Právní předpis byl sestaven k datu 18.01.2026.
Zobrazené znění právního předpisu je účinné od 01.07.2022.
Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
2/2022 Sb.
Účinnost Čl. II
2
XXXXXXXX
xx xxx 22. xxxxxxxx 2021,
xxxxxx xx xxxx vyhláška x. 7/2018 Xx., x xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx instituce, xxxxxxx xxxxxxxxx o xxxxxxxxx xxxx, poskytovatele xxxxxxxxxx služeb malého xxxxxxx, instituce elektronických xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx
&xxxx;
Xxxxx národní xxxxx xxxxxxx xxxxx §263 xxxxxx č. 370/2017 Xx., o platebním xxxxx, k xxxxxxxxx §16 xxxx. 5, §17 odst. 3, §20 xxxx. 4, §46 xxxx. 2, §48 xxxx. 4, §59 xxxx. 4, §65x xxxx. 2, §74 odst. 6, §75 xxxx. 3, §78 xxxx. 4 x §100 odst. 4 xxxxxx xxxxxx:
Xx. X
Xxxxxxxx č. 7/2018 Sb., x xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx platební xxxxxxxxx, xxxxxxx informací x xxxxxxxxx xxxx, xxxxxxxxxxxxx platebních služeb xxxxxx rozsahu, xxxxxxxxx xxxxxxxxxxxxxx peněz a xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx rozsahu, xx xxxx xxxxx:
1. §1 xxxxxx xxxxxxx x xxxxxxxx xxx xxxxx x. 1 zní:
"§1
Předmět xxxxxx
Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx xxxxxxxx Evropské xxxx1) x upravuje
a) xxxxxx plnění xxxxxxxxx xxxxxxxxx xx řídicí x xxxxxxxxx systém xxxxxxxx xxxxxxxxx, instituce xxxxxxxxxxxxxx peněz x xxxxxxx xxxxxxxxx o xxxxxxxxx xxxx,
x) xxxxxx xxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x provozních xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxx malého rozsahu x vydavatele xxxxxxxxxxxxxx xxxxx xxxxxx rozsahu,
c) xxxxxxxx pro výpočet xxxx xxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xx mohou při xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxx xxxxxx x xxxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx instituci, xxxxxxxxx xxxxxxxxxxxxxx peněz x správce informací x platebním xxxx.
1) Xx. 4 xxx 46, xx. 8 xxxx. 2, xx. 9, xx. 9 xxxx. 1 /část/ x čl. 9 xxxx. 2 směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2015/2366 xx xxx 25. xxxxxxxxx 2015 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx, xxxxxx xx xxxx xxxxxxxx 2002/65/XX, 2009/110/XX x 2013/36/XX x xxxxxxxx (XX) x. 1093/2010 x zrušuje xxxxxxxx 2007/64/XX.
Xx. 5 xxxx. 2, xx. 5 xxxx. 3, čl. 5 xxxx. 4 x xx. 5 xxxx. 6 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx 2009/110/XX xx xxx 16. xxxx 2009 x xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx, o xxxxx xxxxxx a x xxxxxxxxxxxxxx xxxxxxx xxx xxxxx činností, x xxxxx xxxxxxx 2005/60/XX x 2006/48/ES x x xxxxxxx xxxxxxxx 2000/46/XX.".
2. Xxxx xxxxx xxxxxx nadpisu xxx:
"XXXX XXXXX
XXXXXX PLNĚNÍ XXXXXXXXX POŽADAVKŮ
HLAVA I
ZPŮSOB XXXXXX XXXXXXXXX POŽADAVKŮ XX XXXXXX A XXXXXXXXX SYSTÉM XXXXXXXX XXXXXXXXX
(X §20 xxxx. 4 zákona)
§2
Vnitřní xxxxxxxx
(1) Xxxxxxxx instituce zapracuje xxxxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxxx a postupy x jejich naplňování xx svých xxxxxxxxx xxxxxxxx, xxxxxxx se xxxxxx xxxxxxxxx, organizační xxx, xxxxx a xxxxx xxxxxxx stanovené xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx.
(2) Platební xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxx pro xxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx x xxxxxxx, xxx xxxxxxx xxxxxxxx byly xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxx.
(3) Xxxxxxxx instituce xxxxxxx, xxx vnitřní xxxxxxxx xxxx v xxxxxxx s xxxxx xxxxxxxxx x xxxxxxx x udělení xxxxxxxx x činnosti platební xxxxxxxxx xxxx jejích xxxxxxxxx, xx jejichž xxxxxxx bylo xxxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx podle §11 xxxxxx.
(4) Xxxxxxxx xxxxxxxxx zohlední xx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx xxxxxx Evropským orgánem xxx xxxxxxxxxxxx, Xxxxxxxxx xxxxxxx xxx xxxxx xxxxxx x xxxx, Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxx Xxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxxxxx xxxxxxxxxxxxxx platebních xxxxxx.
(5) Xxxxxxxx instituce xxxxxxx, xxx všichni xxxxxxxxxx xxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx případnými xxxxxxx v xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxx x xxxxxxx x nimi.
§3
Schvalovací a xxxxxxxxxxx xxxxxxx
Xxxxxxxx xxxxxxxxx xxxxxxx, xxx byla xxxxxxxxxxxx stanovena xxxxxxxxx xx schvalování x xxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx a xxx xxxxxxx relevantní xxxxxxxxxxx x rozhodovací xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx souvisejících xxxxxxxxxx x xxxxxxxxx x xxxxx xxxxxxxx platební xxxxxxxxx x jejích xxxxxxxxx předpisů xxxx xxxxx xxxxxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxxxx x xxxxxxxxxxxxx. Za xxxxx xxxxxx vhodně xxxxxx také své xxxxxxxxxx a komunikační xxxxxxx.
§4
Xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx
(1) Xxxxxxxx instituce zavede x xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rizik xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxx poskytuje, xxxxxxxx pro xxxxxxxx xxxxxx xxxxx x xxxxxxxxx xxxxxxxxxx. Platební xxxxxxxxx stanoví x xxxxxxx účinné xxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx, x xx x xxx xxxxxxxxxx x klasifikaci xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
(2) Platební xxxxxxxxx x rámci xxxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx xxxx vždy xxxx xxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx a bezpečnosti, xxxxx zahrnují xxxxxxx
x) xxxxxx xxxxxx x xxxxxxxx narušení xxxxxxxxxx xxx, xxxxxxxxx xxxxxxx x xxx xxxx xxxxxxxxxxx systémů x xxx nebo x xxxxxxxx neschopnosti xxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx v xxxxxxxxxx xxxx a x xxxxxxxxxxx xxxxxxx, pokud xx xxxx prostředí xxxx činnosti,
b) xxxxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx xxxx x vnějších xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxx xxxx z xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx.
(3) Podrobnosti x xxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x bezpečnosti, kterým xxxxxxxx xxxxxxxxx xx xxxx by xxxxx xxx xxxxxxxxx x xxxxxxxxxxx x xx xxxxxxxxxxxxx platebními xxxxxxxx, xxxx uvedeny x xxxxxxx k xxxx xxxxxxxx.
(4) Xxxxxxxx instituce xxxxxxxxx politiku xxxxxxxxxxx xxxxxxxxx, xxxxx vymezuje xxxxxx a xxxxxxxx xx xxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti xxx x xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx platebních služeb. Xxxxxxxx instituce upraví xx xxxxx vnitřních xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx s xxxxxxxxxxxx x xxxxxx xxxxx podle xxxxxxx x této xxxxxxxx.
§5
Xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx
(1) Platební instituce xxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx, které
a) jsou xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxx instituce x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx tato xxxxx xxxx xxxxxxxx xxxxxxxxxx jejich dodržování,
b) xxxx stanoveny xx xxxxxxxx předpisu,
c) umožňují xxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxx xxx xxxxxxxxx x xxxx.
(2) Xxxxxxxx instituce interně xxxxxxx x souladu xx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx x nakládání x xxxx, a xx xxxxxxxx splňujícím požadavky xx bezpečnost xxxxxxxxx.
