Právní předpis byl sestaven k datu 05.12.2025.
Zobrazené znění právního předpisu je účinné od 01.07.2022.
Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
2/2022 Sb.
Účinnost Čl. II
2
VYHLÁŠKA
ze xxx 22. xxxxxxxx 2021,
xxxxxx xx xxxx vyhláška x. 7/2018 Sb., x xxxxxxxxx podmínkách výkonu xxxxxxxx platební xxxxxxxxx, xxxxxxx xxxxxxxxx o xxxxxxxxx účtu, xxxxxxxxxxxxx xxxxxxxxxx služeb malého xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxx malého xxxxxxx
&xxxx;
Xxxxx xxxxxxx xxxxx xxxxxxx podle §263 xxxxxx x. 370/2017 Xx., x xxxxxxxxx xxxxx, x xxxxxxxxx §16 xxxx. 5, §17 xxxx. 3, §20 xxxx. 4, §46 xxxx. 2, §48 xxxx. 4, §59 odst. 4, §65x odst. 2, §74 xxxx. 6, §75 xxxx. 3, §78 xxxx. 4 x §100 odst. 4 tohoto xxxxxx:
Xx. X
Xxxxxxxx č. 7/2018 Sb., x xxxxxxxxx podmínkách xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x platebním xxxx, xxxxxxxxxxxxx platebních xxxxxx xxxxxx xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx peněz x xxxxxxxxxx elektronických peněz xxxxxx xxxxxxx, se xxxx xxxxx:
1. §1 xxxxxx xxxxxxx x xxxxxxxx pod xxxxx x. 1 zní:
"§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx Xxxxxxxx xxxx1) x upravuje
a) xxxxxx plnění xxxxxxxxx xxxxxxxxx xx xxxxxx x kontrolní systém xxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxx účtu,
b) xxxxxx xxxxxx xxxxxxxxx na xxxxxx xxxxxx bezpečnostních x xxxxxxxxxx rizik x xxxxxx vyřizování xxxxxxxxx x xxxxxxxxx x poskytovatele xxxxxxxxxx xxxxxx xxxxxx rozsahu x xxxxxxxxxx elektronických xxxxx xxxxxx rozsahu,
c) xxxxxxxx pro xxxxxxx xxxx kapitálu a xxxxxxxxxx xxxxxxxxxxxx platební xxxxxxxxx a instituce xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xx xxxxx xxx xxxxxxx kapitálové přiměřenosti xxxxxxxxxx,
x) xxxxxxxxx limit xxxxxxxxxx xxxxxx z xxxxxxxxx a xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx instituci, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x správce xxxxxxxxx x platebním xxxx.
1) Xx. 4 xxx 46, xx. 8 xxxx. 2, xx. 9, xx. 9 xxxx. 1 /xxxx/ x čl. 9 xxxx. 2 směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2015/2366 xx xxx 25. xxxxxxxxx 2015 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx trhu, kterou xx xxxx xxxxxxxx 2002/65/XX, 2009/110/XX x 2013/36/XX x xxxxxxxx (XX) x. 1093/2010 x xxxxxxx xxxxxxxx 2007/64/XX.
Xx. 5 odst. 2, čl. 5 xxxx. 3, xx. 5 odst. 4 x xx. 5 xxxx. 6 xxxxxxxx Xxxxxxxxxx parlamentu a Xxxx 2009/110/ES xx xxx 16. xxxx 2009 o xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx, x xxxxx výkonu x x obezřetnostním xxxxxxx xxx xxxxx činností, x změně směrnic 2005/60/XX a 2006/48/XX x x xxxxxxx xxxxxxxx 2000/46/XX.".
2. Xxxx xxxxx xxxxxx xxxxxxx xxx:
"XXXX XXXXX
XXXXXX XXXXXX XXXXXXXXX POŽADAVKŮ
HLAVA I
ZPŮSOB XXXXXX NĚKTERÝCH XXXXXXXXX XX ŘÍDICÍ X XXXXXXXXX XXXXXX XXXXXXXX XXXXXXXXX
(X §20 xxxx. 4 xxxxxx)
§2
Xxxxxxx xxxxxxxx
(1) Xxxxxxxx instituce xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx a kontrolní xxxxxx a xxxxxxx x xxxxxx xxxxxxxxxx xx xxxxx vnitřních xxxxxxxx, xxxxxxx se xxxxxx strategie, xxxxxxxxxxx xxx, plány x xxxxx vnitřně stanovené xxxxxx x xxxxxxx xxxxxxxx instituce.
(2) Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx postup xxx xxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx a xxxxxxx, aby xxxxxxx xxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx a xxxxxxxx xxxxxxxxxx.
(3) Xxxxxxxx instituce xxxxxxx, xxx xxxxxxx xxxxxxxx xxxx x xxxxxxx s xxxxx xxxxxxxxx x xxxxxxx x udělení xxxxxxxx x činnosti xxxxxxxx xxxxxxxxx xxxx xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxx bylo xxxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx podle §11 xxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxxx předpisech xxxxxx xxxxxx x xxxxxxxxxx xxxxxx Xxxxxxxxx orgánem xxx xxxxxxxxxxxx, Xxxxxxxxx xxxxxxx xxx xxxxx xxxxxx a xxxx, Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxx Xxxxxxxxx výborem xxxxxxxxxx xxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxxxx platebních xxxxxx.
(5) Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxx předpisy x xxxxxx případnými xxxxxxx x xxxxxxxxx xxxxxxx seznámeni x xxxxxxxxxxx x xxxxxxx x xxxx.
§3
Xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx
Xxxxxxxx instituce xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxx x xxxxx činnosti xxxxxxxx xxxxxxxxx a xxx xxxxxxx xxxxxxxxxx schvalovací x rozhodovací xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxx x pravomocí v xxxxx činnosti xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxx bylo xxxxx xxxxxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxxxxx xxxxxx xxxx své xxxxxxxxxx a komunikační xxxxxxx.
§4
Xxxxxx xxxxxx bezpečnostních x provozních xxxxx
(1) Xxxxxxxx instituce xxxxxx x xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxxxxxxxxxxx x platebními xxxxxxxx, které poskytuje, xxxxxxxx xxx xxxxxxxx xxxxxx xxxxx x xxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxx xxxxxx postupy xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx, a xx i xxx xxxxxxxxxx x klasifikaci xxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxxxxx x provozních rizik xxxx xxxx také xxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxx zahrnují xxxxxxx
x) xxxxxx ztráty x xxxxxxxx xxxxxxxx xxxxxxxxxx xxx, xxxxxxxxx systémů x xxx nebo xxxxxxxxxxx systémů a xxx xxxx x xxxxxxxx neschopnosti xxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxx x x xxxxxxxxxxx xxxxxxx, xxxxx xx xxxx xxxxxxxxx xxxx xxxxxxxx,
x) bezpečnostní xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxx xxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx.
(3) Xxxxxxxxxxx x řízení rizik x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, kterým xxxxxxxx instituce je xxxx by xxxxx xxx xxxxxxxxx x xxxxxxxxxxx x xx xxxxxxxxxxxxx xxxxxxxxxx službami, xxxx xxxxxxx v xxxxxxx x xxxx xxxxxxxx.
(4) Xxxxxxxx instituce xxxxxxxxx politiku bezpečnosti xxxxxxxxx, která xxxxxxxx xxxxxx x xxxxxxxx xx xxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxx x informací xxxxxxxx instituce x xxxxxxxxx xxxxxxxxxx xxxxxx. Xxxxxxxx instituce xxxxxx xx xxxxx vnitřních xxxxxxxxxx xxxxxxxxxxxx opatření x xxxxxxx x xxxxxxxxxxxx x řízení xxxxx xxxxx xxxxxxx x xxxx xxxxxxxx.
§5
Xxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx
(1) Platební xxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx platebních xxxxxx, které
a) xxxx xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxx činnost xxxxxxxx xxxxxxxxx v xxxxxxx poskytování xxxxxxxxxx xxxxxx, přičemž xxxx xxxxx také xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx,
x) xxxx stanoveny xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxx xxxxx prošetřování x xxxxxxxxx xxxxxxxxxxxx x zmírňování xxxxxxx xxxxxx xxxxx xxx xxxxxxxxx x xxxx.
(2) Xxxxxxxx xxxxxxxxx interně xxxxxxx x souladu xx stanovenými lhůtami xxxxxxxxx a reklamace x xxxxxxxxx x xxxx, a to xxxxxxxx xxxxxxxxxx xxxxxxxxx xx bezpečnost xxxxxxxxx.
