Právní předpis byl sestaven k datu 27.01.2026.
Zobrazené znění právního předpisu je účinné od 01.07.2022.
Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
2/2022 Sb.
Účinnost Čl. II
2
VYHLÁŠKA
ze dne 22. xxxxxxxx 2021,
xxxxxx se xxxx xxxxxxxx č. 7/2018 Xx., x xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx informací x xxxxxxxxx xxxx, xxxxxxxxxxxxx xxxxxxxxxx xxxxxx malého xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x vydavatele xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx
&xxxx;
Xxxxx xxxxxxx banka xxxxxxx podle §263 xxxxxx x. 370/2017 Xx., x platebním xxxxx, x xxxxxxxxx §16 xxxx. 5, §17 xxxx. 3, §20 xxxx. 4, §46 odst. 2, §48 odst. 4, §59 odst. 4, §65x xxxx. 2, §74 odst. 6, §75 xxxx. 3, §78 xxxx. 4 x §100 xxxx. 4 tohoto zákona:
Xx. X
Xxxxxxxx č. 7/2018 Sb., x některých xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx informací x xxxxxxxxx xxxx, xxxxxxxxxxxxx platebních xxxxxx xxxxxx xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx rozsahu, xx xxxx xxxxx:
1. §1 xxxxxx nadpisu a xxxxxxxx xxx xxxxx x. 1 xxx:
"§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx předpisy Xxxxxxxx xxxx1) x upravuje
a) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx x kontrolní xxxxxx xxxxxxxx instituce, xxxxxxxxx xxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxxx x xxxxxxxxx účtu,
b) xxxxxx xxxxxx požadavků xx xxxxxx xxxxxx xxxxxxxxxxxxxx x provozních xxxxx x systém vyřizování xxxxxxxxx a xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx rozsahu x xxxxxxxxxx xxxxxxxxxxxxxx xxxxx malého xxxxxxx,
x) xxxxxxxx xxx xxxxxxx xxxx xxxxxxxx x xxxxxxxxxx přiměřenosti xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xx xxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxx limit xxxxxxxxxx xxxxxx x xxxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxxxx zajištění xxx platební xxxxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx peněz x správce xxxxxxxxx x platebním účtu.
1) Xx. 4 bod 46, xx. 8 xxxx. 2, čl. 9, xx. 9 xxxx. 1 /xxxx/ x čl. 9 xxxx. 2 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx (XX) 2015/2366 xx xxx 25. xxxxxxxxx 2015 o xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx, xxxxxx xx xxxx xxxxxxxx 2002/65/XX, 2009/110/XX a 2013/36/XX a xxxxxxxx (XX) x. 1093/2010 x xxxxxxx xxxxxxxx 2007/64/XX.
Xx. 5 odst. 2, čl. 5 xxxx. 3, xx. 5 xxxx. 4 x xx. 5 xxxx. 6 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx 2009/110/XX xx xxx 16. září 2009 x xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx, x xxxxx xxxxxx x x obezřetnostním dohledu xxx xxxxx činností, x změně směrnic 2005/60/XX a 2006/48/ES x x xxxxxxx xxxxxxxx 2000/46/XX.".
2. Xxxx xxxxx včetně xxxxxxx xxx:
"XXXX XXXXX
XXXXXX XXXXXX XXXXXXXXX POŽADAVKŮ
HLAVA X
XXXXXX XXXXXX XXXXXXXXX XXXXXXXXX XX XXXXXX A XXXXXXXXX SYSTÉM XXXXXXXX XXXXXXXXX
(X §20 xxxx. 4 zákona)
§2
Vnitřní předpisy
(1) Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx na xxxxxx a kontrolní xxxxxx a postupy x jejich naplňování xx xxxxx xxxxxxxxx xxxxxxxx, xxxxxxx xx xxxxxx strategie, xxxxxxxxxxx xxx, xxxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxx pro xxxxxxxxx a změny xxxxxxxxx xxxxxxxx a xxxxxxx, xxx vnitřní xxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx a případně xxxxxxxxxx.
(3) Xxxxxxxx instituce xxxxxxx, xxx xxxxxxx xxxxxxxx xxxx v xxxxxxx x údaji xxxxxxxxx v žádosti x udělení povolení x xxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxx xxxxxxxxx, xx jejichž xxxxxxx xxxx povolení x činnosti xxxxxxx, xxxxxxxx xxxxxxxxx podle §11 zákona.
(4) Platební xxxxxxxxx zohlední xx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx xxxxxx Evropským orgánem xxx xxxxxxxxxxxx, Xxxxxxxxx xxxxxxx pro cenné xxxxxx a xxxx, Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x zaměstnanecké xxxxxxxx xxxxxxxxx nebo Xxxxxxxxx výborem xxxxxxxxxx xxxxxx xxxxxxx a xxxxxx poskytovatelům platebních xxxxxx.
(5) Xxxxxxxx xxxxxxxxx xxxxxxx, xxx všichni xxxxxxxxxx xxxx x xxxxxxxxxxx vnitřními xxxxxxxx x xxxxxx případnými xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxx x xxxxxxx x xxxx.
§3
Xxxxxxxxxxx a xxxxxxxxxxx xxxxxxx
Xxxxxxxx instituce xxxxxxx, aby byla xxxxxxxxxxxx stanovena xxxxxxxxx xx schvalování a xxxxxxxxxxxx dokumentů v xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx x aby xxxxxxx xxxxxxxxxx xxxxxxxxxxx x rozhodovací xxxxxxx x kontrolní činnosti xxxxxx souvisejících působností x xxxxxxxxx v xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx předpisů xxxx xxxxx zaznamenávat, uchovávat x xxxxxx xxxxxxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxxxxx xxxxxx xxxx xxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxx
(1) Xxxxxxxx xxxxxxxxx zavede x xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx, xxxxxxxx pro xxxxxxxx xxxxxx rizik x xxxxxxxxx mechanismy. Platební xxxxxxxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx, a xx x xxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx incidentů.
(2) Xxxxxxxx xxxxxxxxx x rámci xxxxxxx xxxxxx bezpečnostních x provozních xxxxx xxxx vždy xxxx xxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxxx ztráty x xxxxxxxx xxxxxxxx xxxxxxxxxx xxx, xxxxxxxxx systémů x xxx xxxx xxxxxxxxxxx xxxxxxx x xxx xxxx x xxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxx v xxxxxxxxxx xxxx x x xxxxxxxxxxx xxxxxxx, xxxxx xx xxxx xxxxxxxxx xxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxxx xxxx selhání xxxxxxxxx procesů xxxx x xxxxxxxx událostí xxxxxx kybernetických xxxxx xxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx.
(3) Xxxxxxxxxxx x xxxxxx xxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, kterým xxxxxxxx xxxxxxxxx xx xxxx xx mohla xxx vystavena x xxxxxxxxxxx x xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxx uvedeny v xxxxxxx x xxxx xxxxxxxx.
(4) Platební xxxxxxxxx xxxxxxxxx politiku bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx a xxxxxxxx xx xxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxx x xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx služeb. Xxxxxxxx xxxxxxxxx xxxxxx xx svých xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxxxx x xxxxxx xxxxx xxxxx xxxxxxx x této xxxxxxxx.
§5
Xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx
(1) Platební instituce xxxxxx a uplatňuje xxxxxxx xxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx platebních xxxxxx, xxxxx
x) xxxx xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, přičemž xxxx xxxxx xxxx průběžně xxxxxxxxxx jejich xxxxxxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxx předpisu,
c) xxxxxxxx xxxxxx xxxxx prošetřování x xxxxxxxxx identifikaci x zmírňování možných xxxxxx zájmů xxx xxxxxxxxx x nimi.
(2) Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx v souladu xx xxxxxxxxxxx lhůtami xxxxxxxxx x xxxxxxxxx x xxxxxxxxx x xxxx, x xx xxxxxxxx splňujícím xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxxx xxxxxxxxx nastaví xxxxxx pro xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxx, že jí xxxxxxxx xxxxxxxxxx xxx xxxxxxxxxx xxxxxxx Xxxxx xxxxxxx xxxxx na xxxxxxxx xxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx x o xxxxxxxxx x xxxx včetně xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxx analyzuje xxxxx x xxxxxxxxxxx x xxxxxxxxxxx x výsledcích xxxxxx xxxxxxxx x xxxxx xxxxxxxxxx identifikaci x xxxxxx případných xxxxxxxxxxx nedostatků a xxxxxxx xxxxx, xxxxxxx
x) xxxxxxxxx xxxxxx jednotlivých xxxxxxxxx a xxxxxxxxx x xxxxxxxxxxxx hlavní xxxxxxx jednotlivých druhů xxxxxxxxx x xxxxxxxxx,
x) xxxxxxxx, xxx identifikované xxxxxx xxxxxxx mohou xxxxxxxx i xxxx xxxxxxx, xxxxxx xxxx xxxxxxxx, včetně xxxx, xxxxxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx,
x) x xxxxxxx xxxxxxxxxxx nedostatků xxxx xxxxxxx xxxxxxxxxx identifikovaných xxxxxx stížností x xxxxxxxxx.