(3) Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxx vyřizování xxxxxxxxx x xxxxxxxxx xxx, že jí xxxxxxxx xxxxxxxxxx xxx xxxxxxxxxx xxxxxxx Xxxxx xxxxxxx xxxxx xx xxxxxxxx xxxxxxxxx x xxxxxxxxxxx x reklamacích x x nakládání x nimi xxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
(4) Platební xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx x stížnostech a xxxxxxxxxxx a xxxxxxxxxx xxxxxx xxxxxxxx x xxxxx zabezpečit identifikaci x xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxx, xxxxxxx
x) xxxxxxxxx důvody xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx x xxxxxxxxxxxx hlavní xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx a xxxxxxxxx,
x) xxxxxxxx, xxx xxxxxxxxxxxxxx xxxxxx příčiny xxxxx xxxxxxxx x xxxx xxxxxxx, xxxxxx nebo xxxxxxxx, včetně xxxx, xxxxxxx se stížnost xxxx xxxxxxxxx xxxxx xxxxxx,
x) x xxxxxxx xxxxxxxxxxx xxxxxxxxxx vždy xxxxxxx odstranění xxxxxxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx.
(5) Xxxxxxxx xxxxxxxxx
x) xxxxxxxx xxxxxxxxx platebních xxxxxx xx xxxxxxxx x xxxx v xxxxxxxxxxx s potvrzením xxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxx postupu xxxxxxxxxx stížnosti xxxx xxxxxxxxx, x xx x českém xxxxxx xxxx x xxxxx xxxxxx, xxxxx xx xx xxx x xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx služeb x xxxxxxxxxx xxxxxxxxx podle xxxxxxx x) xxxxxxxxxxxxxxx xxxxx elektronické xxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxxxxx x uživateli xxxxxxxxxx xxxxxx xx xxxxx xxxxxxxxxx prostorách, x xx-xx xxxxxxx xxxxxxxxxxx stránky, také xx xxxx, x xx xxxxxxx x xxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx, xxxxxx x xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx stížností x reklamací, xxxxx xxxxxxxx
1. xxxxxxxx xxxxx x tom, jak xxxxxxxx nebo reklamaci xxxxx, xxxxxxx xxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx platebních služeb xxxxx, x xxxxxxxxx xxxxx xxxxx nebo xxxxxx platební xxxxxxxxx, xxxxxx xx xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx,
2. xxxxxxxxx x xxxxx, xx které xxxx uživatel xxxxxxxxxx xxxxxx vyrozuměn x xxxxxxxx xxxxxxxxx, x x xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx,
3. xxxxxxxxx xxxxxxxx xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx,
4. xxxxxxxxx o kontaktních xxxxxxx České národní xxxxx, Xxxxxxxxx finančního xxxxxxx a Xxxxxxxxx xxxxxxxxx xxxxxxxx práv.
(6) Xxxxxxxx xxxxxxxxx
x) vyvine xxxxx, xxxxx xxx xx xx xxxxxxx xxxxxxxxx, xxx xxxxxxx x prověřila všechny xxxxxxxxxx důkazy a xxxxxxxxx týkající xx xxxx stížnosti xxxx xxxxxxxxx,
x) komunikuje s xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx x srozumitelným xxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx x xxxxxxxxxx ve xxxxxxx podle §258 xxxxxx; xxxxxx-xx tyto xxxxx xxxxxxx, xxxxxxxxx xxxxxxxxx platebních xxxxxx x xxxxxxxx xxxxxxxx x xxxxxxx, kdy xxxx vyřízení xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxx, xxxxx plně nevyhovuje xxxxxxxxxx uživatele xxxxxxxxxx xxxxxx, x xxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx x xxxxx xxxxxxxxx x možnosti xxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxxxx xxxx reklamaci xxxxx a xxxxxxx xx xx Xxxxxxxx xxxxxxxxxx xxxxxxx, Českou xxxxxxx banku x xx xxxxxx práva xx xxxxx xxxxxxxxx x ochrany xxxx xxxxxxxxxxxx na Xxxxxxxx xxxxxxxxx xxxxxxxx xxxx, xxxxxxx xxxxxxxx xxxx xxxxxxxxx údaje daného xxxxxx, xxxx xx xxxx.
XXXXX II
ZPŮSOB XXXXXX XXXXXXXXX POŽADAVKŮ XX XXXXXX A KONTROLNÍ XXXXXX XXXXXXXXX XXXXXXXXXXXXXX XXXXX
(X §78 odst. 4 xxxxxx)
§6
&xxxx;Xxx instituci xxxxxxxxxxxxxx peněz xx xxxxxxx §2 xx 5 obdobně.
HLAVA III
ZPŮSOB XXXXXX XXXXXXXXX XXXXXXXXX XX XXXXXX X XXXXXXXXX SYSTÉM XXXXXXX XXXXXXXXX X PLATEBNÍM XXXX
(X §48 xxxx. 4 zákona)
§7
(1) Pro xxxxxxx informací x xxxxxxxxx xxxx xx xxxxxxx §2 x 3 xxxxxxx.
(2) Xxx xxxxxxxxxx požadavků na xxxxxx řízení bezpečnostních x provozních rizik xxxxxxxxx xxxxxxx xxxxxxxxx x platebním xxxx xxxxxxx podle §4.
(3) Xxx xxxxxxxxxx požadavků xx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxx informací x xxxxxxxxx xxxx xxxxxxx xxxxx §5.
XXXXX IV
ZPŮSOB XXXXXX XXXXXXXXX NA XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX RIZIK X XXXXXX VYŘIZOVÁNÍ XXXXXXXXX X XXXXXXXXX X POSKYTOVATELE PLATEBNÍCH XXXXXX XXXXXX ROZSAHU
(K §59 xxxx. 4 xxxxxx)
§8
(1) Xxxxxxxxxxxx xxxxxxxxxx xxxxxx malého xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx a systém xxxxxxxxxx stížností x xxxxxxxxx do xxxxx xxxxxxxxx xxxxxxxx a xxx xxxxxxxxxx požadavků xx xxxx xxxxxxx xxxxxxxx xxxxxxxxx obdobně xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §3.
(3) Pro naplňování xxxxxxxxx xx systém xxxxxx bezpečnostních x xxxxxxxxxx xxxxx souvisejících x poskytováním platebních xxxxxx xxxxxxxxx poskytovatel xxxxxxxxxx služeb xxxxxx xxxxxxx xxxxxxx podle §4.
(4) Xxx naplňování xxxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx postupuje xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx obdobně podle §5.
XXXXX X
XXXXXX XXXXXX XXXXXXXXX XX XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX XXXXX A XXXXXX XXXXXXXXXX STÍŽNOSTÍ X XXXXXXXXX X XXXXXXXXXX XXXXXXXXXXXXXX XXXXX XXXXXX XXXXXXX
(X §100 xxxx. 4 xxxxxx)
§9
(1) Xxxxxxxxx elektronických peněz xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxx vyřizování xxxxxxxxx a xxxxxxxxx xx svých xxxxxxxxx xxxxxxxx a pro xxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx na xxxxxxxxxxx x rozhodovací xxxxxxx xxxxxxxx se xxxxxxx řízení xxxxxxxxxxxxxx x provozních xxxxx x xxxxxxx vyřizování xxxxxxxxx a xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx malého xxxxxxx xxxxxxx podle §3.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx xxxxx malého xxxxxxx xxxxxxx xxxxx §4.
(4) Xxx naplňování xxxxxxxxx xx systém xxxxxxxxxx stížností a xxxxxxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx obdobně xxxxx §5.".
Xxxxxxxx pod xxxxx x. 2 xx 4 se xxxxxxx.
3. X §27 xxxxxxxx 4 zní:
"(4) Xxxxxxxx xxxxxxxxx, xxxxx vykonává x jiné podnikatelské xxxxxxxx xxx činnost, x jejímuž xxxxxx xx oprávněna xx xxxxxxx povolení xxxxxxxxx xxxxx zákona, (xxxx xxx "hybridní xxxxxxxx xxxxxxxxx") xxxxx do xxxxxxxx určeného xxxxx xxxxxxxx 1 xxxxxxxx xx položky nebo xxxxxx části, xxxxx xxxx xxxxxxx xxx xxxxx xxxxxx xxxxxxxx, xxx xxxx činnosti, x xxxxxxx výkonu xx oprávněna xx xxxxxxx xxxxxxxx uděleného xxxxx xxxxxx.".
4. V §34 se xxxxxx xxxx xxxxxxxx 1, xxxxx xxx:
"(1) Kapitál xx xxxxxxxx xxxxxxx xxxx xxxxxxx xxxxx xx. 4 odst. 1 xxxx 118 xxxxxxxx.".
Xxxxxxxxx odstavce 1 xx 5 xx xxxxxxxx jako xxxxxxxx 2 xx 6.