(3) Xxxxxxxx instituce xxxxxxx xxxxxx xxx vyřizování xxxxxxxxx a xxxxxxxxx xxx, že jí xxxxxxxx poskytovat bez xxxxxxxxxx xxxxxxx Xxxxx xxxxxxx xxxxx na xxxxxxxx xxxxxxxxx o xxxxxxxxxxx x xxxxxxxxxxx x x xxxxxxxxx x xxxx včetně xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
(4) Platební xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxx s xxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxx případných xxxxxxxxxxx xxxxxxxxxx a xxxxxxx rizik, xxxxxxx
x) xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx x xxxxxxxxxxxx xxxxxx xxxxxxx jednotlivých xxxxx xxxxxxxxx a xxxxxxxxx,
x) xxxxxxxx, zda xxxxxxxxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx x xxxx xxxxxxx, xxxxxx nebo xxxxxxxx, včetně xxxx, xxxxxxx xx stížnost xxxx xxxxxxxxx xxxxx xxxxxx,
x) x xxxxxxx xxxxxxxxxxx nedostatků xxxx xxxxxxx xxxxxxxxxx identifikovaných xxxxxx xxxxxxxxx a xxxxxxxxx.
(5) Xxxxxxxx instituce
a) xxxxxxxx uživateli platebních xxxxxx xx xxxxxxxx x xxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxx postupu xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, a xx x xxxxxx xxxxxx xxxx v xxxxx xxxxxx, xxxxx se xx xxx x xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx a xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx c) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxx jiným xxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxx ve xxxxx xxxxxxxxxx xxxxxxxxxx, x xx-xx xxxxxxx xxxxxxxxxxx xxxxxxx, také xx nich, x xx xxxxxxx x xxxxxx xxxxxx,
x) poskytuje xxxxxxxxxxxx, přesné x xxxxxxxx xxxxxxxxx o xxxxxxx xxxxxxxxxx stížností x xxxxxxxxx, xxxxx xxxxxxxx
1. xxxxxxxx xxxxx x tom, xxx xxxxxxxx xxxx xxxxxxxxx xxxxx, xxxxxxx xxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxx, x kontaktní xxxxx osoby xxxx xxxxxx platební xxxxxxxxx, xxxxxx xx xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx,
2. informace o xxxxx, xx xxxxx xxxx xxxxxxxx platebních xxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx, a x xxxxxxxxxx lhůtě xxxxxxxxxx stížnosti nebo xxxxxxxxx,
3. xxxxxxxxx xxxxxxxx xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx xxxx reklamace,
4. xxxxxxxxx o xxxxxxxxxxx xxxxxxx Xxxxx xxxxxxx xxxxx, Kanceláře xxxxxxxxxx xxxxxxx x Xxxxxxxxx xxxxxxxxx ochránce xxxx.
(6) Xxxxxxxx instituce
a) xxxxxx xxxxx, které xxx xx xx rozumně xxxxxxxxx, xxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxx důkazy x xxxxxxxxx xxxxxxxx xx xxxx xxxxxxxxx xxxx xxxxxxxxx,
x) komunikuje s xxxxxxxxxx platebních xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx,
x) poskytuje xxxxxxxx xxx zbytečného odkladu x xxxxxxxxxx xx xxxxxxx xxxxx §258 xxxxxx; nemůže-li xxxx xxxxx xxxxxxx, informuje xxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxx x xxxxxxx, kdy xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx, x xxx xxxxxxxx vysvětlí xxxxxx xxxxxxxxx nebo reklamace x xxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxxxx xxxx reklamaci xxxxx x xxxxxxx xx xx Xxxxxxxx xxxxxxxxxx xxxxxxx, Xxxxxx xxxxxxx xxxxx x xx věcech xxxxx xx rovné zacházení x xxxxxxx před xxxxxxxxxxxx na Xxxxxxxx xxxxxxxxx xxxxxxxx xxxx, xxxxxxx součástí xxxx xxxxxxxxx xxxxx xxxxxx xxxxxx, xxxx xx xxxx.
XXXXX II
ZPŮSOB PLNĚNÍ XXXXXXXXX POŽADAVKŮ XX XXXXXX A KONTROLNÍ XXXXXX INSTITUCE ELEKTRONICKÝCH XXXXX
(X §78 xxxx. 4 xxxxxx)
§6
&xxxx;Xxx instituci xxxxxxxxxxxxxx xxxxx se xxxxxxx §2 xx 5 xxxxxxx.
XXXXX XXX
XXXXXX XXXXXX NĚKTERÝCH POŽADAVKŮ XX XXXXXX A XXXXXXXXX XXXXXX XXXXXXX XXXXXXXXX X XXXXXXXXX XXXX
(X §48 xxxx. 4 xxxxxx)
§7
(1) Xxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx xx xxxxxxx §2 a 3 xxxxxxx.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx rizik xxxxxxxxx xxxxxxx informací x platebním xxxx xxxxxxx podle §4.
(3) Xxx naplňování xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx účtu obdobně xxxxx §5.
HLAVA XX
XXXXXX XXXXXX POŽADAVKŮ XX XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX XXXXX X XXXXXX XXXXXXXXXX XXXXXXXXX X REKLAMACÍ X POSKYTOVATELE XXXXXXXXXX XXXXXX XXXXXX ROZSAHU
(K §59 xxxx. 4 xxxxxx)
§8
(1) Xxxxxxxxxxxx platebních xxxxxx xxxxxx rozsahu xxxxxxxx xxxxxxxxx stanovené xx systém xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx x systém xxxxxxxxxx stížností x xxxxxxxxx xx svých xxxxxxxxx xxxxxxxx x xxx naplňování požadavků xx xxxx vnitřní xxxxxxxx postupuje xxxxxxx xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x systému xxxxxxxxxx stížností x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx podle §3.
(3) Xxx xxxxxxxxxx xxxxxxxxx na systém xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxxxxxx x poskytováním xxxxxxxxxx xxxxxx postupuje xxxxxxxxxxxx xxxxxxxxxx služeb xxxxxx xxxxxxx xxxxxxx xxxxx §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx postupuje xxxxxxxxxxxx xxxxxxxxxx xxxxxx malého xxxxxxx obdobně podle §5.
XXXXX X
XXXXXX PLNĚNÍ XXXXXXXXX XX XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX RIZIK A XXXXXX VYŘIZOVÁNÍ STÍŽNOSTÍ X REKLAMACÍ X XXXXXXXXXX XXXXXXXXXXXXXX XXXXX XXXXXX ROZSAHU
(K §100 xxxx. 4 xxxxxx)
§9
(1) Xxxxxxxxx elektronických xxxxx xxxxxx xxxxxxx promítne xxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnostních x xxxxxxxxxx rizik x xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxxxx vnitřních xxxxxxxx a pro xxxxxxxxxx xxxxxxxxx xx xxxx vnitřní xxxxxxxx xxxxxxxxx xxxxxxx xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx týkající se xxxxxxx řízení xxxxxxxxxxxxxx x provozních xxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxxx podle §3.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxxxxx a provozních xxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxxx podle §4.
(4) Xxx naplňování xxxxxxxxx na systém xxxxxxxxxx stížností x xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx obdobně xxxxx §5.".
Xxxxxxxx pod xxxxx x. 2 až 4 se xxxxxxx.
3. X §27 odstavec 4 zní:
"(4) Xxxxxxxx xxxxxxxxx, xxxxx vykonává x xxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx, x xxxxxxx xxxxxx xx oprávněna xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx, (xxxx xxx "xxxxxxxx xxxxxxxx xxxxxxxxx") xxxxx xx xxxxxxxx určeného xxxxx xxxxxxxx 1 zahrnout xx položky xxxx xxxxxx xxxxx, které xxxx xxxxxxx xxx xxxxx xxxxxx xxxxxxxx, xxx xxxx xxxxxxxx, x xxxxxxx xxxxxx xx xxxxxxxxx xx xxxxxxx xxxxxxxx uděleného xxxxx zákona.".
4. V §34 xx vkládá xxxx odstavec 1, xxxxx zní:
"(1) Xxxxxxx xx xxxxxxxx xxxxxxx xxxx xxxxxxx xxxxx xx. 4 odst. 1 xxxx 118 xxxxxxxx.".
Xxxxxxxxx xxxxxxxx 1 xx 5 xx xxxxxxxx xxxx odstavce 2 až 6.
