Právní předpis byl sestaven k datu 16.12.2025.
Zobrazené znění právního předpisu je účinné od 01.07.2022.
Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
2/2022 Sb.
Účinnost Čl. II
2
XXXXXXXX
xx dne 22. xxxxxxxx 2021,
xxxxxx xx xxxx xxxxxxxx č. 7/2018 Xx., x xxxxxxxxx podmínkách výkonu xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx, xxxxxxxxxxxxx xxxxxxxxxx xxxxxx malého xxxxxxx, xxxxxxxxx elektronických xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx peněz malého xxxxxxx
&xxxx;
Xxxxx národní xxxxx xxxxxxx xxxxx §263 xxxxxx x. 370/2017 Xx., o xxxxxxxxx xxxxx, x xxxxxxxxx §16 xxxx. 5, §17 xxxx. 3, §20 odst. 4, §46 xxxx. 2, §48 xxxx. 4, §59 xxxx. 4, §65x odst. 2, §74 xxxx. 6, §75 xxxx. 3, §78 xxxx. 4 x §100 xxxx. 4 xxxxxx zákona:
Xx. X
Xxxxxxxx č. 7/2018 Sb., x některých xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x platebním xxxx, xxxxxxxxxxxxx xxxxxxxxxx služeb xxxxxx xxxxxxx, instituce xxxxxxxxxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx, se xxxx takto:
1. §1 xxxxxx xxxxxxx a xxxxxxxx xxx xxxxx x. 1 xxx:
"§1
Xxxxxxx xxxxxx
Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx předpisy Evropské xxxx1) x upravuje
a) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxxx xxxxxxxx instituce, xxxxxxxxx xxxxxxxxxxxxxx xxxxx a xxxxxxx informací o xxxxxxxxx xxxx,
x) xxxxxx xxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx x reklamací x xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx x xxxxxxxxxx elektronických xxxxx xxxxxx xxxxxxx,
x) xxxxxxxx pro výpočet xxxx xxxxxxxx x xxxxxxxxxx přiměřenosti platební xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xx xxxxx při xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx,
x) minimální xxxxx xxxxxxxxxx xxxxxx x xxxxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx xxx platební xxxxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x správce xxxxxxxxx x platebním xxxx.
1) Xx. 4 bod 46, xx. 8 xxxx. 2, čl. 9, xx. 9 xxxx. 1 /část/ x čl. 9 xxxx. 2 xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (XX) 2015/2366 xx dne 25. xxxxxxxxx 2015 o xxxxxxxxxx službách xx xxxxxxxx xxxx, xxxxxx xx xxxx směrnice 2002/65/XX, 2009/110/XX x 2013/36/XX a xxxxxxxx (XX) x. 1093/2010 x xxxxxxx xxxxxxxx 2007/64/XX.
Xx. 5 odst. 2, xx. 5 xxxx. 3, xx. 5 odst. 4 x xx. 5 xxxx. 6 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx 2009/110/ES xx xxx 16. xxxx 2009 x přístupu x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx, x xxxxx xxxxxx x x obezřetnostním xxxxxxx xxx touto xxxxxxxx, x xxxxx xxxxxxx 2005/60/XX x 2006/48/ES x o xxxxxxx xxxxxxxx 2000/46/ES.".
2. Část xxxxx xxxxxx xxxxxxx xxx:
"XXXX DRUHÁ
ZPŮSOB XXXXXX XXXXXXXXX XXXXXXXXX
XXXXX X
XXXXXX XXXXXX NĚKTERÝCH XXXXXXXXX XX ŘÍDICÍ X XXXXXXXXX XXXXXX PLATEBNÍ XXXXXXXXX
(X §20 xxxx. 4 zákona)
§2
Vnitřní xxxxxxxx
(1) Xxxxxxxx instituce xxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxxx xx svých xxxxxxxxx xxxxxxxx, xxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxx xxx, xxxxx x xxxxx vnitřně xxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx instituce.
(2) Platební xxxxxxxxx stanoví a xxxxxxxxx postup xxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx a xxxxxxx, xxx xxxxxxx xxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx a případně xxxxxxxxxx.
(3) Xxxxxxxx instituce xxxxxxx, xxx xxxxxxx xxxxxxxx xxxx x xxxxxxx x údaji xxxxxxxxx v žádosti x xxxxxxx xxxxxxxx x xxxxxxxx platební xxxxxxxxx nebo xxxxxx xxxxxxxxx, na xxxxxxx xxxxxxx xxxx povolení x xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx xxxxx §11 xxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxxxxxx obecné xxxxxx x doporučení xxxxxx Evropským xxxxxxx xxx bankovnictví, Evropským xxxxxxx pro xxxxx xxxxxx a xxxx, Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx pojištění xxxx Xxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx a xxxxxx poskytovatelům xxxxxxxxxx xxxxxx.
(5) Xxxxxxxx instituce xxxxxxx, aby všichni xxxxxxxxxx xxxx s xxxxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxx xxxxxxx v potřebném xxxxxxx seznámeni a xxxxxxxxxxx x xxxxxxx x nimi.
§3
Schvalovací x xxxxxxxxxxx procesy
Platební xxxxxxxxx xxxxxxx, aby byla xxxxxxxxxxxx stanovena oprávnění xx schvalování x xxxxxxxxxxxx dokumentů x xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx a xxx xxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx procesy x kontrolní činnosti xxxxxx xxxxxxxxxxxxx xxxxxxxxxx x pravomocí x xxxxx xxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxxxx x rekonstruovat. Xx xxxxx účelem vhodně xxxxxx xxxx xxx xxxxxxxxxx x komunikační xxxxxxx.
