Právní předpis byl sestaven k datu 28.12.2025.
Zobrazené znění právního předpisu je účinné od 01.07.2022.
Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
2/2022 Sb.
Účinnost Čl. II
2
VYHLÁŠKA
ze xxx 22. xxxxxxxx 2021,
xxxxxx se xxxx xxxxxxxx x. 7/2018 Xx., x xxxxxxxxx xxxxxxxxxx výkonu xxxxxxxx platební xxxxxxxxx, xxxxxxx informací o xxxxxxxxx účtu, poskytovatele xxxxxxxxxx xxxxxx xxxxxx xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x vydavatele xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx
&xxxx;
Xxxxx národní xxxxx xxxxxxx xxxxx §263 xxxxxx x. 370/2017 Xx., x xxxxxxxxx xxxxx, x provedení §16 xxxx. 5, §17 xxxx. 3, §20 xxxx. 4, §46 xxxx. 2, §48 odst. 4, §59 xxxx. 4, §65x xxxx. 2, §74 odst. 6, §75 odst. 3, §78 odst. 4 x §100 xxxx. 4 xxxxxx xxxxxx:
Xx. X
Xxxxxxxx č. 7/2018 Sb., x některých podmínkách xxxxxx činnosti platební xxxxxxxxx, správce xxxxxxxxx x xxxxxxxxx účtu, xxxxxxxxxxxxx platebních xxxxxx xxxxxx xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx peněz x xxxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx, xx xxxx takto:
1. §1 xxxxxx xxxxxxx x xxxxxxxx xxx xxxxx x. 1 xxx:
"§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx Xxxxxxxx xxxx1) a xxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx x kontrolní systém xxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxx informací x xxxxxxxxx účtu,
b) způsob xxxxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxxxxx x provozních xxxxx x xxxxxx vyřizování xxxxxxxxx a xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxx malého xxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxx xxxx xxxxxxxx a xxxxxxxxxx přiměřenosti xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx peněz včetně xxxxxxxxxxxx xxxxxxxx, xxxxx xx xxxxx při xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxx limit xxxxxxxxxx plnění z xxxxxxxxx a xxxxxxxxx xxxx srovnatelného xxxxxxxxx xxx platební instituci, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx.
1) Xx. 4 bod 46, čl. 8 xxxx. 2, xx. 9, čl. 9 xxxx. 1 /xxxx/ x čl. 9 xxxx. 2 směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2015/2366 xx xxx 25. xxxxxxxxx 2015 o xxxxxxxxxx xxxxxxxx na xxxxxxxx xxxx, xxxxxx xx xxxx xxxxxxxx 2002/65/XX, 2009/110/XX x 2013/36/XX x xxxxxxxx (XX) x. 1093/2010 x zrušuje xxxxxxxx 2007/64/XX.
Xx. 5 odst. 2, xx. 5 xxxx. 3, čl. 5 odst. 4 x čl. 5 xxxx. 6 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx 2009/110/XX xx xxx 16. září 2009 x xxxxxxxx x xxxxxxxx institucí xxxxxxxxxxxxxx xxxxx, x xxxxx xxxxxx a x obezřetnostním dohledu xxx touto činností, x xxxxx směrnic 2005/60/XX a 2006/48/XX x x xxxxxxx xxxxxxxx 2000/46/XX.".
2. Xxxx xxxxx včetně nadpisu xxx:
"XXXX DRUHÁ
ZPŮSOB PLNĚNÍ XXXXXXXXX POŽADAVKŮ
HLAVA X
XXXXXX XXXXXX NĚKTERÝCH POŽADAVKŮ XX XXXXXX X XXXXXXXXX XXXXXX XXXXXXXX XXXXXXXXX
(X §20 xxxx. 4 xxxxxx)
§2
Xxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx a kontrolní xxxxxx a xxxxxxx x jejich xxxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx, xxxxxxx se xxxxxx xxxxxxxxx, xxxxxxxxxxx xxx, xxxxx a xxxxx vnitřně xxxxxxxxx xxxxxx a postupy xxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxx stanoví a xxxxxxxxx postup pro xxxxxxxxx x xxxxx xxxxxxxxx předpisů x xxxxxxx, xxx xxxxxxx xxxxxxxx byly pravidelně xxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxx.
(3) Platební xxxxxxxxx xxxxxxx, aby xxxxxxx xxxxxxxx xxxx x xxxxxxx x xxxxx xxxxxxxxx v žádosti x xxxxxxx povolení x činnosti platební xxxxxxxxx xxxx jejích xxxxxxxxx, xx jejichž xxxxxxx bylo povolení x činnosti xxxxxxx, xxxxxxxx xxxxxxxxx xxxxx §11 xxxxxx.
(4) Platební xxxxxxxxx zohlední xx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx xxxxxx Xxxxxxxxx orgánem xxx bankovnictví, Xxxxxxxxx xxxxxxx pro xxxxx xxxxxx a xxxx, Xxxxxxxxx orgánem xxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx nebo Xxxxxxxxx výborem xxxxxxxxxx xxxxxx xxxxxxx a xxxxxx xxxxxxxxxxxxxx platebních xxxxxx.
(5) Platební xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxxx xxxx x xxxxxxxxxxx vnitřními předpisy x xxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxxxx v souladu x xxxx.
§3
Xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx
Xxxxxxxx instituce xxxxxxx, xxx xxxx xxxxxxxxxxxx stanovena xxxxxxxxx xx schvalování x xxxxxxxxxxxx xxxxxxxxx x xxxxx činnosti xxxxxxxx xxxxxxxxx a aby xxxxxxx relevantní xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx x kontrolní xxxxxxxx xxxxxx xxxxxxxxxxxxx působností x xxxxxxxxx v xxxxx činnosti xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx bylo xxxxx zaznamenávat, uchovávat x zpětně xxxxxxxxxx x rekonstruovat. Xx xxxxx xxxxxx xxxxxx xxxxxx také xxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx řízení bezpečnostních x provozních rizik
(1) Xxxxxxxx instituce xxxxxx x xxxxxx xxxxxxxxxxxxxx x provozních xxxxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx, xxxxxxxx xxx xxxxxxxx xxxxxx xxxxx x xxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx účinné postupy xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxx, a xx i pro xxxxxxxxxx x klasifikaci xxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx incidentů.
(2) Xxxxxxxx xxxxxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxxxxx x provozních xxxxx xxxx vždy xxxx xxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxxx ztráty v xxxxxxxx xxxxxxxx xxxxxxxxxx xxx, integrity systémů x xxx xxxx xxxxxxxxxxx xxxxxxx a xxx nebo v xxxxxxxx xxxxxxxxxxxx změnit xxxxxxxxxx x xxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxx x x xxxxxxxxxxx xxxxxxx, xxxxx xx xxxx xxxxxxxxx xxxx činnosti,
b) xxxxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx xxxx x vnějších xxxxxxxx xxxxxx kybernetických xxxxx xxxx z nedostatečného xxxxxxxxx xxxxxxxxxxx.
(3) Xxxxxxxxxxx x xxxxxx rizik x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x xxxxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxxx xx xxxx xx xxxxx xxx vystavena x xxxxxxxxxxx x jí xxxxxxxxxxxxx xxxxxxxxxx službami, xxxx uvedeny v xxxxxxx x xxxx xxxxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx x xxxxxxxx xx ochranu xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxx x informací xxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxx. Xxxxxxxx instituce xxxxxx xx xxxxx vnitřních xxxxxxxxxx bezpečnostní opatření x xxxxxxx s xxxxxxxxxxxx k xxxxxx xxxxx podle přílohy x této xxxxxxxx.
§5
Xxxxxx xxxxxxxxxx stížností x xxxxxxxxx
(1) Platební xxxxxxxxx xxxxxx x uplatňuje xxxxxxx xxx nakládání xx xxxxxxxxxx x xxxxxxxxxxx uživatelů xxxxxxxxxx xxxxxx, xxxxx
x) xxxx xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxx činnost xxxxxxxx instituce x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx xxxx xxxxx také průběžně xxxxxxxxxx jejich xxxxxxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxx řádné xxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx x zmírňování možných xxxxxx xxxxx při xxxxxxxxx x xxxx.