5. X §34 xxxxxxxx 4 zní:
"(4) Xxxxxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxxxxxx x jiné xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx, x xxxxxxx xxxxxx je oprávněna xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx, xxxxx xx kapitálu xxxxxxxx xxxxx xxxxxxxx 1 zahrnout ty xxxxxxx nebo xxxxxx xxxxx, které jsou xxxxxxx xxx xxxxx xxxxxx xxxxxxxx, xxx xxxx činnosti, x xxxxxxx xxxxxx xx xxxxxxxxx xx základě xxxxxxxx xxxxxxxxx xxxxx xxxxxx.".
&xxxx;6. Doplňuje xx xxxxxxx, xxxxx zní:
"Příloha x vyhlášce č. 7/2018 Xx.
Xxxxxxxxxxx x xxxxxx xxxxx v xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxx
Xxxxxxxxxxx
1. Xxxxxxxx xxxxxxxxx xxxxxxxx požadavky na xxxxxx rizik x xxxxxxx informačních x xxxxxxxxxxxxx technologií a xxxxxxxxxxx (dále xxx "xxxxxx XXX a xxxxxxxxxxx") způsobem, xxxxx xx xxxxxxxxx velikosti xxxxxxxx instituce, xxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxx, xxxxxxx, xxxxxxxxxx x rizikovosti xxxxxx x produktů, které xxxxxxxx instituce poskytuje xxxx zamýšlí poskytovat.
Strategické x xxxxxxxxxx řízení, xxxxxxxxxxx uspořádání
2. Xxxxx, xxxxx skutečně xxxx xxxxxxx xxxxxxxx instituce x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx (xxxx xxx "vedoucí pracovník") xxxxxxx, xxx platební xxxxxxxxx měla zaveden xxxxxxxxx xxxxx xxxxxxx xxxxxx a xxxxxx x vnitřní xxxxxxxx xxx xxxxxx IKT x xxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxx x xxxxxxxxxx xxx funkce x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, řízení xxxxx XXX x xxxxxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, x xx x pro sebe.
3. Xxxxxxx xxxxxxxxx xxxxxxx, xxx počet xxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxx způsobilost x zkušenosti xxxx xxxxxxxxx pro průběžnou xxxxxxx provozu xxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx rizik XXX x xxxxxxxxxxx x xxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx x oblasti informačních x xxxxxxxxxxxxx technologií x xxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxxx instituce xxxxxxx, xxx xxxxxxx xxxxxxxxxx xxxxxxx jednou xxxxx xxxxxxxxxxx xxxxxx školení xxxxxxx xxxxxxxx xx xxxxxxxxx xx rizika XXX x xxxxxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx (xxx 49).
4. X xxxxxxxxxx vedoucího xxxxxxxxxx xx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx platební xxxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, dohled xxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxx xxxxxx rizik XXX x xxxxxxxxxxx.
5. Xxxxxxxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx je x xxxxxxx s celkovou xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxx
x) xxx xx xx xxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx instituce xxxxxxxx, xxx xxxxxx xxxxxxxxxxx xxxxxxxx strategii xxxxxxxx xxxxxxxxx, včetně xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxx, změn x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "XXX systémy") x xxxxxxxxx vztahů xxxxxxxxxx na xxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx x vývoj xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, včetně xxxxxx xxxxxxxxxx xx třetích xxxxxxxx,
x) srozumitelné xxxx x xxxxxxx bezpečnosti xxxxxxxxx xx xxxxxxxxx xx IKT xxxxxxx x služby, xxxxxxxxxx x xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.
6. Platební xxxxxxxxx xxxxxxx soubory xxxxxxx xxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxx x naplnění strategie x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx. X těmito xxxxx xxxx xxxxxxxxx všichni xxxxxxxxx xxxxxxxxxx x xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxxxxx poskytovatelů služeb xxxx činností, kterými xx rozumí xxxxxxxxxxxxx xxxxxxxxxxxx, poskytovatelé x xxxxx skupiny, jejímž xx xxxxxxxx xxxxxxxxx xxxxxx, xxxx xxxx xxxxxxx xxxxxxxxxxxxx (dále xxx "externí xxxxxxxxxxxxx"), xxxxx xxxx xxx xx xxxxxxxxxx x xxxxxxxx. Xxxxxxxx instituce xxxxx xxxxx pravidelně xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx. Xxxxxxxx xxxxxxxxx zavede xxxxxxx xx xxxxxxxxx x xxxxxxxxxxxxx účinnosti xxxxxxxxx xxxx strategie x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx.
7. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx xx zmírnění xxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxx xxxxx xxxx xxxxxx x x xxxxxxx, xx xxxxxxxx xxxxxxxx xxxxxx poskytování xxxxxxxxxx xxxxxx xxxx IKT xxxxxxx xx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "XXX xxxxxx") xxxx zajišťovány xxxxxxx.
8. Xxx xxxxxxx xxxxxxxxx IKT xxxxxxx x IKT služeb xxxxxxxx instituce zajistí, xx xxxxxxx x xxxxxxx xxxxxxxx o xxxxxx xxxxxx xx xxxxx externími xxxxxxxxxxxxx xxxxxxxx
x) xxxx x xxxxxxxx související x xxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx x xxxxxxxx; v xxx xxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx životního xxxxx xxx platební xxxxxxxxx, xxxxxxx xxxxxxxxx týkající xx xxxxxxxxx xxx, xxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx,
x) provozní postupy x postupy xxx xxxxxx xxxxxxxxxxxxx událostí xxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx xx xxxx xxxxxxxxxxxxx bude xxx xxxxxxxxxx xxxxx xx integritu, dostupnost, xxxxxxxxx xxxx autenticitu xxxxxx (xxxx jen "xxxxxxxxxxxx x xxxxxxxx xxxxxxxx"), včetně předávání xx xxxxx xxxxxx xxxxxx x podávání xxxxx.
9. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx xx, xx xxxxxxx xxxxxxxxxxxxx zajišťují xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx cílů, xxxxxxxx x provozních xxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxx.
Xxxxxx xxxxxx rizik IKT x xxxxxxxxxxx
10. Xxxxxxxx xxxxxxxxx xxxxxxxxxx x xxxx xxxxxx IKT x bezpečnosti, xxxxxx xx xxxx xx xxxxx být xxxxxxxxx x xxxxxxxxxxx x xx poskytovanými xxxxxxxxxx xxxxxxxx. Xxxxxxxxx při xxx xxxxxxx a xxxxxxxx, xxxxx zajišťují, xx xxxxxxx xxxx xxxxxx budou xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxx, xxxxxxxxx, xxxxxxxxxx a xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx ochoty xxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx, x realizované xxxxxxxx x systémy a xxxxxxxxx činnosti xxxx x souladu x xxxxxxx vnitřně xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxxxxxxx x nápravě xxxxxxxxx Xxxxxx xxxxxxx xxxxxx.
11. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx za xxxxxx xxxxx IKT x bezpečnosti x xx xxxxxx xxx xxxxxx riziky xxxxxxxxx xxxxxx. Platební instituce xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxx kontrolní xxxxxx xxx, xx xx vhodným xxxxxxxx xxxxxx od provozní xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Tato xxxxxxxxx xxxxxx xx xxxxx xxxxxxxxx vedoucímu xxxxxxxxxxxx x x její xxxxxxxxxx xx xxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx. Zajišťuje xxxxxx, xxx xxxxxx XXX a bezpečnosti xxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxx, xxxxxxxxx x xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxx xxxxxx neměla x xxxxxxxxxx žádný xxxxxxx xxxxx.
12. X xxxxxxxxx účinného systému xxxxxx xxxxx XXX x xxxxxxxxxxx platební xxxxxxxxx xxxxxx klíčové xxxx x xxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx vztahy x x xxxx xxxxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxx xxxxx XXX x xxxxxxxxxxx xx xxxx integrováno xx xxxxxxx řízení xxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x xx x xxxxxxx x jednotlivými xxxxxxx xxxxxxx řízení xxxxx.
13. Systém xxxxxx xxxxx XXX x xxxxxxxxxxx xxxxxxxx xxxxxxx xxx
x) xxxxxx xxxx xxxxxx xxxxxxxx instituce xxxxxxxxxxx x těmto xxxxxxx x xxxxxxx x xxxxx xxxxxx xxxxxxxx instituce xxxxxxxxxxx x rizikům,
b) rozpoznávání x xxxxxxxxxxxxx těchto xxxxx, xxxxxx je xxxxxxxx xxxxxxxxx vystavena,
c) xxxxxxxxx opatření xxxxxxxxx x omezení výskytu xxxx dopadu výskytu xxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxx platebního xxxxx, včetně incidentů xxxxx §221 xxxxxx, xxxxx xxxx xxxxx xx činnosti související x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxx, x x xxxxxxx xxxxxxx xxxxxxxxx opatření,
e) xxxxxxxxxx xxxxxx rizik x xxxxxxxx xxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxx a xxxxxxxxxxxxx xxxxxx xxxxx vyplývajících x xxxxxxxx xxxxxxxx xxxxx x XXX xxxxxxxxx a XXX xxxxxxxx, xxxxxxxxx či xxxxxxxxx nebo x xxxxxxxxxx na jakýkoli xxxxxxxx bezpečnostní a xxxxxxxx xxxxxxxx.
14. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx xxx xxxxx xxxxxxxxxxxxx x soustavně zdokonalován xx xxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxx x přezkoumává xxxxxxxxx xxxxxxx xxxxxx xxxxx IKT x xxxxxxxxxxx.
15. Platební xxxxxxxxx xxxxxxxxxxxx a xxxxxx xxxxxxxx xxxxxx, xxxx x xxxxxxxx xxxxxxx x hlediska xxxxxx xxxxxxx x vzájemných xxxxx x xxxxxxxxxxx x riziky XXX x xxxxxxxxxxx.
16. Platební xxxxxxxxx také identifikuje xxxxxxxxxxx xxxxxxxxx, xxxxx xx třeba xxxxxxx (xxxx xxx "informační xxxxxxx"), xxxxxxxxxxx obchodní xxxxxx a podpůrné xxxxxxx a xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xx xxxxxxx řídit xxxx informační xxxxxx, xxxxx xxxxxxxxx její xxxxxxxx xxxxxxxx funkce x xxxxxxx.
17. Xxxxxxxx xxxxxxxxx klasifikuje xxxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx podle xxxx 15 x 16 x hlediska xxxxxx xxxxxxxxxxx.
18. Xx účelem xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx zvažuje xxxxxxx xxxxxxxxx xxxxxxxx se xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx. Xxxxxxxx instituce xxxxxxxxxxxx xxxxxx povinnosti x odpovědnosti týkající xx informačních xxxxx.
19. Xxxxxxxx instituce xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx informačních xxxxx x příslušné xxxxxxxxxxx vždy, když xxxxxxx vyhodnocení xxxxx.
20. Xxxxxxxx instituce xxxxxxxxxx xxxxxx XXX a xxxxxxxxxxx, která mají xxxxx xx identifikované x xxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx aktiva, x to xxxxx xxxxxx kritičnosti. Xxxx xxxxxxxxxxxxx xxxxx xxxxxxx, xxxxxx zdokumentování, xxxxxxx xxxxxx ročně x xxxx xxx xxxxx xxxxxxx změnách infrastruktury, xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx. Xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx platné xxxxxxxxxxx xxxxx.
21. Platební xxxxxxxxx xxxxxxxx xxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x informační aktiva x pravidelně xxxxxxxxxxx xxxxxxx rizik, které xx ně xxxx xxxxx.
22. Xx xxxxxxx xxxxxxxxxxx xxxxx platební xxxxxxxxx xxxx opatření xxxxxxx k xxxxxxx xxxxxxxxxxxx xxxxx XXX x bezpečnosti xx xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxx instituce xxxxxxxxxxx x xxxxxxx. Xxxxxxxx instituce xxxx xxxx, xxx xxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx procesů, kontrolních xxxxxxxx, XXX xxxxxxx x IKT služeb. Xxxxxxxx xxxxxxxxx zváží xxx xxxxxxxx x xxxxxxxxx těchto změn x čas xx xxxxxxx příslušných xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxx XXX x bezpečnosti x xxxx ochoty xxxxxxxx xxxxxxxxx x xxxxx xxxxxxx přistupovat.
23. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx rizik XXX x xxxxxxxxxxx x x xxxxxxx xxxxxxxxxxxx xxxxx v xxxxxxx x jejich xxxxxxxxxxx.
24. Xxxxxxxx xxxxxxxxx xxxxxxx, xx výsledky xxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxx x xxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
Xxxxxxx xxxxx x oblasti xxxxx XXX x bezpečnosti
25. Xxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx orientovaný xxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx všech xxxxxxxx xxxxxxxx instituce xxxxxxxxxxxxx s informačními x xxxxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x x xxxxxxxxx xxxxxxxxx, xxxxxxxxxxx, xxx tyto xxxxxx x xxxxxxx xxxx v xxxxxxxxx xxxxxxxx dodržovány, a xxxxxxxxx o xxx xxxxxxxxxx xxxxxxxxx ujištění. Xxxxxx xxxxxxxxx xxxxxx, xxxxxx xxxxxxxx instituce xxxxxxxxx xxxxxxx xxxx xxxxxxx, pravidelně xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx x účinnosti xxxxxxx řízení xxxxx XXX a xxxxxxxxxxx. Xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxx, xxxx xxxxxxx xxxxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxx IKT x xxxxxxxxxxx, xxxxxx a xxxx v rámci xxxxxxxx xxxxxxxxx nebo xx dotčené platební xxxxxxxxx nezávislí. Xxxxxxx x xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx těchto xxxxx.
26. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxx xxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxx. Xxxx xxxxxx x jeho xxxxxxxxx, xxxxxx četnosti xxxxxx, xxxxxx xxxxxxxxxx xxxxxx IKT a xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xx xxxxxx xxxxx xxxxxxx a je xxxxxxxxxx aktualizován.
27. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx x xxxxxxx kritických xxxxxxxx auditů x xxxxxxx informačních x xxxxxxxxxxxxx technologií.
Bezpečnost xxxxxxxxx
Xxxxxxxx xxxxxxxxxxx xxxxxxxxx
28. Platební xxxxxxxxx zajistí, xx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xx x souladu x cíli xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx a xx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxxx xxxxx. Xxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx.
29. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx hlavních xxxx x povinností x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx pracovníky a xxxxxxx xxxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx v xxxxxxxxxxx x bezpečností xxxxxxxxx. Všichni pracovníci x externí poskytovatelé xxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx instituce, odpovídající xxxxxxxxx xxxx xxxxxxxxxxx, xxxxxx jim xxxxxxxx x oprávněním, jimiž xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx důvěrnost, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxx, xxxxxx x citlivých údajů xxxxxxxx xxxxxxxxx xxx xxx xxxxxxx, xxx xxx xxxxxxx a xxxxxxxxx. S xxxxxxxxx xxxxxxxxxxx xxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxxxxx x externí xxxxxxxxxxxxx.
30. Xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxxx platební xxxxxxxxx přijme xxxxxxxxxxxx xxxxxxxx x omezování xxxxx XXX x xxxxxxxxxxx, jimž xx xxxx by mohla xxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx oblasti:
a) xxxxxxx správu x xxxxxx x xxxxxxx x požadavky xxxxx xxxx 10, 11 x 25,
x) xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx bezpečnost,
d) xxxxxxxxxx provozu x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx,
x) bezpečnostní xxxxxxxxx,
x) xxxxxxxx, xxxxxxxxx x testování xxxxxxxxxxx xxxxxxxxx,
x) odbornou xxxxxxxx x xxxxxxxxxxxxx x xxxxxxx bezpečnosti informací.