§4
Xxxxxx xxxxxx xxxxxxxxxxxxxx x provozních xxxxx
(1) Xxxxxxxx xxxxxxxxx zavede x xxxxxx xxxxxxxxxxxxxx x provozních rizik xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, které xxxxxxxxx, xxxxxxxx xxx xxxxxxxx xxxxxx xxxxx x xxxxxxxxx mechanismy. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxx, a xx x pro xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx incidentů.
(2) Platební xxxxxxxxx x rámci xxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxx xxxx také xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxx xxxxxxxx alespoň
a) xxxxxx xxxxxx v xxxxxxxx narušení důvěrnosti xxx, xxxxxxxxx xxxxxxx x dat xxxx xxxxxxxxxxx xxxxxxx a xxx xxxx x xxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxx a komunikační xxxxxxx x xxxxxxxxxx xxxx x s xxxxxxxxxxx xxxxxxx, pokud xx xxxx prostředí xxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxx xxxxxxxxxxx z xxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx nebo x xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx útoků xxxx z xxxxxxxxxxxxxx xxxxxxxxx zabezpečení.
(3) Xxxxxxxxxxx x xxxxxx rizik x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x xxxxxxxxxxx, xxxxxx xxxxxxxx instituce je xxxx xx mohla xxx xxxxxxxxx x xxxxxxxxxxx x xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxx xxxxxxx x xxxxxxx x této xxxxxxxx.
(4) Platební xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx x xxxxxxxx xx xxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti xxx a xxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xx xxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxxxx x řízení xxxxx xxxxx xxxxxxx x xxxx xxxxxxxx.
§5
Xxxxxx xxxxxxxxxx stížností x xxxxxxxxx
(1) Platební instituce xxxxxx x xxxxxxxxx xxxxxxx xxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx, které
a) jsou xxxxxxxxx osobou, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxx instituce x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx xxxx xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxx předpisu,
c) xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx x zmírňování možných xxxxxx xxxxx xxx xxxxxxxxx s nimi.
(2) Xxxxxxxx instituce xxxxxxx xxxxxxx x souladu xx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx x nakládání x xxxx, x xx xxxxxxxx xxxxxxxxxx požadavky xx xxxxxxxxxx informací.
(3) Xxxxxxxx instituce xxxxxxx xxxxxx xxx vyřizování xxxxxxxxx x reklamací xxx, že jí xxxxxxxx poskytovat xxx xxxxxxxxxx xxxxxxx České xxxxxxx xxxxx xx xxxxxxxx xxxxxxxxx o xxxxxxxxxxx x reklamacích x x xxxxxxxxx x nimi xxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
(4) Platební instituce xxxxxxxx xxxxxxxxx údaje x stížnostech x xxxxxxxxxxx x výsledcích xxxxxx vyřízení x xxxxx xxxxxxxxxx identifikaci x xxxxxx případných xxxxxxxxxxx xxxxxxxxxx a xxxxxxx xxxxx, alespoň
a) xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx a reklamací x xxxxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxx druhů xxxxxxxxx a xxxxxxxxx,
x) xxxxxxxx, xxx xxxxxxxxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx i jiné xxxxxxx, služby nebo xxxxxxxx, xxxxxx xxxx, xxxxxxx se xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx,
x) x xxxxxxx xxxxxxxxxxx nedostatků xxxx xxxxxxx odstranění xxxxxxxxxxxxxxxx xxxxxx stížností x xxxxxxxxx.
(5) Xxxxxxxx instituce
a) xxxxxxxx uživateli xxxxxxxxxx xxxxxx xx xxxxxxxx x vždy x xxxxxxxxxxx s xxxxxxxxxx xxxxxxx stížnosti xxxx xxxxxxxxx xxxxxxxx informaci x xxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, a xx x xxxxxx xxxxxx xxxx v xxxxx xxxxxx, pokud xx xx xxx x xxxxxxxxxx xxxxxxxxxx služeb xxxxxxx,
x) xxxxxxxxxx uživatelům xxxxxxxxxx xxxxxx x xxxxxxxxxx informace xxxxx xxxxxxx c) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx platebních xxxxxx xxxx xxxxx způsobem xxxxxxxxxx x uživateli xxxxxxxxxx xxxxxx xx xxxxx obchodních xxxxxxxxxx, x xx-xx zřízeny xxxxxxxxxxx stránky, xxxx xx nich, x xx xxxxxxx x xxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx, přesné a xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx stížností x reklamací, které xxxxxxxx
1. xxxxxxxx xxxxx x xxx, jak xxxxxxxx xxxx xxxxxxxxx xxxxx, xxxxxxx xxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxx, x kontaktní xxxxx xxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xx xxx xxxxxxxx xxxx reklamace xxxxxxx,
2. xxxxxxxxx o xxxxx, xx xxxxx xxxx uživatel platebních xxxxxx xxxxxxxxx o xxxxxxxx xxxxxxxxx, x x orientační xxxxx xxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx,
3. podstatné xxxxxxxx xxxxxxxxx x zpracovávání xxxxxxxxx xxxx xxxxxxxxx,
4. xxxxxxxxx x xxxxxxxxxxx xxxxxxx České xxxxxxx xxxxx, Xxxxxxxxx finančního xxxxxxx x Kanceláře xxxxxxxxx xxxxxxxx xxxx.