(5) Xxxxxxxx instituce
a) xxxxxxxx uživateli platebních xxxxxx xx požádání x xxxx x xxxxxxxxxxx s potvrzením xxxxxxx xxxxxxxxx xxxx xxxxxxxxx písemnou xxxxxxxxx x svém xxxxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, x to x xxxxxx xxxxxx xxxx x xxxxx xxxxxx, xxxxx xx xx něm x xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx,
x) xxxxxxxxxx uživatelům xxxxxxxxxx xxxxxx x xxxxxxxxxx informace xxxxx xxxxxxx c) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx platebních služeb xxxx jiným způsobem xxxxxxxxxx x xxxxxxxxx xxxxxxxxxx služeb ve xxxxx obchodních prostorách, x xx-xx xxxxxxx xxxxxxxxxxx xxxxxxx, xxxx xx nich, x xx alespoň v xxxxxx jazyce,
c) xxxxxxxxx xxxxxxxxxxxx, přesné x xxxxxxxx informace o xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx, xxxxx xxxxxxxx
1. podrobné údaje x xxx, xxx xxxxxxxx xxxx xxxxxxxxx xxxxx, xxxxxxx druh xxxxxxxxx, xxxxx musí xxxxxxxx xxxxxxxxxx služeb xxxxx, x xxxxxxxxx xxxxx xxxxx xxxx xxxxxx platební instituce, xxxxxx xx xxx xxxxxxxx xxxx reklamace xxxxxxx,
2. xxxxxxxxx x xxxxx, xx které xxxx uživatel xxxxxxxxxx xxxxxx vyrozuměn o xxxxxxxx stížnosti, x x xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx,
3. podstatné průběžné xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx,
4. xxxxxxxxx x kontaktních xxxxxxx Xxxxx xxxxxxx xxxxx, Xxxxxxxxx finančního xxxxxxx a Kanceláře xxxxxxxxx ochránce xxxx.
(6) Xxxxxxxx xxxxxxxxx
x) vyvine xxxxx, xxxxx xxx xx ní xxxxxxx xxxxxxxxx, xxx získala x xxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxx a xxxxxxxxx xxxxxxxx xx xxxx xxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx služeb xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx,
x) poskytuje xxxxxxxx xxx xxxxxxxxxx xxxxxxx x xxxxxxxxxx xx xxxxxxx xxxxx §258 xxxxxx; xxxxxx-xx xxxx xxxxx xxxxxxx, informuje xxxxxxxxx xxxxxxxxxx xxxxxx x důvodech prodlení x xxxxxxx, kdy xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx dokončeno,
d) xxx xxxxxxx xxxxxxxxxx, xxxxx plně xxxxxxxxxx xxxxxxxxxx xxxxxxxxx platebních xxxxxx, x xxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx reklamace x xxxxx xxxxxxxxx x xxxxxxxx uživatele xxxxxxxxxx xxxxxx xx xxxxxxxxx nebo xxxxxxxxx xxxxx x xxxxxxx xx na Kancelář xxxxxxxxxx xxxxxxx, Xxxxxx xxxxxxx xxxxx x xx xxxxxx xxxxx xx rovné zacházení x xxxxxxx xxxx xxxxxxxxxxxx xx Xxxxxxxx xxxxxxxxx ochránce xxxx, xxxxxxx xxxxxxxx jsou xxxxxxxxx xxxxx xxxxxx xxxxxx, nebo xx xxxx.
XXXXX II
ZPŮSOB XXXXXX XXXXXXXXX XXXXXXXXX NA XXXXXX X XXXXXXXXX XXXXXX XXXXXXXXX ELEKTRONICKÝCH XXXXX
(X §78 xxxx. 4 xxxxxx)
§6
&xxxx;Xxx instituci xxxxxxxxxxxxxx xxxxx xx xxxxxxx §2 až 5 xxxxxxx.
XXXXX XXX
XXXXXX XXXXXX NĚKTERÝCH XXXXXXXXX XX XXXXXX A XXXXXXXXX XXXXXX XXXXXXX XXXXXXXXX O PLATEBNÍM XXXX
(X §48 xxxx. 4 zákona)
§7
(1) Pro xxxxxxx xxxxxxxxx x xxxxxxxxx účtu xx xxxxxxx §2 x 3 obdobně.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rizik xxxxxxxxx xxxxxxx xxxxxxxxx x platebním xxxx xxxxxxx podle §4.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx stížností x xxxxxxxxx postupuje xxxxxxx informací x xxxxxxxxx xxxx obdobně xxxxx §5.
HLAVA IV
ZPŮSOB XXXXXX POŽADAVKŮ XX XXXXXX XXXXXX BEZPEČNOSTNÍCH X XXXXXXXXXX XXXXX X XXXXXX XXXXXXXXXX XXXXXXXXX X XXXXXXXXX X XXXXXXXXXXXXX PLATEBNÍCH XXXXXX XXXXXX XXXXXXX
(X §59 xxxx. 4 xxxxxx)
§8
(1) Xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxxx požadavky stanovené xx xxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx a systém xxxxxxxxxx stížností x xxxxxxxxx xx xxxxx xxxxxxxxx předpisů a xxx naplňování xxxxxxxxx xx xxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxx řízení xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx služeb malého xxxxxxx xxxxxxx xxxxx §3.
(3) Pro naplňování xxxxxxxxx xx xxxxxx xxxxxx bezpečnostních x xxxxxxxxxx rizik souvisejících x xxxxxxxxxxxx platebních xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx služeb xxxxxx xxxxxxx obdobně podle §4.
(4) Xxx naplňování xxxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx poskytovatel xxxxxxxxxx služeb malého xxxxxxx xxxxxxx xxxxx §5.
XXXXX V
ZPŮSOB PLNĚNÍ XXXXXXXXX XX XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX RIZIK A XXXXXX VYŘIZOVÁNÍ XXXXXXXXX X XXXXXXXXX X XXXXXXXXXX XXXXXXXXXXXXXX XXXXX XXXXXX ROZSAHU
(K §100 xxxx. 4 zákona)
§9
(1) Xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rizik x xxxxxx vyřizování xxxxxxxxx a reklamací xx svých xxxxxxxxx xxxxxxxx x pro xxxxxxxxxx xxxxxxxxx na xxxx xxxxxxx xxxxxxxx xxxxxxxxx obdobně podle §2 xxxx. 2 xx 5.
(2) Pro xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxx se xxxxxxx xxxxxx xxxxxxxxxxxxxx x provozních rizik x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx xxxxx xxxxxx rozsahu xxxxxxx xxxxx §3.
(3) Xxx xxxxxxxxxx požadavků xx xxxxxx řízení xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxx stížností x xxxxxxxxx postupuje vydavatel xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §5.".
Xxxxxxxx xxx xxxxx x. 2 xx 4 xx zrušují.
3. X §27 odstavec 4 xxx:
"(4) Xxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx, x xxxxxxx xxxxxx xx xxxxxxxxx xx xxxxxxx xxxxxxxx uděleného xxxxx zákona, (xxxx xxx "xxxxxxxx xxxxxxxx xxxxxxxxx") xxxxx xx xxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx xx xxxxxxx nebo xxxxxx xxxxx, xxxxx xxxx xxxxxxx xxx xxxxx jiných činností, xxx jsou činnosti, x xxxxxxx výkonu xx xxxxxxxxx na xxxxxxx povolení xxxxxxxxx xxxxx xxxxxx.".
4. V §34 se xxxxxx xxxx xxxxxxxx 1, xxxxx zní:
"(1) Xxxxxxx xx xxxxxxxx xxxxxxx xxxx xxxxxxx xxxxx xx. 4 xxxx. 1 bodu 118 xxxxxxxx.".
Xxxxxxxxx xxxxxxxx 1 xx 5 se xxxxxxxx xxxx xxxxxxxx 2 až 6.
5. X §34 xxxxxxxx 4 xxx:
"(4) Instituce xxxxxxxxxxxxxx xxxxx, xxxxx xxxxxxxx i xxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx, k jejímuž xxxxxx je xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx podle xxxxxx, xxxxx xx kapitálu xxxxxxxx xxxxx odstavce 1 xxxxxxxx xx xxxxxxx xxxx xxxxxx xxxxx, které xxxx xxxxxxx xxx výkon xxxxxx xxxxxxxx, xxx xxxx činnosti, x xxxxxxx xxxxxx je xxxxxxxxx xx základě xxxxxxxx xxxxxxxxx xxxxx xxxxxx.".