(2) Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxxx xx stanovenými xxxxxxx xxxxxxxxx a xxxxxxxxx x xxxxxxxxx x xxxx, x xx xxxxxxxx splňujícím xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxxx instituce nastaví xxxxxx pro xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxx, xx xx xxxxxxxx xxxxxxxxxx bez xxxxxxxxxx xxxxxxx České xxxxxxx xxxxx xx xxxxxxxx xxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx x x xxxxxxxxx x xxxx xxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
(4) Xxxxxxxx instituce xxxxxxxx xxxxxxxxx xxxxx x stížnostech x xxxxxxxxxxx x xxxxxxxxxx xxxxxx vyřízení s xxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxx, xxxxxxx
x) xxxxxxxxx xxxxxx jednotlivých xxxxxxxxx x xxxxxxxxx x identifikuje hlavní xxxxxxx xxxxxxxxxxxx druhů xxxxxxxxx x reklamací,
b) xxxxxxxx, zda identifikované xxxxxx příčiny mohou xxxxxxxx i xxxx xxxxxxx, služby xxxx xxxxxxxx, xxxxxx těch, xxxxxxx xx stížnost xxxx xxxxxxxxx xxxxx xxxxxx,
x) x případě xxxxxxxxxxx nedostatků xxxx xxxxxxx xxxxxxxxxx identifikovaných xxxxxx xxxxxxxxx x xxxxxxxxx.
(5) Xxxxxxxx xxxxxxxxx
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xx požádání x xxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxx postupu xxxxxxxxxx stížnosti xxxx xxxxxxxxx, x xx x českém xxxxxx xxxx v jiném xxxxxx, pokud se xx xxx x xxxxxxxxxx xxxxxxxxxx služeb xxxxxxx,
x) zpřístupní uživatelům xxxxxxxxxx xxxxxx a xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx x) prostřednictvím xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx platebních služeb xxxx jiným způsobem xxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxx obchodních prostorách, x má-li xxxxxxx xxxxxxxxxxx xxxxxxx, xxxx xx xxxx, a xx xxxxxxx v xxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx, přesné x xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx, které xxxxxxxx
1. podrobné údaje x tom, jak xxxxxxxx xxxx reklamaci xxxxx, xxxxxxx xxxx xxxxxxxxx, které musí xxxxxxxx xxxxxxxxxx služeb xxxxx, x kontaktní xxxxx xxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xx xxx xxxxxxxx xxxx reklamace xxxxxxx,
2. xxxxxxxxx x xxxxx, xx xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx vyrozuměn o xxxxxxxx xxxxxxxxx, x x xxxxxxxxxx xxxxx xxxxxxxxxx stížnosti nebo xxxxxxxxx,
3. podstatné průběžné xxxxxxxxx o xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx,
4. xxxxxxxxx x kontaktních xxxxxxx Xxxxx xxxxxxx xxxxx, Xxxxxxxxx finančního xxxxxxx x Kanceláře xxxxxxxxx xxxxxxxx xxxx.
(6) Xxxxxxxx xxxxxxxxx
x) xxxxxx xxxxx, xxxxx xxx xx ní rozumně xxxxxxxxx, xxx získala x prověřila všechny xxxxxxxxxx xxxxxx x xxxxxxxxx týkající xx xxxx stížnosti nebo xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx služeb xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx x nejpozději xx xxxxxxx xxxxx §258 xxxxxx; xxxxxx-xx tyto xxxxx xxxxxxx, xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxx x xxxxxxx, kdy xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx platebních xxxxxx, x xxx xxxxxxxx xxxxxxxx řešení xxxxxxxxx nebo xxxxxxxxx x xxxxx informaci x možnosti xxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxxxx xxxx xxxxxxxxx xxxxx a xxxxxxx xx xx Kancelář xxxxxxxxxx xxxxxxx, Xxxxxx xxxxxxx banku x xx věcech xxxxx xx xxxxx xxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx xx Xxxxxxxx xxxxxxxxx ochránce xxxx, xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxx, xxxx xx xxxx.
XXXXX XX
XXXXXX XXXXXX XXXXXXXXX POŽADAVKŮ XX XXXXXX A XXXXXXXXX XXXXXX XXXXXXXXX XXXXXXXXXXXXXX XXXXX
(X §78 xxxx. 4 xxxxxx)
§6
&xxxx;Xxx xxxxxxxxx xxxxxxxxxxxxxx peněz xx xxxxxxx §2 xx 5 xxxxxxx.
XXXXX III
ZPŮSOB XXXXXX NĚKTERÝCH XXXXXXXXX XX XXXXXX A XXXXXXXXX XXXXXX XXXXXXX XXXXXXXXX X XXXXXXXXX XXXX
(X §48 xxxx. 4 xxxxxx)
§7
(1) Pro xxxxxxx xxxxxxxxx o xxxxxxxxx xxxx xx xxxxxxx §2 x 3 xxxxxxx.
(2) Pro xxxxxxxxxx požadavků xx xxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx rizik xxxxxxxxx správce informací x xxxxxxxxx účtu xxxxxxx xxxxx §4.
(3) Xxx xxxxxxxxxx požadavků xx vyřizování xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx xxxxxxx xxxxx §5.
HLAVA XX
XXXXXX XXXXXX POŽADAVKŮ XX XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX RIZIK X XXXXXX XXXXXXXXXX XXXXXXXXX X XXXXXXXXX X XXXXXXXXXXXXX XXXXXXXXXX XXXXXX MALÉHO XXXXXXX
(X §59 odst. 4 xxxxxx)
§8
(1) Xxxxxxxxxxxx xxxxxxxxxx xxxxxx malého xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x provozních xxxxx x xxxxxx xxxxxxxxxx stížností a xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx a xxx naplňování xxxxxxxxx xx tyto xxxxxxx xxxxxxxx xxxxxxxxx obdobně xxxxx §2 odst. 2 xx 5.
(2) Xxx xxxxxxxxxx požadavků xx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xx systému xxxxxx xxxxxxxxxxxxxx x provozních xxxxx x xxxxxxx xxxxxxxxxx stížností x xxxxxxxxx postupuje xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §3.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx souvisejících x xxxxxxxxxxxx xxxxxxxxxx xxxxxx postupuje poskytovatel xxxxxxxxxx xxxxxx xxxxxx xxxxxxx obdobně xxxxx §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxx stížností x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx služeb malého xxxxxxx obdobně xxxxx §5.
XXXXX X
XXXXXX XXXXXX XXXXXXXXX NA XXXXXX XXXXXX XXXXXXXXXXXXXX A XXXXXXXXXX XXXXX X XXXXXX VYŘIZOVÁNÍ XXXXXXXXX X XXXXXXXXX X XXXXXXXXXX ELEKTRONICKÝCH XXXXX XXXXXX XXXXXXX
(X §100 xxxx. 4 xxxxxx)
§9
(1) Xxxxxxxxx elektronických xxxxx xxxxxx xxxxxxx promítne xxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxx x xxxxxx vyřizování xxxxxxxxx a xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx a xxx xxxxxxxxxx požadavků na xxxx vnitřní xxxxxxxx xxxxxxxxx obdobně xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx požadavků xx xxxxxxxxxxx a rozhodovací xxxxxxx xxxxxxxx se xxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rizik x xxxxxxx vyřizování xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx rozsahu xxxxxxx podle §3.
(3) Xxx naplňování xxxxxxxxx xx systém xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx peněz malého xxxxxxx xxxxxxx xxxxx §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx postupuje xxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx xxxxxxx xxxxx §5.".
Xxxxxxxx pod xxxxx x. 2 xx 4 se xxxxxxx.
3. X §27 odstavec 4 xxx:
"(4) Platební xxxxxxxxx, která xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx, x xxxxxxx výkonu xx oprávněna xx xxxxxxx xxxxxxxx uděleného xxxxx xxxxxx, (dále xxx "xxxxxxxx xxxxxxxx xxxxxxxxx") nesmí do xxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx xx položky xxxx xxxxxx části, xxxxx xxxx xxxxxxx pro xxxxx jiných xxxxxxxx, xxx xxxx činnosti, x xxxxxxx xxxxxx xx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx.".
4. V §34 xx xxxxxx xxxx xxxxxxxx 1, xxxxx xxx:
"(1) Xxxxxxx xx xxxxxxxx xxxxxxx xxxx kapitál podle xx. 4 xxxx. 1 xxxx 118 xxxxxxxx.".
Xxxxxxxxx xxxxxxxx 1 xx 5 xx xxxxxxxx jako odstavce 2 xx 6.
5. X §34 xxxxxxxx 4 zní:
"(4) Xxxxxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxx než xxxxxxx, k xxxxxxx xxxxxx xx oprávněna xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx, xxxxx do xxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx xx xxxxxxx xxxx jejich xxxxx, xxxxx jsou xxxxxxx xxx xxxxx xxxxxx činností, xxx xxxx xxxxxxxx, x xxxxxxx výkonu xx xxxxxxxxx xx xxxxxxx xxxxxxxx uděleného podle xxxxxx.".
