxxxxxxxx x provozních xxxxx a systému xxxxxxxxxx xxxxxxxxx x xxxxxxxxx postupuje poskytovatel xxxxxxxxxx služeb xxxxxx xxxxxxx obdobně podle §3.

(3) Xxx xxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxxxxxx platebních xxxxxx xxxxxxxxx poskytovatel xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §4.

(4) Pro naplňování xxxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx poskytovatel xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §5.

XXXXX X

XXXXXX PLNĚNÍ XXXXXXXXX XX SYSTÉM XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX XXXXX X XXXXXX XXXXXXXXXX XXXXXXXXX X XXXXXXXXX U XXXXXXXXXX XXXXXXXXXXXXXX PENĚZ XXXXXX XXXXXXX

(X §100 xxxx. 4 xxxxxx)

§9

(1) Xxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx rozsahu xxxxxxxx xxxxxxxxx stanovené xx xxxxxx xxxxxx bezpečnostních x provozních xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxxxx vnitřních xxxxxxxx x xxx xxxxxxxxxx požadavků xx xxxx xxxxxxx předpisy xxxxxxxxx xxxxxxx xxxxx §2 xxxx. 2 xx 5.

(2) Pro xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x rozhodovací xxxxxxx týkající xx xxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rizik x xxxxxxx vyřizování xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §3.

(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx xxxxx malého xxxxxxx xxxxxxx xxxxx §4.

(4) Pro naplňování xxxxxxxxx xx xxxxxx xxxxxxxxxx stížností x xxxxxxxxx postupuje xxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx xxxxxxx xxxxx §5.".

Xxxxxxxx xxx čarou x. 2 xx 4 xx zrušují.

3. X §27 xxxxxxxx 4 zní:

"(4) Xxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxx xxx činnost, x xxxxxxx xxxxxx xx xxxxxxxxx na xxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx, (dále xxx "xxxxxxxx platební xxxxxxxxx") xxxxx xx xxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx xx xxxxxxx xxxx xxxxxx xxxxx, xxxxx xxxx xxxxxxx pro xxxxx jiných činností, xxx xxxx xxxxxxxx, x xxxxxxx výkonu xx xxxxxxxxx na xxxxxxx xxxxxxxx xxxxxxxxx xxxxx zákona.".

4. X §34 xx xxxxxx xxxx xxxxxxxx 1, xxxxx xxx:

"(1) Xxxxxxx xx xxxxxxxx obdobně xxxx xxxxxxx xxxxx xx. 4 xxxx. 1 xxxx 118 xxxxxxxx.".

Xxxxxxxxx xxxxxxxx 1 xx 5 se xxxxxxxx jako xxxxxxxx 2 xx 6.

5. X §34 xxxxxxxx 4 zní:

"(4) Instituce xxxxxxxxxxxxxx xxxxx, xxxxx xxxxxxxx i jiné xxxxxxxxxxxxx činnosti xxx xxxxxxx, x xxxxxxx xxxxxx xx xxxxxxxxx xx xxxxxxx povolení xxxxxxxxx podle zákona, xxxxx do xxxxxxxx xxxxxxxx podle xxxxxxxx 1 zahrnout ty xxxxxxx xxxx xxxxxx xxxxx, které jsou xxxxxxx xxx výkon xxxxxx činností, xxx xxxx xxxxxxxx, x xxxxxxx výkonu je xxxxxxxxx xx xxxxxxx xxxxxxxx uděleného xxxxx xxxxxx.".

&xxxx;6. Xxxxxxxx xx xxxxxxx, xxxxx xxx:

"Xxxxxxx x xxxxxxxx x. 7/2018 Xx.

Xxxxxxxxxxx x xxxxxx rizik v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxx

Xxxxxxxxxxx

1. Xxxxxxxx instituce xxxxxxxx xxxxxxxxx na xxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx (xxxx jen "xxxxxx XXX x xxxxxxxxxxx") xxxxxxxx, který xx přiměřený velikosti xxxxxxxx instituce, xxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxx, xxxxxxx, složitosti x rizikovosti služeb x produktů, xxxxx xxxxxxxx xxxxxxxxx poskytuje xxxx xxxxxxx poskytovat.

Strategické x operativní xxxxxx, xxxxxxxxxxx xxxxxxxxxx

2. Xxxxx, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx poskytování xxxxxxxxxx služeb (xxxx xxx "xxxxxxx xxxxxxxxx") xxxxxxx, aby platební xxxxxxxxx měla xxxxxxx xxxxxxxxx xxxxx vnitřní xxxxxx x řízení x vnitřní xxxxxxxx xxx xxxxxx IKT x bezpečnosti. Xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxx a xxxxxxxxxx xxx xxxxxx x xxxxxxx informačních a xxxxxxxxxxxxx technologií, xxxxxx xxxxx XXX x xxxxxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxx xxxxxxxx a xxxxxxxx fungování xxxxxxxx xxxxxxxxx, a to x pro sebe.

3. Xxxxxxx pracovník xxxxxxx, xxx počet pracovníků xxxxxxxx xxxxxxxxx x xxxxxx odborná způsobilost x zkušenosti byly xxxxxxxxx pro průběžnou xxxxxxx provozu platební xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxx XXX x bezpečnosti x pro xxxxxxxxx xxxxxxxxx její xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxx tomu xxxxxxxxx přidělený xxxxxxxx. Xxxxxxxx instituce zajistí, xxx xxxxxxx xxxxxxxxxx xxxxxxx jednou xxxxx xxxxxxxxxxx vhodné školení xxxxxxx xxxxxxxx se xxxxxxxxx xx xxxxxx XXX x xxxxxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx (xxx 49).

4. V xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xx xxxxxxxxx x xxxxxxxxxxx strategie xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx v xxxxx xxxxxxx strategie xxxxxxxx xxxxxxxxx, xxxxxx nad xxxxxxxxxxxx xxxx xxxxxxxxx x vytvoření účinného xxxxx řízení rizik XXX x xxxxxxxxxxx.

5. Xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx xx x xxxxxxx s xxxxxxxx xxxxxxxxx platební xxxxxxxxx x vymezuje

a) xxx xx xx měly xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx, xxx účinně xxxxxxxxxxx xxxxxxxx strategii xxxxxxxx instituce, včetně xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx (dále xxx "XXX xxxxxxx") x xxxxxxxxx xxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx,

x) plánovanou strategii x vývoj architektury xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, včetně vztahů xxxxxxxxxx xx xxxxxxx xxxxxxxx,

x) xxxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx xx xxxxxxxxx xx IKT xxxxxxx x xxxxxx, xxxxxxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií.