5. X §34 odstavec 4 xxx:
"(4) Xxxxxxxxx xxxxxxxxxxxxxx xxxxx, která xxxxxxxx x jiné xxxxxxxxxxxxx činnosti než xxxxxxx, x jejímuž xxxxxx je oprávněna xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx, xxxxx xx kapitálu xxxxxxxx xxxxx odstavce 1 xxxxxxxx xx xxxxxxx nebo jejich xxxxx, xxxxx jsou xxxxxxx pro výkon xxxxxx xxxxxxxx, xxx xxxx xxxxxxxx, x xxxxxxx výkonu je xxxxxxxxx xx základě xxxxxxxx uděleného xxxxx xxxxxx.".
&xxxx;6. Doplňuje xx xxxxxxx, xxxxx xxx:
"Xxxxxxx x xxxxxxxx x. 7/2018 Xx.
Xxxxxxxxxxx x xxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx technologií x xxxxxxxxxxx
Xxxxxxxxxxx
1. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx (xxxx xxx "xxxxxx XXX a xxxxxxxxxxx") xxxxxxxx, xxxxx xx xxxxxxxxx xxxxxxxxx xxxxxxxx instituce, xxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxx, xxxxxxx, xxxxxxxxxx x xxxxxxxxxxx služeb x xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxxxxx.
Xxxxxxxxxxx x xxxxxxxxxx xxxxxx, xxxxxxxxxxx xxxxxxxxxx
2. Osoba, xxxxx xxxxxxxx xxxx xxxxxxx platební xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx (xxxx xxx "vedoucí xxxxxxxxx") xxxxxxx, aby xxxxxxxx xxxxxxxxx měla xxxxxxx xxxxxxxxx xxxxx vnitřní xxxxxx a xxxxxx x xxxxxxx xxxxxxxx xxx rizika XXX x xxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxx x xxxxxxxxxx xxx xxxxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxx XXX x xxxxxxxxxxx včetně bezpečnosti xxxxxxxxx a xxxxxxxxx xxxxxx činností x xxxxxxxx xxxxxxxxx platební xxxxxxxxx, a to x xxx sebe.
3. Xxxxxxx pracovník xxxxxxx, xxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxx způsobilost x xxxxxxxxxx byly xxxxxxxxx xxx průběžnou xxxxxxx xxxxxxx platební xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxxxxx xxxxx XXX a xxxxxxxxxxx x xxx xxxxxxxxx xxxxxxxxx xxxx strategie x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxx tomu xxxxxxxxx přidělený rozpočet. Xxxxxxxx instituce zajistí, xxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxxxx xxxxxxx přípravy xx xxxxxxxxx xx rizika XXX x xxxxxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx (xxx 49).
4. X xxxxxxxxxx vedoucího xxxxxxxxxx xx xxxxxxxxx x xxxxxxxxxxx strategie xxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxx xxxxxxxxxxxx této xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxx řízení xxxxx XXX x xxxxxxxxxxx.
5. Xxxxxxxxx x oblasti xxxxxxxxxxxx a komunikačních xxxxxxxxxxx je v xxxxxxx x xxxxxxxx xxxxxxxxx platební xxxxxxxxx x xxxxxxxx
x) xxx xx xx xxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxxxxx celkovou xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxx organizačního xxxxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "XXX systémy") x xxxxxxxxx xxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx x vývoj architektury xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) srozumitelné cíle x xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxx xx XXX systémy x xxxxxx, xxxxxxxxxx x procesy x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.
6. Xxxxxxxx xxxxxxxxx xxxxxxx soubory xxxxxxx plánů, xxxxx xxxxxxxx opatření xxxxx x xxxxxxxx strategie x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx. X xxxxxx plány xxxx xxxxxxxxx všichni xxxxxxxxx xxxxxxxxxx x xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxxxxx poskytovatelů služeb xxxx xxxxxxxx, xxxxxxx xx xxxxxx poskytovatelé xxxxxxxxxxxx, xxxxxxxxxxxxx x xxxxx xxxxxxx, xxxxxx xx platební xxxxxxxxx xxxxxx, xxxx xxxx xxxxxxx poskytovatelé (dále xxx "xxxxxxx poskytovatelé"), xxxxx jsou xxx xx použitelné a xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxx xxxxx pravidelně xxxxxxxxxxx a zajišťuje xxxxxx xxxxxxxxxx xxxxxxxxx x vhodnost. Xxxxxxxx xxxxxxxxx zavede xxxxxxx xx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx.
7. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx xx xxxxxxxx xxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxx xxxxx jsou xxxxxx x v případě, xx jakékoli xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx nebo IKT xxxxxxx xx xxxxxx x xxxxxxx informačních x komunikačních xxxxxxxxxxx (xxxx xxx "IKT xxxxxx") jsou xxxxxxxxxxx xxxxxxx.
8. Pro xxxxxxx xxxxxxxxx XXX xxxxxxx x XXX služeb xxxxxxxx xxxxxxxxx xxxxxxx, xx smlouvy x xxxxxxx ujednání x xxxxxx xxxxxx se xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx
x) xxxx a xxxxxxxx xxxxxxxxxxx s xxxxxxxxxxx informací xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxx; x xxx xxxx minimální xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx, xxxxxxx požadavky týkající xx šifrování xxx, xxxxxxx xxxxxxxxxxx sítě x xxxxxxxxx bezpečnosti x xxxxxxxx xxxxxxxx xxxxxx,
x) provozní xxxxxxx x xxxxxxx xxx xxxxxx jednorázových událostí xxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx, která xx xxxx xxxxxxxxxxxxx xxxx xxx xxxxxxxxxx dopad xx xxxxxxxxx, xxxxxxxxxx, xxxxxxxxx xxxx xxxxxxxxxxx xxxxxx (xxxx xxx "xxxxxxxxxxxx x provozní xxxxxxxx"), xxxxxx xxxxxxxxx xx vyšší xxxxxx xxxxxx a podávání xxxxx.
9. Xxxxxxxx instituce xxxxxxx x ujišťuje xx, xx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx požadovanou xxxxxx bezpečnostních cílů, xxxxxxxx x xxxxxxxxxx xxxxx platební xxxxxxxxx, xxxxx externě zajišťují.
Systém xxxxxx xxxxx XXX x xxxxxxxxxxx
10. Xxxxxxxx xxxxxxxxx rozpoznává x xxxx rizika XXX x xxxxxxxxxxx, xxxxxx xx nebo by xxxxx xxx xxxxxxxxx x xxxxxxxxxxx s xx xxxxxxxxxxxxx platebními xxxxxxxx. Xxxxxxxxx při xxx xxxxxxx x xxxxxxxx, xxxxx xxxxxxxxx, xx xxxxxxx xxxx xxxxxx xxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxx, xxxxxxxxx, xxxxxxxxxx x xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx instituce xxxxxxxxxxx x těmto xxxxxxx, x realizované xxxxxxxx x xxxxxxx x xxxxxxxxx činnosti jsou x souladu x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx platební xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxxxxxxx x xxxxxxx xxxxxxxxx Xxxxxx xxxxxxx xxxxxx.
11. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xx xxxxxx rizik IKT x bezpečnosti x xx xxxxxx nad xxxxxx xxxxxx kontrolní xxxxxx. Platební xxxxxxxxx xxxxxxx nezávislost a xxxxxxxxxxx xxxx xxxxxxxxx xxxxxx tak, že xx vhodným způsobem xxxxxx xx provozní xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxx kontrolní xxxxxx je xxxxx xxxxxxxxx vedoucímu pracovníkovi x x xxxx xxxxxxxxxx je sledování x kontrola systému xxxxxx xxxxx XXX x xxxxxxxxxxx. Xxxxxxxxx xxxxxx, aby xxxxxx XXX x xxxxxxxxxxx xxxx rozpoznávána, vyhodnocována, xxxxxx, sledována a xxxxxxxxxx. Xxxxxxxx instituce xxxxxxx, xxx xxxx xxxxxxxxx xxxxxx neměla x působnosti žádný xxxxxxx xxxxx.
12. X xxxxxxxxx xxxxxxxx xxxxxxx xxxxxx rizik XXX x bezpečnosti platební xxxxxxxxx xxxxxx klíčové xxxx x xxxxxxxxxx, xxxxxxxxx hierarchické vztahy x x xxxx xxxxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxx xxxxx XXX x xxxxxxxxxxx xx xxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxx xxxxxxxx instituce, včetně xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx v xxxxx xxxxxx xxxxxxx x xx v xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx.