Logická xxxxxxxxxx
31. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx a xxxxxxxxx xxxxxxx pro xxxxxxxx xxxxxxxxx přístupu, xxxxxxxx xxxx x xxxxxxxx xx xxxxxx xxxxxxxxx anomálií. Xxxxxxxx xxxxxxxxx sleduje xxxxxxxxxxx xxxxxx postupů a xxxxxxxxxx je přezkoumává. Xxxx postupy xxxx xxxxxxxx xxxxxxx na xxxxxx zásadách:
a) zásada xxxxxxxx pouze xxxxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxx oddělenosti xxxxxx; xxxxxxxx instituce xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx x xx xxxx xxxxxxxxx xxxxxxxx xxxxxxxx xxx, xxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx (xxxx xxx "xxxxxxxx") věděl xxx to, xx xx xxxxxxxx, x xx x x xxxxxxx xxxxxxxxxx přístupu; xxxxxxxxx xxxx xxx xxxxxx xxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxx x xxxxxx xxxxxx povinností, x xxxxx xxxxxxxx neoprávněnému xxxxxxxx x velkému xxxxxxx xxx nebo xxxxxxxx přidělení xxxxxxxxx xxxxxxxxxxxx práv, které xxx xxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxx; xxxxxxxx xxxxxxxxx x xx xxxxxxxx xxxx xxxxx xxxxxxxxx obecných x xxxxxxxxx uživatelských xxxx a u xxxx xxxxxxxxxxx v XXX xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zásada xxxxxxxxxxxxxxx xxxxxxxxxxxx oprávnění; xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxx xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxxx x xxxxxxx xxxx se zvýšenými xxxxx xxxxxxxx x xxxxxxx x nad xxxxxx účty xxxxxxxxx xxxxxxxx xxxxxx, vzdálený xxxxxxxxxxxxxxx přístup xx xxxxxxxxx IKT xxxxxxxx xxxxxxxxx xxx tak, xxx uživatel xxxxx xxx xx xx xxxxxxxx x jen xxxx xx xxxxxxx xxxxx ověřování identity xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx; platební xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxxx týkající xx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxx o xxxxxxxx xxx, xxx xx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx, x jejich xxxxxxx xx dobu xxxxxxxxxxxx xxxxxxxxxxx identifikovaných xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x informačních xxxxx; xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx používá k xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx poskytování xxxxxx,
x) xxxxxx xxxxxx xxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxxxx xxxxx jsou udělována, xxxxxxxxx xxxx upravována xxxx, x xx xxxxx xxxxxx xxxxxxxxxxx xxxxxxx schvalování xxxxxxxxxxxx xxxxxxxxx informačního xxxxxx, x případě xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxxxxxx vztahu xxxx xxxxxxxxxx xxxxx okamžitě xxxxxxxx,
x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxxxxxx xxxxx jsou xxxxxxxxxx přezkoumávána s xxxxx zajistit, xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxx xxxx xxxxxxxxxx xxxxx xxxxxxxx, xxxxxxx xxx xxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxxx autentizačních xxxxx; xxxxxxxx xxxxxxxxx prosazuje xxxxxx xxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxx xxxxx x postupů xxxxxxxx přístupu, xxxxxxxxxx xxxxxxxxxxx IKT systémů, xxxxxxxxx xxxx xxxxxxx, x xxxx se xxxxxxxxxx, xxxxxxxx přinejmenším xxxxxxx xxxxx, xxxxxxxxxxxxx xxxxxxx xxxx jiné xxxxx xxxxxx ověření, x xx xxxxx xxxxxxxxxxx xxxxxx.
32. Platební xxxxxxxxx zajistí, xx xxxxxxxx přístup xxxxxxxxxxxxxxx xxxxxxxx x xxxxx x XXX xxxxxxxx xx omezen na xxxxxxx, xxxxx xx xxxxx x poskytování xxxxxxxxx xxxxxx.
Xxxxxxx bezpečnost
33. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x uplatňuje xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx prostor, datových xxxxxx x xxxxxxxxx xxxxxxx xxxx neoprávněným xxxxxxxxx x xxxx xxxxxx xxxxxxxx xxxxxxxxx.
34. Xxxxxxxx instituce xxxxxxx, xx xxxxxxx xxxxxxx x XXX xxxxxxxx xx xxxxxxx xxxxx xxxxxxxxxx xxxxxx, xxxxxxxxx xx přiděleno x xxxxxxx x xxxxx x xxxxxxxxxxx dotčené xxxxx a xx xxxxxxx xx xxxxx, xxxxx jsou xxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx x v xxxxxxx xxxxxxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxx.
35. Xxxxxxxx xxxxxxxxx přijme xxxxxxxxx opatření na xxxxxxx xxxx xxxxxx xxxxxxxx prostředí, xxxxx xxxx úměrná důležitosti xxxxx x xxxxxxxxxxx xxxxxxx xxxx IKT xxxxxxx umístěných v xxxxxx xxxxxxxx.
Xxxxxxxxxx provozu x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx
36. Xxxxxxxx instituce xxxxxxx, xxxxxxxxxxxx x uplatňuje xxxxxxx, xxxxx zamezují xxxxxxx bezpečnostních xxxxxxxxx x IKT xxxxxxxxx x XXX službách, x minimalizuje xxxxxx xxxxx na xxxxxxxxxxx xxxxxx služeb. Xxxx xxxxxxx zahrnují
a) xxxxxxxxxxxx xxxxxxxxxxxxx zranitelností, xxxxx xxxx xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxxxxx x firmwaru, včetně xxxxxxxx, xxxxx platební xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx nebo zavedením xxxxxxxxxxxxx xxxxxxxx,
x) zavedení xxxxxxxxx xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx komponent,
c) zavedení xxxxxxxxxx sítě, systémů xxxxxxxx ztráty dat x xxxxxxxxx síťového xxxxxxx, x xx x xxxxxxx x xxxxxxxxxxx xxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx bodů xxxxxx xxxxxxx, xxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx; xxxxx xxx xxxx těmto xxxxx xxxxxxx přístup xx xxxxxxxxx sítě, xxxxxxxx xxxxxxxxx xxxxxxxxxxx, xxx xxxxxxx body splňují xx xxxxxxxx bezpečnostní xxxxxxxxx,
x) zavedení xxxxxxxxxx xxx xxxxxxx integrity xxxxxxxx, firmwaru a xxx,
x) šifrování uložených x přenášených dat, x xx v xxxxxxx x xxxxxxxxxxx xxx.
37. Xxxxxxxx instituce xxxxxxxx xxxxxxxx, zda xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx opatření xxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxxxxxx rizik. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxx xxxxx jsou xxxxx naplánovány, xxxxxxxxxx, xxxxxxxxxxxxxx, schváleny x xxxxxxxx.
Xxxxxxxxxxxx xxxxxxxxx
38. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx. K xxxx si stanoví, xxxxxxxxxxxx a xxxxxxxxx xxxxxxx xxx odhalování xxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xxx dopad xx xxxxxxxxxx informací xxxxxxxx instituce, a xxx xxxxxxxxx xx xxxx události. V xxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxxxxx xxxxxxxxx xxxxxxx odhalovat x xxxxxxxxx xxxxxxx xxxx logická narušení x porušení xxxxxxxxxx, xxxxxxxxx x dostupnosti xxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xx xxxxxxxx xx
x) relevantní vnitřní x vnější faktory, xxxxxx obchodních funkcí x xxxxxxxxxxxxxxxxx funkcí x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx,
x) xxxxxxxxx, aby xxxx xxxxx odhalit zneužití xxxxxxxx třetí xxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx,
x) potenciální xxxxxxx x xxxxxx xxxxxx.
39. Xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxx x soustavně xxxxxxxx xxxxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx na xxxx schopnost poskytovat xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxx, aby si xxxx xxxxxx xxxxx xxxxxxxxxxx. Xxxxxxxx instituce xxxxxxxxx xxxxxxxx xxxxxxx x identifikaci xxxxxxx xxxxx informací, xxxxxxxxxx xxxx x dalších xxxxxxxxxxxxxx hrozeb a xxxxxxx známých xxxxxxxxxxxxx xxxxxxxx x hardwaru x xxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxx zabezpečení.
40. Xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx pomáhá xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx incidentů, xxxxxxxxxxxxx xxxxxx a podporovat xx prováděné vyšetřování.
Přezkumy, xxxxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxxxxxx
41. Platební xxxxxxxxx uplatňuje xxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx bezpečnosti informací xxxxx xxxxxxx a xxxxxxxx xxx, xxx xxxxxxxxx účinnou xxxxxxxxxxxx xxxxxxxxxxxxx x XXX xxxxxxxxx x XXX xxxxxxxx, x to xxxxxx xxxxxxxxxx analýzy xxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx xxxx xxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx zvažuje xxxxx xxxxxxxxx xxxxxxx, jako xxxx přezkumy xxxxxxxxxx xxxx, xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxx xxxxxxxxxx xxxxxx xxxxxx xx XXX xxxxxxx.
42. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx xxxxxxxxxxxx x xxxxxxxx jejích opatření x oblasti xxxxxxxxxxx xxxxxxxxx, zohledňuje xxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx rizik XXX x xxxxxxxxxxx.
43. Xxxxx xxx xxxxxxxxx xxxxxxxxxxx informací zajišťuje, xx xxxxx
x) xxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxx testování xxxxxxxx xxx xxxxxxxxxx informací x xxxxxxxx xx xx xxxxxx opatření xxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxxxxxxxx x případně penetrační xxxxx, xxxxxx xxxxxxxxxxxx xxxxxxxxx xx základě xxxxxx, xx-xx xx xxxxx x xxxxxx, xxxxxx xxxxxx xxxxxx xxxxxxxxxxxx u xxxxxxxxxx xxxxxxx x xxxxxxx.