6. Xxxxxxxx xxxxxxxxx stanoví soubory xxxxxxx plánů, xxxxx xxxxxxxx xxxxxxxx xxxxx x naplnění strategie x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií. X xxxxxx xxxxx xxxx seznámeni xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxx příslušné xxxxx xxxxxx xxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxxxxx, xxxxxxx xx xxxxxx poskytovatelé xxxxxxxxxxxx, xxxxxxxxxxxxx x xxxxx xxxxxxx, xxxxxx xx platební xxxxxxxxx xxxxxx, nebo jiní xxxxxxx xxxxxxxxxxxxx (xxxx xxx "xxxxxxx xxxxxxxxxxxxx"), xxxxx xxxx xxx xx xxxxxxxxxx x xxxxxxxx. Platební instituce xxxxx xxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx soustavnou xxxxxxxxx x vhodnost. Xxxxxxxx xxxxxxxxx zavede xxxxxxx xx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.

7. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxx xx zmírnění xxxxx vymezená v xxxxx xxxxxxx xxxxxx xxxxx xxxx xxxxxx x x xxxxxxx, xx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxx XXX xxxxxxx xx xxxxxx x xxxxxxx informačních x komunikačních xxxxxxxxxxx (xxxx jen "XXX xxxxxx") xxxx zajišťovány xxxxxxx.

8. Pro xxxxxxx xxxxxxxxx XXX systémů x XXX služeb xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxx a xxxxxxx xxxxxxxx x xxxxxx xxxxxx xx xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx

x) cíle x xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxx; v tom xxxx minimální xxxxxxxxx xx xxxxxxxxxxxxx bezpečnost, xxxxxxxxxxx xxxxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx týkající xx xxxxxxxxx xxx, xxxxxxx xxxxxxxxxxx sítě x sledování bezpečnosti x xxxxxxxx xxxxxxxx xxxxxx,

x) xxxxxxxx xxxxxxx x xxxxxxx xxx xxxxxx jednorázových událostí xxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xx xxxx xxxxxxxxxxxxx xxxx xxx nepříznivý xxxxx xx integritu, xxxxxxxxxx, xxxxxxxxx xxxx xxxxxxxxxxx xxxxxx (dále xxx "xxxxxxxxxxxx x xxxxxxxx xxxxxxxx"), xxxxxx xxxxxxxxx xx xxxxx úroveň xxxxxx a podávání xxxxx.

9. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxx xx, xx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxx instituce, xxxxx xxxxxxx xxxxxxxxx.

Xxxxxx xxxxxx xxxxx XXX x bezpečnosti

10. Platební xxxxxxxxx xxxxxxxxxx x xxxx rizika IKT x xxxxxxxxxxx, xxxxxx xx xxxx by xxxxx xxx xxxxxxxxx x xxxxxxxxxxx x xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx. Xxxxxxxxx při xxx xxxxxxx a xxxxxxxx, které zajišťují, xx všechna xxxx xxxxxx xxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, měřena, sledována, xxxxxxxxxx a xxxxxxxxx x xxxxxxx se xxxxxxxxxx mírou xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx, x xxxxxxxxxxx xxxxxxxx x systémy a xxxxxxxxx xxxxxxxx jsou x xxxxxxx x xxxxxxx vnitřně xxxxxxxxxxx xxxxxxxx xxxxxxxx instituce x požadavky xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxxxxxxx x xxxxxxx xxxxxxxxx Xxxxxx xxxxxxx xxxxxx.

11. Xxxxxxxx instituce xxxxx xxxxxxxxx xx xxxxxx xxxxx XXX x xxxxxxxxxxx x xx xxxxxx nad xxxxxx riziky xxxxxxxxx xxxxxx. Platební xxxxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxx, že xx xxxxxxx xxxxxxxx xxxxxx xx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx. Tato xxxxxxxxx xxxxxx je xxxxx xxxxxxxxx xxxxxxxxx pracovníkovi x v xxxx xxxxxxxxxx je xxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxx IKT x xxxxxxxxxxx. Xxxxxxxxx xxxxxx, xxx xxxxxx XXX a xxxxxxxxxxx xxxx rozpoznávána, vyhodnocována, xxxxxx, sledována a xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx tato xxxxxxxxx xxxxxx neměla x působnosti xxxxx xxxxxxx xxxxx.

12. K xxxxxxxxx účinného systému xxxxxx rizik IKT x xxxxxxxxxxx platební xxxxxxxxx vymezí klíčové xxxx a povinnosti, xxxxxxxxx hierarchické vztahy x x xxxx xxxxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxx rizik XXX x xxxxxxxxxxx je xxxx xxxxxxxxxxx do xxxxxxx xxxxxx rizik xxxxxxxx instituce, včetně xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxxx vazeb v xxxxx xxxxxx xxxxxxx x xx x xxxxxxx x jednotlivými xxxxxxx xxxxxxx xxxxxx xxxxx.

13. Xxxxxx xxxxxx xxxxx IKT a xxxxxxxxxxx xxxxxxxx procesy xxx

x) xxxxxx míry xxxxxx platební xxxxxxxxx xxxxxxxxxxx x těmto xxxxxxx x xxxxxxx x xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x rizikům,

b) xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxx, xxxxxx xx xxxxxxxx xxxxxxxxx vystavena,

c) xxxxxxxxx opatření xxxxxxxxx x omezení xxxxxxx xxxx xxxxxx xxxxxxx xxxxxx rizik,

d) xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxx oznámených xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxxx incidentů xxxxx §221 xxxxxx, xxxxx xxxx dopad xx xxxxxxxx související x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxx, a x případě potřeby xxxxxxxxx xxxxxxxx,

x) ohlašování xxxxxx xxxxx a xxxxxxxx xxxxxxxxx xxxxxxxxxxxx,

x) xxxxxxxxxx a xxxxxxxxxxxxx xxxxxx rizik xxxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxx x XXX xxxxxxxxx x IKT xxxxxxxx, procesech či xxxxxxxxx xxxx v xxxxxxxxxx na xxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxx incident.

14. Platební xxxxxxxxx xxxxxxx, xxx xxxxxx xxxxxx xxxxx XXX x bezpečnosti xxx xxxxx xxxxxxxxxxxxx x soustavně xxxxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxx x přezkoumává xxxxxxxxx systému řízení xxxxx IKT a xxxxxxxxxxx.

15. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxxx funkce, xxxx x podpůrné xxxxxxx x xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxx v xxxxxxxxxxx x xxxxxx IKT x bezpečnosti.

16. Xxxxxxxx xxxxxxxxx také xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxxxx chránit (xxxx jen "xxxxxxxxxx xxxxxxx"), xxxxxxxxxxx xxxxxxxx xxxxxx x podpůrné xxxxxxx a zavede x xxxxxxxxxxx jejich xxxxxxxxxxxx. Platební xxxxxxxxx xx schopna xxxxx xxxx xxxxxxxxxx aktiva, xxxxx xxxxxxxxx xxxx xxxxxxxx obchodní xxxxxx x xxxxxxx.

17. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxx bodů 15 a 16 x hlediska xxxxxx xxxxxxxxxxx.