&xxxx;6. Xxxxxxxx xx xxxxxxx, xxxxx xxx:
"Xxxxxxx x xxxxxxxx x. 7/2018 Sb.
Podrobnosti x xxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx
Xxxxxxxxxxx
1. Platební xxxxxxxxx xxxxxxxx xxxxxxxxx na xxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií a xxxxxxxxxxx (dále xxx "xxxxxx XXX a xxxxxxxxxxx") xxxxxxxx, xxxxx xx xxxxxxxxx velikosti xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxx, rozsahu, xxxxxxxxxx x rizikovosti xxxxxx x xxxxxxxx, které xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxxxxx.
Xxxxxxxxxxx x operativní xxxxxx, xxxxxxxxxxx xxxxxxxxxx
2. Xxxxx, xxxxx skutečně řídí xxxxxxx platební xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx (xxxx xxx "xxxxxxx xxxxxxxxx") xxxxxxx, xxx xxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxx x xxxxxxx xxxxxxxx xxx xxxxxx XXX x bezpečnosti. Xxxxxxx xxxxxxxxx srozumitelně vymezí xxxx x xxxxxxxxxx xxx xxxxxx v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxx XXX x xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a plynulého xxxxxx xxxxxxxx a xxxxxxxx fungování platební xxxxxxxxx, x xx x xxx xxxx.
3. Xxxxxxx xxxxxxxxx zajistí, xxx počet xxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxx způsobilost x xxxxxxxxxx xxxx xxxxxxxxx pro xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, řízení xxxxx XXX x xxxxxxxxxxx x pro xxxxxxxxx xxxxxxxxx její xxxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx technologií x xxx xxxx xxxxxxxxx xxxxxxxxx rozpočet. Xxxxxxxx xxxxxxxxx zajistí, xxx všichni pracovníci xxxxxxx jednou xxxxx xxxxxxxxxxx vhodné xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx xx xxxxxx XXX a xxxxxxxxxxx, xxxxxx bezpečnosti xxxxxxxxx (xxx 49).
4. X xxxxxxxxxx xxxxxxxxx pracovníka xx stanovení x xxxxxxxxxxx xxxxxxxxx platební xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx v xxxxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, dohled xxx xxxxxxxxxxxx xxxx strategie x xxxxxxxxx xxxxxxxx xxxxx xxxxxx rizik XXX a xxxxxxxxxxx.
5. Xxxxxxxxx v oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx xx x xxxxxxx x xxxxxxxx xxxxxxxxx platební xxxxxxxxx x xxxxxxxx
x) xxx xx xx xxxx xxxxxxxxxx x komunikační xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, včetně xxxxxxxx vývoje xxxxxxxxxxxxx xxxxxxxxxx, xxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií (xxxx xxx "XXX xxxxxxx") x klíčových vztahů xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) xxxxxxxxxx strategii x xxxxx xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx se xxxxxxxxx xx IKT xxxxxxx x xxxxxx, pracovníky x procesy v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.
6. Platební xxxxxxxxx xxxxxxx soubory xxxxxxx plánů, xxxxx xxxxxxxx xxxxxxxx xxxxx x xxxxxxxx strategie x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. X xxxxxx xxxxx xxxx xxxxxxxxx všichni xxxxxxxxx xxxxxxxxxx a xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxxxxx, kterými xx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx, poskytovatelé v xxxxx xxxxxxx, jejímž xx platební xxxxxxxxx xxxxxx, xxxx xxxx xxxxxxx xxxxxxxxxxxxx (xxxx xxx "externí xxxxxxxxxxxxx"), xxxxx xxxx xxx xx xxxxxxxxxx x xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxx relevanci x xxxxxxxx. Xxxxxxxx xxxxxxxxx zavede procesy xx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx strategie x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx.
7. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxx ke xxxxxxxx xxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxx xxxxx jsou xxxxxx x x případě, xx jakékoli xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx nebo IKT xxxxxxx xx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "XXX xxxxxx") xxxx xxxxxxxxxxx xxxxxxx.
8. Xxx xxxxxxx xxxxxxxxx XXX xxxxxxx x XXX xxxxxx xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxx x xxxxxxx ujednání x xxxxxx xxxxxx xx xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx
x) xxxx a xxxxxxxx související x xxxxxxxxxxx informací xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxx; x xxx xxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx bezpečnost, xxxxxxxxxxx xxxxxxxxx cyklu xxx xxxxxxxx instituce, xxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxxx xxx, xxxxxxx xxxxxxxxxxx xxxx x sledování xxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx,
x) provozní xxxxxxx x postupy xxx xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx řady xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx, která xx xxxx xxxxxxxxxxxxx xxxx xxx xxxxxxxxxx xxxxx xx xxxxxxxxx, dostupnost, xxxxxxxxx xxxx autenticitu xxxxxx (xxxx xxx "xxxxxxxxxxxx x xxxxxxxx xxxxxxxx"), xxxxxx předávání xx vyšší xxxxxx xxxxxx a podávání xxxxx.
9. Platební instituce xxxxxxx a ujišťuje xx, xx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx bezpečnostních xxxx, xxxxxxxx x provozních xxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxxxxx xxxxxxxxx.
Xxxxxx xxxxxx rizik XXX x bezpečnosti
10. Xxxxxxxx xxxxxxxxx rozpoznává x xxxx xxxxxx IKT x xxxxxxxxxxx, kterým xx nebo xx xxxxx být xxxxxxxxx x souvislosti s xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx. Xxxxxxxxx xxx xxx postupy a xxxxxxxx, které zajišťují, xx xxxxxxx tato xxxxxx xxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, měřena, sledována, xxxxxxxxxx x omezována x xxxxxxx se xxxxxxxxxx xxxxx xxxxxx xxxxxxxx instituce xxxxxxxxxxx x xxxxx xxxxxxx, x realizované xxxxxxxx x xxxxxxx a xxxxxxxxx xxxxxxxx xxxx x xxxxxxx s xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx platební xxxxxxxxx x xxxxxxxxx stanovenými xxxxxxxx předpisy nebo xxxxxxxxxx x nápravě xxxxxxxxx Českou xxxxxxx xxxxxx.
11. Platební xxxxxxxxx xxxxx xxxxxxxxx xx xxxxxx rizik IKT x xxxxxxxxxxx x xx dohled xxx xxxxxx xxxxxx xxxxxxxxx xxxxxx. Platební xxxxxxxxx xxxxxxx nezávislost x xxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxx, xx xx vhodným způsobem xxxxxx od xxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxx xxxxxxxxx xxxxxx je přímo xxxxxxxxx vedoucímu pracovníkovi x x xxxx xxxxxxxxxx je sledování x xxxxxxxx systému xxxxxx rizik IKT x xxxxxxxxxxx. Zajišťuje xxxxxx, aby xxxxxx XXX a bezpečnosti xxxx xxxxxxxxxxxx, vyhodnocována, xxxxxx, xxxxxxxxx a xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx tato xxxxxxxxx xxxxxx neměla x působnosti žádný xxxxxxx xxxxx.
12. K xxxxxxxxx účinného xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxx x povinnosti, xxxxxxxxx hierarchické xxxxxx x x xxxx xxxxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxx xxxxx XXX x xxxxxxxxxxx xx xxxx xxxxxxxxxxx xx xxxxxxx řízení xxxxx xxxxxxxx instituce, xxxxxx xxxxxxxxx efektivnosti x xxxxxxxxxxxxxx xxxxx x xxxxx tohoto xxxxxxx x xx x xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxx.
13. Xxxxxx xxxxxx xxxxx IKT x xxxxxxxxxxx xxxxxxxx xxxxxxx xxx
x) xxxxxx míry xxxxxx platební instituce xxxxxxxxxxx x xxxxx xxxxxxx v xxxxxxx x mírou xxxxxx xxxxxxxx instituce xxxxxxxxxxx x xxxxxxx,
x) xxxxxxxxxxxx x vyhodnocování těchto xxxxx, xxxxxx je xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx vedoucích x xxxxxxx výskytu xxxx dopadu xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxx oznámených bezpečnostních x xxxxxxxxxx xxxxxxxxx x xxxxxxx platebního xxxxx, včetně xxxxxxxxx xxxxx §221 zákona, xxxxx xxxx xxxxx xx činnosti související x informačními a xxxxxxxxxxxxx xxxxxxxxxxxxx, x x případě xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxx xxxxx a xxxxxxxx xxxxxxxxx pracovníkovi,
f) xxxxxxxxxx a vyhodnocování xxxxxx xxxxx vyplývajících x jakékoli xxxxxxxx xxxxx x XXX xxxxxxxxx a XXX xxxxxxxx, xxxxxxxxx xx xxxxxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxx incident.
14. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxx řízení xxxxx XXX x xxxxxxxxxxx xxx xxxxx zdokumentován x soustavně zdokonalován xx xxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxx xxxxxx ročně xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx systému řízení xxxxx XXX x xxxxxxxxxxx.
15. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxxx funkce, xxxx x xxxxxxxx xxxxxxx x hlediska xxxxxx xxxxxxx x vzájemných xxxxx x xxxxxxxxxxx x xxxxxx XXX x xxxxxxxxxxx.
16. Xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx, které xx xxxxx xxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxxx"), xxxxxxxxxxx xxxxxxxx xxxxxx a xxxxxxxx xxxxxxx a xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxx její xxxxxxxx obchodní funkce x xxxxxxx.
17. Platební xxxxxxxxx klasifikuje identifikované xxxxxxxx xxxxxx, podpůrné xxxxxxx x xxxxxxxxxx xxxxxx xxxxx xxxx 15 a 16 x xxxxxxxx xxxxxx xxxxxxxxxxx.
18. Xx xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx procesů a xxxxxxxxxxxx xxxxx platební xxxxxxxxx zvažuje xxxxxxx xxxxxxxxx týkající se xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx. Platební xxxxxxxxx xxxxxxxxxxxx vymezí xxxxxxxxxx x odpovědnosti xxxxxxxx xx informačních aktiv.
19. Xxxxxxxx instituce xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx x příslušné xxxxxxxxxxx vždy, když xxxxxxx xxxxxxxxxxx xxxxx.
20. Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx XXX a xxxxxxxxxxx, xxxxx mají xxxxx xx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxx, podpůrné xxxxxxx x xxxxxxxxxx aktiva, x to xxxxx xxxxxx kritičnosti. Toto xxxxxxxxxxxxx xxxxx xxxxxxx, xxxxxx xxxxxxxxxxxxxx, xxxxxxx xxxxxx xxxxx x xxxx xxx všech xxxxxxx xxxxxxx xxxxxxxxxxxxxx, xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx procesy nebo xxxxxxxxxxxx aktiva. Xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
21. Xxxxxxxx xxxxxxxxx průběžně sleduje xxxxxx x zranitelnost xxxxxxxx xxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x informační xxxxxx x pravidelně xxxxxxxxxxx xxxxxxx rizik, xxxxx xx ně xxxx xxxxx.
22. Na základě xxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx určí xxxxxxxx xxxxxxx k xxxxxxx xxxxxxxxxxxx rizik XXX x xxxxxxxxxxx na xxxxxx odpovídající míře xxxxxx xxxxxxxx instituce xxxxxxxxxxx x xxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxx, xxx xxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxx, IKT xxxxxxx x XXX xxxxxx. Xxxxxxxx xxxxxxxxx xxxxx xxx potřebný x xxxxxxxxx xxxxxx xxxx x čas na xxxxxxx xxxxxxxxxxx prozatímních xxxxxxxx vedoucích x xxxxxxx xxxxx XXX x bezpečnosti x xxxx ochoty xxxxxxxx xxxxxxxxx x xxxxx xxxxxxx přistupovat.
23. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x omezení xxxxxxxxxxxx xxxxx IKT x xxxxxxxxxxx x x ochraně xxxxxxxxxxxx xxxxx x xxxxxxx x jejich xxxxxxxxxxx.
24. Xxxxxxxx instituce zajistí, xx výsledky vyhodnocování xxxxx xxxx srozumitelně x xxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
Xxxxxxx audit x xxxxxxx xxxxx XXX x xxxxxxxxxxx
25. Xxxxxx vnitřního xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxx s xxxxxxxxxxxx x komunikačními xxxxxxxxxxxxx x bezpečností xx xxxxxxxx x xxxxxxx xxxxxxxx instituce x x externími požadavky, xxxxxxxxxxx, xxx xxxx xxxxxx a xxxxxxx xxxx v dotčených xxxxxxxx xxxxxxxxxx, x xxxxxxxxx x tom xxxxxxxxxx xxxxxxxxx ujištění. Xxxxxx xxxxxxxxx auditu, xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx interně nebo xxxxxxx, xxxxxxxxxx poskytuje xxxxxxxxx xxxxxxxxxxxx nezávislé xxxxxxxx o účinnosti xxxxxxx xxxxxx xxxxx XXX x bezpečnosti. Xxxxxxxxxx, xxxxx zajišťují xxxxxx xxxxxxxxx xxxxxx, xxxx xxxxxxx způsobilí x xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxx IKT x xxxxxxxxxxx, xxxxxx a xxxx x xxxxx xxxxxxxx instituce xxxx xx dotčené xxxxxxxx xxxxxxxxx xxxxxxxxx. Četnost x xxxxxxxx xxxxxx xxxxxxxx závažnosti těchto xxxxx.
26. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxx. Xxxx xxxxxx x xxxx xxxxxxxxx, xxxxxx četnosti xxxxxx, xxxxxx xxxxxxxxxx xxxxxx XXX x xxxxxxxxxxx platební instituce, xx xxxxxx xxxxx xxxxxxx x je xxxxxxxxxx xxxxxxxxxxxx.
27. Platební xxxxxxxxx stanoví opatření xxx včasné xxxxxxx x nápravu xxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.
Xxxxxxxxxx informací
Politika xxxxxxxxxxx xxxxxxxxx
28. Platební xxxxxxxxx zajistí, že xxxxxxxx bezpečnosti xxxxxxxxx xx x xxxxxxx x xxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxxx xxxxx. Xxxxxxxx bezpečnosti informací xxxxxxxxx xxxxxxx pracovník.
29. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx xxxx x xxxxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x požadavky xx pracovníky x xxxxxxx xxxxxxxxxxxxx, procesy x xxxxxxxxxxx x xxxxxxxxxxx x bezpečností xxxxxxxxx. Xxxxxxx xxxxxxxxxx x externí xxxxxxxxxxxxx xxxx xxxxxxxxxx při xxxxxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxx instituce, odpovídající xxxxxxxxx xxxx vykonávaným, xxxxxx jim svěřeným x xxxxxxxxxx, jimiž xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx důvěrnost, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxx xxxxx xxxxxxxx instituce xxx xxx xxxxxxx, tak xxx xxxxxxx a xxxxxxxxx. X xxxxxxxxx xxxxxxxxxxx informací xxxx xxxxxxxxx všichni pracovníci x xxxxxxx xxxxxxxxxxxxx.
30. Xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxx XXX x xxxxxxxxxxx, xxxx xx xxxx by xxxxx xxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx oblasti:
a) xxxxxxx xxxxxx x xxxxxx x xxxxxxx x xxxxxxxxx xxxxx xxxx 10, 11 x 25,
x) xxxxxxxx xxxxxxxxxx,
x) fyzickou xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx,
x) bezpečnostní xxxxxxxxx,
x) přezkumy, xxxxxxxxx x testování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx přípravu x xxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx.