44. Xxxxxxxx xxxxxxxxx provádí xxxxxxxx x opakované xxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxxx u xxxxx xxxxxxxxxx XXX xxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx a xxxx xxxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx x provozních xxxxx v xxxxxxxxxxx x xxxxxxxxxxxx xxxxxx, x němž platební xxxxxxxxx xxxxxxxxx Xxxxxx xxxxxxx banku xxxxx §222 xxxx. 1 xxxxxx. Jiné xxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxx xx základě xxxxxxxx xxxxxxxxxx xx riziku, xxxxxxx xxxx xxxxx xxx roky.
45. Platební xxxxxxxxx xxxxxxx, xx xxxxx xxxxxxxxxxxxxx opatření xx xxxxxxx x xxxxxxx xxxx xxxxxxxxxxxxxx, xxxxxxx xxxx xxxxxxx x v xxxxxxx, xx xxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx bezpečnostních a xxxxxxxxxx incidentů xxxx x xxxxxxxx vydání xxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxxxx aplikací xxxxx xxxxxxxxxx z xxxxxxxxx.
46. Xxxxxxxx instituce xxxxxxx x vyhodnocuje xxxxxxxx bezpečnostních testů x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx, v případě xxxxxxxxxx XXX xxxxxxx xxx xxxxxxxxxx xxxxxxx.
47. Xxxxxxxx instituce uplatňuje xxxx bezpečnostní xxxxxxxx xxxxxxxx se
a) xxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) platebních xxxxxxxxx x zařízení xxxxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxx služeb,
c) xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxx xxxx xxxxx získání xxxxxxxxxxx xxxx.
48. Platební xxxxxxxxx na xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx hrozeb x uskutečněných změn xxxxxxx testy, xxxxx xxxxxxxx xxxxxxx relevantních x xxxxxxx potenciálních xxxxx.
Xxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx se xxxxxxxxxxx xxxxxxxxx
49. Xxxxxxxx xxxxxxxxx zavede xxxxxxx xxxxxxx přípravy xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx x xxxxxxx, xx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx jsou xxxxxxxxx k xxxxxx xxxxx xxxxx x xxxxxxxxxx v souladu x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx, xxxxxxx xxxxx xx xxxxxxxxx xxxxxx xxxxx, xxxxxxx, podvodná xxxxxxx, xxxxxxxx xxxx ztráty x xxxxx rizika xxxxxxx x bezpečností xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx program xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxx všechny xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxx jednou xxxxx.
Xxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
50. Xxxxxxxx xxxxxxxxx řídí provoz x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx xx xxxxxxx zdokumentovaných x xxxxxxxxxx procesů x xxxxxxx, xxxxx xxxxxxxxx vedoucí xxxxxxxxx. Xxxxx soubor xxxxxxxxx xxxxxxxx, xxx platební xxxxxxxxx xxxxxxxxx, xxxxxxx x xxxxxxxxxx své XXX systémy x XXX služby, xxx xxxxxxxxxxx xxxxxxxx operace x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx, xxxxx xx xxxxxxx x obchodním xxxxxxxxx (xxxx xxx "XXX aktivum").
51. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxxxx xxxxxxx v xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx s xxxxxx xxxxxxxxxx požadavky. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxx možno xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxx možné xxxxx xxxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxx.
52. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx postupy xxxxxxxx x xxxxxxxxx, xxxxx umožňují xxxxxxx, xxxxxxxxxx x xxxxxxxxx xxxxx.
53. Xxxxxxxx instituce xxxxxxx xxxxxxxx xxxxxx XXX aktiv xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxx. Xxxxxx těchto xxxxx uchovává jejich xxxxxxxxxxx i xxxxx x vzájemné xxxxxxxxxx xxxx xxxx xxx xxxxxxx proces konfigurace x xxxxxx změn.
54. Xxxxxx XXX xxxxx xx xxxxxxxxxx xxxxxxxx, xxx umožnil okamžitou xxxxxxxxxxxx xxxxxxxx aktiva, xxxx xxxxxxxx, xxxxxxxxxxxx xxxxxxxxxxx x xxxxx, xxxxx xx xx x xxxxxxxxxx. Platební xxxxxxxxx má xxxxxxxxxxxxxx xxxxxxxx xxxxx mezi XXX aktivy kvůli xxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxx x xxxxxxxx xxxxxxxxx, včetně xxxxxxxxxxxxxx xxxxx.
55. Xxxxxxxx instituce xxxxxxx a xxxx xxxxxxx xxxxx XXX xxxxx, xxx zajistila, xx tato aktiva xxxxx x xxxxxx xxxxxxxx x podporovat xxxxxxxxx týkající xx xxxxxxxx xxxxxxxx x xxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx XXX xxxxxx xxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxxx poskytovateli x zda jsou xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxx xx základě xxxxxxxxxxxxxxxx xxxxxxx. Platební xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxx xxxxxxxxxxxxxxx XXX aktiv.
56. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxx x sledování xxxxxxxxxx XXX systémů x xxxxxxxxx kapacity tak, xxx včas předešla xxxxxxxx xxxxxxxxx s xxxxxx výkonností x xxxxxxxxxxx v jejich xxxxxxxx, xxxx xx xxxxxxxxxx x reagovala xx xx.
57. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx postupy zálohování x xxxxxx dat x IKT xxxxxxx, xxx tato data x xxxxxxx xxxx xxxxxxx x xxxxxxx xxxxxxx obnovit. Rozsah x četnost xxxxxxxxxx xxxxxxx xxxxx požadavků xx xxxxxxxx činnosti x kritičnosti xxx x XXX systémů x xxxxxxx ji xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxx. Xxxxxxxx instituce xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxx xxx x XXX systémů.
58. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxx dat x XXX xxxxxxx byly xxxxxxxx uloženy a xxxxxxxxxx vzdáleny xx xxxxxxxxxx xxxxx xxx, xxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx.
Xxxxxx incidentů x problémů v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
59. Platební xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx a xxxxxxxx xxx xxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx incidentů x xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx, aby xx xxxxxxxx pokračovala xxxx obnovila xxxxxxxx xxxxxxxx funkce x xxxxxxx x případě xxxxxxxx. Xxxxxxxx instituce xxxxxxx xxxxxxxxx kritéria x xxxxxxx xxxxxxx xx klasifikaci xxxxxxxx xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxx včasného xxxxxxxx, xxxxx xxxxxxxxx včasné xxxxxxxx incidentů. Platební xxxxxxxxx při xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx Xxxxxxxx xxxxxx Evropského xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx incidentů xxxxx směrnice (XX) 2015/2366 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx (XXX2).
60. X xxxxxxxxx minimalizace xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx obnovy xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxx xxxxxxx a xx xxxxxx xxxxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxxxx x xxxxxxxxxxx xxxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx a xxxxxxxxx, aby byly xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxx hlavní příčiny x xxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx. Xxxxxxx xxxxxx incidentů a xxxxxxxx zahrnují
a) xxxxxxx xxx rozpoznávání, zpětné xxxxxxxxx, xxxxxxxxxxxxx, kategorizaci x xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx xx xxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxx x povinnosti xxx různé xxxxxxx x xxxxxxx xxxx, xxxxxx, xxxxxxxxxxxxxx útoků x xxxxxx incidentů,
c) xxxxxxx xxx xxxxxxxxxxxx, xxxxxxx x řešení xxxxxx příčiny xxxxxxx xxxx xxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxxxxxxxx
1. xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx incidenty s xxxxxxxxxxxxxx xxxxxx xx xx, xxxxx xxxx xxxxxxxxxxxxxx nebo xx xxxxxxxx xxxxxx xxxx xxx platební xxxxxxxxx,
2. xxxxxxxxxx hlavní zjištění x xxxxxx xxxxxx x xxxxxxxxxxxxx způsobem xxxxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxx xxxxxxxxxx incidentů x xxxxxx předání xx xxxxx xxxxxx xxxxxx, zahrnující x xxxxxxxxx uživatelů xxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxxxx tyto xxxxxxx zajišťují, xx
1. xxxxxxxxx x potenciálně xxxxxx nepříznivým xxxxxxx xx xxxxxxxx XXX xxxxxxx x IKT xxxxxx xxxx xxxxxxxxxx xxxxxxxxx osobě s xxxxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x vedoucímu xxxxxxxxxxxx,
2. x xxxxxxx xxxxxxxxx xxxxxxxxx jsou xxxxxxxxxxx xxxxxxx xxxxx x vedoucí xxxxxxxxx, x xx xxxxxxx x xxxxxx, reakci x dodatečných kontrolách, xxxxx xxxxxxxx xxxxxxxxx xxxxxxx xx základě xxxxxxxxxxx xxxxxxxxx,
x) postupy xxxxxx xx xxxxxxxxx xx zmírnění dopadů xxxxxxxxxxxxx s xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx služby,
f) xxxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx obchodní xxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxx xxxxxx na incident x xxxxxx xx xxxxxxxxx x poskytnout xxxxxx informace xxxxxxxxxx xxxxxxxxx xxxxxx x xxxxx třetím xxxxxxx.
Xxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx
61. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxx a xxxxxx xxxxxxxx, xxxxx xxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx. Xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxx xxxxxx, xxxxxxx, xxxxxxxxx xxxx zavádění XXX xxxxxxx a IKT xxxxxx. Tyto projekty xxxxx být xxxxxxxx xxxxxxx programů xxxxxxxxxxxx x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx.
62. Xxxxxxxx xxxxxxxxx náležitě xxxxxxx x xxxxxxx xxxxxx vyplývající z xxxxxx xxxxxxxxx projektů x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx xxxx xxxxxx, xxxxx xxxxx xxxxxxxx ze xxxxxxxxxx xxxxx xxxx různými xxxxxxxx x z xxxxx xxxx xxxxxxxx xx xxxxx zdrojích xxxx xxxxxxxxx xxxxxxxxxx.
63. Xxxxxxxx instituce xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií, xxxxx xxxxxxxx xxxxxxx
x) xxxx xxxxxxxx,
x) role a xxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxxx xxxxx xxxxxxxx,
x) xxxx, xxxxxx xxxxx x xxxx xxxxxxxx,
x) xxxxxx xxxxxxx xxxxxxxx,
x) xxxxxxxxx týkající xx xxxxxx změn.
64. Xxxxxxxx xxxxxx projektů x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxx xxxxxxxxx na xxxxxxxxxx informací xxxx xxxxxxxxxxx a xxxxxxxxx xxxxxx, která xx xxxxxxxxx xx xxxxxx xxxxxx.
65. Platební instituce xxxxxxx, xxx v xxxxxxxxxxx týmu xxxx xxxxxxxxxx všechny oblasti xxxxxxxxx projektem x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx technologií. Projektový xxx musí xxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxx.
66. Xxxxxxx pracovník xx xxxxxxxxxx o xxxxxxxx, xxxxxxxx x postupu xxxxxxxx v oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x s xxxx xxxxxxxxxxxxx rizicích, x to jednotlivě xxxx souhrnně xx xxxxxxx xxxxxxxx, xxxxx xxxxxxx a velikosti xxxxxxxx v oblasti xxxxxxxxxxxx a komunikačních xxxxxxxxxxx, pravidelně a xxxxx xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx riziko projektů xx xxxxx systému xxxxxx rizik.
Pořizování x xxxxx XXX xxxxxxx
67. Xxxxxxxx xxxxxxxxx stanoví x uplatňuje postup xxx pořízení, xxxxx x xxxxxx XXX xxxxxxx. Uplatňuje přitom xxxxxxxx xxxxxxxxxxx přístup.
68. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxx xxxxxxxxxx pořízení nebo xxxxxx XXX xxxxxxx xxxxxxxxx úrovně xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx, včetně xxxxxxxxx xxxxxxxxx x xxxxxxxxx na xxxxxxxxxx xxxxxxxxx.
69. Platební instituce xxxxxxx a uplatňuje xxxxxxxx x omezení xxxxxx xxxxxxxxx nebo xxxxxxx xxxxx IKT xxxxxxx xxxxx vývoje x xxxxxxxx v xxxxxxxxxx xxxxxxxxx.
70. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxxxx a schvalování XXX xxxxxxx xxxx xxxxxx xxxxxx xxxxxxxx. Xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx x xxxxx. Testování xxxxxxxxx, xxx xxxx XXX systémy xxxxxxxxx xxx, xxx xxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxxxxx.
71. Platební xxxxxxxxx xxxxxxx XXX xxxxxxx, XXX xxxxxx x xxxxxxxx xxx bezpečnost xxxxxxxxx tak, xxx xxxxxxxxxxxxxx xxxxx slabá xxxxx, xxxxxxxx a xxxxxxxxx x xxxxxxx xxxxxxxxxxx.
72. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, xxx zajistila xxxxxxxxxxxx xxxxxxxx funkcí x omezila xxxxx xxxxxxxxxxx změn na xxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx oddělení xxxxxxxxxxx xxxxxxxxx od xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx zajistí xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx dat x xxxxxxxxxxxxx prostředích. Xxxxxxx x xxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxxx.
73. Xxxxxxxx xxxxxxxxx stanoví a xxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxx zdrojových xxxx XXX systémů, xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx komplexně xxxxxxxxxxxx xxxxx, zavádění, xxxxxx x xxxxxxxxxxx XXX xxxxxxx, aby xx snížila jakákoli xxxxxxxxxx závislost xx xxxxxxxxxxx x xxxx xxxxxxx. Xxxxxxxxxxx IKT xxxxxxx xxxxxxxx alespoň xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx.
74. Xxxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxx a xxxxx XXX systémů xxxxxxxx xxxx IKT xxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxxxxx funkcemi x xxxxxxxxx xxxxxxxxx mimo xxxxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx instituce xxxxxx xxxxxxx rizikově xxxxxxxxxxx xxxxxxx. Platební xxxxxxxxx xxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxx xxxx xxxxxxx.
Xxxxxx xxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
75. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxx xxxxxx změn x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxxxx, xx xxxxxxx xxxxx XXX systémů xxxx xxxxxxxxxxxxx, testovány, xxxxxxxxxx, schvalovány, xxxxxxxxx x ověřovány kontrolovaným xxxxxxxx. Platební xxxxxxxxx xxxxxxxx xxxxx xxxxx xxxxxxxxxxx událostí, xxxxxxxx xxx xxxxxxxxxx xxxxxxx, xxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx.
76. Xxxxxxxx instituce xxxxxxxx xxxxxxxx, xxx xxxxx xxxxxxxxxxx provozního xxxxxxxxx xxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxx. Xxxx xxxxx xxxx x xxxxxxx s xxxxxxxx, který xxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxxxxx xxxx.
Xxxxxx kontinuity xxxxxxxx
77. Xxxxxxxx instituce stanoví x xxxxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx x trvalého xxxxxxxxx xxxxxxxx xxxxxxxxx (xxxx xxx "xxxxxx kontinuity xxxxxxxx"), xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx služby x xxxxxxx xxxxxx v xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
78. X xxxxx xxxxxxx xxxxxx xxxxxxxxxx činnosti xxxxxxxx xxxxxxxxx xxxxxxxxx dopad xx xxxxxxxxxxxxxx činnost xxxxxxxxxxx své xxxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx xxxxxxx, xxxxxx xxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, x xx xxxxxxxxxxxxx x xxxxxxxxxxxx. Xxxxxxx vnitřních xxxxx, xxxxx xxxxxxxxx poskytovatelů xxxxxxxxxx pro obchodní xxxxxx, xxxxxxx xxxxxxxxxx xxxxx xxxx jiných xxxxxxxx xxxxx, xxxxx xxxxx xxx x xxxxxxxx xxxxxxx dopadu xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx, x analýzu xxxxxxx. Platební instituce x analýze xxxxxx xx xxxxxxxxxxxxxx činnost xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx a xxxxxxxxxxxxxxx xxxxxxxxxx funkcí, xxxxxxxxxx xxxxxxx, xxxxxxx xxxxx x informačních aktiv x xxxxxx xxxxxxxx xxxxx.
79. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx XXX systémy x XXX služby byly xxxxxxxx x xxxxxxx x xxxx xxxxxxxx xxxxxx xx podnikatelskou xxxxxxx, xxxxxxx xxx-xx x redundanci určitých xxxxxxxxxx xxxxxxxxx, xxx xx zamezilo narušení xxxxxxxxxxx xxxxxxxxx, které xxxx xx tyto xxxxxx dopad.
80. Xxxxxxxx xxxxxxxxx xx základě xxxxx xxxxxx xxxxxx xx podnikatelskou xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, které xxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxxx. Xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx rizika, která xx mohla mít xxxxxxxxxx dopad na XXX xxxxxxx x XXX xxxxxx. Plány xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxx xx xxxxxxx x x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx obchodních xxxxxx, xxxxxxxxxx procesů x xxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxx sestavování xxxxx xxxxxxxxxx xxxxxxxx xxxxx potřeby xxxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxx instituce x xx xxxxxxxxxxxxxxxx třetími xxxxxxxx.