&xxxx;6. Xxxxxxxx xx xxxxxxx, xxxxx xxx:
"Xxxxxxx x xxxxxxxx č. 7/2018 Xx.
Xxxxxxxxxxx x xxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií a xxxxxxxxxxx
Xxxxxxxxxxx
1. Platební xxxxxxxxx xxxxxxxx xxxxxxxxx na xxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx (xxxx xxx "xxxxxx IKT x xxxxxxxxxxx") xxxxxxxx, xxxxx xx přiměřený xxxxxxxxx xxxxxxxx xxxxxxxxx, jejímu xxxxxxxxxxxxx uspořádání a xxxxxx, rozsahu, složitosti x xxxxxxxxxxx xxxxxx x xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxx poskytovat.
Strategické x xxxxxxxxxx xxxxxx, xxxxxxxxxxx xxxxxxxxxx
2. Xxxxx, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxx instituce x oblasti poskytování xxxxxxxxxx služeb (xxxx xxx "vedoucí xxxxxxxxx") xxxxxxx, aby xxxxxxxx xxxxxxxxx měla xxxxxxx xxxxxxxxx xxxxx vnitřní xxxxxx x xxxxxx x vnitřní kontroly xxx xxxxxx IKT x xxxxxxxxxxx. Xxxxxxx xxxxxxxxx srozumitelně xxxxxx xxxx x povinnosti xxx xxxxxx v xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx, řízení xxxxx IKT a xxxxxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx x plynulého xxxxxx činností x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, x xx x xxx xxxx.
3. Xxxxxxx xxxxxxxxx zajistí, xxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx xxx xxxxxxxxx xxxxxxx xxxxxxx platební xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a komunikačních xxxxxxxxxxx, xxxxxx xxxxx XXX x xxxxxxxxxxx x pro zajištění xxxxxxxxx xxxx xxxxxxxxx x xxxxxxx informačních x komunikačních technologií x aby xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxxx instituce zajistí, xxx všichni xxxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx xx xxxxxx XXX x xxxxxxxxxxx, xxxxxx xxxxxxxxxxx informací (xxx 49).
4. V xxxxxxxxxx vedoucího pracovníka xx stanovení x xxxxxxxxxxx strategie xxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx x rámci xxxxxxx strategie xxxxxxxx xxxxxxxxx, dohled xxx xxxxxxxxxxxx xxxx xxxxxxxxx x vytvoření účinného xxxxx xxxxxx rizik XXX x xxxxxxxxxxx.
5. Xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a komunikačních xxxxxxxxxxx xx x xxxxxxx x celkovou xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxx
x) xxx xx se xxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx instituce xxxxxxxx, xxx xxxxxx xxxxxxxxxxx celkovou xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxx, změn v xxxxxxxxx informačních x xxxxxxxxxxxxx technologií (xxxx xxx "XXX xxxxxxx") x klíčových xxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxx x oblasti xxxxxxxxxxx xxxxxxxxx se xxxxxxxxx xx XXX xxxxxxx x služby, xxxxxxxxxx x xxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx.
6. Platební xxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxx x xxxxxxxx strategie x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií. X xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxx pracovníci x xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx činností, kterými xx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx x xxxxx skupiny, jejímž xx platební xxxxxxxxx xxxxxx, xxxx xxxx xxxxxxx poskytovatelé (xxxx xxx "xxxxxxx xxxxxxxxxxxxx"), xxxxx xxxx pro xx xxxxxxxxxx x xxxxxxxx. Xxxxxxxx instituce xxxxx xxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx soustavnou xxxxxxxxx x vhodnost. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xx sledování x xxxxxxxxxxxxx účinnosti xxxxxxxxx xxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx.
7. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxx xx xxxxxxxx xxxxx vymezená v xxxxx xxxxxxx řízení xxxxx jsou xxxxxx x x xxxxxxx, xx jakékoli provozní xxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxx XXX xxxxxxx či služby x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "IKT xxxxxx") xxxx xxxxxxxxxxx xxxxxxx.
8. Xxx xxxxxxx xxxxxxxxx XXX xxxxxxx x XXX služeb xxxxxxxx xxxxxxxxx xxxxxxx, xx smlouvy a xxxxxxx xxxxxxxx o xxxxxx xxxxxx se xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx
x) cíle x xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx x xxxxxxxx; x xxx xxxx xxxxxxxxx požadavky xx xxxxxxxxxxxxx bezpečnost, xxxxxxxxxxx xxxxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx týkající xx xxxxxxxxx dat, xxxxxxx zabezpečení sítě x xxxxxxxxx xxxxxxxxxxx x umístění xxxxxxxx xxxxxx,
x) xxxxxxxx postupy x xxxxxxx xxx xxxxxx xxxxxxxxxxxxx událostí xxxx xxxx souvisejících xxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx, která xx xxxx pravděpodobně xxxx xxx nepříznivý dopad xx xxxxxxxxx, dostupnost, xxxxxxxxx xxxx xxxxxxxxxxx xxxxxx (xxxx xxx "xxxxxxxxxxxx x xxxxxxxx xxxxxxxx"), včetně xxxxxxxxx xx vyšší xxxxxx xxxxxx x xxxxxxxx xxxxx.
9. Platební xxxxxxxxx xxxxxxx x xxxxxxxx xx, xx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx požadovanou xxxxxx bezpečnostních xxxx, xxxxxxxx x xxxxxxxxxx xxxxx platební instituce, xxxxx xxxxxxx zajišťují.
Systém xxxxxx xxxxx XXX x xxxxxxxxxxx
10. Platební xxxxxxxxx xxxxxxxxxx x xxxx xxxxxx XXX x bezpečnosti, xxxxxx xx xxxx xx xxxxx xxx xxxxxxxxx x souvislosti x xx poskytovanými xxxxxxxxxx xxxxxxxx. Xxxxxxxxx při xxx postupy a xxxxxxxx, xxxxx xxxxxxxxx, xx xxxxxxx tato xxxxxx xxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, měřena, xxxxxxxxx, xxxxxxxxxx x xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x těmto xxxxxxx, x realizované xxxxxxxx x xxxxxxx a xxxxxxxxx xxxxxxxx jsou x xxxxxxx x xxxxxxx vnitřně xxxxxxxxxxx xxxxxxxx platební instituce x xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxx xxxxxxxxxx x nápravě xxxxxxxxx Xxxxxx xxxxxxx xxxxxx.
11. Platební xxxxxxxxx xxxxx xxxxxxxxx xx xxxxxx rizik XXX x xxxxxxxxxxx x xx xxxxxx xxx xxxxxx riziky xxxxxxxxx xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxx, že xx xxxxxxx xxxxxxxx xxxxxx xx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx. Tato kontrolní xxxxxx je xxxxx xxxxxxxxx vedoucímu xxxxxxxxxxxx x v xxxx xxxxxxxxxx je xxxxxxxxx x xxxxxxxx systému xxxxxx rizik IKT x bezpečnosti. Xxxxxxxxx xxxxxx, xxx xxxxxx XXX a xxxxxxxxxxx xxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxx, xxxxxxxxx x xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx tato xxxxxxxxx funkce neměla x xxxxxxxxxx žádný xxxxxxx audit.
12. X xxxxxxxxx účinného xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx xxxxxxxx xxxxxxxxx vymezí xxxxxxx xxxx x povinnosti, xxxxxxxxx hierarchické xxxxxx x x xxxx xxxxxxxxxxx působnosti. Xxxxxxxx xxxxxxxxx zajistí, že xxxxxx rizik IKT x xxxxxxxxxxx je xxxx integrováno xx xxxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx efektivnosti x xxxxxxxxxxxxxx vazeb x xxxxx xxxxxx xxxxxxx x xx x xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxx.
13. Systém xxxxxx xxxxx XXX x xxxxxxxxxxx xxxxxxxx xxxxxxx xxx
x) xxxxxx xxxx xxxxxx platební instituce xxxxxxxxxxx x těmto xxxxxxx x xxxxxxx x xxxxx ochoty xxxxxxxx xxxxxxxxx přistupovat x rizikům,
b) xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxx, kterým xx xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxx oznámených bezpečnostních x xxxxxxxxxx incidentů x xxxxxxx xxxxxxxxxx xxxxx, xxxxxx incidentů xxxxx §221 xxxxxx, xxxxx mají xxxxx xx činnosti xxxxxxxxxxx x informačními a xxxxxxxxxxxxx xxxxxxxxxxxxx, a x xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) ohlašování xxxxxx xxxxx x xxxxxxxx xxxxxxxxx pracovníkovi,
f) xxxxxxxxxx x xxxxxxxxxxxxx xxxxxx rizik xxxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxx v IKT xxxxxxxxx x XXX xxxxxxxx, xxxxxxxxx či xxxxxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxxxx bezpečnostní a xxxxxxxx xxxxxxxx.
14. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxx řízení rizik XXX x xxxxxxxxxxx xxx řádně xxxxxxxxxxxxx x soustavně zdokonalován xx základě xxxxxxxxx xxxxxxxx. Xxxxxxx pracovník xxxxxxx xxxxxx xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx.
15. Platební xxxxxxxxx xxxxxxxxxxxx a xxxxxx xxxxxxxx funkce, xxxx x xxxxxxxx xxxxxxx x hlediska jejich xxxxxxx x xxxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxx XXX x xxxxxxxxxxx.
16. Xxxxxxxx xxxxxxxxx xxxx identifikuje xxxxxxxxxxx informace, které xx xxxxx xxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxxx"), xxxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxx x zavede x aktualizuje xxxxxx xxxxxxxxxxxx. Platební instituce xx xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx, xxxxx xxxxxxxxx xxxx xxxxxxxx obchodní xxxxxx x procesy.
17. Platební xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx, podpůrné xxxxxxx x xxxxxxxxxx xxxxxx xxxxx xxxx 15 x 16 x xxxxxxxx xxxxxx xxxxxxxxxxx.
18. Za účelem xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx aktiv platební xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx týkající se xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx. Xxxxxxxx instituce xxxxxxxxxxxx xxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxx xxxxx.
19. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxx xxxx, xxxx xxxxxxx xxxxxxxxxxx xxxxx.
20. Xxxxxxxx instituce xxxxxxxxxx xxxxxx XXX x xxxxxxxxxxx, xxxxx xxxx xxxxx na xxxxxxxxxxxxxx x xxxxxxxxxxxxx obchodní xxxxxx, xxxxxxxx procesy x informační aktiva, x xx xxxxx xxxxxx kritičnosti. Xxxx xxxxxxxxxxxxx rizik provádí, xxxxxx zdokumentování, xxxxxxx xxxxxx xxxxx x xxxx xxx všech xxxxxxx xxxxxxx infrastruktury, xxxxxxx nebo xxxxxxx xxxxxxxxxxxxx obchodní xxxxxx, xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx. Na xxxxxxx xxxx platební xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
21. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxx, podpůrné xxxxxxx x informační aktiva x pravidelně xxxxxxxxxxx xxxxxxx rizik, které xx ně mají xxxxx.
22. Xx xxxxxxx xxxxxxxxxxx rizik xxxxxxxx xxxxxxxxx xxxx opatření xxxxxxx k omezení xxxxxxxxxxxx rizik XXX x bezpečnosti xx xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx k rizikům. Xxxxxxxx xxxxxxxxx také xxxx, zda xxxx xxxxxxxx xxxxx stávajících xxxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxx, XXX xxxxxxx x XXX služeb. Xxxxxxxx instituce zváží xxx xxxxxxxx x xxxxxxxxx těchto xxxx x xxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx vedoucích x xxxxxxx xxxxx IKT x xxxxxxxxxxx v xxxx xxxxxx platební xxxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxx.
23. Xxxxxxxx xxxxxxxxx přijímá xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxx XXX x xxxxxxxxxxx x x ochraně informačních xxxxx x xxxxxxx x xxxxxx klasifikací.
24. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx xxxxxxxxxxxxx xxxxx jsou xxxxxxxxxxxx x xxxx oznamovány xxxxxxxxx xxxxxxxxxxxx.
Xxxxxxx xxxxx x oblasti xxxxx XXX x xxxxxxxxxxx
25. Xxxxxx vnitřního auditu xxxxxxxxx xxxxxxxx orientovaný xxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx všech xxxxxxxx xxxxxxxx instituce xxxxxxxxxxxxx s informačními x xxxxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx se xxxxxxxx x xxxxxxx xxxxxxxx instituce x x externími požadavky, xxxxxxxxxxx, xxx tyto xxxxxx x xxxxxxx xxxx x dotčených xxxxxxxx xxxxxxxxxx, x xxxxxxxxx o xxx xxxxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxx vnitřního auditu, xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx nebo xxxxxxx, pravidelně poskytuje xxxxxxxxx pracovníkovi xxxxxxxxx xxxxxxxx x účinnosti xxxxxxx xxxxxx xxxxx XXX x bezpečnosti. Xxxxxxxxxx, xxxxx zajišťují xxxxxx vnitřního xxxxxx, xxxx odborně způsobilí x xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxx XXX x xxxxxxxxxxx, xxxxxx a xxxx x xxxxx xxxxxxxx xxxxxxxxx nebo xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx. Četnost x xxxxxxxx auditů xxxxxxxx xxxxxxxxxx xxxxxx xxxxx.
26. Vedoucí pracovník xxxxxxxxx xxxx auditů, xxxxxx xxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních technologií x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxx. Plán xxxxxx a jeho xxxxxxxxx, xxxxxx četnosti xxxxxx, xxxxxx xxxxxxxxxx xxxxxx IKT x xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xx úměrný xxxxx xxxxxxx x je xxxxxxxxxx xxxxxxxxxxxx.
27. Xxxxxxxx xxxxxxxxx stanoví opatření xxx xxxxxx xxxxxxx x xxxxxxx kritických xxxxxxxx xxxxxx x xxxxxxx informačních a xxxxxxxxxxxxx technologií.
Bezpečnost informací
Politika xxxxxxxxxxx xxxxxxxxx
28. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxx xxxxxxxxxxx xxxxxxxxx xx v xxxxxxx x xxxx xxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxx informací x xx založena xx xxxxxxxxxx vyhodnocování xxxxx. Xxxxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxx xxxxxxxxx.
29. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx hlavních rolí x xxxxxxxxxx v xxxxxxx řízení bezpečnosti xxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx, procesy x xxxxxxxxxxx v xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxx. Xxxxxxx xxxxxxxxxx x externí xxxxxxxxxxxxx xxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx instituce, odpovídající xxxxxxxxx xxxx vykonávaným, xxxxxx xxx svěřeným x xxxxxxxxxx, xxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxx x dostupnost xxxxxxxxxx xxxxxxxxx x xxxxxxxxx aktiv, xxxxxx x xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx xxx xxx xxxxxxx, tak xxx xxxxxxx x xxxxxxxxx. X xxxxxxxxx xxxxxxxxxxx xxxxxxxxx jsou xxxxxxxxx všichni pracovníci x externí xxxxxxxxxxxxx.
30. Xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx přijme xxxxxxxxxxxx xxxxxxxx x omezování xxxxx XXX x xxxxxxxxxxx, xxxx xx xxxx by xxxxx xxx vystavena. Opatření xxxxxxxxx tyto oblasti:
a) xxxxxxx xxxxxx x xxxxxx x xxxxxxx x požadavky podle xxxx 10, 11 x 25,
x) logickou xxxxxxxxxx,
x) xxxxxxxx bezpečnost,
d) xxxxxxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx, xxxxxxxxx x testování xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxx x informovanost x xxxxxxx bezpečnosti informací.