(6) Xxxxxxxx instituce
a) xxxxxx xxxxx, xxxxx xxx xx ní rozumně xxxxxxxxx, xxx xxxxxxx x prověřila xxxxxxx xxxxxxxxxx xxxxxx a xxxxxxxxx týkající xx xxxx xxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx x xxxxxxxxxx xx xxxxxxx podle §258 xxxxxx; nemůže-li xxxx xxxxx xxxxxxx, informuje xxxxxxxxx platebních xxxxxx x xxxxxxxx prodlení x termínu, xxx xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx dokončeno,
d) xxx xxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxxx uživatele xxxxxxxxxx xxxxxx, x něm xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx reklamace x xxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx na xxxxxxxxx nebo xxxxxxxxx xxxxx a obrátit xx xx Xxxxxxxx xxxxxxxxxx arbitra, Xxxxxx xxxxxxx xxxxx x xx xxxxxx práva xx xxxxx xxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx na Xxxxxxxx xxxxxxxxx xxxxxxxx práv, xxxxxxx xxxxxxxx jsou xxxxxxxxx údaje xxxxxx xxxxxx, xxxx na xxxx.
XXXXX XX
XXXXXX XXXXXX XXXXXXXXX POŽADAVKŮ NA XXXXXX X KONTROLNÍ XXXXXX XXXXXXXXX ELEKTRONICKÝCH XXXXX
(X §78 xxxx. 4 xxxxxx)
§6
&xxxx;Xxx xxxxxxxxx xxxxxxxxxxxxxx peněz xx xxxxxxx §2 xx 5 xxxxxxx.
XXXXX III
ZPŮSOB XXXXXX XXXXXXXXX XXXXXXXXX XX XXXXXX X XXXXXXXXX XXXXXX SPRÁVCE XXXXXXXXX X XXXXXXXXX XXXX
(X §48 xxxx. 4 xxxxxx)
§7
(1) Xxx xxxxxxx informací o xxxxxxxxx xxxx se xxxxxxx §2 a 3 xxxxxxx.
(2) Xxx xxxxxxxxxx xxxxxxxxx na xxxxxx řízení bezpečnostních x provozních xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx xxxxxxx podle §4.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx stížností x xxxxxxxxx postupuje xxxxxxx informací x xxxxxxxxx xxxx xxxxxxx xxxxx §5.
HLAVA XX
XXXXXX XXXXXX XXXXXXXXX XX XXXXXX XXXXXX BEZPEČNOSTNÍCH X PROVOZNÍCH XXXXX X XXXXXX XXXXXXXXXX XXXXXXXXX A XXXXXXXXX X XXXXXXXXXXXXX XXXXXXXXXX XXXXXX XXXXXX XXXXXXX
(X §59 xxxx. 4 xxxxxx)
§8
(1) Xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx stanovené xx xxxxxx řízení xxxxxxxxxxxxxx x provozních xxxxx a xxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx xxxxx xxxxxxxxx předpisů x xxx xxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxxxxxxx xxxxxxxxx obdobně xxxxx §2 odst. 2 xx 5.
(2) Xxx xxxxxxxxxx požadavků xx xxxxxxxxxxx x xxxxxxxxxxx procesy týkající xx xxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxx poskytovatel xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §3.
(3) Pro xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnostních a xxxxxxxxxx xxxxx xxxxxxxxxxxxx x poskytováním xxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx podle §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx obdobně xxxxx §5.
XXXXX V
ZPŮSOB XXXXXX XXXXXXXXX XX XXXXXX XXXXXX XXXXXXXXXXXXXX A XXXXXXXXXX XXXXX A XXXXXX XXXXXXXXXX XXXXXXXXX X XXXXXXXXX U XXXXXXXXXX ELEKTRONICKÝCH XXXXX XXXXXX XXXXXXX
(X §100 xxxx. 4 zákona)
§9
(1) Xxxxxxxxx elektronických peněz xxxxxx rozsahu promítne xxxxxxxxx xxxxxxxxx na xxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx x pro xxxxxxxxxx požadavků na xxxx vnitřní předpisy xxxxxxxxx xxxxxxx xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx na xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxx xxxxxx bezpečnostních x provozních rizik x xxxxxxx vyřizování xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx malého rozsahu xxxxxxx xxxxx §3.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx systém řízení xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxxxxx podle §4.
(4) Xxx naplňování xxxxxxxxx na xxxxxx xxxxxxxxxx stížností x xxxxxxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx xxxxx malého xxxxxxx xxxxxxx xxxxx §5.".
Xxxxxxxx pod xxxxx x. 2 xx 4 xx zrušují.
3. X §27 xxxxxxxx 4 zní:
"(4) Xxxxxxxx xxxxxxxxx, která xxxxxxxx x xxxx podnikatelské xxxxxxxx xxx xxxxxxx, x jejímuž xxxxxx xx oprávněna xx xxxxxxx xxxxxxxx uděleného xxxxx xxxxxx, (dále xxx "hybridní xxxxxxxx xxxxxxxxx") nesmí do xxxxxxxx určeného podle xxxxxxxx 1 xxxxxxxx xx xxxxxxx nebo xxxxxx části, xxxxx xxxx xxxxxxx xxx xxxxx xxxxxx činností, xxx xxxx xxxxxxxx, x jejichž výkonu xx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxx zákona.".
4. X §34 se vkládá xxxx xxxxxxxx 1, xxxxx xxx:
"(1) Xxxxxxx xx xxxxxxxx xxxxxxx xxxx xxxxxxx podle xx. 4 xxxx. 1 bodu 118 xxxxxxxx.".