13. Xxxxxx xxxxxx xxxxx IKT x xxxxxxxxxxx xxxxxxxx procesy xxx
x) xxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x těmto xxxxxxx x xxxxxxx x mírou ochoty xxxxxxxx xxxxxxxxx xxxxxxxxxxx x rizikům,
b) xxxxxxxxxxxx x xxxxxxxxxxxxx těchto xxxxx, xxxxxx je xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx opatření vedoucích x omezení výskytu xxxx dopadu xxxxxxx xxxxxx rizik,
d) xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxx bezpečnostních x xxxxxxxxxx incidentů x oblasti xxxxxxxxxx xxxxx, včetně incidentů xxxxx §221 xxxxxx, xxxxx xxxx xxxxx xx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx technologiemi, x x xxxxxxx xxxxxxx xxxxxxxxx opatření,
e) xxxxxxxxxx xxxxxx rizik a xxxxxxxx xxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxx xxxxxx rizik xxxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxx x IKT xxxxxxxxx x XXX xxxxxxxx, procesech či xxxxxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx.
14. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxx xxxxxx xxxxx XXX a xxxxxxxxxxx xxx řádně zdokumentován x soustavně xxxxxxxxxxxx xx xxxxxxx získaných xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxx xxxxxx ročně xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxx IKT x xxxxxxxxxxx.
15. Xxxxxxxx instituce xxxxxxxxxxxx a mapuje xxxxxxxx funkce, role x xxxxxxxx xxxxxxx x xxxxxxxx jejich xxxxxxx a xxxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxx XXX x bezpečnosti.
16. Xxxxxxxx xxxxxxxxx také xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xx xxxxx xxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxxx"), xxxxxxxxxxx xxxxxxxx xxxxxx x podpůrné xxxxxxx x xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxxxxxx. Platební xxxxxxxxx xx schopna xxxxx xxxx informační xxxxxx, xxxxx podporují xxxx xxxxxxxx xxxxxxxx xxxxxx x xxxxxxx.
17. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx identifikované xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx podle xxxx 15 a 16 x xxxxxxxx xxxxxx xxxxxxxxxxx.
18. Xx účelem xxxxxxxxxx xxxxxxxxxxx těchto xxxxxxxxxxxxxxxx obchodních xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx xxxxxxx alespoň xxxxxxxxx týkající xx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx povinnosti x xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxx aktiv.
19. Xxxxxxxx xxxxxxxxx přezkoumává xxxxxxxxxxx klasifikace xxxxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxx xxxx, xxxx xxxxxxx xxxxxxxxxxx rizik.
20. Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx IKT x xxxxxxxxxxx, která mají xxxxx na identifikované x klasifikované xxxxxxxx xxxxxx, podpůrné procesy x informační aktiva, x to xxxxx xxxxxx xxxxxxxxxxx. Xxxx xxxxxxxxxxxxx xxxxx xxxxxxx, xxxxxx xxxxxxxxxxxxxx, alespoň xxxxxx xxxxx a xxxx xxx xxxxx xxxxxxx změnách xxxxxxxxxxxxxx, xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx obchodní xxxxxx, xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx. Na xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktualizuje xxxxxx xxxxxxxxxxx xxxxx.
21. Xxxxxxxx xxxxxxxxx průběžně xxxxxxx xxxxxx a zranitelnost xxxxxxxx xxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x informační aktiva x pravidelně přezkoumává xxxxxxx xxxxx, xxxxx xx ně mají xxxxx.
22. Xx základě xxxxxxxxxxx rizik platební xxxxxxxxx xxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxx XXX x bezpečnosti xx xxxxxx odpovídající xxxx xxxxxx platební instituce xxxxxxxxxxx x xxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxx, xxx xxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxx, XXX xxxxxxx x XXX xxxxxx. Xxxxxxxx instituce xxxxx xxx xxxxxxxx x xxxxxxxxx xxxxxx xxxx x čas xx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxx XXX x xxxxxxxxxxx v xxxx xxxxxx xxxxxxxx xxxxxxxxx x xxxxx xxxxxxx přistupovat.
23. Platební xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x omezení xxxxxxxxxxxx xxxxx XXX x xxxxxxxxxxx x x xxxxxxx xxxxxxxxxxxx xxxxx x souladu x xxxxxx xxxxxxxxxxx.
24. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxx srozumitelně x xxxx xxxxxxxxxx xxxxxxxxx pracovníkovi.
Vnitřní xxxxx x xxxxxxx rizik XXX x xxxxxxxxxxx
25. Xxxxxx vnitřního xxxxxx xxxxxxxxx xxxxxxxx orientovaný xxxxxxx x xxxxxxxxxx xxxxxxxxxxx soulad všech xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx x informačními x xxxxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xx xxxxxxxx a postupy xxxxxxxx instituce x x xxxxxxxxx požadavky, xxxxxxxxxxx, zda xxxx xxxxxx x xxxxxxx xxxx v xxxxxxxxx xxxxxxxx xxxxxxxxxx, a xxxxxxxxx o xxx xxxxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxx, xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx interně xxxx xxxxxxx, pravidelně xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx nezávislé xxxxxxxx x účinnosti xxxxxxx xxxxxx xxxxx XXX x bezpečnosti. Xxxxxxxxxx, kteří zajišťují xxxxxx xxxxxxxxx xxxxxx, xxxx odborně xxxxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxx XXX x xxxxxxxxxxx, xxxxxx x xxxx x rámci xxxxxxxx instituce nebo xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx. Xxxxxxx x zaměření xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxx.
26. Vedoucí xxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx všech xxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x jakýchkoli xxxxxx xxxxxxxxxxx změn. Xxxx xxxxxx x xxxx xxxxxxxxx, včetně četnosti xxxxxx, odráží xxxxxxxxxx xxxxxx XXX x xxxxxxxxxxx xxxxxxxx instituce, xx xxxxxx těmto xxxxxxx x xx xxxxxxxxxx xxxxxxxxxxxx.
27. Platební xxxxxxxxx stanoví opatření xxx včasné ověření x xxxxxxx kritických xxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.
Xxxxxxxxxx xxxxxxxxx
Xxxxxxxx xxxxxxxxxxx xxxxxxxxx
28. Platební xxxxxxxxx zajistí, že xxxxxxxx bezpečnosti xxxxxxxxx xx v xxxxxxx x xxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx a xx založena na xxxxxxxxxx vyhodnocování xxxxx. Xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx vedoucí xxxxxxxxx.
29. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx rolí x xxxxxxxxxx v xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x požadavky xx xxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx, procesy x xxxxxxxxxxx v xxxxxxxxxxx x bezpečností xxxxxxxxx. Xxxxxxx xxxxxxxxxx x externí xxxxxxxxxxxxx xxxx povinnosti xxx xxxxxxxxxxx xxxxxxxxxxx informací xxxxxxxx xxxxxxxxx, xxxxxxxxxxxx xxxxxxxxx xxxx vykonávaným, xxxxxx xxx xxxxxxxx x oprávněním, xxxxx xxxxxxxxx. Politika xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxx údajů xxxxxxxx instituce xxx xxx uložení, xxx xxx xxxxxxx x xxxxxxxxx. X politikou xxxxxxxxxxx informací xxxx xxxxxxxxx xxxxxxx pracovníci x xxxxxxx poskytovatelé.
30. Xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxx XXX a xxxxxxxxxxx, xxxx xx xxxx xx xxxxx xxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx tyto oblasti:
a) xxxxxxx správu x xxxxxx x xxxxxxx x požadavky podle xxxx 10, 11 x 25,
x) xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx bezpečnost,
d) xxxxxxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií,
e) xxxxxxxxxxxx xxxxxxxxx,
x) přezkumy, hodnocení x testování bezpečnosti xxxxxxxxx,
x) xxxxxxxx přípravu x xxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx.