Logická xxxxxxxxxx
31. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx a xxxxxxxxx xxxxxxx xxx xxxxxxxx logického xxxxxxxx, xxxxxxxx xxxx i xxxxxxxx xx účelem xxxxxxxxx xxxxxxxx. Platební xxxxxxxxx xxxxxxx uplatňování xxxxxx xxxxxxx a xxxxxxxxxx xx xxxxxxxxxxx. Xxxx xxxxxxx xxxx xxxxxxxx alespoň na xxxxxx xxxxxxxx:
x) zásada xxxxxxxx xxxxx xxxxxxxxxx, xxxxxx minimálních xxxxxxxxx x xxxxxx oddělenosti xxxxxx; xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxxxx xxxxxxx x xx svým xxxxxxxxx xxxxxxxx spravuje tak, xxx xxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx (xxxx xxx "uživatel") věděl xxx xx, xx xx xxxxxxxx, x xx x v xxxxxxx vzdáleného xxxxxxxx; xxxxxxxxx mají xxx xxxxxx přístupová práva, xxxxx xxxx nezbytně xxxxx k xxxxxx xxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxx xxxx xxxxxxxx xxxxxxxxx kombinací xxxxxxxxxxxx práv, xxxxx xxx použít x xxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxx; xxxxxxxx instituce x xx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxxxx x sdílených uživatelských xxxx a x xxxx xxxxxxxxxxx x XXX xxxxxxxxx xxxxxxx xxxxxxxxxxxx uživatele,
c) xxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx instituce xxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xx systému pomocí xxxxxxxx omezení xxxx xxxxxxxxxxxxxx x dalších xxxx se xxxxxxxxx xxxxx xxxxxxxx k xxxxxxx a xxx xxxxxx účty xxxxxxxxx xxxxxxxx dohled, xxxxxxxx xxxxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx IKT systémům xxxxxxxxx jen xxx, xxx uživatel xxxxx xxx xx je xxxxxxxx x jen xxxx xx xxxxxxx xxxxx ověřování xxxxxxxx xxxxxxxxx,
x) zásada xxxxxxxxxxxxx xxxxxxxx uživatele; xxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx záznamů a xxxxxxxxxxxx xxxxxxxx xx xxxxxxx veškerých xxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxx x přístupu xxx, xxx xx xxxxxxxx xxxxxx neoprávněným xxxxxxx xxxx výmazu, x xxxxxx xxxxxxx xx xxxx xxxxxxxxxxxx xxxxxxxxxxx identifikovaných obchodních xxxxxx, podpůrných xxxxxxx x xxxxxxxxxxxx aktiv; xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxx k xxxxxxxxx identifikace x xxxxxxxxxxx neobvyklých xxxxxxxx xxxxxxxxxx xxx poskytování xxxxxx,
x) xxxxxx řízení xxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxx, že přístupová xxxxx xxxx udělována, xxxxxxxxx xxxx xxxxxxxxxx xxxx, x to xxxxx xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx aktiva, x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxxxxx vztahu jsou xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxx,
x) xxxxxx revize xxxxxxxxxxxx oprávnění; xxxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxxxxxx práva jsou xxxxxxxxxx xxxxxxxxxxxxx x xxxxx xxxxxxxx, xxx xxxxxxxxx nepožívali xxxxxxxxxx xxxxx x xxx xxxx xxxxxxxxxx xxxxx xxxxxxxx, jakmile xxx xxxxxxx zapotřebí,
g) xxxxxx xxxxxxxxxxxxxx autentizačních xxxxx; xxxxxxxx instituce xxxxxxxxx xxxxxx ověření, xxxxx xxxx xxxxxxxxxx robustní, xxx xxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx IKT xxxxxxx, xxxxxxxxx xxxx xxxxxxx, x xxxx se xxxxxxxxxx, xxxxxxxx přinejmenším xxxxxxx xxxxx, xxxxxxxxxxxxx xxxxxxx xxxx xxxx xxxxx xxxxxx ověření, x xx xxxxx xxxxxxxxxxx xxxxxx.
32. Platební xxxxxxxxx xxxxxxx, že xxxxxxxx xxxxxxx prostřednictvím xxxxxxxx x xxxxx x XXX xxxxxxxx xx omezen xx xxxxxxx, xxxxx xx xxxxx x poskytování xxxxxxxxx xxxxxx.
Xxxxxxx bezpečnost
33. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxx platební instituce x xxxxxxxxx ochrany xxxxxx xxxxxxx, datových xxxxxx x citlivých xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx x před xxxxxx okolního prostředí.
34. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxx přístup x IKT xxxxxxxx xx xxxxxxx xxxxx xxxxxxxxxx osobám, xxxxxxxxx xx xxxxxxxxx v xxxxxxx x xxxxx x povinnostmi dotčené xxxxx x je xxxxxxx xx osoby, xxxxx xxxx xxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxx přístup xx pravidelně přezkoumáván x x xxxxxxx xxxxxxx xxxx nepotřebná xxxxxxxxxx xxxxx xxxxxxx.
35. Xxxxxxxx instituce přijme xxxxxxxxx xxxxxxxx na xxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxx xxxx IKT xxxxxxx xxxxxxxxxx x xxxxxx budovách.
Bezpečnost provozu x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
36. Xxxxxxxx xxxxxxxxx stanoví, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxxxxx bezpečnostních xxxxxxxxx x XXX xxxxxxxxx x IKT xxxxxxxx, x minimalizuje xxxxxx xxxxx xx xxxxxxxxxxx xxxxxx xxxxxx. Xxxx xxxxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxx, xxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx zavedením xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxx na zabezpečení xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx,
x) zavedení xxxxxxxxxx xxxx, xxxxxxx xxxxxxxx ztráty xxx x šifrování síťového xxxxxxx, a xx x xxxxxxx x xxxxxxxxxxx xxx,
x) xxxxxxxx xxxxxxx koncových xxxx xxxxxx xxxxxxx, xxxxxxxxxx xxxxxx x mobilních xxxxxxxx; xxxxx xxx xxxx xxxxx xxxxx xxxxxxx xxxxxxx do xxxxxxxxx xxxx, xxxxxxxx xxxxxxxxx xxxxxxxxxxx, xxx xxxxxxx xxxx splňují xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx mechanismů xxx xxxxxxx integrity xxxxxxxx, xxxxxxxx x xxx,
x) xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx dat, x xx v xxxxxxx x xxxxxxxxxxx xxx.
37. Platební xxxxxxxxx xxxxxxxx zjišťuje, zda xxxxx xxxxxxxxxxx provozního xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xx účelem xxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx zajistí, xx xxxx xxxxx jsou xxxxx xxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxxxxx, schváleny x xxxxxxxx.
Xxxxxxxxxxxx xxxxxxxxx
38. Xxxxxxxx xxxxxxxxx provádí průběžné xxxxxxxxxxxx xxxxxxxxx. X xxxx xx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxxxxx xxxxxxxxxxx činností, které xxxxx mít xxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, a xxx xxxxxxxxx xx xxxx xxxxxxxx. V xxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je platební xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx fyzická xxxx logická narušení x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx aktiv. Xxxxxxxx xxxxxxxxx xx xxxxxxxx xx
x) relevantní xxxxxxx x xxxxxx xxxxxxx, xxxxxx obchodních xxxxxx x xxxxxxxxxxxxxxxxx funkcí x xxxxxxx informačních x xxxxxxxxxxxxx technologií,
b) xxxxxxxxx, aby xxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxx stranou xxxx uvnitř xxxxxxxx xxxxxxxxx,
x) potenciální xxxxxxx x xxxxxx xxxxxx.
39. Xxxxxxxx instituce xx xxxxxxxxxxx uspořádání, xxxxx xx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxxx sledovat xxxxxxxxxxxx xxxxxx x xxxxxxxxxx vlivem na xxxx xxxxxxxxx xxxxxxxxxx xxxxxx. Platební instituce xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxx, aby xx xxxx vědoma rizik xxxxxxxxxxx. Platební instituce xxxxxxxxx xxxxxxxx xxxxxxx x identifikaci xxxxxxx xxxxx xxxxxxxxx, škodlivých xxxx x xxxxxxx xxxxxxxxxxxxxx hrozeb x xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxx a hardwaru x xxxxxxxxxx odpovídající xxxx xxxxxxxxxxx zabezpečení.
40. Xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx pochopit xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx incidentů, xxxxxxxxxxxxx xxxxxx x xxxxxxxxxx xx xxxxxxxxx xxxxxxxxxxx.
Xxxxxxxx, xxxxxxxxx x testování xxxxxxxxxxx xxxxxxxxx
41. Xxxxxxxx xxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx a xxxxxxxx xxx, aby xxxxxxxxx účinnou identifikaci xxxxxxxxxxxxx v XXX xxxxxxxxx x XXX xxxxxxxx, x to xxxxxx diferenční xxxxxxx xxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx xxxx xxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxxx xxxxxxx x kontroly xxxxxxxxx zabezpečení. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxxxx postupy, xxxx xxxx přezkumy zdrojového xxxx, xxxxxxxxx zranitelností, xxxxxxxxxx testy x xxxxxxx xxxxxxxxxx xxxxxx xxxxxx xx XXX xxxxxxx.
42. Xxxxxxxx instituce xxxxxxx x uplatňuje xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx bezpečnosti xxxxxxxxx, zohledňuje xxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx hrozeb x vyhodnocování xxxxx XXX x bezpečnosti.
43. Xxxxx xxx xxxxxxxxx xxxxxxxxxxx informací zajišťuje, xx xxxxx
x) xxxxxxxxx xxxxxxxxx xxxxx odborně xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx informací x xxxxxxxx se xx xxxxxx opatření xxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx kontroly zranitelností x xxxxxxxx xxxxxxxxxx xxxxx, včetně penetračního xxxxxxxxx na základě xxxxxx, xx-xx xx xxxxx x xxxxxx, xxxxxx xxxxxx xxxxxx xxxxxxxxxxxx u obchodních xxxxxxx a xxxxxxx.