18. Xx xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx funkcí, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx aktiv platební xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx týkající se xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx vymezí xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxx xxxxx.

19. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxxx xxxxxxxxxxx xxxx, když xxxxxxx xxxxxxxxxxx xxxxx.

20. Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx XXX a xxxxxxxxxxx, která xxxx xxxxx na xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x informační aktiva, x to xxxxx xxxxxx xxxxxxxxxxx. Toto xxxxxxxxxxxxx rizik xxxxxxx, xxxxxx xxxxxxxxxxxxxx, xxxxxxx xxxxxx ročně x xxxx při xxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx, xxxxxxx nebo xxxxxxx xxxxxxxxxxxxx xxxxxxxx funkce, xxxxxxxx xxxxxxx nebo xxxxxxxxxxxx xxxxxx. Xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.

21. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxx a zranitelnost xxxxxxxx pro xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxx, xxxxx xx xx xxxx xxxxx.

22. Na xxxxxxx xxxxxxxxxxx xxxxx platební xxxxxxxxx určí opatření xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxx XXX x xxxxxxxxxxx xx xxxxxx odpovídající xxxx xxxxxx xxxxxxxx instituce xxxxxxxxxxx x xxxxxxx. Xxxxxxxx instituce také xxxx, xxx xxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx procesů, xxxxxxxxxxx xxxxxxxx, IKT xxxxxxx x XXX služeb. Xxxxxxxx xxxxxxxxx zváží xxx xxxxxxxx k xxxxxxxxx xxxxxx xxxx x čas xx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxx IKT x bezpečnosti v xxxx xxxxxx xxxxxxxx xxxxxxxxx k xxxxx xxxxxxx přistupovat.

23. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx rizik IKT x xxxxxxxxxxx x x xxxxxxx xxxxxxxxxxxx xxxxx x souladu x xxxxxx klasifikací.

24. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxx x xxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx.

Xxxxxxx audit x xxxxxxx rizik XXX x xxxxxxxxxxx

25. Xxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x samostatně xxxxxxxxxxx soulad xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx x informačními x xxxxxxxxxxxxx xxxxxxxxxxxxx x bezpečností se xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x x xxxxxxxxx xxxxxxxxx, xxxxxxxxxxx, zda tyto xxxxxx x postupy xxxx x dotčených xxxxxxxx dodržovány, a xxxxxxxxx o xxx xxxxxxxxxx xxxxxxxxx ujištění. Xxxxxx xxxxxxxxx xxxxxx, xxxxxx xxxxxxxx instituce xxxxxxxxx xxxxxxx nebo xxxxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxx XXX a xxxxxxxxxxx. Xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxx, xxxx xxxxxxx způsobilí x xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxx IKT x xxxxxxxxxxx, xxxxxx a xxxx x rámci xxxxxxxx instituce xxxx xx dotčené xxxxxxxx xxxxxxxxx xxxxxxxxx. Xxxxxxx x xxxxxxxx auditů xxxxxxxx xxxxxxxxxx xxxxxx xxxxx.

26. Xxxxxxx pracovník xxxxxxxxx plán xxxxxx, xxxxxx všech xxxxxx x oblasti informačních x xxxxxxxxxxxxx xxxxxxxxxxx x jakýchkoli jejich xxxxxxxxxxx xxxx. Plán xxxxxx x jeho xxxxxxxxx, xxxxxx xxxxxxxx xxxxxx, odráží inherentní xxxxxx XXX a xxxxxxxxxxx platební instituce, xx xxxxxx xxxxx xxxxxxx a xx xxxxxxxxxx xxxxxxxxxxxx.

27. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx x nápravu xxxxxxxxxx xxxxxxxx auditů x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxxxx xxxxxxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxxxxx

28. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxx xxxxxxxxxxx informací xx x souladu x cíli xxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxx informací x xx založena xx xxxxxxxxxx xxxxxxxxxxxxx xxxxx. Xxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxxx xxxxxxx pracovník.

29. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx hlavních xxxx x povinností v xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx, xxxxxxx x technologie v xxxxxxxxxxx x bezpečností xxxxxxxxx. Všichni pracovníci x xxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxx při xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx instituce, odpovídající xxxxxxxxx jimi vykonávaným, xxxxxx jim svěřeným x oprávněním, jimiž xxxxxxxxx. Xxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxxx důvěrnost, xxxxxxxxx x dostupnost xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxx údajů xxxxxxxx instituce xxx xxx uložení, xxx xxx xxxxxxx x xxxxxxxxx. X xxxxxxxxx xxxxxxxxxxx informací jsou xxxxxxxxx xxxxxxx pracovníci x xxxxxxx xxxxxxxxxxxxx.

30. Xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx přijme xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx IKT x xxxxxxxxxxx, jimž xx xxxx xx mohla xxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxxxxx:

x) xxxxxxx xxxxxx a xxxxxx x souladu x xxxxxxxxx xxxxx xxxx 10, 11 x 25,

b) xxxxxxxx xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxxx,

x) xxxxxxxxxx provozu x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx,

x) bezpečnostní xxxxxxxxx,

x) xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxx přípravu x xxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx.

Xxxxxxx xxxxxxxxxx

31. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx postupy xxx xxxxxxxx logického xxxxxxxx, xxxxxxxx xxxx x xxxxxxxx za účelem xxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx sleduje xxxxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx xx xxxxxxxxxxx. Xxxx xxxxxxx jsou xxxxxxxx alespoň na xxxxxx xxxxxxxx:

x) xxxxxx xxxxxxxx pouze xxxxxxxxxx, xxxxxx xxxxxxxxxxx oprávnění x xxxxxx oddělenosti xxxxxx; platební instituce xxxxxxxxx přístupu x xxxxxxxxxxx xxxxxxx x xx svým xxxxxxxxx xxxxxxxx xxxxxxxx tak, xxx xxxxxxxx včetně xxxxxxxxxxx uživatele (xxxx xxx "xxxxxxxx") xxxxx xxx xx, co xx xxxxxxxx, x xx i v xxxxxxx xxxxxxxxxx přístupu; xxxxxxxxx xxxx xxx xxxxxx xxxxxxxxxx xxxxx, xxxxx jsou xxxxxxxx xxxxx x plnění xxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx neoprávněnému xxxxxxxx x velkému xxxxxxx xxx xxxx xxxxxxxx xxxxxxxxx kombinací xxxxxxxxxxxx práv, které xxx xxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx,

x) xxxxxx uživatelské působnosti; xxxxxxxx instituce x xx nejvyšší míře xxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx a u xxxx xxxxxxxxxxx v XXX xxxxxxxxx zajistí xxxxxxxxxxxx xxxxxxxxx,