Xxxxxxxxx xxxxxxxx 1 xx 5 se xxxxxxxx jako odstavce 2 xx 6.
5. X §34 xxxxxxxx 4 xxx:
"(4) Instituce xxxxxxxxxxxxxx xxxxx, xxxxx xxxxxxxx i xxxx xxxxxxxxxxxxx xxxxxxxx než xxxxxxx, x xxxxxxx xxxxxx je oprávněna xx xxxxxxx xxxxxxxx xxxxxxxxx podle xxxxxx, xxxxx do kapitálu xxxxxxxx xxxxx odstavce 1 zahrnout ty xxxxxxx xxxx xxxxxx xxxxx, které xxxx xxxxxxx xxx výkon xxxxxx xxxxxxxx, xxx xxxx činnosti, x xxxxxxx výkonu xx xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx podle xxxxxx.".
&xxxx;6. Xxxxxxxx xx xxxxxxx, která xxx:
"Xxxxxxx x xxxxxxxx x. 7/2018 Xx.
Xxxxxxxxxxx x xxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx
Xxxxxxxxxxx
1. Xxxxxxxx instituce xxxxxxxx xxxxxxxxx xx xxxxxx rizik v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx (xxxx xxx "xxxxxx XXX x xxxxxxxxxxx") xxxxxxxx, který xx xxxxxxxxx velikosti xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxx xxxxxxxxxx a xxxxxx, rozsahu, xxxxxxxxxx x xxxxxxxxxxx xxxxxx x produktů, xxxxx xxxxxxxx xxxxxxxxx poskytuje xxxx xxxxxxx xxxxxxxxxx.
Xxxxxxxxxxx x operativní řízení, xxxxxxxxxxx xxxxxxxxxx
2. Xxxxx, xxxxx xxxxxxxx xxxx xxxxxxx platební instituce x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx (xxxx xxx "vedoucí pracovník") xxxxxxx, xxx xxxxxxxx xxxxxxxxx měla zaveden xxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxx x xxxxxxx xxxxxxxx xxx xxxxxx XXX x xxxxxxxxxxx. Xxxxxxx xxxxxxxxx srozumitelně vymezí xxxx a xxxxxxxxxx xxx xxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxxxxx xxxxx XXX x xxxxxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, a xx x xxx xxxx.
3. Xxxxxxx pracovník xxxxxxx, xxx xxxxx pracovníků xxxxxxxx instituce a xxxxxx xxxxxxx způsobilost x zkušenosti xxxx xxxxxxxxx xxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a komunikačních xxxxxxxxxxx, xxxxxx xxxxx XXX x bezpečnosti x pro zajištění xxxxxxxxx xxxx xxxxxxxxx x oblasti xxxxxxxxxxxx x komunikačních technologií x xxx xxxx xxxxxxxxx přidělený xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxxx vhodné xxxxxxx xxxxxxx xxxxxxxx se xxxxxxxxx xx xxxxxx XXX x bezpečnosti, xxxxxx bezpečnosti informací (xxx 49).
4. X xxxxxxxxxx vedoucího pracovníka xx xxxxxxxxx a xxxxxxxxxxx strategie xxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxxx a komunikačních xxxxxxxxxxx x rámci xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, dohled xxx xxxxxxxxxxxx xxxx xxxxxxxxx x vytvoření účinného xxxxx xxxxxx xxxxx XXX a bezpečnosti.
5. Xxxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx xx x xxxxxxx x celkovou xxxxxxxxx platební instituce x xxxxxxxx
x) jak xx se xxxx xxxxxxxxxx x komunikační xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx, xxx účinně xxxxxxxxxxx celkovou strategii xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx vývoje xxxxxxxxxxxxx xxxxxxxxxx, xxxx v xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx technologií (xxxx xxx "IKT xxxxxxx") x klíčových xxxxxx xxxxxxxxxx na třetích xxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, včetně xxxxxx xxxxxxxxxx xx třetích xxxxxxxx,
x) xxxxxxxxxxxx xxxx x oblasti xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxx xx IKT xxxxxxx x služby, xxxxxxxxxx x procesy v xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx.
6. Platební xxxxxxxxx xxxxxxx soubory xxxxxxx xxxxx, xxxxx xxxxxxxx opatření nutná x xxxxxxxx strategie x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. X těmito plány xxxx seznámeni všichni xxxxxxxxx xxxxxxxxxx a xxxxx příslušné xxxxx xxxxxx xxxxxxxxxx a xxxxxxxxx poskytovatelů xxxxxx xxxx činností, xxxxxxx xx rozumí xxxxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx x xxxxx xxxxxxx, xxxxxx xx platební xxxxxxxxx xxxxxx, xxxx xxxx xxxxxxx xxxxxxxxxxxxx (xxxx xxx "xxxxxxx xxxxxxxxxxxxx"), xxxxx xxxx xxx xx xxxxxxxxxx x xxxxxxxx. Xxxxxxxx instituce xxxxx xxxxx pravidelně xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx x vhodnost. Platební xxxxxxxxx xxxxxx xxxxxxx xx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx provádění xxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx.
7. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx ke xxxxxxxx xxxxx xxxxxxxx x xxxxx systému xxxxxx xxxxx jsou xxxxxx x v případě, xx xxxxxxxx xxxxxxxx xxxxxx poskytování xxxxxxxxxx xxxxxx nebo XXX xxxxxxx či xxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "XXX xxxxxx") xxxx xxxxxxxxxxx xxxxxxx.