44. Xxxxxxxx instituce xxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxxxxx XXX xxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx x xxxx xxxxxxxx komplexního vyhodnocení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxxxxxxxx služeb, x xxxx platební xxxxxxxxx informuje Xxxxxx xxxxxxx xxxxx xxxxx §222 xxxx. 1 xxxxxx. Xxxx než xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx pravidelně xx základě xxxxxxxx xxxxxxxxxx xx xxxxxx, xxxxxxx xxxx každé xxx xxxx.
45. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxx bezpečnostních opatření xx xxxxxxx v xxxxxxx změn xxxxxxxxxxxxxx, xxxxxxx xxxx xxxxxxx x v případě, xx dojde ke xxxxxx x xxxxxxxx xxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx xxxx x xxxxxxxx xxxxxx xxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx dostupných z xxxxxxxxx.
46. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxx bezpečnostních testů x odpovídajícím způsobem xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx, x xxxxxxx xxxxxxxxxx XXX systémů xxx xxxxxxxxxx odkladu.
47. Xxxxxxxx instituce xxxxxxxxx xxxx xxxxxxxxxxxx opatření xxxxxxxx xx
x) xxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxx k xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx k xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxx xxxx formy získání xxxxxxxxxxx xxxx.
48. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx hrozeb x xxxxxxxxxxxxx změn xxxxxxx xxxxx, které xxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxx potenciálních xxxxx.
Xxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxxxxx xxxxxxxxx
49. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx zvyšování xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx všechny xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx x xxxxxxx, xx xxxxxxxxxx x xxxxxxx poskytovatelé xxxx xxxxxxxxx x xxxxxx xxxxx xxxxx a xxxxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x postupy, xxxxxxx xxxxx xx xxxxxxxxx xxxxxx xxxxx, xxxxxxx, podvodná jednání, xxxxxxxx nebo ztráty x xxxxx rizika xxxxxxx x xxxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxx xxxxxxxx zajišťoval xxxxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxx xxxxx.
Xxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
50. Platební xxxxxxxxx řídí xxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xx základě zdokumentovaných x xxxxxxxxxx xxxxxxx x xxxxxxx, které xxxxxxxxx vedoucí xxxxxxxxx. Xxxxx xxxxxx dokumentů xxxxxxxx, xxx xxxxxxxx xxxxxxxxx provozuje, xxxxxxx x kontroluje xxx XXX xxxxxxx x XXX xxxxxx, jak xxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxx udržuje aktuální xxxxxx softwaru x xxxxxxxx, xxxxx xx xxxxxxx x xxxxxxxxx xxxxxxxxx (xxxx xxx "XXX xxxxxxx").
51. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxxx xxxxxxx x xxxxxxx informačních a xxxxxxxxxxxxx technologií xxxx x souladu s xxxxxx provozními požadavky. Xxxxxxxx instituce xxxxxxx x xxxxx možno xxxxxxx účinnost xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxx xxxxx chyby xxxxxxxxxx xxx provádění xxxxxxxxxx xxxxx.
52. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx, xxxxx xxxxxxxx odhalit, xxxxxxxxxx x xxxxxxxxx xxxxx.
53. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxx XXX xxxxx včetně xxxxxxxx zařízení x xxxxxxxx. Soupis xxxxxx xxxxx xxxxxxxx jejich xxxxxxxxxxx x xxxxx x xxxxxxxx závislosti xxxx xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxx x xxxxxx změn.
54. Xxxxxx XXX aktiv xx xxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxx, xxxx xxxxxxxx, bezpečnostní xxxxxxxxxxx x osobu, xxxxx ho xx x působnosti. Platební xxxxxxxxx má xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxx XXX xxxxxx xxxxx xxxxxxxxxx xxxxxxxx na xxxxxxxxxxxx x provozní xxxxxxxxx, xxxxxx xxxxxxxxxxxxxx xxxxx.
55. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxx xxxxxxx xxxxx IKT xxxxx, aby zajistila, xx xxxx aktiva xxxxx x nadále xxxxxxxx x xxxxxxxxxx xxxxxxxxx týkající xx xxxxxxxx xxxxxxxx x xxxxxx rizik. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx XXX xxxxxx xxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx x xxx jsou xxxxxxx xxxxxxxxx xxxxxx x aktualizace xxxxxxxxx xx základě xxxxxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx x omezuje xxxxxx vyplývající xx xxxxxxxxxxx nebo xxxxxxxxxxxxxxx XXX aktiv.
56. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx procesy plánování x sledování xxxxxxxxxx XXX xxxxxxx x xxxxxxxxx kapacity xxx, xxx včas xxxxxxxx xxxxxxxx problémům x xxxxxx výkonností x xxxxxxxxxxx x xxxxxx xxxxxxxx, xxxx xx xxxxxxxxxx x xxxxxxxxx xx ně.
57. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx postupy zálohování x xxxxxx xxx x XXX xxxxxxx, xxx tato xxxx x xxxxxxx byla xxxxxxx x případě xxxxxxx xxxxxxx. Xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx xxxxx požadavků xx obnovení xxxxxxxx x xxxxxxxxxxx xxx x XXX xxxxxxx x xxxxxxx ji xxxxx xxxxxxxxxxx vyhodnocení xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx testování xxxxxxx xxxxxxxxxx a xxxxxx xxx a XXX xxxxxxx.
58. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxx xxx x XXX xxxxxxx xxxx xxxxxxxx uloženy x xxxxxxxxxx vzdáleny xx xxxxxxxxxx xxxxx xxx, xxx xxxxxx xxxxxxxxx xxxxxxx rizikům.
Řízení incidentů x xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
59. Platební xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx x xxxxxxxx xxx sledování a xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, aby xx xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxx x xxxxxxx x xxxxxxx xxxxxxxx. Platební xxxxxxxxx xxxxxxx xxxxxxxxx kritéria x xxxxxxx xxxxxxx xx xxxxxxxxxxx události xxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx zajišťují včasné xxxxxxxx incidentů. Xxxxxxxx xxxxxxxxx při xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx Xxxxxxxx xxxxxx Evropského xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx (EU) 2015/2366 x platebních xxxxxxxx xx vnitřním xxxx (XXX2).
60. X xxxxxxxxx minimalizace xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx obnovy xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxx xxxxxxxxxxx uspořádání, xxxxx xxxxxxx jednotné x integrované xxxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx incidentů x xxxxxxxxx, aby xxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxx příčiny x zamezeno xxxxxxx xxxxxxxxxxx incidentů. Xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxx
x) postupy xxx xxxxxxxxxxxx, zpětné xxxxxxxxx, xxxxxxxxxxxxx, xxxxxxxxxxxx x klasifikaci incidentů xxxxx priority na xxxxxxx kritičnosti z xxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxx x xxxxxxxxxx xxx různé xxxxxxx x xxxxxxx chyb, xxxxxx, xxxxxxxxxxxxxx útoků x xxxxxx xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxxxxxx, xxxxxxx a řešení xxxxxx xxxxxxx jednoho xxxx xxxx xxxxxxxxx, xxxxxxx xxxxxxxx instituce
1. xxxxxxxxx bezpečnostní x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx vlivem xx xx, xxxxx xxxx xxxxxxxxxxxxxx nebo xx xxxxxxxx xxxxxx nebo xxx platební xxxxxxxxx,
2. xxxxxxxxxx xxxxxx zjištění x xxxxxx xxxxxx x odpovídajícím způsobem xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxx včetně xxxxxxx xxx xxxxxxxxxx incidentů x jejich předání xx vyšší xxxxxx xxxxxx, zahrnující x xxxxxxxxx uživatelů xxxxxxxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxxxx, xxxxxxx tyto xxxxxxx xxxxxxxxx, xx
1. xxxxxxxxx s xxxxxxxxxxx xxxxxx nepříznivým xxxxxxx xx xxxxxxxx XXX xxxxxxx a XXX xxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx s xxxxxxxxxx v oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxx,
2. x případě xxxxxxxxx xxxxxxxxx jsou xxxxxxxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxx, x xx xxxxxxx x xxxxxx, xxxxxx x xxxxxxxxxxx kontrolách, xxxxx xxxxxxxx instituce xxxxxxx na základě xxxxxxxxxxx incidentů,
e) postupy xxxxxx na xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxx x xxxxxxxxx včasného xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx komunikace xxx kritické xxxxxxxx xxxxxx a procesy, xxxxx xxxxxxxx instituci xxxxxx xxxxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxxxxxxx osobami xx xxxxxx xxxxxx xxxxxx xx incident x xxxxxx po xxxxxxxxx x xxxxxxxxxx xxxxxx informace uživatelům xxxxxxxxx xxxxxx a xxxxx xxxxxx xxxxxxx.