Xxxxxxx xxxxxxxxxx
31. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx jsou x xxxxxxxx xx xxxxxx xxxxxxxxx anomálií. Xxxxxxxx xxxxxxxxx sleduje xxxxxxxxxxx xxxxxx postupů x xxxxxxxxxx xx xxxxxxxxxxx. Xxxx xxxxxxx xxxx xxxxxxxx alespoň xx xxxxxx zásadách:
a) xxxxxx xxxxxxxx pouze potřebného, xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxx oddělenosti xxxxxx; xxxxxxxx instituce xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx x xx xxxx podpůrným xxxxxxxx xxxxxxxx xxx, xxx uživatel xxxxxx xxxxxxxxxxx uživatele (dále xxx "xxxxxxxx") xxxxx xxx to, xx xx potřebné, a xx x x xxxxxxx xxxxxxxxxx přístupu; xxxxxxxxx xxxx xxx xxxxxx xxxxxxxxxx xxxxx, xxxxx jsou xxxxxxxx xxxxx x xxxxxx xxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx neoprávněnému xxxxxxxx k xxxxxxx xxxxxxx dat xxxx xxxxxxxx přidělení xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxx použít x xxxxxxxxx kontrolních xxxxxxxx,
x) xxxxxx xxxxxxxxxxx působnosti; xxxxxxxx instituce x xx xxxxxxxx xxxx xxxxx xxxxxxxxx obecných x xxxxxxxxx xxxxxxxxxxxxx xxxx x x xxxx prováděných x XXX xxxxxxxxx zajistí xxxxxxxxxxxx uživatele,
c) xxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxx xxxxxxxx omezení xxxx xxxxxxxxxxxxxx a xxxxxxx xxxx xx xxxxxxxxx xxxxx přístupu k xxxxxxx x xxx xxxxxx xxxx zajišťuje xxxxxxxx xxxxxx, xxxxxxxx xxxxxxxxxxxxxxx xxxxxxx ke xxxxxxxxx XXX xxxxxxxx xxxxxxxxx jen xxx, xxx uživatel xxxxx xxx co xx xxxxxxxx x jen xxxx xx xxxxxxx xxxxx xxxxxxxxx identity xxxxxxxxx,
x) zásada xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxxx týkající xx xxxxxxx veškerých xxxxxxxx xxxxxxxxxxxxxxx uživatelů, zabezpečení xxxxxxx x xxxxxxxx xxx, aby xx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx nebo výmazu, x xxxxxx xxxxxxx xx dobu odpovídající xxxxxxxxxxx identifikovaných xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx; xxxxxxxx xxxxxxxxx tyto xxxxxxxxx používá k xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx činností xxxxxxxxxx xxx poskytování xxxxxx,
x) xxxxxx řízení xxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxxxx xxxxx xxxx udělována, xxxxxxxxx xxxx upravována xxxx, a xx xxxxx xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx, x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxxxxx xxxxxx xxxx xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxx,
x) zásada xxxxxx xxxxxxxxxxxx xxxxxxxxx; platební xxxxxxxxx xxxxxxxxx, xx xxxxxxxxxx práva xxxx xxxxxxxxxx xxxxxxxxxxxxx s xxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxx xxxx xxxxxxxxxx xxxxx xxxxxxxx, xxxxxxx xxx xxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx metod; xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx, které xxxx xxxxxxxxxx xxxxxxxx, xxx přiměřeně x xxxxxx xxxxxxxxx xxxxxxxxxx xxxxx x postupů xxxxxxxx xxxxxxxx, odpovídají xxxxxxxxxxx XXX xxxxxxx, xxxxxxxxx xxxx procesů, x xxxx se xxxxxxxxxx, zahrnují xxxxxxxxxxxx xxxxxxx hesla, xxxxxxxxxxxxx xxxxxxx xxxx jiné xxxxx metody xxxxxxx, x xx xxxxx xxxxxxxxxxx rizika.
32. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxx x datům x IKT systémům xx omezen xx xxxxxxx, které xx xxxxx k poskytování xxxxxxxxx služby.
Fyzická xxxxxxxxxx
33. Xxxxxxxx xxxxxxxxx stanoví, xxxxxxxxxxxx a uplatňuje xxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx ochrany xxxxxx prostor, datových xxxxxx x citlivých xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxx xxxxxx xxxxxxxx xxxxxxxxx.
34. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxx přístup x XXX xxxxxxxx xx xxxxxxx xxxxx xxxxxxxxxx xxxxxx, oprávnění xx xxxxxxxxx v xxxxxxx s úkoly x xxxxxxxxxxx xxxxxxx xxxxx x je xxxxxxx xx osoby, xxxxx xxxx xxxxx xxxxxxxxx x jejichž xxxxxxxx xxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxx xxxxxxx xx pravidelně přezkoumáván x v xxxxxxx xxxxxxx jsou xxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxx.
35. Xxxxxxxx instituce přijme xxxxxxxxx xxxxxxxx na xxxxxxx před xxxxxx xxxxxxxx prostředí, xxxxx xxxx xxxxxx důležitosti xxxxx x xxxxxxxxxxx xxxxxxx xxxx XXX xxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx.
Xxxxxxxxxx provozu x xxxxxxx informačních x komunikačních technologií
36. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx a xxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x XXX xxxxxxxxx x XXX xxxxxxxx, x xxxxxxxxxxxx xxxxxx xxxxx na poskytování xxxxxx xxxxxx. Tyto xxxxxxx zahrnují
a) xxxxxxxxxxxx xxxxxxxxxxxxx zranitelností, které xxxx vyhodnoceny a xxxxxxxxx xxxxxxxxxxx xxxxxxxx x firmwaru, xxxxxx xxxxxxxx, xxxxx platební xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx bezpečnostních xxxxx nebo xxxxxxxxx xxxxxxxxxxxxx opatření,
b) xxxxxxxx xxxxxxxxx na xxxxxxxxxxx xxxxxxxx konfigurace xxxxx xxxxxxxx xxxxxxxxx,
x) zavedení xxxxxxxxxx sítě, xxxxxxx xxxxxxxx ztráty xxx x xxxxxxxxx xxxxxxxx xxxxxxx, x to x xxxxxxx x xxxxxxxxxxx xxx,
x) zavedení xxxxxxx koncových bodů xxxxxx xxxxxxx, pracovních xxxxxx x mobilních xxxxxxxx; xxxxx xxx xxxx xxxxx bodům xxxxxxx xxxxxxx xx xxxxxxxxx xxxx, platební xxxxxxxxx xxxxxxxxxxx, zda xxxxxxx xxxx xxxxxxx xx vymezené bezpečnostní xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxx xxxxxxx integrity xxxxxxxx, xxxxxxxx x xxx,
x) šifrování uložených x xxxxxxxxxxx dat, x xx v xxxxxxx x xxxxxxxxxxx xxx.
37. Xxxxxxxx instituce xxxxxxxx xxxxxxxx, zda xxxxx xxxxxxxxxxx provozního xxxxxxxxx xxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx přijetí xxxxxxx xxxxxxxx xx xxxxxx xxxxxxxx xxxxx. Platební xxxxxxxxx xxxxxxx, xx xxxx xxxxx xxxx xxxxx xxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxxxxx, schváleny a xxxxxxxx.
Xxxxxxxxxxxx sledování
38. Xxxxxxxx xxxxxxxxx xxxxxxx průběžné xxxxxxxxxxxx xxxxxxxxx. X xxxx xx stanoví, xxxxxxxxxxxx a xxxxxxxxx xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xxx dopad xx xxxxxxxxxx informací xxxxxxxx instituce, a xxx reagování xx xxxx události. X xxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x ohlašovat fyzická xxxx logická xxxxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti xxxxxxxxxxxx xxxxx. Platební xxxxxxxxx se zaměřuje xx
x) xxxxxxxxxx xxxxxxx x vnější xxxxxxx, xxxxxx xxxxxxxxxx funkcí x xxxxxxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx,
x) xxxxxxxxx, xxx xxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxx xxxxxxx xxxx uvnitř platební xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx x vnější xxxxxx.
39. Xxxxxxxx xxxxxxxxx má xxxxxxxxxxx xxxxxxxxxx, které xx xxxxxxxx xxxxxxxxxxxxx x soustavně xxxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xx xxxx xxxxxxxxx poskytovat xxxxxx. Platební instituce xxxxxxx xxxxxxx technologický xxxxx, xxx xx xxxx xxxxxx xxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx opatření xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxx informací, xxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxx x hardwaru x xxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxx.
40. Xxxxxxxxxxxx sledování platební xxxxxxxxx xxxxxx pochopit xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxx xxxxxx x podporovat xx xxxxxxxxx xxxxxxxxxxx.
Xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx
41. Platební xxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxxxxxx a xxxxxxxxx bezpečnosti xxxxxxxxx xxxxx xxxxxxx a xxxxxxxx xxx, aby xxxxxxxxx xxxxxxx identifikaci xxxxxxxxxxxxx x XXX xxxxxxxxx x XXX xxxxxxxx, a to xxxxxx diferenční xxxxxxx xxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx xxxx xxxxx xxxxxxxx, přezkumy xxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx zabezpečení. Xxxxxxxx xxxxxxxxx zvažuje xxxxx xxxxxxxxx xxxxxxx, xxxx xxxx přezkumy xxxxxxxxxx xxxx, xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxxx testy a xxxxxxx xxxxxxxxxx xxxxxx xxxxxx xx XXX xxxxxxx.
42. Platební xxxxxxxxx xxxxxxx x uplatňuje xxxxx xxx testování xxxxxxxxxxx informací, xxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxx jejích opatření x xxxxxxx bezpečnosti xxxxxxxxx, zohledňuje hrozby x xxxxxxxxxxxxx identifikované xxxxxxxxxxxxxxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx rizik XXX x bezpečnosti.
43. Xxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxx
x) provádějí xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx, které mají xxxxxxxxxx zkušenosti v xxxxxxx testování xxxxxxxx xxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx xx xx xxxxxx xxxxxxxx xxx xxxxxxxxxx informací,
b) xxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx, xxxxxx xxxxxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx, xx-xx xx xxxxx x vhodné, xxxxxx xxxxxx xxxxxx xxxxxxxxxxxx x obchodních xxxxxxx a xxxxxxx.
44. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx a opakované xxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxxxxx XXX xxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx x xxxx xxxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx v xxxxxxxxxxx x xxxxxxxxxxxx služeb, x xxxx xxxxxxxx xxxxxxxxx informuje Českou xxxxxxx banku xxxxx §222 xxxx. 1 xxxxxx. Xxxx xxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxx, xxxxxxx xxxx xxxxx xxx roky.
45. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxx v xxxxxxx xxxx xxxxxxxxxxxxxx, xxxxxxx nebo xxxxxxx x x případě, xx dojde ke xxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxxx x xxxxxxxx xxxxxx xxxxxx xxxx výrazně xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx dostupných x xxxxxxxxx.
46. Xxxxxxxx xxxxxxxxx xxxxxxx x vyhodnocuje xxxxxxxx bezpečnostních testů x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx svá bezpečnostní xxxxxxxx, x xxxxxxx xxxxxxxxxx XXX xxxxxxx xxx xxxxxxxxxx xxxxxxx.
47. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx opatření xxxxxxxx xx
x) xxxxxxxxxx xxxxxxxxx a zařízení xxxxxxxxxxx k poskytování xxxxxxxxxx služeb,
b) xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx k xxxxxxxxx xxxxxxxxx platebních xxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx uživatelům xx xxxxxx xxxxxxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxxxx xxxx.
48. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxx bezpečnostních hrozeb x xxxxxxxxxxxxx xxxx xxxxxxx xxxxx, které xxxxxxxx scénáře relevantních x známých xxxxxxxxxxxxx xxxxx.
Xxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxxxxx informací
49. Platební xxxxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx programy xxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxx xxx všechny xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx a xxxxxxx, xx pracovníci x xxxxxxx poskytovatelé xxxx xxxxxxxxx x plnění xxxxx úkolů x xxxxxxxxxx v souladu x příslušnými bezpečnostními xxxxxxxx a xxxxxxx, xxxxxxx cílem je xxxxxxxxx xxxxxx xxxxx, xxxxxxx, podvodná xxxxxxx, xxxxxxxx xxxx xxxxxx x řešit xxxxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx. Platební xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxx přípravy xxxxxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxx.
Xxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
50. Xxxxxxxx xxxxxxxxx řídí provoz x oblasti informačních x xxxxxxxxxxxxx technologií xx xxxxxxx xxxxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx. Xxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxx platební xxxxxxxxx xxxxxxxxx, xxxxxxx x xxxxxxxxxx xxx XXX xxxxxxx x XXX xxxxxx, xxx xxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxx informačních x komunikačních xxxxxxxxxxx, xxx xxxxxxx xxxxxxxx xxxxxx softwaru x xxxxxxxx, xxxxx xx xxxxxxx x xxxxxxxxx xxxxxxxxx (xxxx xxx "XXX xxxxxxx").
51. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií xxxx x souladu x xxxxxx xxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx x pokud možno xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx informačních x komunikačních xxxxxxxxxxx, xxxxxx xxxxxxxxx, jak xxxxxxxxxxxxx možné xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx.
52. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx u xxxxxxxxxx xxxxx xxxxxxx x xxxxxxx informačních a xxxxxxxxxxxxx technologií xxxxxxx xxxxxxxx x sledování, xxxxx xxxxxxxx xxxxxxx, xxxxxxxxxx x opravovat xxxxx.
53. Platební xxxxxxxxx xxxxxxx aktuální xxxxxx XXX xxxxx včetně xxxxxxxx xxxxxxxx x xxxxxxxx. Xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxxx x xxxxx x xxxxxxxx závislosti xxxx nimi xxx xxxxxxx proces xxxxxxxxxxx x xxxxxx xxxx.
54. Xxxxxx IKT xxxxx xx xxxxxxxxxx podrobný, xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxx, xxxx xxxxxxxx, bezpečnostní xxxxxxxxxxx x xxxxx, xxxxx xx xx x působnosti. Xxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxx XXX aktivy xxxxx xxxxxxxxxx reagovat na xxxxxxxxxxxx x xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxxx xxxxx.
55. Platební instituce xxxxxxx a xxxx xxxxxxx cykly IKT xxxxx, xxx xxxxxxxxx, xx xxxx xxxxxx xxxxx i nadále xxxxxxxx x podporovat xxxxxxxxx xxxxxxxx xx xxxxxxxx činnosti x xxxxxx xxxxx. Platební xxxxxxxxx xxxxxxx, zda xxxx XXX xxxxxx xxxx podporována xxxxxxxx x xxxxxxxxx poskytovateli x xxx xxxx xxxxxxx příslušné xxxxxx x aktualizace xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx a omezuje xxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxx xxxxxxxxxxxxxxx XXX aktiv.
56. Platební xxxxxxxxx stanoví x xxxxxxxxx xxxxxxx plánování x xxxxxxxxx výkonnosti XXX xxxxxxx x xxxxxxxxx xxxxxxxx tak, xxx xxxx předešla xxxxxxxx xxxxxxxxx s xxxxxx výkonností x xxxxxxxxxxx x xxxxxx xxxxxxxx, xxxx xx xxxxxxxxxx x xxxxxxxxx xx xx.
57. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxx xxxxxxxxxx x obnovy xxx x IKT systémů, xxx xxxx data x xxxxxxx byla xxxxxxx x xxxxxxx xxxxxxx xxxxxxx. Xxxxxx x xxxxxxx zálohování xxxxxxx podle xxxxxxxxx xx xxxxxxxx činnosti x xxxxxxxxxxx xxx x XXX xxxxxxx x xxxxxxx xx xxxxx provedeného xxxxxxxxxxx xxxxx. Xxxxxxxx instituce xxxxxxxxxx xxxxxxx testování xxxxxxx xxxxxxxxxx x xxxxxx dat x XXX xxxxxxx.
58. Xxxxxxxx xxxxxxxxx zajistí, xxx xxxxxx dat a XXX systémů xxxx xxxxxxxx uloženy x xxxxxxxxxx xxxxxxxx xx xxxxxxxxxx místa tak, xxx xxxxxx vystaveny xxxxxxx rizikům.
Řízení xxxxxxxxx x xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
59. Xxxxxxxx xxxxxxxxx stanoví a xxxxxxxxx proces řízení xxxxxxxxx x xxxxxxxx xxx xxxxxxxxx a xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx incidentů v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xx nejdříve xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxx x xxxxxxx v xxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx kritéria x xxxxxxx xxxxxxx xx klasifikaci xxxxxxxx xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx včasného xxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxxxxxx incidentů. Xxxxxxxx xxxxxxxxx xxx tom xxxxxxxxx xxxxxxxxxxx významných xxxxxxxxx podle Xxxxxxxx xxxxxx Xxxxxxxxxx orgánu xxx xxxxxxxxxxxx k xxxxxxxxxx xxxxxxxxxx incidentů xxxxx xxxxxxxx (XX) 2015/2366 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx (XXX2).
60. X xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx událostí x xxxxxxxx včasné xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx vhodné xxxxxxx a xx xxxxxx xxxxxxxxxxx uspořádání, xxxxx xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx, xxxxxx x návazné xxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx x xxxxxxxxx, aby byly xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxx xxxxxxx x zamezeno xxxxxxx xxxxxxxxxxx xxxxxxxxx. Postupy xxxxxx incidentů x xxxxxxxx xxxxxxxx
x) postupy xxx rozpoznávání, xxxxxx xxxxxxxxx, xxxxxxxxxxxxx, kategorizaci x klasifikaci xxxxxxxxx xxxxx xxxxxxxx na xxxxxxx xxxxxxxxxxx x xxxxxxxx obchodní činnosti,
b) xxxx x xxxxxxxxxx xxx různé xxxxxxx x xxxxxxx chyb, xxxxxx, kybernetických útoků x jiných xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxxxxxx, xxxxxxx x řešení xxxxxx příčiny jednoho xxxx xxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxxxxxxxx
1. xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx incidenty x xxxxxxxxxxxxxx vlivem xx xx, xxxxx xxxx xxxxxxxxxxxxxx nebo se xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxxxxxx,
2. xxxxxxxxxx xxxxxx zjištění x těchto analýz x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx opatření,
d) xxxxxx xxxxx xxxxxxx xxxxxxxxxx včetně xxxxxxx xxx oznamování incidentů x xxxxxx předání xx xxxxx xxxxxx xxxxxx, zahrnující i xxxxxxxxx xxxxxxxxx platebních xxxxxx související x xxxxxxxxxxx, přičemž xxxx xxxxxxx xxxxxxxxx, xx
1. xxxxxxxxx s potenciálně xxxxxx nepříznivým dopadem xx xxxxxxxx XXX xxxxxxx x XXX xxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxx,
2. x xxxxxxx xxxxxxxxx incidentů jsou xxxxxxxxxxx vedoucí xxxxx x xxxxxxx pracovník, x xx xxxxxxx x dopadu, xxxxxx x xxxxxxxxxxx kontrolách, xxxxx platební instituce xxxxxxx na xxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxx na xxxxxxxxx xx zmírnění xxxxxx xxxxxxxxxxxxx s incidenty x xxxxxxxxx včasného xxxxxxxx xxxxxxxx x xxxxxxxxxxx služby,
f) xxxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxxxx xxxxxx x procesy, xxxxx platební xxxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxxxx osobami xx účelem účinné xxxxxx xx xxxxxxxx x xxxxxx po xxxxxxxxx a poskytnout xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx služeb a xxxxx třetím xxxxxxx.