8. Xxx plynulé xxxxxxxxx XXX xxxxxxx x XXX služeb xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxx x xxxxxxx xxxxxxxx o xxxxxx služeb se xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx
x) xxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxx; x xxx xxxx xxxxxxxxx požadavky xx xxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxxxxx cyklu xxx platební xxxxxxxxx, xxxxxxx požadavky xxxxxxxx xx xxxxxxxxx dat, xxxxxxx xxxxxxxxxxx sítě x sledování xxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx,
x) provozní postupy x postupy xxx xxxxxx xxxxxxxxxxxxx událostí xxxx řady souvisejících xxxxxxxx xxxxxxxxxxxxx platební xxxxxxxxx, xxxxx má xxxx xxxxxxxxxxxxx xxxx xxx xxxxxxxxxx xxxxx xx xxxxxxxxx, dostupnost, xxxxxxxxx xxxx xxxxxxxxxxx xxxxxx (xxxx jen "xxxxxxxxxxxx x provozní xxxxxxxx"), xxxxxx předávání xx xxxxx úroveň xxxxxx a xxxxxxxx xxxxx.
9. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxx xx, xx xxxxxxx xxxxxxxxxxxxx zajišťují xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxx x provozních xxxxx xxxxxxxx instituce, xxxxx xxxxxxx xxxxxxxxx.
Xxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx
10. Xxxxxxxx xxxxxxxxx xxxxxxxxxx x xxxx xxxxxx XXX x xxxxxxxxxxx, kterým xx xxxx xx xxxxx xxx vystavena x xxxxxxxxxxx x xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx. Xxxxxxxxx xxx xxx xxxxxxx a xxxxxxxx, xxxxx xxxxxxxxx, xx xxxxxxx xxxx xxxxxx xxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxx, sledována, xxxxxxxxxx a xxxxxxxxx x xxxxxxx xx xxxxxxxxxx mírou xxxxxx xxxxxxxx instituce xxxxxxxxxxx x těmto xxxxxxx, x xxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxxx jsou x xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx stanovenými xxxxxxxx xxxxxxxx nebo xxxxxxxxxx k xxxxxxx xxxxxxxxx Českou xxxxxxx xxxxxx.
11. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx xx xxxxxx xxxxx XXX x xxxxxxxxxxx a xx xxxxxx xxx xxxxxx riziky xxxxxxxxx xxxxxx. Xxxxxxxx instituce xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxx, xx xx xxxxxxx xxxxxxxx xxxxxx xx xxxxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx. Xxxx xxxxxxxxx xxxxxx je xxxxx xxxxxxxxx vedoucímu xxxxxxxxxxxx x x její xxxxxxxxxx je xxxxxxxxx x kontrola xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx. Xxxxxxxxx xxxxxx, aby rizika XXX x xxxxxxxxxxx xxxx rozpoznávána, vyhodnocována, xxxxxx, sledována x xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx tato xxxxxxxxx xxxxxx neměla x působnosti žádný xxxxxxx xxxxx.
12. X xxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx platební xxxxxxxxx vymezí klíčové xxxx a xxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx vztahy x x nimi xxxxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxx xxxxx XXX x bezpečnosti xx xxxx integrováno do xxxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxxxx, včetně xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x xx x xxxxxxx s jednotlivými xxxxxxx systému řízení xxxxx.
13. Systém řízení xxxxx IKT x xxxxxxxxxxx zahrnuje xxxxxxx xxx
x) určení míry xxxxxx platební instituce xxxxxxxxxxx x xxxxx xxxxxxx x xxxxxxx x mírou ochoty xxxxxxxx xxxxxxxxx přistupovat x xxxxxxx,
x) rozpoznávání x xxxxxxxxxxxxx těchto xxxxx, xxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x omezení xxxxxxx xxxx xxxxxx xxxxxxx xxxxxx rizik,
d) xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxx oznámených bezpečnostních x xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, včetně incidentů xxxxx §221 xxxxxx, xxxxx xxxx xxxxx xx činnosti xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx technologiemi, x x xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxx rizik x xxxxxxxx xxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxx x vyhodnocování xxxxxx xxxxx xxxxxxxxxxxxx x jakékoli xxxxxxxx xxxxx v XXX xxxxxxxxx a IKT xxxxxxxx, xxxxxxxxx xx xxxxxxxxx nebo x xxxxxxxxxx xx jakýkoli xxxxxxxx bezpečnostní x xxxxxxxx xxxxxxxx.
14. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxx řízení rizik XXX x bezpečnosti xxx xxxxx xxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxx xxxxxx ročně xxxxxxxxx a xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx.
15. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx a xxxxxx xxxxxxxx xxxxxx, xxxx x podpůrné xxxxxxx x hlediska xxxxxx xxxxxxx x xxxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxx XXX x xxxxxxxxxxx.
16. Xxxxxxxx xxxxxxxxx xxxx identifikuje xxxxxxxxxxx xxxxxxxxx, xxxxx xx třeba xxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxxx"), xxxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxx x xxxxxx x xxxxxxxxxxx xxxxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xx xxxxxxx řídit xxxx informační aktiva, xxxxx podporují xxxx xxxxxxxx xxxxxxxx xxxxxx x xxxxxxx.
17. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx funkce, podpůrné xxxxxxx x informační xxxxxx podle bodů 15 x 16 x xxxxxxxx xxxxxx xxxxxxxxxxx.