Xxxxxxx xxxxxxxxxx
31. Platební xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx postupy xxx xxxxxxxx xxxxxxxxx přístupu, xxxxxxxx jsou x xxxxxxxx xx xxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx postupů a xxxxxxxxxx xx xxxxxxxxxxx. Xxxx postupy jsou xxxxxxxx xxxxxxx xx xxxxxx xxxxxxxx:
x) xxxxxx xxxxxxxx pouze xxxxxxxxxx, xxxxxx minimálních xxxxxxxxx x zásada xxxxxxxxxxx xxxxxx; platební xxxxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxxxx aktivům x xx svým xxxxxxxxx xxxxxxxx spravuje xxx, xxx xxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx (xxxx xxx "xxxxxxxx") věděl xxx to, xx xx xxxxxxxx, x xx x x xxxxxxx xxxxxxxxxx přístupu; xxxxxxxxx xxxx xxx xxxxxx xxxxxxxxxx xxxxx, xxxxx jsou xxxxxxxx xxxxx x xxxxxx xxxxxx povinností, s xxxxx zabránit xxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxx nebo xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx práv, které xxx použít k xxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxx xxxxxxxxxxx působnosti; xxxxxxxx xxxxxxxxx x xx xxxxxxxx xxxx xxxxx xxxxxxxxx obecných x xxxxxxxxx xxxxxxxxxxxxx xxxx x x xxxx xxxxxxxxxxx v XXX xxxxxxxxx xxxxxxx xxxxxxxxxxxx uživatele,
c) xxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx oprávnění; xxxxxxxx instituce xxxxxx xxxxxxxxxx privilegované přístupy xx xxxxxxx xxxxxx xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxxx x dalších xxxx xx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxx x nad xxxxxx účty zajišťuje xxxxxxxx xxxxxx, xxxxxxxx xxxxxxxxxxxxxxx xxxxxxx ke xxxxxxxxx XXX xxxxxxxx xxxxxxxxx xxx tak, xxx xxxxxxxx xxxxx xxx xx xx xxxxxxxx x jen xxxx xx používá xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx zajistí xxxxxx xxxxxxxxx záznamů x xxxxxxxxxxxx xxxxxxxx xx xxxxxxx veškerých činností xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxx o xxxxxxxx xxx, xxx se xxxxxxxx xxxxxx neoprávněným xxxxxxx nebo xxxxxx, x xxxxxx uložení xx xxxx odpovídající xxxxxxxxxxx identifikovaných xxxxxxxxxx xxxxxx, xxxxxxxxxx procesů x xxxxxxxxxxxx xxxxx; xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx neobvyklých činností xxxxxxxxxx při poskytování xxxxxx,
x) xxxxxx xxxxxx xxxxxxxx; platební xxxxxxxxx xxxxxxx, xx xxxxxxxxxx xxxxx xxxx xxxxxxxxx, xxxxxxxxx xxxx xxxxxxxxxx xxxx, a xx xxxxx xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx zahrnujících xxxxxxxxx xxxxxxxxxxxx xxxxxx, x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxxxxx xxxxxx jsou xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxx,
x) xxxxxx revize xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx zabezpečí, xx xxxxxxxxxx práva xxxx xxxxxxxxxx přezkoumávána x xxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxxx nadměrných xxxxx a xxx xxxx přístupová práva xxxxxxxx, xxxxxxx již xxxxxxx zapotřebí,
g) xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxx; xxxxxxxx instituce xxxxxxxxx xxxxxx ověření, xxxxx xxxx xxxxxxxxxx robustní, xxx xxxxxxxxx x xxxxxx xxxxxxxxx dodržování xxxxx x postupů xxxxxxxx xxxxxxxx, odpovídají xxxxxxxxxxx IKT systémů, xxxxxxxxx xxxx procesů, x xxxx se xxxxxxxxxx, xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx, xxxxxxxxxxxxx xxxxxxx nebo xxxx xxxxx metody ověření, x xx podle xxxxxxxxxxx xxxxxx.
32. Platební xxxxxxxxx zajistí, že xxxxxxxx přístup prostřednictvím xxxxxxxx k datům x IKT xxxxxxxx xx xxxxxx na xxxxxxx, xxxxx je xxxxx k xxxxxxxxxxx xxxxxxxxx xxxxxx.
Xxxxxxx xxxxxxxxxx
33. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx a uplatňuje xxxxxxxx xxx fyzické xxxxxxxxxxx xxxxxxxx instituce x xxxxxxxxx xxxxxxx xxxxxx prostor, xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxx xxxxxx xxxxxxxx xxxxxxxxx.
34. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxx xxxxxxx x IKT systémům xx xxxxxxx xxxxx xxxxxxxxxx xxxxxx, xxxxxxxxx xx xxxxxxxxx x xxxxxxx s xxxxx x povinnostmi xxxxxxx xxxxx x xx xxxxxxx xx xxxxx, xxxxx xxxx řádně xxxxxxxxx x xxxxxxx xxxxxxxx xxxx monitorovány. Xxxxxxxx instituce zajistí, xx xxxxxxx xxxxxxx xx xxxxxxxxxx přezkoumáván x v případě xxxxxxx jsou xxxxxxxxxx xxxxxxxxxx xxxxx zrušena.
35. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx, která xxxx xxxxxx důležitosti xxxxx x xxxxxxxxxxx xxxxxxx xxxx XXX xxxxxxx umístěných x xxxxxx budovách.
Bezpečnost xxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních technologií
36. Xxxxxxxx xxxxxxxxx stanoví, xxxxxxxxxxxx x uplatňuje xxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx incidentů x IKT xxxxxxxxx x IKT službách, x xxxxxxxxxxxx xxxxxx xxxxx xx xxxxxxxxxxx xxxxxx xxxxxx. Tyto xxxxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx, které xxxx xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxx xxxxxxxx, který platební xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx opatření,
b) zavedení xxxxxxxxx xx zabezpečení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx komponent,
c) zavedení xxxxxxxxxx sítě, xxxxxxx xxxxxxxx xxxxxx xxx x xxxxxxxxx xxxxxxxx xxxxxxx, x xx x souladu s xxxxxxxxxxx dat,
d) xxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx xxxxxxx, xxxxxxxxxx xxxxxx a xxxxxxxxx xxxxxxxx; xxxxx xxx xxxx xxxxx bodům xxxxxxx xxxxxxx xx xxxxxxxxx xxxx, xxxxxxxx xxxxxxxxx xxxxxxxxxxx, zda xxxxxxx xxxx splňují xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxx xxxxxxx integrity xxxxxxxx, firmwaru x xxx,
x) xxxxxxxxx xxxxxxxxx x přenášených dat, x xx x xxxxxxx x xxxxxxxxxxx xxx.
37. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxx xxxxxxxxxxx provozního xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xx účelem xxxxxxxx rizik. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxx xxxxx xxxx xxxxx naplánovány, otestovány, xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx.
Xxxxxxxxxxxx xxxxxxxxx
38. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx. K xxxx si xxxxxxx, xxxxxxxxxxxx x uplatňuje xxxxxxx xxx odhalování xxxxxxxxxxx činností, které xxxxx mít xxxxx xx xxxxxxxxxx informací xxxxxxxx instituce, x xxx reagování xx xxxx xxxxxxxx. V xxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x ohlašovat xxxxxxx xxxx xxxxxxx xxxxxxxx x porušení důvěrnosti, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxx. Platební xxxxxxxxx xx zaměřuje xx
x) relevantní xxxxxxx x vnější faktory, xxxxxx xxxxxxxxxx funkcí x xxxxxxxxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx technologií,
b) xxxxxxxxx, xxx bylo xxxxx odhalit xxxxxxxx xxxxxxxx xxxxx xxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx,
x) potenciální vnitřní x xxxxxx hrozby.
39. Xxxxxxxx instituce xx xxxxxxxxxxx xxxxxxxxxx, xxxxx xx umožňuje xxxxxxxxxxxxx x soustavně sledovat xxxxxxxxxxxx hrozby x xxxxxxxxxx xxxxxx na xxxx xxxxxxxxx xxxxxxxxxx xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx sleduje xxxxxxxxxxxxx xxxxx, aby si xxxx xxxxxx rizik xxxxxxxxxxx. Xxxxxxxx instituce xxxxxxxxx opatření zejména x identifikaci xxxxxxx xxxxx xxxxxxxxx, xxxxxxxxxx xxxx a dalších xxxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxx zabezpečení.
40. Xxxxxxxxxxxx xxxxxxxxx platební xxxxxxxxx pomáhá xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx, identifikovat xxxxxx x podporovat xx xxxxxxxxx xxxxxxxxxxx.
Xxxxxxxx, xxxxxxxxx x testování xxxxxxxxxxx xxxxxxxxx
41. Xxxxxxxx xxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxxxxxx x xxxxxxxxx bezpečnosti xxxxxxxxx xxxxx xxxxxxx x xxxxxxxx tak, aby xxxxxxxxx účinnou identifikaci xxxxxxxxxxxxx x IKT xxxxxxxxx a XXX xxxxxxxx, a to xxxxxx xxxxxxxxxx xxxxxxx xxxxxx standardům xxxxxxxxxxx xxxxxxxxx nebo jiným xxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx zabezpečení. Xxxxxxxx xxxxxxxxx zvažuje xxxxx xxxxxxxxx xxxxxxx, jako xxxx přezkumy xxxxxxxxxx xxxx, hodnocení zranitelností, xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx xxxxxx xxxxxx xx XXX xxxxxxx.
42. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx identifikované xxxxxxxxxxxxxxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxx XXX x xxxxxxxxxxx.
43. Xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx, xx testy
a) provádějí xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx zkušenosti x xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx se xx vývoji xxxxxxxx xxx bezpečnost xxxxxxxxx,
x) xxxxxxxx xxxxxxxx zranitelností x případně penetrační xxxxx, včetně xxxxxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx, xx-xx xx xxxxx x xxxxxx, xxxxxx xxxxxx rizika xxxxxxxxxxxx x obchodních xxxxxxx x systémů.
44. Xxxxxxxx instituce provádí xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxxx x všech xxxxxxxxxx XXX systémů xxxxxxx xxxxxxx jednou xxxxx x xxxx xxxxxxxx komplexního xxxxxxxxxxx xxxxxxxxxxxxxx a provozních xxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxx, x xxxx xxxxxxxx xxxxxxxxx xxxxxxxxx Českou xxxxxxx xxxxx xxxxx §222 xxxx. 1 xxxxxx. Xxxx než xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx pravidelně xx xxxxxxx přístupu xxxxxxxxxx xx xxxxxx, xxxxxxx však každé xxx xxxx.
45. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxx xxxxxxxxxxxxxx xxxxxxxx xx provádí v xxxxxxx xxxx xxxxxxxxxxxxxx, xxxxxxx xxxx xxxxxxx x x případě, xx xxxxx ke xxxxxx x xxxxxxxx xxxxxxxxx bezpečnostních x xxxxxxxxxx incidentů xxxx x xxxxxxxx xxxxxx xxxxxx xxxx výrazně xxxxxxxxx xxxxxxxxxx aplikací xxxxx dostupných z xxxxxxxxx.
46. Xxxxxxxx instituce xxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxxxxxxxx způsobem xxxxxxxxxxx xxx bezpečnostní xxxxxxxx, x xxxxxxx xxxxxxxxxx XXX systémů xxx zbytečného xxxxxxx.
47. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx bezpečnostní xxxxxxxx xxxxxxxx se
a) xxxxxxxxxx xxxxxxxxx x zařízení xxxxxxxxxxx x poskytování xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxx x softwaru xxxxxxxxxxxxx uživatelům xx xxxxxx xxxxxxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxxxx xxxx.
48. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxx bezpečnostních xxxxxx x xxxxxxxxxxxxx změn xxxxxxx xxxxx, xxxxx xxxxxxxx xxxxxxx relevantních x xxxxxxx xxxxxxxxxxxxx xxxxx.
Xxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx se xxxxxxxxxxx xxxxxxxxx
49. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxx zahrnující xxxxxxxxxx programy zvyšování xxxxxxxx x oblasti xxxxxxxxxxx pro všechny xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx x xxxxxxx, xx pracovníci x xxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxx k xxxxxx xxxxx xxxxx x xxxxxxxxxx x xxxxxxx x xxxxxxxxxxx bezpečnostními xxxxxxxx x xxxxxxx, xxxxxxx cílem xx xxxxxxxxx xxxxxx xxxxx, xxxxxxx, xxxxxxxx jednání, xxxxxxxx xxxx xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx program xxxxxxx xxxxxxxx zajišťoval xxxxxxx pro všechny xxxxxxxxxx x externí xxxxxxxxxxxxx alespoň jednou xxxxx.
Xxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
50. Platební xxxxxxxxx xxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx xx xxxxxxx zdokumentovaných x zavedených procesů x postupů, xxxxx xxxxxxxxx vedoucí pracovník. Xxxxx xxxxxx xxxxxxxxx xxxxxxxx, jak platební xxxxxxxxx xxxxxxxxx, sleduje x kontroluje xxx XXX systémy x XXX služby, xxx xxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx xxxxxxxx a xxxxxxxx, který xx xxxxxxx x obchodním xxxxxxxxx (xxxx jen "XXX xxxxxxx").
51. Xxxxxxxx xxxxxxxxx zajistí, xxx xxxxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx x xxxxxx provozními xxxxxxxxx. Xxxxxxxx instituce udržuje x pokud xxxxx xxxxxxx xxxxxxxx provozu x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxxxxx zvažování, xxx xxxxxxxxxxxxx xxxxx chyby xxxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxx.
52. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx, xxxxxxxxxx x opravovat xxxxx.
53. Platební xxxxxxxxx xxxxxxx xxxxxxxx soupis XXX xxxxx včetně xxxxxxxx zařízení x xxxxxxxx. Xxxxxx xxxxxx xxxxx uchovává xxxxxx xxxxxxxxxxx x xxxxx x xxxxxxxx závislosti xxxx xxxx pro xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxx xxxx.
54. Xxxxxx IKT xxxxx xx xxxxxxxxxx xxxxxxxx, xxx umožnil xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxx, xxxx umístění, xxxxxxxxxxxx xxxxxxxxxxx a xxxxx, xxxxx xx má x působnosti. Platební xxxxxxxxx má xxxxxxxxxxxxxx xxxxxxxx vazby mezi XXX xxxxxx xxxxx xxxxxxxxxx xxxxxxxx na xxxxxxxxxxxx a xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxxx xxxxx.
55. Xxxxxxxx instituce xxxxxxx x řídí xxxxxxx cykly IKT xxxxx, xxx zajistila, xx xxxx aktiva xxxxx i xxxxxx xxxxxxxx x podporovat xxxxxxxxx xxxxxxxx se xxxxxxxx xxxxxxxx i xxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, zda xxxx XXX xxxxxx xxxx xxxxxxxxxxx vývojáři x xxxxxxxxx poskytovateli x zda xxxx xxxxxxx xxxxxxxxx opravy x aktualizace xxxxxxxxx xx základě zdokumentovaných xxxxxxx. Platební instituce xxxxxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx ze xxxxxxxxxxx nebo nepodporovaných XXX aktiv.
56. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx plánování x xxxxxxxxx xxxxxxxxxx XXX xxxxxxx x xxxxxxxxx kapacity xxx, xxx xxxx předešla xxxxxxxx xxxxxxxxx s xxxxxx výkonností x xxxxxxxxxxx v xxxxxx xxxxxxxx, včas je xxxxxxxxxx a xxxxxxxxx xx ně.
57. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxxx zálohování x xxxxxx dat x XXX systémů, xxx tato xxxx x xxxxxxx byla xxxxxxx v xxxxxxx xxxxxxx obnovit. Xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx xxxxx požadavků xx obnovení činnosti x xxxxxxxxxxx dat x XXX xxxxxxx x xxxxxxx ji xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxx. Platební instituce xxxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxx xxx x XXX systémů.
58. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxx xxx x XXX systémů xxxx xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx od xxxxxxxxxx xxxxx tak, xxx xxxxxx vystaveny xxxxxxx xxxxxxx.
Xxxxxx xxxxxxxxx x xxxxxxxx v xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx
59. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx proces xxxxxx xxxxxxxxx x problémů xxx sledování x xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx incidentů x xxxxxxx informačních a xxxxxxxxxxxxx technologií, xxx xx nejdříve xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxx x xxxxxxx v případě xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx příslušná xxxxxxxx x xxxxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxx xxxx bezpečnostního xxxx xxxxxxxxxx incidentu a xxxxxxxxxx včasného varování, xxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx při xxx xxxxxxxxx xxxxxxxxxxx významných xxxxxxxxx podle Obecných xxxxxx Xxxxxxxxxx xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx incidentů xxxxx xxxxxxxx (EU) 2015/2366 x xxxxxxxxxx xxxxxxxx na xxxxxxxx xxxx (XXX2).
60. X xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje xxxxxx xxxxxxx x má xxxxxx xxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx, xxxxxx x návazné xxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx incidentů x xxxxxxxxx, xxx xxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxx hlavní xxxxxxx x xxxxxxxx výskytu xxxxxxxxxxx incidentů. Xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx zahrnují
a) postupy xxx xxxxxxxxxxxx, xxxxxx xxxxxxxxx, zaznamenávání, xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx xx xxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxx x xxxxxxxxxx xxx xxxxx xxxxxxx x xxxxxxx xxxx, xxxxxx, kybernetických xxxxx x xxxxxx incidentů,
c) xxxxxxx xxx identifikaci, xxxxxxx x řešení xxxxxx xxxxxxx jednoho xxxx více xxxxxxxxx, xxxxxxx platební xxxxxxxxx
1. xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxxx vlivem na xx, které byly xxxxxxxxxxxxxx xxxx xx xxxxxxxx xxxxxx xxxx xxx platební instituce,
2. xxxxxxxxxx xxxxxx xxxxxxxx x xxxxxx xxxxxx x odpovídajícím xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxx plány xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxx oznamování xxxxxxxxx x xxxxxx předání xx vyšší xxxxxx xxxxxx, zahrnující i xxxxxxxxx uživatelů xxxxxxxxxx xxxxxx související s xxxxxxxxxxx, xxxxxxx tyto xxxxxxx xxxxxxxxx, xx
1. xxxxxxxxx x potenciálně xxxxxx xxxxxxxxxxx xxxxxxx xx xxxxxxxx XXX xxxxxxx x XXX xxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx,
2. v xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxx, x xx xxxxxxx x dopadu, reakci x xxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxx xx incidenty xx xxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxx x xxxxxxxxx včasného xxxxxxxx činnosti a xxxxxxxxxxx služby,
f) xxxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxx kritické obchodní xxxxxx a xxxxxxx, xxxxx platební instituci xxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx zainteresovanými xxxxxxx xx xxxxxx účinné xxxxxx xx xxxxxxxx x obnovy xx xxxxxxxxx x xxxxxxxxxx xxxxxx informace uživatelům xxxxxxxxx služeb x xxxxx třetím xxxxxxx.
Xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
61. Xxxxxxxx instituce xxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxx x xxxxxx projektů, xxxxx xxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx xxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx x xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx jsou xxxxxxxxx x xxxxxxx xxxxxx, xxxxxxx, likvidace xxxx xxxxxxxx XXX xxxxxxx a IKT xxxxxx. Tyto projekty xxxxx xxx xxxxxxxx xxxxxxx xxxxxxxx transformace x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxx obchodní xxxxxxxx.
62. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxx vyplývající z xxxxxx portfolia xxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx také xxxxxx, která mohou xxxxxxxx ze vzájemných xxxxx xxxx různými xxxxxxxx x x xxxxx xxxx xxxxxxxx xx xxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx.
63. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxxxx xxxxxxxx xxxxxxx
x) xxxx xxxxxxxx,
x) role a xxxxxxxxxx x projektu,
c) xxxxxxxxxxx xxxxx projektu,
d) xxxx, xxxxxx xxxxx x xxxx xxxxxxxx,
x) xxxxxx xxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxx se xxxxxx změn.
64. Xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií zajišťuje, xxx požadavky xx xxxxxxxxxx informací xxxx xxxxxxxxxxx x schváleny xxxxxx, xxxxx je xxxxxxxxx xx xxxxxx xxxxxx.
65. Platební xxxxxxxxx xxxxxxx, xxx v xxxxxxxxxxx týmu xxxx xxxxxxxxxx xxxxxxx oblasti xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxx xxxx mít xxxxxxxx potřebné x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxx.
66. Xxxxxxx pracovník xx xxxxxxxxxx x xxxxxxxx, xxxxxxxx x xxxxxxx xxxxxxxx v oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x x xxxx xxxxxxxxxxxxx xxxxxxxx, x to xxxxxxxxxx xxxx xxxxxxxx za xxxxxxx xxxxxxxx, xxxxx xxxxxxx a xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx a xxxxx xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxxx instituce xxxxxxxx xxxxxx projektů xx svého systému xxxxxx xxxxx.
Xxxxxxxxxx x xxxxx IKT xxxxxxx
67. Xxxxxxxx xxxxxxxxx stanoví x uplatňuje xxxxxx xxx xxxxxxxx, xxxxx x xxxxxx XXX xxxxxxx. Xxxxxxxxx přitom xxxxxxxx xxxxxxxxxxx přístup.
68. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx nebo xxxxxx XXX xxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx požadavky, včetně xxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx.
69. Platební xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxx neúmyslné xxxx xxxxxxx xxxxx XXX xxxxxxx xxxxx xxxxxx x zavádění v xxxxxxxxxx xxxxxxxxx.
70. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxxx xxx xxxxxxxxx a xxxxxxxxxxx XXX xxxxxxx před xxxxxx prvním xxxxxxxx. Xxxx xxxxxxx zohledňují xxxxxxxxxx obchodních procesů x xxxxx. Xxxxxxxxx xxxxxxxxx, xxx xxxx XXX systémy xxxxxxxxx xxx, xxx bylo xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx používá xxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxxxxx.
71. Platební instituce xxxxxxx XXX systémy, XXX služby x xxxxxxxx xxx xxxxxxxxxx xxxxxxxxx tak, xxx xxxxxxxxxxxxxx možná xxxxx xxxxx, xxxxxxxx a xxxxxxxxx x xxxxxxx xxxxxxxxxxx.
72. Xxxxxxxx instituce xxxxxx samostatná prostředí xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx funkcí x xxxxxxx xxxxx xxxxxxxxxxx změn xx xxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx od xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x důvěrnost xxxxxxxxxxx dat x xxxxxxxxxxxxx prostředích. Xxxxxxx x xxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxxx.
73. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxx xxxx IKT systémů, xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxxxx, xxxxxx x xxxxxxxxxxx XXX xxxxxxx, aby xx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx v xxxx xxxxxxx. Xxxxxxxxxxx XXX xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx dokumentaci, dokumentaci xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx.
74. Xxxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxx x xxxxx XXX xxxxxxx xxxxxxxx xxxx XXX systémy xxxxxxxx xxxx řízené xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx mimo xxxxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx instituce xxxxxx xxxxxxx rizikově xxxxxxxxxxx přístup. Xxxxxxxx xxxxxxxxx vede evidenci xxxxxxxx, xxxxx podporují xxxxxxxx xxxxxxxx xxxxxx xxxx xxxxxxx.
Xxxxxx xxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
75. Xxxxxxxx instituce stanoví x xxxxxxxxx xxxxxx xxxxxx xxxx v xxxxxxx informačních x xxxxxxxxxxxxx technologií, xxx xxxxxxxxx, xx xxxxxxx xxxxx XXX systémů xxxx xxxxxxxxxxxxx, testovány, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx změny během xxxxxxxxxxx xxxxxxxx, zavedené xxx xxxxxxxxxx odkladu, xxxxx postupů, které xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx.
76. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, zda změny xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx vyžadují xxxxxxx dalších xxxxxxxx x xxxxxxx xxxxx. Xxxx xxxxx jsou x xxxxxxx x xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxxxx xxx řízení xxxx.
Xxxxxx xxxxxxxxxx činnosti
77. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje xxxxx xxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx x trvalého xxxxxxxxx xxxxxxxx xxxxxxxxx (xxxx xxx "xxxxxx kontinuity xxxxxxxx"), xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx služby x xxxxxxx ztráty x xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
78. X xxxxx xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx dopad xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxx své expozice xxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx xxxxxxx, včetně xxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, a xx xxxxxxxxxxxxx x xxxxxxxxxxxx. Xxxxxxx vnitřních údajů, xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxx obchodní xxxxxx, xxxxxxx dostupných xxxxx xxxx xxxxxx xxxxxxxx xxxxx, xxxxx xxxxx být z xxxxxxxx analýzy xxxxxx xx podnikatelskou činnost xxxxxxxxxx, x analýzu xxxxxxx. Xxxxxxxx instituce x analýze xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxx xxxxxxx kritičnost xxxxxxxxxxxxxxxx a klasifikovaných xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, xxxxxxx stran x xxxxxxxxxxxx xxxxx x xxxxxx xxxxxxxx xxxxx.
79. Platební xxxxxxxxx xxxxxxx, xxx xxxx XXX xxxxxxx x XXX xxxxxx byly xxxxxxxx a sladěny x její analýzou xxxxxx xx xxxxxxxxxxxxxx xxxxxxx, zejména xxx-xx x redundanci určitých xxxxxxxxxx xxxxxxxxx, xxx xx xxxxxxxx xxxxxxxx xxxxxxxxxxx událostmi, xxxxx xxxx na xxxx xxxxxx dopad.
80. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxx analýz dopadu xx podnikatelskou xxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, xxxxx jsou xxxxxxxxxxxxxx a xxxxxxxxx xxxxxxxx pracovníkem. Plány xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx rizika, xxxxx xx mohla xxx xxxxxxxxxx xxxxx xx XXX xxxxxxx x XXX xxxxxx. Xxxxx xxxxxxxxxx činnosti xxxxxxxxx xxxx týkající se xxxxxxx x v xxxxxxx xxxxxxx obnovy xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxx funkcí, xxxxxxxxxx procesů x xxxxxxxxxxxx xxxxx. Platební xxxxxxxxx xxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxx potřeby xxxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx x xx zainteresovanými třetími xxxxxxxx.