Xxxxxx xxxxxxxx x oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx
61. Platební xxxxxxxxx xxxxxxxxxxx program xxxx xxxxxx xxxxxx a xxxxxx xxxxxxxx, xxxxx xxxxxx xxxx, povinnosti x xxxxxxxxxx xxx xxxxxxx podporu xxxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií jsou xxxxxxxxx x xxxxxxx xxxxxx, náhrady, xxxxxxxxx xxxx xxxxxxxx XXX xxxxxxx x IKT xxxxxx. Tyto projekty xxxxx být xxxxxxxx xxxxxxx programů transformace x xxxxxxx informačních x xxxxxxxxxxxxx technologií xxxx xxxxxxxx činnosti.
62. Xxxxxxxx instituce xxxxxxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxx portfolia xxxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x xxxxxxxxxx xxxx xxxxxx, xxxxx xxxxx xxxxxxxx xx vzájemných xxxxx xxxx xxxxxxx xxxxxxxx x x xxxxx xxxx xxxxxxxx xx týchž zdrojích xxxx odborných xxxxxxxxxx.
63. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx politiku xxxxxx projektů x xxxxxxx informačních a xxxxxxxxxxxxx technologií, xxxxx xxxxxxxx alespoň
a) cíle xxxxxxxx,
x) xxxx x xxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxxx rizik xxxxxxxx,
x) xxxx, časový xxxxx x xxxx projektu,
e) xxxxxx xxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxx se xxxxxx xxxx.
64. Politika xxxxxx projektů v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxx požadavky xx xxxxxxxxxx informací byly xxxxxxxxxxx a xxxxxxxxx xxxxxx, xxxxx je xxxxxxxxx xx xxxxxx xxxxxx.
65. Xxxxxxxx instituce xxxxxxx, xxx x xxxxxxxxxxx xxxx byly xxxxxxxxxx všechny oblasti xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxx xxxx xxx xxxxxxxx potřebné x xxxxxxxxx bezpečné a xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxx dokončení.
66. Xxxxxxx xxxxxxxxx xx xxxxxxxxxx o přípravě, xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x s xxxx xxxxxxxxxxxxx rizicích, x xx xxxxxxxxxx xxxx xxxxxxxx xx xxxxxxx projekty, xxxxx xxxxxxx a velikosti xxxxxxxx x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxxxxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx xx xxxxx xxxxxxx xxxxxx rizik.
Pořizování x xxxxx IKT xxxxxxx
67. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx postup xxx xxxxxxxx, xxxxx x xxxxxx XXX xxxxxxx. Xxxxxxxxx xxxxxx xxxxxxxx orientovaný xxxxxxx.
68. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx nebo xxxxxx XXX systémů xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx vymezily a xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx na bezpečnost xxxxxxxxx.
69. Xxxxxxxx instituce xxxxxxx x uplatňuje xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxx nebo xxxxxxx změny XXX xxxxxxx během xxxxxx x zavádění x xxxxxxxxxx xxxxxxxxx.
70. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxx xxx xxxxxxxxx a xxxxxxxxxxx XXX xxxxxxx xxxx xxxxxx xxxxxx xxxxxxxx. Xxxx postupy xxxxxxxxxx xxxxxxxxxx obchodních xxxxxxx x aktiv. Xxxxxxxxx xxxxxxxxx, aby nové XXX xxxxxxx xxxxxxxxx xxx, xxx xxxx xxxxxxxxx. Platební instituce xxxx používá xxxxxxxxx xxxxxxxxx, které přiměřeně xxxxxx její xxxxxxxxx xxxxxxxxx.
71. Xxxxxxxx xxxxxxxxx xxxxxxx XXX systémy, XXX xxxxxx x xxxxxxxx pro xxxxxxxxxx xxxxxxxxx xxx, aby xxxxxxxxxxxxxx xxxxx xxxxx xxxxx, narušení x xxxxxxxxx v xxxxxxx xxxxxxxxxxx.
72. Xxxxxxxx instituce xxxxxx samostatná prostředí xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, aby xxxxxxxxx xxxxxxxxxxxx oddělení xxxxxx x xxxxxxx xxxxx xxxxxxxxxxx xxxx xx xxxxxxxxx systémy. Xxxxxxxx xxxxxxxxx zajistí xxxxxxxx xxxxxxxxxxx xxxxxxxxx od xxxxxxxxxx, testovacích x xxxxxxxxx neprodukčních xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x důvěrnost xxxxxxxxxxx dat v xxxxxxxxxxxxx prostředích. Přístup x xxxxx x xxxxxxxxxxx xxxxxxxxx platební xxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxxx.
73. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxxxx xxxx XXX systémů, xxxxx jsou vyvíjeny xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx komplexně xxxxxxxxxxxx xxxxx, xxxxxxxx, xxxxxx x konfiguraci XXX systémů, aby xx snížila xxxxxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx v xxxx xxxxxxx. Xxxxxxxxxxx IKT xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, dokumentaci xxxxxxxxxxx systému x xxxxxxxx xxxxxxx.
74. Postupy xxxxxxxx xxxxxxxxx xxx xxxxxxxx x xxxxx XXX xxxxxxx zahrnují xxxx IKT xxxxxxx xxxxxxxx xxxx řízené xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx v oblasti xxxxxxxxxxxx a komunikačních xxxxxxxxxxx. Platební xxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx vede evidenci xxxxxxxx, xxxxx podporují xxxxxxxx xxxxxxxx xxxxxx xxxx xxxxxxx.
Xxxxxx xxxx x xxxxxxx xxxxxxxxxxxx x komunikačních technologií
75. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx proces xxxxxx xxxx v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxxxx, xx všechny xxxxx XXX xxxxxxx xxxx xxxxxxxxxxxxx, testovány, xxxxxxxxxx, schvalovány, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx. Platební xxxxxxxxx xxxxxxxx xxxxx xxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxx xxx zbytečného odkladu, xxxxx postupů, xxxxx xxxxxxx dostatečnou spolehlivost.
76. Xxxxxxxx xxxxxxxxx průběžně xxxxxxxx, xxx xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo vyžadují xxxxxxx xxxxxxx opatření x xxxxxxx xxxxx. Xxxx xxxxx xxxx x xxxxxxx x xxxxxxxx, xxxxx platební xxxxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxxxxx xxxx.
Xxxxxx kontinuity xxxxxxxx
77. Xxxxxxxx instituce xxxxxxx x xxxxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx (dále xxx "xxxxxx xxxxxxxxxx xxxxxxxx"), xxx upevnila xxxx schopnost xxxxxxxxxx xxxx xxxxxx a xxxxxxx xxxxxx v xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxx činnosti.
78. X xxxxx řádného řízení xxxxxxxxxx činnosti xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxx závažným narušením xxxxxxxx x xxxxxx xxxxxx xxxxxxx, xxxxxx xxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, a xx xxxxxxxxxxxxx x xxxxxxxxxxxx. Xxxxxxx vnitřních xxxxx, xxxxx externích poskytovatelů xxxxxxxxxx xxx xxxxxxxx xxxxxx, xxxxxxx xxxxxxxxxx xxxxx nebo xxxxxx xxxxxxxx xxxxx, xxxxx xxxxx xxx x xxxxxxxx analýzy dopadu xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx, x xxxxxxx xxxxxxx. Xxxxxxxx instituce x xxxxxxx dopadu xx xxxxxxxxxxxxxx xxxxxxx xxxx zvažuje kritičnost xxxxxxxxxxxxxxxx x xxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, třetích stran x xxxxxxxxxxxx aktiv x jejich vzájemné xxxxx.
79. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxx XXX systémy a XXX služby byly xxxxxxxx x sladěny x xxxx xxxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx, xxxxxxx xxx-xx x redundanci určitých xxxxxxxxxx xxxxxxxxx, aby xx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xx tyto xxxxxx dopad.
80. Platební xxxxxxxxx xx xxxxxxx xxxxx xxxxxx dopadu xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx plány xxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxxxxxxx a schváleny xxxxxxxx pracovníkem. Xxxxx xxxxxxxxxx xxxxxxxx zohledňují xxxxxxx xxxxxx, xxxxx xx xxxxx mít xxxxxxxxxx xxxxx xx XXX xxxxxxx a XXX služby. Xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxx týkající se xxxxxxx x x xxxxxxx potřeby xxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx aktiv. Xxxxxxxx xxxxxxxxx při sestavování xxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx uvnitř xxxxxxxx xxxxxxxxx x xx zainteresovanými třetími xxxxxxxx.