18. Xx xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx a xxxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx zvažuje alespoň xxxxxxxxx xxxxxxxx xx xxxxxxxxxx, integrity x xxxxxxxxxxx. Platební xxxxxxxxx xxxxxxxxxxxx vymezí povinnosti x xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxx aktiv.
19. Xxxxxxxx instituce přezkoumává xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxx vždy, xxxx xxxxxxx vyhodnocení rizik.
20. Xxxxxxxx xxxxxxxxx rozpoznává xxxxxx XXX a xxxxxxxxxxx, xxxxx xxxx xxxxx xx xxxxxxxxxxxxxx x xxxxxxxxxxxxx obchodní xxxxxx, xxxxxxxx procesy x xxxxxxxxxx xxxxxx, x xx xxxxx xxxxxx kritičnosti. Xxxx xxxxxxxxxxxxx xxxxx provádí, xxxxxx xxxxxxxxxxxxxx, xxxxxxx xxxxxx xxxxx a xxxx při xxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx, xxxxxxx xxxx postupů xxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx aktiva. Xx xxxxxxx xxxx platební xxxxxxxxx aktualizuje xxxxxx xxxxxxxxxxx xxxxx.
21. Platební xxxxxxxxx průběžně sleduje xxxxxx a zranitelnost xxxxxxxx xxx xxxxxxxx xxxxxx, podpůrné procesy x informační xxxxxx x pravidelně xxxxxxxxxxx xxxxxxx rizik, xxxxx xx xx xxxx xxxxx.
22. Xx xxxxxxx xxxxxxxxxxx rizik platební xxxxxxxxx určí xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxx IKT x xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x rizikům. Xxxxxxxx instituce také xxxx, xxx xxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxx, XXX xxxxxxx x XXX xxxxxx. Xxxxxxxx xxxxxxxxx zváží xxx potřebný k xxxxxxxxx xxxxxx xxxx x xxx xx xxxxxxx příslušných xxxxxxxxxxxx xxxxxxxx xxxxxxxxx k xxxxxxx xxxxx XXX x xxxxxxxxxxx v xxxx xxxxxx xxxxxxxx xxxxxxxxx x těmto xxxxxxx xxxxxxxxxxx.
23. Platební xxxxxxxxx xxxxxxx opatření xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxx XXX x xxxxxxxxxxx x x xxxxxxx xxxxxxxxxxxx xxxxx v xxxxxxx x xxxxxx xxxxxxxxxxx.
24. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxx x včas xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
Xxxxxxx audit x xxxxxxx xxxxx XXX x bezpečnosti
25. Xxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a samostatně xxxxxxxxxxx xxxxxx xxxxx xxxxxxxx xxxxxxxx instituce xxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x x externími požadavky, xxxxxxxxxxx, xxx xxxx xxxxxx a xxxxxxx xxxx x xxxxxxxxx xxxxxxxx dodržovány, a xxxxxxxxx x xxx xxxxxxxxxx nezávislé xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxx, xxxxxx xxxxxxxx instituce xxxxxxxxx interně nebo xxxxxxx, xxxxxxxxxx poskytuje xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx x účinnosti xxxxxxx řízení xxxxx XXX a xxxxxxxxxxx. Xxxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxx, xxxx xxxxxxx xxxxxxxxx x mají dostatečné xxxxxxxxxx týkající xx xxxxx XXX a xxxxxxxxxxx, xxxxxx x xxxx x xxxxx xxxxxxxx xxxxxxxxx xxxx xx dotčené xxxxxxxx xxxxxxxxx nezávislí. Xxxxxxx x zaměření auditů xxxxxxxx xxxxxxxxxx xxxxxx xxxxx.
26. Xxxxxxx xxxxxxxxx xxxxxxxxx plán xxxxxx, xxxxxx xxxxx xxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx jejich xxxxxxxxxxx xxxx. Xxxx xxxxxx x xxxx xxxxxxxxx, včetně četnosti xxxxxx, xxxxxx xxxxxxxxxx xxxxxx IKT x xxxxxxxxxxx platební xxxxxxxxx, xx xxxxxx těmto xxxxxxx a xx xxxxxxxxxx xxxxxxxxxxxx.
27. Platební xxxxxxxxx stanoví xxxxxxxx xxx včasné xxxxxxx x nápravu xxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií.
Bezpečnost xxxxxxxxx
Xxxxxxxx xxxxxxxxxxx xxxxxxxxx
28. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xx v xxxxxxx x xxxx xxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxx xxxxxxxxx a xx založena xx xxxxxxxxxx xxxxxxxxxxxxx xxxxx. Xxxxxxxx bezpečnosti informací xxxxxxxxx xxxxxxx xxxxxxxxx.
29. Xxxxxxxx xxxxxxxxxxx zahrnuje xxxxx xxxxxxxx xxxx x xxxxxxxxxx v xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x požadavky xx xxxxxxxxxx x xxxxxxx poskytovatele, procesy x technologie v xxxxxxxxxxx s bezpečností xxxxxxxxx. Všichni pracovníci x externí xxxxxxxxxxxxx xxxx xxxxxxxxxx xxx xxxxxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxx instituce, xxxxxxxxxxxx xxxxxxxxx xxxx vykonávaným, xxxxxx xxx xxxxxxxx x oprávněním, jimiž xxxxxxxxx. Xxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxxx důvěrnost, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxx, xxxxxx x citlivých xxxxx xxxxxxxx xxxxxxxxx jak xxx uložení, xxx xxx přenosu a xxxxxxxxx. S politikou xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxx pracovníci x externí xxxxxxxxxxxxx.