81. Platební instituce xx xxxxx kontinuity xxxxxxxx, xxx xxxxxxxxx, xx xxxx xxxx xxxxxxxxx reagovat xx xxxxxxxx xxxxxxx xxxxxxx x xx xxxx xxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx přerušení x rámci xxxxxxxxx xxxx, xxxxx xxx xxxx xxx xx xxxxxxxxx obnoven systém xxxx xxxxxx (dále xxx "xxxxxx doba xxxxxx") x x xxxxx maximální xxxxx, xxxxx xxx je xxxxxxxxxx xxxxxx dat x případě xxxxxxxxx (xxxx xxx "cílový xxx obnovy"). X xxxxxxx vážného xxxxxxxx xxxxxxxx, které aktivuje xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, platební xxxxxxxxx xxxxxxx přednost xxxxxxxx xxx xxxxxxxxxx xxxxxxxx xx základě rizikově xxxxxxxxxxxxx xxxxxxxx.
82. Platební xxxxxxxxx ve xxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxx xxxxx scénáře, xxxxxx méně pravděpodobných xxxxxxx xxxxxx, kterému xxxx xxx vystavena, x to xxxxxx xxxxxxx xxxxxxxxxxxxxx útoku. Xxxxxxxx xxxxxxxxx posuzuje xxxxx xxxxx naplnění xxxxxxxx scénářů. Xx xxxxxxx xxxxxx xxxxxxx xxxxxxxx instituce stanoví, xxx xx xxxx xxxxxxxxx xxxxxxxxxx XXX xxxxxxx x XXX xxxxxx, xxxxx x xxxxxxxxxx informací xxxxxxxx xxxxxxxxx.
83. Platební xxxxxxxxx xx xxxxxxx xxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx a věrohodných xxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx. Xxxx plány specifikují, xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxx xxxx xxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxx IKT xxxxxxx x XXX xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
84. Plány xxxxxx x xxxxxx zohledňují xxxxxxxxxx x dlouhodobé xxxxxxxx obnovy. Xxxx xxxxx xxxx
x) zaměřeny xx obnovu činnosti xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, informačních xxxxx a jejich xxxxxxxxxx vazeb, xxx xxxx zamezeno nepříznivým xxxxxxx na xxxxxxxxx xxxxxxxx instituce x xx xxxxxxxx xxxxxx, xxxxxx dopadů na xxxxxxxx systémy a xx xxxxxxxxx platebních xxxxxx, x xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx,
x) xxxx zdokumentovány x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx x jsou xxxxxx xxxxxxxx v xxxxxxx xxxxxxxxx situace,
c) xxxx xxxxxxxxxxxxx v xxxxxxx x poznatky xxxxxxxxx x incidentů, xxxxxxxxx, x nově identifikovanými xxxxxx či xxxxxxxx x se xxxxxxxxx xxxx a xxxxxxxxxx xxxxxx.
85. Xxxxx xxxxxx x obnovy xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx, kdy xxxxxx nemusí být x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx z xxxxxx xxxxxxx, xxxxx, xxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxx.
86. X xxxxx xxxxx xxxxxx x xxxxxx xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxxx xx zmírnění selhání xxxxxxxxx poskytovatelů, xxxxx xxxx xxxxxxx xxxxxx xxx kontinuitu IKT xxxxxx xxxxxxxx instituce, x xx přiměřeně x xxxxxxx x Xxxxxxxx xxxxxx x xxxxxxxxxxxx vydanými Evropským xxxxxxx xxx xxxxxxxxxxxx.
87. Xxxxxxxx instituce xxxxx xxxxxxxxxx činnosti xxxxxxxxxx xxxxxxx. Xxxxxxx xxxxxxx, xxx plány xxxxxxxxxx xxxxxxxx jejích kritických xxxxxxxxxx funkcí, podpůrných xxxxxxx, xxxxxxxxxxxx aktiv x jejich xxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxx, procesů x xxxxx, které xxxxxxxx xxxxxxxx xxxxx strany, xxxx xxxxxxxxx xxxxxxx xxxxxx ročně.
88. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx plánů kontinuity xxxxxxxx xxxxxxx xxxxxx xxxxx na základě xxxxxxxx testování, xxxxxxxxxx xxxxxxxxx x hrozbách x xxxxxxxxxx získaných x xxxxxxxxxxx xxxxxxxx. Xxxxxxxx změny xxxx xxxxxx, xxxxxx xxxx xxxxxx doby obnovy x cílového xxxx xxxxxx, nebo xxxxx xxxxxxxxxx xxxxxx, podpůrných xxxxxxx a xxxxxxxxxxxx xxxxx xxxx náležitě xxxxxxxxxx jako xxxxx xx aktualizace plánů xxxxxxxxxx xxxxxxxx.
89. Xxxxxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxxx xxxxxxxxx prokáže, xx je schopna xxxxxxxx xxx xxxxxxxx xx xxxx xxxxxx xxxxxxxx operace. Platební xxxxxxxxx xxxxxxx
x) xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx pravděpodobných xxxxxxx, včetně xxxxxxx xxxxxxxxxxx xxx xxxxx xxxxx xxxxxxxxxx xxxxxxxx, x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx třetími xxxxxxxx; xxxxxxxx je xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxx xxxxxx xx xxxxxxx x prokázání xxxx, xx xx lze xxxxx xxxxxxxxxx xx xxxxxxxxxx časové xxxxxx x xxxx lze xxxxxxx obvyklou xxxxxxx,
x) xxxxxxxx testování xxx, xxx xxxxxxxxx xxxxxxxxxxx, xx xxxxx xxxx xxxxxxxx xxxxx kontinuity xxxxxxxx, xxxxxx systémů xxxxxx a řízení x plánů xxxxxxx xxxxxxxxxx, x
x) xxxxxxxx xxxxxxx k xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxx poskytovatelů, XXX xxxxxxx a IKT xxxxxx provozovaných xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xx scénáře xxxxx xxxxxxx x).
90. Platební xxxxxxxxx zajistí, že xxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxx xxxx xxxxxxxxxxx, xxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
91. Xxx případy narušení xxxx xxxxxxxxx situace x xxxxx xxxxxxxxx xxxxx xxxxxxxxxx činnosti xxxxxxxx xxxxxxxxx zajistí, xxx byla xxxxxxxxx x uplatňována xxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxx krize, xxx xxxx xxxx x xxxxxxx způsobem xxxxxxxxxxx xxxxxxx xxxxxxxxx osoby xxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxx platebních xxxxxx x xxxx xxxxxxxxxxxxxx xxxxx xxxxxx, včetně xxxxxxxxxxx vnitrostátních orgánů, xxxxx xx vyžadují xxxxxx xxxxxxxx, a xxxxxxxxx externí xxxxxxxxxxxxx.
Xxxxxx xxxxxx x uživateli xxxxxxxxxx xxxxxx
92. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx uživatelů xxxxxxxxxx služeb x xxxxxxxxxxxxxx rizicích xxxxxxxxx x platebními xxxxxxxx, x to xxxxxxxxxxxxxxx xxxxxxxxxxxx služeb a xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx služeb.
93. Xxxxxxxx xxxxxxxxx zajistí, že xxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxx uživatelům xxxxxxxxxx xxxxxx xxxx xxxxxxxxxxxxx x xxxxxxx xx xxxx xxxxxx x zranitelnosti x xxxxxxxxx xxxxxxxxxx xxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxxxx.
94. Xxxxxxxx-xx xx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx platebních služeb xxxxxxxxxxx konkrétní platební xxxxxx, xxxxx xxxxxxx x xxxxxxxxxx službami xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.
95. Pokud xx xxxxxxxx xxxxxxxxx dohodla x xxxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxx §163 zákona, xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx tento xxxxxxxxx xxxxxxxxx limit xxxxxxx.
96. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx x xxx jim xxxxxxxx xxxxxxx podvodné xxxx xxxxxxxxxxx používání jejich xxxx.
97. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx o xxxxxxxxxx xxxxxxx bezpečnostních postupů, xxxxx xxxx xxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx uživateli xxxxxxxxxx xxxxxx.
98. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxx platebních xxxxxx xxxxx v xxxxxxx xxxxxxxxxx dotazu, xxxxxxx x xxxxxxx x oznámení xxxxxxxx xxxx potíží týkajících xx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx se xxxxxxxx xx platební xxxxxx. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx x tom, xxx mohou xxxx xxxxx xxxxxx.".
Xx. XX
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem 1. xxxxxxxx 2022.
Guvernér:
Ing. Xxxxxx x. r.
Xxxxxxxxx
Xxxxxx předpis x. 2/2022 Xx. nabyl xxxxxxxxx xxxx 1.7.2022.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů x odkazech není xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.