x) zásada xxxxxxxxxxxxxxx přístupových xxxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xx xxxxxxx pomocí xxxxxxxx xxxxxxx účtů xxxxxxxxxxxxxx x xxxxxxx xxxx xx xxxxxxxxx xxxxx přístupu x xxxxxxx x xxx xxxxxx účty xxxxxxxxx xxxxxxxx dohled, xxxxxxxx xxxxxxxxxxxxxxx xxxxxxx ke xxxxxxxxx XXX systémům xxxxxxxxx xxx tak, xxx uživatel xxxxx xxx xx xx xxxxxxxx a jen xxxx se používá xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,

x) zásada xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx zajistí xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxx se xxxxxxx veškerých xxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxxx xxx, xxx se xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx, x xxxxxx xxxxxxx xx xxxx xxxxxxxxxxxx xxxxxxxxxxx identifikovaných obchodních xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx; xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx používá k xxxxxxxxx identifikace x xxxxxxxxxxx neobvyklých xxxxxxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx,

x) xxxxxx xxxxxx xxxxxxxx; platební instituce xxxxxxx, xx xxxxxxxxxx xxxxx xxxx xxxxxxxxx, xxxxxxxxx xxxx upravována xxxx, x xx xxxxx xxxxxx stanovených xxxxxxx xxxxxxxxxxx zahrnujících xxxxxxxxx informačního aktiva, x xxxxxxx ukončení xxxxxxxxxx poměru xxxx xxxxxxxxx xxxxxx xxxx xxxxxxxxxx práva okamžitě xxxxxxxx,

x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxxxx, že xxxxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx x xxxxx zajistit, aby xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x aby xxxx xxxxxxxxxx práva xxxxxxxx, xxxxxxx již xxxxxxx zapotřebí,

g) xxxxxx xxxxxxxxxxxxxx autentizačních metod; xxxxxxxx instituce xxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxx robustní, xxx xxxxxxxxx a xxxxxx zajistily xxxxxxxxxx xxxxx a xxxxxxx xxxxxxxx xxxxxxxx, odpovídají xxxxxxxxxxx IKT xxxxxxx, xxxxxxxxx xxxx xxxxxxx, x xxxx xx xxxxxxxxxx, xxxxxxxx přinejmenším xxxxxxx xxxxx, xxxxxxxxxxxxx xxxxxxx xxxx jiné xxxxx xxxxxx xxxxxxx, x xx xxxxx xxxxxxxxxxx xxxxxx.

32. Platební xxxxxxxxx xxxxxxx, xx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxx x xxxxx x XXX xxxxxxxx xx xxxxxx na xxxxxxx, xxxxx xx xxxxx k poskytování xxxxxxxxx xxxxxx.

Xxxxxxx bezpečnost

33. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx a uplatňuje xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxx instituce x xxxxxxxxx xxxxxxx xxxxxx xxxxxxx, datových xxxxxx a citlivých xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx x před xxxxxx xxxxxxxx prostředí.

34. Xxxxxxxx instituce xxxxxxx, xx xxxxxxx xxxxxxx x XXX xxxxxxxx xx xxxxxxx xxxxx xxxxxxxxxx osobám, xxxxxxxxx xx xxxxxxxxx v xxxxxxx s úkoly x xxxxxxxxxxx xxxxxxx xxxxx a xx xxxxxxx xx xxxxx, xxxxx xxxx xxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xx fyzický xxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx x x případě xxxxxxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxx zrušena.

35. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx opatření xx xxxxxxx před xxxxxx xxxxxxxx prostředí, xxxxx xxxx xxxxxx xxxxxxxxxxx xxxxx a kritičnosti xxxxxxx xxxx XXX xxxxxxx xxxxxxxxxx v xxxxxx xxxxxxxx.

Xxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx

36. Xxxxxxxx instituce xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx incidentů x XXX xxxxxxxxx x XXX službách, x xxxxxxxxxxxx xxxxxx xxxxx na poskytování xxxxxx xxxxxx. Xxxx xxxxxxx zahrnují

a) identifikace xxxxxxxxxxxxx xxxxxxxxxxxxx, xxxxx xxxx xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx softwaru x firmwaru, včetně xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx nebo zavedením xxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxxx xxxxxxxxx na zabezpečení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx,

x) xxxxxxxx xxxxxxxxxx sítě, xxxxxxx xxxxxxxx xxxxxx xxx x šifrování síťového xxxxxxx, a xx x xxxxxxx x xxxxxxxxxxx xxx,

x) xxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx xxxxxxx, pracovních xxxxxx x xxxxxxxxx xxxxxxxx; dříve xxx xxxx xxxxx xxxxx xxxxxxx xxxxxxx xx xxxxxxxxx xxxx, xxxxxxxx xxxxxxxxx xxxxxxxxxxx, zda xxxxxxx xxxx xxxxxxx xx vymezené xxxxxxxxxxxx xxxxxxxxx,

x) zavedení xxxxxxxxxx xxx xxxxxxx integrity xxxxxxxx, xxxxxxxx x xxx,

x) xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxx, x to x xxxxxxx x xxxxxxxxxxx xxx.

37. Xxxxxxxx instituce xxxxxxxx zjišťuje, xxx xxxxx xxxxxxxxxxx provozního xxxxxxxxx ovlivňují xxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxxxxxx rizik. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxx změny xxxx xxxxx naplánovány, xxxxxxxxxx, xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx.

Xxxxxxxxxxxx sledování

38. Platební xxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxx xxxxxxxxx. K xxxx xx stanoví, xxxxxxxxxxxx x uplatňuje xxxxxxx xxx odhalování xxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xxx xxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, x xxx xxxxxxxxx xx xxxx xxxxxxxx. X xxxxx xxxxxxxxxx bezpečnostního xxxxxxxxx je platební xxxxxxxxx xxxxxxx xxxxxxxxx x ohlašovat xxxxxxx xxxx logická narušení x porušení xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxx. Platební xxxxxxxxx se xxxxxxxx xx

x) xxxxxxxxxx xxxxxxx x vnější xxxxxxx, xxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxx, xxx xxxx xxxxx odhalit xxxxxxxx xxxxxxxx xxxxx xxxxxxx xxxx uvnitř platební xxxxxxxxx,

x) potenciální vnitřní x xxxxxx hrozby.

39. Xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxxxxx identifikovat x xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xx xxxx xxxxxxxxx xxxxxxxxxx xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx technologický xxxxx, aby xx xxxx xxxxxx xxxxx xxxxxxxxxxx. Platební xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx x identifikaci xxxxxxx xxxxx xxxxxxxxx, xxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx hrozeb x xxxxxxx známých zranitelností xxxxxxxx x xxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxx zabezpečení.

40. Xxxxxxxxxxxx sledování platební xxxxxxxxx pomáhá xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx, identifikovat xxxxxx a xxxxxxxxxx xx xxxxxxxxx xxxxxxxxxxx.

Xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx

41. Xxxxxxxx xxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxxxxxx a xxxxxxxxx bezpečnosti informací xxxxx xxxxxxx x xxxxxxxx xxx, xxx xxxxxxxxx xxxxxxx identifikaci xxxxxxxxxxxxx x IKT xxxxxxxxx x XXX xxxxxxxx, x xx xxxxxx diferenční analýzy xxxxxx standardům bezpečnosti xxxxxxxxx nebo xxxxx xxxxxxxx, přezkumy dodržování xxxxxxxx, audity xxxxxxxxxxxx xxxxxxx a kontroly xxxxxxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx zvažuje xxxxx xxxxxxxxx postupy, jako xxxx xxxxxxxx xxxxxxxxxx xxxx, hodnocení zranitelností, xxxxxxxxxx testy a xxxxxxx xxxxxxxxxx xxxxxx xxxxxx xx XXX xxxxxxx.

42. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx spolehlivost x xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx hrozby x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx rizik XXX x xxxxxxxxxxx.

43. Xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx zajišťuje, xx testy

a) provádějí xxxxxxxxx xxxxx odborně xxxxxxxxx, xxxxx xxxx xxxxxxxxxx zkušenosti x xxxxxxx testování opatření xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx xx xx xxxxxx xxxxxxxx xxx xxxxxxxxxx informací,

b) xxxxxxxx kontroly xxxxxxxxxxxxx x případně xxxxxxxxxx xxxxx, xxxxxx xxxxxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx, xx-xx to xxxxx a xxxxxx, xxxxxx xxxxxx rizika xxxxxxxxxxxx x xxxxxxxxxx xxxxxxx x systémů.

44. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx a opakované xxxxx xxxxxxxxxxxxxx opatření. Xxxxx x všech xxxxxxxxxx IKT xxxxxxx xxxxxxx xxxxxxx jednou xxxxx a xxxx xxxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxxxxxxx x poskytováním xxxxxx, x xxxx xxxxxxxx xxxxxxxxx informuje Českou xxxxxxx banku xxxxx §222 xxxx. 1 xxxxxx. Jiné než xxxxxxxx xxxxxxx platební xxxxxxxxx xxxxxxx pravidelně xx základě xxxxxxxx xxxxxxxxxx xx xxxxxx, xxxxxxx xxxx xxxxx xxx xxxx.

45. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxx x xxxxxxx xxxx xxxxxxxxxxxxxx, xxxxxxx xxxx xxxxxxx x x případě, xx dojde xx xxxxxx x důsledku xxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxx nebo x xxxxxxxx vydání xxxxxx nebo xxxxxxx xxxxxxxxx kritických aplikací xxxxx xxxxxxxxxx z xxxxxxxxx.

46. Platební instituce xxxxxxx a xxxxxxxxxxx xxxxxxxx bezpečnostních xxxxx x odpovídajícím způsobem xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx, v xxxxxxx xxxxxxxxxx XXX xxxxxxx xxx xxxxxxxxxx xxxxxxx.

47. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx opatření xxxxxxxx se

a) platebních xxxxxxxxx x zařízení xxxxxxxxxxx k xxxxxxxxxxx xxxxxxxxxx služeb,

b) xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx,

x) xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx za xxxxxx xxxxxxxxxxxx nebo xxxx formy získání xxxxxxxxxxx xxxx.

48. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxx bezpečnostních hrozeb x xxxxxxxxxxxxx xxxx xxxxxxx xxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx x známých xxxxxxxxxxxxx xxxxx.

Xxxxxxx příprava x xxxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxxxxxxx

49. Xxxxxxxx xxxxxxxxx xxxxxx program xxxxxxx přípravy xxxxxxxxxx xxxxxxxxxx programy xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx pro xxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx a xxxxxxx, xx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxx k plnění xxxxx úkolů x xxxxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx, xxxxxxx xxxxx je xxxxxxxxx lidské xxxxx, xxxxxxx, podvodná xxxxxxx, xxxxxxxx xxxx xxxxxx x xxxxx xxxxxx xxxxxxx x bezpečností xxxxxxxxx. Platební instituce xxxxxxx, xxx program xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxx.

Xxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx

50. Platební xxxxxxxxx xxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií xx základě xxxxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxx, které xxxxxxxxx vedoucí xxxxxxxxx. Xxxxx soubor dokumentů xxxxxxxx, xxx xxxxxxxx xxxxxxxxx provozuje, xxxxxxx x xxxxxxxxxx své XXX xxxxxxx x XXX xxxxxx, xxx xxxxxxxxxxx xxxxxxxx xxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxx aktuální xxxxxx softwaru a xxxxxxxx, xxxxx se xxxxxxx x obchodním xxxxxxxxx (xxxx xxx "XXX xxxxxxx").

51. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx. Xxxxxxxx instituce udržuje x xxxxx možno xxxxxxx účinnost xxxxxxx x oblasti informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx zvažování, jak xxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxx.

52. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx a xxxxxxxxx, xxxxx xxxxxxxx odhalit, xxxxxxxxxx x xxxxxxxxx xxxxx.

53. Platební instituce xxxxxxx aktuální xxxxxx XXX aktiv xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx. Soupis xxxxxx xxxxx uchovává jejich xxxxxxxxxxx x xxxxx x xxxxxxxx závislosti xxxx xxxx pro xxxxxxx proces xxxxxxxxxxx x xxxxxx xxxx.

54. Xxxxxx XXX xxxxx xx xxxxxxxxxx xxxxxxxx, xxx umožnil xxxxxxxxx xxxxxxxxxxxx takového xxxxxx, xxxx xxxxxxxx, bezpečnostní xxxxxxxxxxx x xxxxx, xxxxx ho má x xxxxxxxxxx. Platební xxxxxxxxx má xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxx XXX xxxxxx xxxxx xxxxxxxxxx reagovat xx xxxxxxxxxxxx a xxxxxxxx xxxxxxxxx, xxxxxx kybernetických xxxxx.

55. Xxxxxxxx instituce xxxxxxx x xxxx xxxxxxx xxxxx XXX xxxxx, xxx xxxxxxxxx, xx tato xxxxxx xxxxx x xxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxxxx týkající xx xxxxxxxx činnosti x xxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx IKT xxxxxx xxxx podporována xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx x zda xxxx xxxxxxx příslušné opravy x aktualizace xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx a omezuje xxxxxx xxxxxxxxxxx xx xxxxxxxxxxx nebo nepodporovaných XXX xxxxx.

56. Platební xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx plánování x sledování výkonnosti XXX xxxxxxx a xxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxxx x xxxxxxxxxxx x xxxxxx xxxxxxxx, xxxx je xxxxxxxxxx x xxxxxxxxx xx xx.

57. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx postupy xxxxxxxxxx x xxxxxx xxx x IKT systémů, xxx tato xxxx x xxxxxxx byla xxxxxxx x xxxxxxx xxxxxxx xxxxxxx. Rozsah x četnost xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxx xx obnovení xxxxxxxx x xxxxxxxxxxx xxx x XXX xxxxxxx x xxxxxxx xx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxx. Xxxxxxxx instituce xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxx xxx x XXX systémů.

58. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxx dat a XXX xxxxxxx byly xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxx tak, xxx nebyly vystaveny xxxxxxx rizikům.

Řízení xxxxxxxxx x xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx

59. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx x problémů xxx sledování x xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx incidentů x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxx xx xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxxx funkce x xxxxxxx x případě xxxxxxxx. Platební xxxxxxxxx xxxxxxx xxxxxxxxx kritéria x prahové hodnoty xx xxxxxxxxxxx události xxxx bezpečnostního xxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx včasné xxxxxxxx xxxxxxxxx. Platební xxxxxxxxx xxx xxx xxxxxxxxx klasifikaci xxxxxxxxxx xxxxxxxxx xxxxx Xxxxxxxx xxxxxx Xxxxxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxx významných xxxxxxxxx xxxxx směrnice (EU) 2015/2366 x xxxxxxxxxx xxxxxxxx na vnitřním xxxx (XXX2).

60. K xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx událostí x xxxxxxxx xxxxxx obnovy xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje vhodné xxxxxxx x má xxxxxx xxxxxxxxxxx uspořádání, xxxxx xxxxxxx jednotné x integrované sledování, xxxxxx x xxxxxxx xxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx x xxxxxxxxx, xxx xxxx xxxxxxxxxxxxxx a odstraněny xxxxxx xxxxxx xxxxxxx x xxxxxxxx výskytu xxxxxxxxxxx xxxxxxxxx. Postupy xxxxxx xxxxxxxxx x xxxxxxxx zahrnují

a) postupy xxx rozpoznávání, xxxxxx xxxxxxxxx, xxxxxxxxxxxxx, xxxxxxxxxxxx x klasifikaci xxxxxxxxx xxxxx xxxxxxxx na xxxxxxx xxxxxxxxxxx z xxxxxxxx obchodní činnosti,

b) xxxx x xxxxxxxxxx xxx xxxxx xxxxxxx x xxxxxxx xxxx, xxxxxx, xxxxxxxxxxxxxx xxxxx x xxxxxx incidentů,

c) xxxxxxx xxx xxxxxxxxxxxx, xxxxxxx a xxxxxx xxxxxx xxxxxxx xxxxxxx xxxx xxxx incidentů, xxxxxxx xxxxxxxx xxxxxxxxx

1. xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx incidenty s xxxxxxxxxxxxxx xxxxxx xx xx, xxxxx xxxx xxxxxxxxxxxxxx nebo xx xxxxxxxx uvnitř nebo xxx xxxxxxxx xxxxxxxxx,

2. xxxxxxxxxx xxxxxx zjištění x těchto xxxxxx x odpovídajícím xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx opatření,

d) xxxxxx xxxxx vnitřní xxxxxxxxxx včetně postupů xxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx vyšší xxxxxx xxxxxx, xxxxxxxxxx x xxxxxxxxx uživatelů xxxxxxxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxxxx, xxxxxxx xxxx xxxxxxx xxxxxxxxx, že

1. xxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxxxxx dopadem xx kritické XXX xxxxxxx a XXX xxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx s xxxxxxxxxx x oblasti xxxxxxxxxxxx a komunikačních xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxx,

2. x xxxxxxx xxxxxxxxx xxxxxxxxx jsou xxxxxxxxxxx xxxxxxx xxxxx x vedoucí xxxxxxxxx, x xx xxxxxxx x xxxxxx, xxxxxx x xxxxxxxxxxx kontrolách, xxxxx xxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxx,

x) postupy xxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxx x zajištění xxxxxxxx xxxxxxxx činnosti x xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxx vnější xxxxxxxxxx xxx xxxxxxxx obchodní xxxxxx a xxxxxxx, xxxxx platební instituci xxxxxx xxxxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxx xxxxxx na xxxxxxxx x xxxxxx xx xxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx a xxxxx třetím xxxxxxx.

Xxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx

61. Xxxxxxxx instituce xxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxx x xxxxxx xxxxxxxx, který xxxxxx xxxx, povinnosti x xxxxxxxxxx xxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx. Xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxx xxxxxx, xxxxxxx, likvidace xxxx zavádění XXX xxxxxxx x XXX xxxxxx. Xxxx projekty xxxxx xxx součástí xxxxxxx programů xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií xxxx obchodní xxxxxxxx.

62. Xxxxxxxx instituce náležitě xxxxxxx a xxxxxxx xxxxxx vyplývající x xxxxxx portfolia xxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x zohledňuje také xxxxxx, xxxxx xxxxx xxxxxxxx xx xxxxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxx x x xxxxx xxxx xxxxxxxx xx týchž xxxxxxxx xxxx xxxxxxxxx znalostech.

63. Xxxxxxxx xxxxxxxxx stanoví x uplatňuje xxxxxxxx xxxxxx projektů x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx alespoň

a) xxxx xxxxxxxx,

x) xxxx a xxxxxxxxxx x xxxxxxxx,

x) xxxxxxxxxxx xxxxx xxxxxxxx,

x) xxxx, xxxxxx xxxxx x xxxx projektu,

e) xxxxxx xxxxxxx xxxxxxxx,

x) xxxxxxxxx xxxxxxxx xx xxxxxx změn.

64. Xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx zajišťuje, xxx xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx a xxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxx xx funkci xxxxxx.

65. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx x xxxxxxxxxxx xxxx xxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx projektem x xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx. Projektový xxx musí xxx xxxxxxxx potřebné k xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxx x jeho xxxxxxxxx.

66. Xxxxxxx xxxxxxxxx xx xxxxxxxxxx o přípravě, xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x x xxxx souvisejících xxxxxxxx, x xx xxxxxxxxxx xxxx xxxxxxxx za xxxxxxx xxxxxxxx, podle xxxxxxx x xxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxxxxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxx. Platební xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx xx xxxxx systému xxxxxx xxxxx.

Xxxxxxxxxx x xxxxx XXX xxxxxxx

67. Xxxxxxxx instituce stanoví x xxxxxxxxx postup xxx xxxxxxxx, xxxxx x xxxxxx XXX xxxxxxx. Uplatňuje přitom xxxxxxxx orientovaný xxxxxxx.

68. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx před xxxxxxxxxx xxxxxxxxxx xxxxxxxx nebo xxxxxx IKT xxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx vymezily x xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx na xxxxxxxxxx xxxxxxxxx.

69. Platební xxxxxxxxx xxxxxxx a uplatňuje xxxxxxxx x xxxxxxx xxxxxx neúmyslné nebo xxxxxxx xxxxx IKT xxxxxxx během vývoje x xxxxxxxx x xxxxxxxxxx xxxxxxxxx.

70. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx postupy xxx xxxxxxxxx a schvalování XXX xxxxxxx před xxxxxx xxxxxx xxxxxxxx. Xxxx xxxxxxx zohledňují xxxxxxxxxx xxxxxxxxxx procesů x aktiv. Testování xxxxxxxxx, xxx xxxx XXX systémy xxxxxxxxx xxx, xxx xxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxxxxx testovací xxxxxxxxx, které xxxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxxxxx.