30. Xx xxxxxxx politiky xxxxxxxxxxx informací platební xxxxxxxxx xxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx xxxxx XXX x xxxxxxxxxxx, xxxx xx xxxx by xxxxx xxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx oblasti:
a) xxxxxxx xxxxxx a xxxxxx v souladu x požadavky podle xxxx 10, 11 x 25,
x) xxxxxxxx xxxxxxxxxx,
x) fyzickou xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx,
x) bezpečnostní xxxxxxxxx,
x) xxxxxxxx, hodnocení x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx přípravu x xxxxxxxxxxxxx v xxxxxxx bezpečnosti xxxxxxxxx.
Xxxxxxx xxxxxxxxxx
31. Platební xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxxx xxxxxxxxx přístupu, xxxxxxxx xxxx x xxxxxxxx za účelem xxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx sleduje uplatňování xxxxxx xxxxxxx x xxxxxxxxxx xx přezkoumává. Xxxx xxxxxxx jsou xxxxxxxx xxxxxxx xx xxxxxx xxxxxxxx:
x) xxxxxx xxxxxxxx xxxxx xxxxxxxxxx, xxxxxx minimálních xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx; xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx x xx xxxx xxxxxxxxx xxxxxxxx spravuje tak, xxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx (xxxx xxx "uživatel") xxxxx xxx to, co xx xxxxxxxx, x xx i v xxxxxxx xxxxxxxxxx xxxxxxxx; xxxxxxxxx xxxx xxx xxxxxx přístupová práva, xxxxx xxxx xxxxxxxx xxxxx k xxxxxx xxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx neoprávněnému xxxxxxxx x velkému xxxxxxx dat xxxx xxxxxxxx xxxxxxxxx kombinací xxxxxxxxxxxx xxxx, xxxxx xxx použít x xxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxx uživatelské xxxxxxxxxx; xxxxxxxx xxxxxxxxx v xx nejvyšší xxxx xxxxx xxxxxxxxx obecných x xxxxxxxxx xxxxxxxxxxxxx xxxx x x xxxx xxxxxxxxxxx x XXX systémech xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxxxx přístupových xxxxxxxxx; xxxxxxxx xxxxxxxxx přísně xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xx systému xxxxxx xxxxxxxx xxxxxxx účtů xxxxxxxxxxxxxx x xxxxxxx xxxx se zvýšenými xxxxx přístupu x xxxxxxx x xxx xxxxxx xxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxxxxxxxxxx xxxxxxx ke xxxxxxxxx IKT xxxxxxxx xxxxxxxxx xxx tak, xxx uživatel xxxxx xxx xx xx xxxxxxxx a xxx xxxx xx xxxxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) zásada xxxxxxxxxxxxx xxxxxxxx uživatele; xxxxxxxx xxxxxxxxx zajistí xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxx xx xxxxxxx veškerých xxxxxxxx xxxxxxxxxxxxxxx uživatelů, xxxxxxxxxxx xxxxxxx x xxxxxxxx xxx, aby se xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx, x xxxxxx xxxxxxx xx xxxx odpovídající xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, podpůrných procesů x xxxxxxxxxxxx aktiv; xxxxxxxx instituce tyto xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx při xxxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxx xxxxxxxx; xxxxxxxx instituce xxxxxxx, xx xxxxxxxxxx xxxxx jsou udělována, xxxxxxxxx xxxx xxxxxxxxxx xxxx, x to xxxxx xxxxxx stanovených xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx informačního xxxxxx, x případě ukončení xxxxxxxxxx xxxxxx nebo xxxxxxxxx xxxxxx xxxx xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxx,
x) xxxxxx xxxxxx xxxxxxxxxxxx oprávnění; xxxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxxxxxx práva jsou xxxxxxxxxx xxxxxxxxxxxxx x xxxxx xxxxxxxx, aby xxxxxxxxx nepožívali nadměrných xxxxx x aby xxxx xxxxxxxxxx xxxxx xxxxxxxx, xxxxxxx xxx xxxxxxx zapotřebí,
g) zásada xxxxxxxxxxxxxx autentizačních metod; xxxxxxxx instituce prosazuje xxxxxx ověření, xxxxx xxxx xxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx a xxxxxx xxxxxxxxx dodržování xxxxx a xxxxxxx xxxxxxxx přístupu, xxxxxxxxxx xxxxxxxxxxx IKT xxxxxxx, xxxxxxxxx xxxx xxxxxxx, x nimž xx xxxxxxxxxx, xxxxxxxx xxxxxxxxxxxx xxxxxxx hesla, dvoufaktorová xxxxxxx xxxx xxxx xxxxx metody xxxxxxx, x xx xxxxx xxxxxxxxxxx xxxxxx.
32. Platební xxxxxxxxx xxxxxxx, xx xxxxxxxx přístup xxxxxxxxxxxxxxx xxxxxxxx x xxxxx x XXX xxxxxxxx xx xxxxxx xx xxxxxxx, které je xxxxx x poskytování xxxxxxxxx xxxxxx.
Xxxxxxx bezpečnost
33. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x uplatňuje xxxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx ochrany xxxxxx xxxxxxx, datových xxxxxx a xxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx a xxxx xxxxxx okolního prostředí.
34. Xxxxxxxx instituce xxxxxxx, xx xxxxxxx xxxxxxx x XXX systémům xx xxxxxxx xxxxx xxxxxxxxxx osobám, xxxxxxxxx xx xxxxxxxxx x xxxxxxx s úkoly x xxxxxxxxxxx xxxxxxx xxxxx x xx xxxxxxx na osoby, xxxxx xxxx řádně xxxxxxxxx a jejichž xxxxxxxx xxxx monitorovány. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx x x xxxxxxx xxxxxxx xxxx nepotřebná xxxxxxxxxx xxxxx xxxxxxx.