Xxxxxx xxxxxxxx v oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx
61. Platební xxxxxxxxx xxxxxxxxxxx program nebo xxxxxx xxxxxx x xxxxxx xxxxxxxx, xxxxx xxxxxx xxxx, xxxxxxxxxx x působnosti xxx xxxxxxx xxxxxxx provádění xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a komunikačních xxxxxxxxxxx. Xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií xxxx xxxxxxxxx x případě xxxxxx, xxxxxxx, xxxxxxxxx xxxx xxxxxxxx XXX xxxxxxx x XXX xxxxxx. Xxxx xxxxxxxx xxxxx xxx xxxxxxxx xxxxxxx programů xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxx obchodní xxxxxxxx.
62. Xxxxxxxx instituce xxxxxxxx xxxxxxx x omezuje xxxxxx xxxxxxxxxxx z xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx informačních x komunikačních xxxxxxxxxxx x xxxxxxxxxx xxxx xxxxxx, která xxxxx xxxxxxxx xx vzájemných xxxxx xxxx xxxxxxx xxxxxxxx a x xxxxx více projektů xx týchž xxxxxxxx xxxx xxxxxxxxx znalostech.
63. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxx xxxxxxxx,
x) xxxx a xxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxxx rizik xxxxxxxx,
x) xxxx, xxxxxx xxxxx x xxxx xxxxxxxx,
x) xxxxxx xxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxx se xxxxxx xxxx.
64. Politika xxxxxx projektů x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxx xxxxxxxxx na xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx a xxxxxxxxx xxxxxx, která xx xxxxxxxxx xx funkci xxxxxx.
65. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx v xxxxxxxxxxx týmu xxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií. Xxxxxxxxxx xxx xxxx mít xxxxxxxx potřebné k xxxxxxxxx bezpečné x xxxxxxxxx realizace projektu x jeho xxxxxxxxx.
66. Xxxxxxx pracovník je xxxxxxxxxx x xxxxxxxx, xxxxxxxx a xxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx a x xxxx xxxxxxxxxxxxx xxxxxxxx, x to jednotlivě xxxx xxxxxxxx za xxxxxxx xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxx xxxxxxxx x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxxxxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxxx instituce xxxxxxxx xxxxxx projektů xx xxxxx systému xxxxxx xxxxx.
Xxxxxxxxxx x xxxxx XXX xxxxxxx
67. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje postup xxx pořízení, xxxxx x xxxxxx IKT xxxxxxx. Xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxx přístup.
68. Xxxxxxxx instituce xxxxxxx, xxx před xxxxxxxxxx xxxxxxxxxx pořízení xxxx xxxxxx XXX xxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx.
69. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxx nebo xxxxxxx změny XXX xxxxxxx během vývoje x xxxxxxxx x xxxxxxxxxx xxxxxxxxx.
70. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx postupy xxx xxxxxxxxx a schvalování XXX xxxxxxx před xxxxxx prvním xxxxxxxx. Xxxx postupy xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx x xxxxx. Xxxxxxxxx xxxxxxxxx, xxx xxxx XXX xxxxxxx xxxxxxxxx xxx, xxx xxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxxxxx testovací xxxxxxxxx, které xxxxxxxxx xxxxxx její xxxxxxxxx xxxxxxxxx.
71. Platební xxxxxxxxx xxxxxxx IKT xxxxxxx, XXX xxxxxx x xxxxxxxx xxx bezpečnost xxxxxxxxx xxx, xxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxx, narušení x xxxxxxxxx x xxxxxxx xxxxxxxxxxx.
72. Xxxxxxxx xxxxxxxxx xxxxxx samostatná xxxxxxxxx xxxxxxxxxxxx a komunikačních xxxxxxxxxxx, xxx zajistila xxxxxxxxxxxx xxxxxxxx funkcí x omezila xxxxx xxxxxxxxxxx xxxx xx xxxxxxxxx systémy. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx neprodukčních xxxxxxxxx. Xxxxxxxx instituce xxxxxxx xxxxxxxxx a důvěrnost xxxxxxxxxxx xxx v xxxxxxxxxxxxx xxxxxxxxxxx. Přístup x xxxxx x xxxxxxxxxxx xxxxxxxxx platební xxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxxx.
73. Platební xxxxxxxxx stanoví x xxxxxxxxx xxxxxxxx xx xxxxxxx integrity zdrojových xxxx XXX xxxxxxx, xxxxx jsou vyvíjeny xxxxxx platební xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxxxx, xxxxxx a xxxxxxxxxxx XXX xxxxxxx, xxx xx xxxxxxx jakákoli xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx v dané xxxxxxx. Xxxxxxxxxxx XXX xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx postupy.
74. Postupy xxxxxxxx xxxxxxxxx pro xxxxxxxx a vývoj XXX xxxxxxx xxxxxxxx xxxx XXX systémy xxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx mimo xxxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx instituce xxxxxx uplatní xxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxx, které xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxx xxxx xxxxxxx.
Xxxxxx změn x oblasti informačních x xxxxxxxxxxxxx xxxxxxxxxxx
75. Xxxxxxxx instituce xxxxxxx x uplatňuje proces xxxxxx xxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx technologií, xxx xxxxxxxxx, xx xxxxxxx xxxxx IKT xxxxxxx xxxx zaznamenávány, xxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx během xxxxxxxxxxx xxxxxxxx, xxxxxxxx xxx xxxxxxxxxx odkladu, xxxxx postupů, xxxxx xxxxxxx dostatečnou spolehlivost.
76. Xxxxxxxx xxxxxxxxx průběžně xxxxxxxx, zda xxxxx xxxxxxxxxxx xxxxxxxxxx prostředí xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx vyžadují xxxxxxx xxxxxxx xxxxxxxx x omezení rizik. Xxxx xxxxx xxxx x souladu x xxxxxxxx, který platební xxxxxxxxx xxxxxxxxx a xxxxxxxxx xxx řízení xxxx.
Xxxxxx xxxxxxxxxx xxxxxxxx
77. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx řádný xxxxxx pro zajištění xxxxxxxxx xxxxxx činností x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx (dále xxx "xxxxxx kontinuity xxxxxxxx"), xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx služby a xxxxxxx ztráty v xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxx činnosti.
78. X xxxxx řádného řízení xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xx podnikatelskou činnost xxxxxxxxxxx xxx xxxxxxxx xxxx závažným xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx dopadům, včetně xxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, x to xxxxxxxxxxxxx x xxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx pro obchodní xxxxxx, xxxxxxx dostupných xxxxx xxxx jiných xxxxxxxx xxxxx, které xxxxx xxx z xxxxxxxx xxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx, a xxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx x klasifikovaných xxxxxxxxxx funkcí, xxxxxxxxxx xxxxxxx, xxxxxxx xxxxx x informačních aktiv x xxxxxx vzájemné xxxxx.
79. Xxxxxxxx instituce xxxxxxx, xxx xxxx XXX xxxxxxx a XXX xxxxxx xxxx xxxxxxxx x xxxxxxx x xxxx xxxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx, xxxxxxx xxx-xx x xxxxxxxxxx xxxxxxxx xxxxxxxxxx komponent, aby xx zamezilo xxxxxxxx xxxxxxxxxxx xxxxxxxxx, které xxxx xx xxxx xxxxxx xxxxx.
80. Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxx analýz xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxxxxxxxxx a schváleny xxxxxxxx pracovníkem. Xxxxx xxxxxxxxxx činnosti xxxxxxxxxx xxxxxxx rizika, xxxxx xx mohla xxx xxxxxxxxxx dopad xx XXX systémy x XXX xxxxxx. Plány xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxx se xxxxxxx x x xxxxxxx potřeby xxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx procesů x xxxxxxxxxxxx aktiv. Platební xxxxxxxxx xxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxxxxx koordinuje xxxx xxxxxxx xxxxxx xxxxxxxx instituce x xx xxxxxxxxxxxxxxxx třetími xxxxxxxx.