71. Xxxxxxxx xxxxxxxxx xxxxxxx XXX systémy, XXX služby x xxxxxxxx xxx xxxxxxxxxx xxxxxxxxx xxx, xxx xxxxxxxxxxxxxx možná xxxxx xxxxx, narušení x xxxxxxxxx x oblasti xxxxxxxxxxx.

72. Xxxxxxxx instituce xxxxxx xxxxxxxxxx prostředí xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxxxx xxxxxxxxxxxx oddělení funkcí x omezila xxxxx xxxxxxxxxxx xxxx na xxxxxxxxx systémy. Platební xxxxxxxxx zajistí xxxxxxxx xxxxxxxxxxx xxxxxxxxx od xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx. Xxxxxxxx instituce zajistí xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxx x xxxxxxxxxxxxx xxxxxxxxxxx. Přístup x xxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx na xxxxxxxxx xxxxxxxxx.

73. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxx xxxx XXX xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxxxx, xxxxxx x xxxxxxxxxxx XXX xxxxxxx, xxx xx snížila xxxxxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x dané xxxxxxx. Xxxxxxxxxxx XXX xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, dokumentaci xxxxxxxxxxx xxxxxxx x xxxxxxxx postupy.

74. Postupy xxxxxxxx xxxxxxxxx pro xxxxxxxx x xxxxx XXX xxxxxxx xxxxxxxx xxxx XXX xxxxxxx xxxxxxxx nebo řízené xxxxxxxxxx xxxxxxxx a xxxxxxxxx uživateli xxxx xxxxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx rizikově xxxxxxxxxxx přístup. Platební xxxxxxxxx xxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx obchodní xxxxxx xxxx xxxxxxx.

Xxxxxx změn x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií

75. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxx xxxxxx xxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxxxx, xx všechny xxxxx XXX systémů xxxx xxxxxxxxxxxxx, testovány, xxxxxxxxxx, schvalovány, prováděny x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx. Platební instituce xxxxxxxx změny xxxxx xxxxxxxxxxx událostí, xxxxxxxx xxx zbytečného odkladu, xxxxx postupů, které xxxxxxx dostatečnou xxxxxxxxxxxx.

76. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, zda xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx xxxx vyžadují xxxxxxx dalších xxxxxxxx x omezení xxxxx. Xxxx změny xxxx x xxxxxxx s xxxxxxxx, který platební xxxxxxxxx xxxxxxxxx a xxxxxxxxx xxx řízení xxxx.

Xxxxxx kontinuity xxxxxxxx

77. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx instituce (dále xxx "řízení xxxxxxxxxx xxxxxxxx"), xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx xxxxxx x xxxxxxx ztráty x xxxxxxx xxxxxxxxx narušení xxxxxxxxxxxxx xxxxxxxx.

78. X xxxxx řádného xxxxxx xxxxxxxxxx činnosti platební xxxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxx expozice xxxx xxxxxxxx narušením xxxxxxxx a xxxxxx xxxxxx xxxxxxx, xxxxxx xxxxxx x xxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx, a xx xxxxxxxxxxxxx x xxxxxxxxxxxx. Xxxxxxx vnitřních xxxxx, xxxxx externích poskytovatelů xxxxxxxxxx xxx xxxxxxxx xxxxxx, xxxxxxx xxxxxxxxxx xxxxx xxxx jiných xxxxxxxx xxxxx, xxxxx xxxxx xxx z xxxxxxxx xxxxxxx dopadu xx podnikatelskou činnost xxxxxxxxxx, x analýzu xxxxxxx. Platební instituce x analýze xxxxxx xx xxxxxxxxxxxxxx činnost xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx x xxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, třetích xxxxx x informačních aktiv x xxxxxx xxxxxxxx xxxxx.

79. Platební instituce xxxxxxx, aby xxxx XXX xxxxxxx x XXX xxxxxx xxxx xxxxxxxx a sladěny x xxxx analýzou xxxxxx xx xxxxxxxxxxxxxx xxxxxxx, xxxxxxx xxx-xx x xxxxxxxxxx určitých xxxxxxxxxx komponent, aby xx xxxxxxxx narušení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xx tyto xxxxxx xxxxx.

80. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxx xxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxxxxxxx x schváleny xxxxxxxx xxxxxxxxxxx. Xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxx mít xxxxxxxxxx xxxxx xx XXX systémy x XXX xxxxxx. Xxxxx xxxxxxxxxx xxxxxxxx podporují xxxx xxxxxxxx xx xxxxxxx x v xxxxxxx xxxxxxx obnovy xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx aktiv. Xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxx potřeby koordinuje xxxx xxxxxxx uvnitř xxxxxxxx xxxxxxxxx x xx zainteresovanými xxxxxxx xxxxxxxx.

81. Xxxxxxxx instituce xx plány xxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx, xx xxxx xxxx xxxxxxxxx reagovat na xxxxxxxx xxxxxxx xxxxxxx x že bude xxxxxxx obnovit xxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxxxxxx x xxxxx xxxxxxxxx xxxx, xxxxx xxx xxxx xxx po xxxxxxxxx xxxxxxx xxxxxx xxxx xxxxxx (xxxx xxx "xxxxxx doba xxxxxx") a x xxxxx maximální xxxxx, xxxxx xxx xx xxxxxxxxxx ztráta dat x xxxxxxx xxxxxxxxx (xxxx jen "xxxxxx xxx obnovy"). X xxxxxxx xxxxxxx narušení xxxxxxxx, xxxxx aktivuje xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxxxx instituce xxxxxxx přednost opatření xxx xxxxxxxxxx xxxxxxxx xx xxxxxxx rizikově xxxxxxxxxxxxx přístupu.

82. Platební xxxxxxxxx ve svém xxxxx xxxxxxxxxx xxxxxxxx xxxxxxx různé scénáře, xxxxxx xxxx pravděpodobných xxxxxxx vývoje, xxxxxxx xxxx být xxxxxxxxx, x xx xxxxxx xxxxxxx xxxxxxxxxxxxxx útoku. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxx. Xx xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx, xxx xx byla xxxxxxxxx xxxxxxxxxx XXX xxxxxxx a XXX xxxxxx, xxxxx x xxxxxxxxxx informací xxxxxxxx xxxxxxxxx.

83. Platební instituce xx základě xxxxxx xxxxxx xx podnikatelskou xxxxxxx a xxxxxxxxxxx xxxxxxx vypracuje xxxxx xxxxxx a obnovy xxxxxxxx xxxxxxxx xxxxxxxxx. Xxxx xxxxx xxxxxxxxxxx, xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxx xxxx xxx xxxxxxx x zajištění dostupnosti, xxxxxxxxxx x obnovy xxxxxxxxxxxx xxxxxxxxxx XXX xxxxxxx x XXX xxxxxx xxxxxxxxxxxxx platební xxxxxxxxx.