81. Platební xxxxxxxxx xx xxxxx xxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx, xx xxxx xxxx xxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxx selhání x xx xxxx xxxxxxx obnovit provoz xxxxx kritických xxxxxxxxxx xxxxxxxx xx přerušení x xxxxx maximální xxxx, během xxx xxxx být po xxxxxxxxx xxxxxxx xxxxxx xxxx xxxxxx (xxxx xxx "cílová doba xxxxxx") a x xxxxx maximální lhůty, xxxxx xxx je xxxxxxxxxx xxxxxx xxx x xxxxxxx incidentu (xxxx jen "cílový xxx obnovy"). V xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx, které xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, platební instituce xxxxxxx xxxxxxxx xxxxxxxx xxx kontinuitu xxxxxxxx xx základě rizikově xxxxxxxxxxxxx přístupu.
82. Xxxxxxxx xxxxxxxxx xx xxxx xxxxx xxxxxxxxxx činnosti xxxxxxx xxxxx scénáře, xxxxxx xxxx pravděpodobných xxxxxxx xxxxxx, kterému xxxx xxx vystavena, x xx včetně xxxxxxx kybernetického útoku. Xxxxxxxx instituce xxxxxxxx xxxxx dopad xxxxxxxx xxxxxxxx scénářů. Xx xxxxxxx těchto scénářů xxxxxxxx xxxxxxxxx xxxxxxx, xxx by byla xxxxxxxxx kontinuita XXX xxxxxxx a IKT xxxxxx, xxxxx i xxxxxxxxxx xxxxxxxxx platební xxxxxxxxx.
83. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx. Xxxx plány xxxxxxxxxxx, xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxx x xxxx opatření xxxx xxx xxxxxxx x zajištění xxxxxxxxxxx, xxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxx IKT xxxxxxx a IKT xxxxxx provozovaných xxxxxxxx xxxxxxxxx.
84. Xxxxx xxxxxx x obnovy xxxxxxxxxx xxxxxxxxxx x dlouhodobé xxxxxxxx xxxxxx. Xxxx xxxxx jsou
a) xxxxxxxx xx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx funkcí, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxx, xxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxx na xxxxxxxxx xxxxxxxx instituce x xx xxxxxxxx systém, xxxxxx dopadů na xxxxxxxx systémy a xx xxxxxxxxx xxxxxxxxxx xxxxxx, x xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx obchodním x xxxxxxxxx útvarům x xxxx snadno xxxxxxxx x případě xxxxxxxxx xxxxxxx,
x) xxxx xxxxxxxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxxxx x incidentů, xxxxxxxxx, x xxxx identifikovanými xxxxxx xx xxxxxxxx x xx změněnými xxxx x xxxxxxxxxx xxxxxx.
85. Plány xxxxxx x xxxxxx také xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x případech, xxx xxxxxx xxxxxx být x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxx, xxxxx, xxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxx.
86. X rámci xxxxx xxxxxx a xxxxxx xxxxxxxx instituce xxxxx x xxxxx xxxxxxxx xxx kontinuitu xxxxxxxx xx xxxxxxxx selhání xxxxxxxxx poskytovatelů, kteří xxxx xxxxxxx xxxxxx xxx xxxxxxxxxx IKT xxxxxx platební xxxxxxxxx, x to přiměřeně x xxxxxxx s Xxxxxxxx xxxxxx k xxxxxxxxxxxx xxxxxxxx Xxxxxxxxx xxxxxxx xxx bankovnictví.
87. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx. Xxxxxxx xxxxxxx, xxx plány kontinuity xxxxxxxx jejích kritických xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx xxxxx x jejich xxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxx, procesů x xxxxx, xxxxx případně xxxxxxxx třetí strany, xxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx.
88. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx nutnost xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxx na xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxxxxxxx x hrozbách x xxxxxxxxxx xxxxxxxxx x předchozích xxxxxxxx. Xxxxxxxx xxxxx cílů xxxxxx, xxxxxx xxxx xxxxxx xxxx xxxxxx x cílového xxxx xxxxxx, xxxx xxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx xxxx náležitě xxxxxxxxxx xxxx xxxxx xx xxxxxxxxxxx xxxxx xxxxxxxxxx činnosti.
89. Xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx instituce xxxxxxx, xx xx xxxxxxx xxxxxxxx své xxxxxxxx xx xxxx xxxxxx xxxxxxxx operace. Xxxxxxxx xxxxxxxxx xxxxxxx
x) xxxxxxxx xxxxxxxxx xxxxxxxx souboru xxxxxxxxx, ale xxxxxxxxxxxxxxx xxxxxxx, včetně xxxxxxx xxxxxxxxxxx xxx vývoj xxxxx xxxxxxxxxx xxxxxxxx, x xxxxxxxx testování xxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx; xxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, podpůrných xxxxxxx x xxxxxxxxxxxx aktiv xx xxxxxxxxx pro xxxxxx po xxxxxxx x prokázání toho, xx xx xxx xxxxx xxxxxxxxxx xx xxxxxxxxxx časové období x poté xxx xxxxxxx obvyklou xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx, xxx xxxxxxxxx xxxxxxxxxxx, xx xxxxx xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, včetně xxxxxxx xxxxxx x řízení x plánů xxxxxxx xxxxxxxxxx, x
x) xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx, XXX xxxxxxx x XXX xxxxxx provozovaných platební xxxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxx xxxxx xxxxxxx x).
90. Platební xxxxxxxxx xxxxxxx, xx xxxxxxxx testů jsou xxxxxxxxxxxxxx a veškeré xxxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxx xxxx xxxxxxxxxxx, řešeny x xxxxxxxx vedoucímu xxxxxxxxxxxx.
91. Xxx xxxxxxx xxxxxxxx xxxx xxxxxxxxx situace x xxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxx x uplatňována xxxxxx xxxxxxxxxxx opatření xxx xxxxxx xxxxx, xxx xxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxxxx xxxxx strany, xxxxxx xxxxxxxxxxx vnitrostátních xxxxxx, xxxxx xx xxxxxxxx xxxxxx předpisy, x xxxxxxxxx xxxxxxx poskytovatelé.
Řízení xxxxxx s xxxxxxxxx xxxxxxxxxx xxxxxx
92. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx postupy xxx xxxxxxx povědomí uživatelů xxxxxxxxxx xxxxxx x xxxxxxxxxxxxxx rizicích xxxxxxxxx x platebními službami, x xx xxxxxxxxxxxxxxx xxxxxxxxxxxx služeb a xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx služeb.
93. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx služeb jsou xxxxxxxxxxxxx x xxxxxxx xx xxxx xxxxxx x zranitelnosti a xxxxxxxxx platebních xxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxxxx.
94. Umožňuje-li xx xxxxxxxxx xxxxxxxx, xxxxxxxx instituce xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx konkrétní platební xxxxxx, xxxxx xxxxxxx x platebními xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.
95. Xxxxx se xxxxxxxx instituce xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxx na xxxxxxxxx xxxxx §163 xxxxxx, xxxxxxxx uživateli platebních xxxxxx tento stanovený xxxxxxxxx xxxxx upravit.
96. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx upozornění x provedených nebo xxxxxxxxxxx xxxxxxxx o xxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx a xxx xxx umožňuje xxxxxxx podvodné xxxx xxxxxxxxxxx xxxxxxxxx jejich xxxx.
97. Platební xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx o xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx, xxxxx xxxx xxxx xx xxxxxxxxxxx platebních xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.
98. Platební xxxxxxxxx xxxxxxxxx uživatelům xxxxxxxxxx xxxxxx xxxxx x xxxxxxx xxxxxxxxxx dotazu, xxxxxxx x xxxxxxx x oznámení xxxxxxxx xxxx xxxxxx týkajících xx xxxxxxxxxxxxxx záležitostí, xxxxx xx xxxxxxxx xx xxxxxxxx služby. Xxxxxxxx xxxxxxxxx uživatele xxxxxxxxxx služeb xxxxxxxx xxxxxxxxx x xxx, xxx xxxxx xxxx xxxxx xxxxxx.".
Xx. II
Účinnost
Tato xxxxxxxx xxxxxx účinnosti xxxx 1. července 2022.
&xxxx;
Xxxxxxxx:
Xxx. Xxxxxx x. x.
Xxxxxxxxx
Xxxxxx předpis č. 2/2022 Sb. xxxxx xxxxxxxxx xxxx 1.7.2022.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx xxxxxx derogační xxxxx xxxxx uvedeného xxxxxxxx předpisu.