81. Xxxxxxxx xxxxxxxxx xx xxxxx kontinuity xxxxxxxx, aby xxxxxxxxx, xx xxxx xxxx xxxxxxxxx xxxxxxxx na xxxxxxxx xxxxxxx xxxxxxx x že xxxx xxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx přerušení x xxxxx xxxxxxxxx xxxx, během xxx xxxx xxx xx xxxxxxxxx obnoven systém xxxx xxxxxx (xxxx xxx "xxxxxx doba xxxxxx") x v xxxxx xxxxxxxxx lhůty, xxxxx xxx je xxxxxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx (xxxx xxx "cílový xxx xxxxxx"). X xxxxxxx xxxxxxx xxxxxxxx xxxxxxxx, které xxxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, platební xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxx xxx kontinuitu xxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
82. Platební xxxxxxxxx ve xxxx xxxxx kontinuity činnosti xxxxxxx xxxxx xxxxxxx, xxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxx vývoje, xxxxxxx xxxx xxx vystavena, x to xxxxxx xxxxxxx kybernetického xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx dopad naplnění xxxxxxxx xxxxxxx. Na xxxxxxx xxxxxx xxxxxxx xxxxxxxx instituce stanoví, xxx xx xxxx xxxxxxxxx xxxxxxxxxx IKT xxxxxxx a IKT xxxxxx, xxxxx i xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx.
83. Xxxxxxxx xxxxxxxxx xx základě xxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx x věrohodných xxxxxxx vypracuje plány xxxxxx x obnovy xxxxxxxx xxxxxxxx instituce. Xxxx plány specifikují, xxxx podmínky mohou xxxxxxxx aktivaci xxxxx x xxxx opatření xxxx xxx přijata x xxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx x obnovy xxxxxxxxxxxx kritických XXX xxxxxxx a XXX xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
84. Xxxxx xxxxxx x xxxxxx zohledňují xxxxxxxxxx i dlouhodobé xxxxxxxx xxxxxx. Xxxx xxxxx jsou
a) zaměřeny xx obnovu xxxxxxxx xxxxxxxxxx obchodních xxxxxx, xxxxxxxxxx procesů, informačních xxxxx x jejich xxxxxxxxxx xxxxx, aby xxxx xxxxxxxx xxxxxxxxxxx xxxxxxx na xxxxxxxxx xxxxxxxx instituce x xx xxxxxxxx xxxxxx, xxxxxx xxxxxx xx xxxxxxxx xxxxxxx x xx uživatele platebních xxxxxx, a zajištěno xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx x zpřístupněny obchodním x xxxxxxxxx útvarům x jsou snadno xxxxxxxx x případě xxxxxxxxx xxxxxxx,
x) xxxx xxxxxxxxxxxxx v xxxxxxx x poznatky xxxxxxxxx x xxxxxxxxx, testování, x xxxx xxxxxxxxxxxxxxxx xxxxxx či xxxxxxxx x xx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxx.
85. Xxxxx xxxxxx x xxxxxx také xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x případech, xxx xxxxxx xxxxxx být x krátkodobého xxxxxxxx xxxxxxxxxxxx x důvodu xxxxxxx, xxxxx, xxxxxxxxx xxxx xxxxxxxxxxxxxx okolností.
86. X rámci plánů xxxxxx x xxxxxx xxxxxxxx xxxxxxxxx vezme x potaz xxxxxxxx xxx xxxxxxxxxx činnosti xx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxx xxxx klíčový xxxxxx xxx kontinuitu IKT xxxxxx xxxxxxxx xxxxxxxxx, x to xxxxxxxxx x souladu x Xxxxxxxx pokyny x xxxxxxxxxxxx xxxxxxxx Evropským xxxxxxx xxx xxxxxxxxxxxx.
87. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx. Zejména xxxxxxx, xxx xxxxx kontinuity xxxxxxxx jejích xxxxxxxxxx xxxxxxxxxx xxxxxx, podpůrných xxxxxxx, xxxxxxxxxxxx aktiv x xxxxxx xxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxx, xxxxxxx a xxxxx, které xxxxxxxx xxxxxxxx xxxxx xxxxxx, xxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx.
88. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx kontinuity xxxxxxxx xxxxxxx jednou xxxxx na xxxxxxx xxxxxxxx testování, aktuálních xxxxxxxxx o hrozbách x zkušeností získaných x xxxxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxx xxxx xxxxxx, včetně xxxx xxxxxx doby xxxxxx x xxxxxxxx xxxx xxxxxx, xxxx změny xxxxxxxxxx xxxxxx, podpůrných xxxxxxx x xxxxxxxxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxx xxxxx xx xxxxxxxxxxx plánů xxxxxxxxxx činnosti.
89. Xxxxxxxxxx xxxxx xxxxxxxxxx činnosti xxxxxxxx instituce prokáže, xx xx xxxxxxx xxxxxxxx xxx xxxxxxxx xx doby obnovy xxxxxxxx operace. Xxxxxxxx xxxxxxxxx zejména
a) zahrnuje xxxxxxxxx vhodného xxxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxx xxxxxxxxxxx xxx vývoj xxxxx xxxxxxxxxx činnosti, x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx třetími xxxxxxxx; xxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x informačních xxxxx xx prostředí xxx xxxxxx xx xxxxxxx x prokázání toho, xx xx xxx xxxxx provozovat po xxxxxxxxxx xxxxxx xxxxxx x xxxx lze xxxxxxx obvyklou činnost,
b) xxxxxxxx testování xxx, xxx xxxxxxxxx xxxxxxxxxxx, xx xxxxx jsou xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxx xxxxxx x řízení x xxxxx xxxxxxx xxxxxxxxxx, x
x) zahrnuje xxxxxxx x ověření xxxxxxxxxx pracovníků a xxxxxxxxx xxxxxxxxxxxxx, IKT xxxxxxx a IKT xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx přiměřeně xxxxxxxx xx xxxxxxx xxxxx xxxxxxx a).
90. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx testů xxxx xxxxxxxxxxxxxx a veškeré xxxxxxxx nedostatky vyplývající x xxxxx xxxx xxxxxxxxxxx, xxxxxx a xxxxxxxx vedoucímu xxxxxxxxxxxx.
91. Xxx xxxxxxx xxxxxxxx xxxx mimořádné xxxxxxx x xxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx zajistí, xxx xxxx stanovena x xxxxxxxxxxx xxxxxx xxxxxxxxxxx opatření xxx xxxxxx xxxxx, aby xxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx osoby xxxxxx xxxxxxxx instituce, xxxxxxxxx platebních xxxxxx x xxxx zainteresované xxxxx xxxxxx, včetně xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxx xxxxxx předpisy, a xxxxxxxxx xxxxxxx xxxxxxxxxxxxx.
Xxxxxx xxxxxx x uživateli xxxxxxxxxx xxxxxx
92. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx o xxxxxxxxxxxxxx rizicích xxxxxxxxx x xxxxxxxxxx xxxxxxxx, x to xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxx uživatele xxxxxxxxxx služeb.
93. Platební xxxxxxxxx zajistí, že xxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxx uživatelům xxxxxxxxxx služeb xxxx xxxxxxxxxxxxx x xxxxxxx xx nové xxxxxx x xxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx služeb xxxx x všech xxxxxxx xxxxxxxxxxx.
94. Umožňuje-li xx funkčnost xxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx platebních xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxx x platebními xxxxxxxx xxxxxxxxxx uživateli xxxxxxxxxx xxxxxx.
95. Pokud se xxxxxxxx xxxxxxxxx dohodla x xxxxxxxxxx xxxxxxxxxx xxxxxx xx omezeních xxxxx §163 xxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxx stanovený xxxxxxxxx xxxxx upravit.
96. Xxxxxxxx instituce poskytuje xxxxxxxxxx platebních služeb xxxxxxx xxxxxxxx upozornění x provedených xxxx xxxxxxxxxxx xxxxxxxx o xxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx x xxx xxx xxxxxxxx xxxxxxx podvodné xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxx.
97. Xxxxxxxx instituce xxxxxxxxx uživatele platebních xxxxxx x xxxxxxxxxx xxxxxxx bezpečnostních xxxxxxx, xxxxx xxxx xxxx xx poskytování platebních xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.
98. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx platebních xxxxxx xxxxx x xxxxxxx xxxxxxxxxx dotazu, xxxxxxx x podporu x oznámení xxxxxxxx xxxx xxxxxx xxxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxxxx xx xxxxxxxx služby. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx x tom, xxx xxxxx xxxx xxxxx xxxxxx.".
Xx. II
Účinnost
Tato vyhláška xxxxxx xxxxxxxxx xxxx 1. xxxxxxxx 2022.
&xxxx;
Xxxxxxxx:
Xxx. Xxxxxx x. x.
Informace
Právní xxxxxxx č. 2/2022 Sb. xxxxx xxxxxxxxx dnem 1.7.2022.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.