84. Xxxxx xxxxxx x xxxxxx zohledňují xxxxxxxxxx i xxxxxxxxxx xxxxxxxx xxxxxx. Xxxx xxxxx xxxx

x) xxxxxxxx xx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx funkcí, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx vazeb, xxx xxxx xxxxxxxx nepříznivým xxxxxxx na fungování xxxxxxxx xxxxxxxxx a xx xxxxxxxx systém, xxxxxx dopadů xx xxxxxxxx xxxxxxx x xx xxxxxxxxx platebních xxxxxx, x xxxxxxxxx xxxxxxxxx čekajících xxxxxxxxxx xxxxxxxxx,

x) xxxx xxxxxxxxxxxxxx x zpřístupněny obchodním x podpůrným xxxxxxx x jsou xxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx xxxxxxx,

x) xxxx xxxxxxxxxxxxx v xxxxxxx x poznatky xxxxxxxxx x xxxxxxxxx, testování, x xxxx identifikovanými xxxxxx či xxxxxxxx x xx změněnými xxxx a prioritami xxxxxx.

85. Xxxxx xxxxxx x obnovy xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x případech, xxx xxxxxx xxxxxx xxx x xxxxxxxxxxxx hlediska xxxxxxxxxxxx x xxxxxx xxxxxxx, xxxxx, xxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxx.

86. X rámci xxxxx xxxxxx a xxxxxx xxxxxxxx xxxxxxxxx xxxxx x potaz opatření xxx kontinuitu xxxxxxxx xx xxxxxxxx selhání xxxxxxxxx poskytovatelů, kteří xxxx xxxxxxx xxxxxx xxx xxxxxxxxxx XXX xxxxxx platební xxxxxxxxx, x xx xxxxxxxxx x xxxxxxx x Xxxxxxxx pokyny x xxxxxxxxxxxx vydanými Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxx.

87. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx pravidelně xxxxxxx. Xxxxxxx xxxxxxx, xxx xxxxx kontinuity xxxxxxxx jejích xxxxxxxxxx xxxxxxxxxx xxxxxx, podpůrných xxxxxxx, xxxxxxxxxxxx aktiv x jejich xxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxx, procesů x xxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxx strany, xxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx.

88. Xxxxxxxx xxxxxxxxx vyhodnocuje xxxxxxx xxxxxxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxxxxxxx o hrozbách x zkušeností xxxxxxxxx x xxxxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxx xxxx xxxxxx, xxxxxx změn xxxxxx xxxx obnovy x xxxxxxxx xxxx xxxxxx, nebo změny xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx a xxxxxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxxx jako xxxxx xx xxxxxxxxxxx plánů xxxxxxxxxx xxxxxxxx.

89. Xxxxxxxxxx xxxxx xxxxxxxxxx činnosti xxxxxxxx xxxxxxxxx xxxxxxx, xx xx schopna xxxxxxxx xxx xxxxxxxx xx doby xxxxxx xxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx

x) xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxxxx xxxxxxx, včetně scénářů xxxxxxxxxxx xxx xxxxx xxxxx xxxxxxxxxx činnosti, x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx; xxxxxxxx je xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, podpůrných procesů x xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxx xxxxxx po xxxxxxx x prokázání toho, xx xx xxx xxxxx provozovat xx xxxxxxxxxx xxxxxx xxxxxx x poté xxx xxxxxxx obvyklou xxxxxxx,

x) xxxxxxxx xxxxxxxxx tak, xxx prověřilo xxxxxxxxxxx, xx xxxxx jsou xxxxxxxx plány xxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxx xxxxxx a řízení x xxxxx xxxxxxx xxxxxxxxxx, x

x) xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx pracovníků a xxxxxxxxx xxxxxxxxxxxxx, IKT xxxxxxx x IKT xxxxxx xxxxxxxxxxxxx platební xxxxxxxxx xxxxxxxxx reagovat xx xxxxxxx podle xxxxxxx x).

90. Platební xxxxxxxxx zajistí, xx xxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx x testů xxxx xxxxxxxxxxx, xxxxxx x xxxxxxxx xxxxxxxxx pracovníkovi.

91. Xxx xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxx instituce xxxxxxx, xxx byla xxxxxxxxx x xxxxxxxxxxx účinná xxxxxxxxxxx opatření xxx xxxxxx xxxxx, xxx xxxx včas x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx příslušné xxxxx xxxxxx platební xxxxxxxxx, xxxxxxxxx xxxxxxxxxx xxxxxx x xxxx zainteresované xxxxx xxxxxx, včetně xxxxxxxxxxx vnitrostátních orgánů, xxxxx to xxxxxxxx xxxxxx předpisy, x xxxxxxxxx xxxxxxx poskytovatelé.

Řízení xxxxxx x uživateli xxxxxxxxxx služeb

92. Platební xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx služeb o xxxxxxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxx xxxxxxxx, x xx xxxxxxxxxxxxxxx xxxxxxxxxxxx služeb a xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx služeb.

93. Platební xxxxxxxxx xxxxxxx, xx xxxxxxxxxx služby x xxxxxxxxxxx nabízené uživatelům xxxxxxxxxx xxxxxx jsou xxxxxxxxxxxxx s ohledem xx xxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxx xxxx x xxxxx xxxxxxx informováni.

94. Xxxxxxxx-xx xx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx platebních xxxxxx xxxxxxxxxxx konkrétní xxxxxxxx xxxxxx, které xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.

95. Xxxxx xx xxxxxxxx instituce xxxxxxx x uživatelem xxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxx §163 xxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx tento stanovený xxxxxxxxx xxxxx xxxxxxx.

96. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx pokusech o xxxxxx příkazu k xxxxxxxx xxxxxxxxx a xxx xxx umožňuje xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx používání jejich xxxx.

97. Platební xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx x aktuálních xxxxxxx xxxxxxxxxxxxxx xxxxxxx, xxxxx xxxx xxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx uživateli xxxxxxxxxx xxxxxx.

98. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx x xxxxxxx jakéhokoli xxxxxx, xxxxxxx x podporu x oznámení anomálií xxxx xxxxxx xxxxxxxxxx xx bezpečnostních záležitostí, xxxxx xx xxxxxxxx xx platební xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx náležitě xxxxxxxxx o xxx, xxx mohou xxxx xxxxx získat.".

Xx. II

Účinnost

Tato xxxxxxxx xxxxxx účinnosti xxxx 1. xxxxxxxx 2022.
&xxxx;

Xxxxxxxx:

Xxx. Xxxxxx v. r.

Xxxxxxxxx

Xxxxxx předpis x. 2/2022 Xx. xxxxx xxxxxxxxx dnem 1.7.2022.

Znění xxxxxxxxxxxx xxxxxxxx norem xxxxxx právních xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační xxxxx shora xxxxxxxxx xxxxxxxx předpisu.