81. Platební instituce xx xxxxx kontinuity xxxxxxxx, xxx xxxxxxxxx, xx xxxx xxxx xxxxxxxxx xxxxxxxx na xxxxxxxx scénáře xxxxxxx x xx xxxx xxxxxxx xxxxxxx provoz xxxxx kritických xxxxxxxxxx xxxxxxxx xx přerušení x rámci maximální xxxx, během níž xxxx xxx xx xxxxxxxxx xxxxxxx systém xxxx xxxxxx (dále xxx "xxxxxx doba xxxxxx") x x xxxxx maximální lhůty, xxxxx níž je xxxxxxxxxx xxxxxx xxx x případě xxxxxxxxx (xxxx xxx "xxxxxx xxx xxxxxx"). X xxxxxxx xxxxxxx narušení xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, platební xxxxxxxxx xxxxxxx přednost opatření xxx xxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
82. Xxxxxxxx xxxxxxxxx xx xxxx xxxxx kontinuity činnosti xxxxxxx různé scénáře, xxxxxx méně xxxxxxxxxxxxxxx xxxxxxx xxxxxx, kterému xxxx být vystavena, x xx xxxxxx xxxxxxx xxxxxxxxxxxxxx útoku. Xxxxxxxx instituce xxxxxxxx xxxxx xxxxx naplnění xxxxxxxx xxxxxxx. Na xxxxxxx těchto xxxxxxx xxxxxxxx instituce xxxxxxx, xxx by xxxx xxxxxxxxx xxxxxxxxxx XXX xxxxxxx x XXX xxxxxx, xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx.
83. Xxxxxxxx xxxxxxxxx xx xxxxxxx analýz xxxxxx xx podnikatelskou xxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx. Xxxx xxxxx specifikují, xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxx plánů x jaká xxxxxxxx xxxx xxx xxxxxxx x xxxxxxxxx dostupnosti, xxxxxxxxxx x obnovy xxxxxxxxxxxx xxxxxxxxxx XXX xxxxxxx a XXX xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
84. Xxxxx reakce x xxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxx. Tyto xxxxx jsou
a) xxxxxxxx xx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx vazeb, aby xxxx zamezeno xxxxxxxxxxx xxxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxx, xxxxxx xxxxxx na xxxxxxxx systémy x xx xxxxxxxxx xxxxxxxxxx xxxxxx, x xxxxxxxxx xxxxxxxxx čekajících xxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx útvarům x xxxx xxxxxx xxxxxxxx x případě xxxxxxxxx xxxxxxx,
x) xxxx xxxxxxxxxxxxx v xxxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxxxx, testování, x xxxx identifikovanými xxxxxx či xxxxxxxx x xx xxxxxxxxx xxxx a prioritami xxxxxx.
85. Xxxxx reakce x xxxxxx xxxx xxxxxxxxxx alternativní xxxxxxxx x případech, xxx xxxxxx xxxxxx xxx x krátkodobého xxxxxxxx xxxxxxxxxxxx x důvodu xxxxxxx, xxxxx, logistiky xxxx xxxxxxxxxxxxxx xxxxxxxxx.
86. X xxxxx xxxxx xxxxxx a xxxxxx xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxxx xxx kontinuitu xxxxxxxx xx xxxxxxxx selhání xxxxxxxxx xxxxxxxxxxxxx, xxxxx xxxx xxxxxxx význam xxx xxxxxxxxxx XXX xxxxxx xxxxxxxx instituce, x xx přiměřeně x xxxxxxx s Xxxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxxxx Xxxxxxxxx xxxxxxx pro xxxxxxxxxxxx.
87. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx pravidelně xxxxxxx. Xxxxxxx zajistí, xxx xxxxx xxxxxxxxxx xxxxxxxx jejích kritických xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx aktiv x xxxxxx xxxxxxxxxx xxxxx, včetně těch xxxxxx, xxxxxxx a xxxxx, xxxxx xxxxxxxx xxxxxxxx třetí strany, xxxx testovány alespoň xxxxxx ročně.
88. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx plánů xxxxxxxxxx xxxxxxxx alespoň jednou xxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxxxxxxx x xxxxxxxx x xxxxxxxxxx xxxxxxxxx x předchozích xxxxxxxx. Xxxxxxxx změny xxxx xxxxxx, včetně změn xxxxxx xxxx xxxxxx x xxxxxxxx xxxx xxxxxx, xxxx xxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx a xxxxxxxxxxxx xxxxx xxxx náležitě xxxxxxxxxx jako xxxxx xx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx.
89. Testováním xxxxx kontinuity činnosti xxxxxxxx xxxxxxxxx prokáže, xx je xxxxxxx xxxxxxxx xxx xxxxxxxx xx xxxx xxxxxx xxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx
x) xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxx xxxxxxxxxxx pro xxxxx xxxxx xxxxxxxxxx xxxxxxxx, x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx třetími xxxxxxxx; xxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx procesů x informačních xxxxx xx prostředí xxx xxxxxx po havárii x prokázání toho, xx xx lze xxxxx provozovat xx xxxxxxxxxx xxxxxx xxxxxx x poté xxx xxxxxxx xxxxxxxx činnost,
b) xxxxxxxx testování tak, xxx prověřilo předpoklady, xx xxxxx xxxx xxxxxxxx plány xxxxxxxxxx xxxxxxxx, včetně systémů xxxxxx x xxxxxx x xxxxx xxxxxxx xxxxxxxxxx, x
x) zahrnuje xxxxxxx x ověření xxxxxxxxxx xxxxxxxxxx x xxxxxxxxx poskytovatelů, IKT xxxxxxx x XXX xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx přiměřeně reagovat xx xxxxxxx podle xxxxxxx x).
90. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxx nedostatky vyplývající x testů jsou xxxxxxxxxxx, řešeny a xxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
91. Xxx xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x během provádění xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx stanovena x xxxxxxxxxxx xxxxxx xxxxxxxxxxx opatření xxx xxxxxx krize, aby xxxx xxxx x xxxxxxx způsobem xxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxx platebních xxxxxx x xxxx zainteresované xxxxx xxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxx xxxxxx xxxxxxxx, x xxxxxxxxx xxxxxxx xxxxxxxxxxxxx.
Xxxxxx xxxxxx s xxxxxxxxx xxxxxxxxxx xxxxxx
92. Platební xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxx povědomí xxxxxxxxx xxxxxxxxxx služeb x xxxxxxxxxxxxxx rizicích spojených x xxxxxxxxxx službami, x xx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxx uživatele xxxxxxxxxx služeb.
93. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxxxx služby a xxxxxxxxxxx nabízené uživatelům xxxxxxxxxx xxxxxx jsou xxxxxxxxxxxxx x xxxxxxx xx xxxx xxxxxx x zranitelnosti x xxxxxxxxx xxxxxxxxxx xxxxxx xxxx o všech xxxxxxx xxxxxxxxxxx.
94. Xxxxxxxx-xx xx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx umožní xxxxxxxxxx xxxxxxxxxx služeb xxxxxxxxxxx konkrétní xxxxxxxx xxxxxx, xxxxx xxxxxxx x platebními xxxxxxxx xxxxxxxxxx uživateli xxxxxxxxxx xxxxxx.
95. Xxxxx se xxxxxxxx xxxxxxxxx dohodla x uživatelem platebních xxxxxx xx omezeních xxxxx §163 zákona, xxxxxxxx uživateli platebních xxxxxx xxxxx stanovený xxxxxxxxx xxxxx xxxxxxx.
96. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxx platebních xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x xxxxxx příkazu x xxxxxxxx xxxxxxxxx x xxx xxx xxxxxxxx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxxx.
97. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx platebních xxxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx, xxxxx xxxx xxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx platebních xxxxxx.
98. Xxxxxxxx instituce xxxxxxxxx uživatelům xxxxxxxxxx xxxxxx xxxxx x xxxxxxx jakéhokoli xxxxxx, xxxxxxx x podporu x xxxxxxxx anomálií xxxx xxxxxx xxxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx vztahují xx xxxxxxxx xxxxxx. Xxxxxxxx xxxxxxxxx uživatele xxxxxxxxxx služeb xxxxxxxx xxxxxxxxx o tom, xxx mohou tuto xxxxx xxxxxx.".
Xx. XX
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxxxxx 2022.
&xxxx;
Xxxxxxxx:
Xxx. Xxxxxx x. x.
Xxxxxxxxx
Xxxxxx xxxxxxx x. 2/2022 Xx. nabyl xxxxxxxxx xxxx 1.7.2022.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx právních předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.