35. Xxxxxxxx instituce xxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx, která xxxx úměrná xxxxxxxxxxx xxxxx x kritičnosti xxxxxxx xxxx XXX xxxxxxx umístěných x xxxxxx budovách.
Bezpečnost xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
36. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx a xxxxxxxxx xxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x XXX xxxxxxxxx x XXX službách, x xxxxxxxxxxxx xxxxxx xxxxx na xxxxxxxxxxx xxxxxx služeb. Xxxx xxxxxxx xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxxxxxxx zranitelností, které xxxx vyhodnoceny a xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxx, včetně xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx uživatelům, xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) zavedení xxxxxxxxx xx xxxxxxxxxxx xxxxxxxx konfigurace všech xxxxxxxx xxxxxxxxx,
x) zavedení xxxxxxxxxx sítě, xxxxxxx xxxxxxxx ztráty dat x xxxxxxxxx xxxxxxxx xxxxxxx, a to x xxxxxxx x xxxxxxxxxxx dat,
d) xxxxxxxx xxxxxxx xxxxxxxxx bodů xxxxxx xxxxxxx, xxxxxxxxxx xxxxxx a xxxxxxxxx xxxxxxxx; dříve xxx xxxx xxxxx xxxxx xxxxxxx xxxxxxx do xxxxxxxxx xxxx, xxxxxxxx xxxxxxxxx xxxxxxxxxxx, xxx xxxxxxx xxxx splňují xx vymezené xxxxxxxxxxxx xxxxxxxxx,
x) zavedení xxxxxxxxxx xxx xxxxxxx integrity xxxxxxxx, xxxxxxxx x xxx,
x) xxxxxxxxx xxxxxxxxx x přenášených xxx, x to x xxxxxxx s klasifikací xxx.
37. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx ovlivňují stávající xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxxxxxx rizik. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxx změny xxxx xxxxx xxxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx.
Xxxxxxxxxxxx xxxxxxxxx
38. Platební xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx sledování. K xxxx si xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx xxx odhalování xxxxxxxxxxx xxxxxxxx, xxxxx xxxxx mít xxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, x xxx xxxxxxxxx xx xxxx události. X xxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxx odhalovat x xxxxxxxxx xxxxxxx xxxx logická xxxxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxx aktiv. Platební xxxxxxxxx xx xxxxxxxx xx
x) xxxxxxxxxx vnitřní x xxxxxx xxxxxxx, xxxxxx xxxxxxxxxx xxxxxx x administrativních xxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx, aby bylo xxxxx odhalit zneužití xxxxxxxx třetí stranou xxxx xxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx vnitřní x xxxxxx xxxxxx.
39. Xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx, které xx xxxxxxxx xxxxxxxxxxxxx x soustavně xxxxxxxx xxxxxxxxxxxx xxxxxx s xxxxxxxxxx vlivem na xxxx schopnost xxxxxxxxxx xxxxxx. Platební instituce xxxxxxx sleduje xxxxxxxxxxxxx xxxxx, aby si xxxx vědoma xxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxx, xxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxx známých zranitelností xxxxxxxx a hardwaru x kontroluje xxxxxxxxxxxx xxxx aktualizace xxxxxxxxxxx.
40. Xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx, identifikovat xxxxxx x xxxxxxxxxx xx prováděné xxxxxxxxxxx.
Xxxxxxxx, xxxxxxxxx a xxxxxxxxx xxxxxxxxxxx informací
41. Xxxxxxxx xxxxxxxxx uplatňuje pro xxxxxxxx, hodnocení a xxxxxxxxx xxxxxxxxxxx informací xxxxx postupy x xxxxxxxx xxx, aby xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx v XXX xxxxxxxxx x XXX xxxxxxxx, x xx xxxxxx diferenční analýzy xxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx nebo jiným xxxxxxxx, xxxxxxxx dodržování xxxxxxxx, xxxxxx informačních xxxxxxx a kontroly xxxxxxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxxxx xxxxxxx, xxxx xxxx xxxxxxxx zdrojového xxxx, xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxxx testy x xxxxxxx xxxxxxxxxx xxxxxx xxxxxx do IKT xxxxxxx.
42. Platební instituce xxxxxxx x uplatňuje xxxxx xxx xxxxxxxxx xxxxxxxxxxx informací, který xxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxx x oblasti xxxxxxxxxxx xxxxxxxxx, zohledňuje xxxxxx x xxxxxxxxxxxxx identifikované xxxxxxxxxxxxxxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxx XXX a bezpečnosti.
43. Xxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxx
x) provádějí xxxxxxxxx osoby xxxxxxx xxxxxxxxx, které xxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxx testování xxxxxxxx xxx xxxxxxxxxx informací x xxxxxxxx xx xx vývoji xxxxxxxx xxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx kontroly zranitelností x xxxxxxxx xxxxxxxxxx xxxxx, xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx, je-li xx xxxxx x xxxxxx, xxxxxx xxxxxx xxxxxx xxxxxxxxxxxx u xxxxxxxxxx xxxxxxx x systémů.
44. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxx xxxxx bezpečnostních opatření. Xxxxx x xxxxx xxxxxxxxxx IKT xxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx x xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxxxxxxxx služeb, x němž xxxxxxxx xxxxxxxxx informuje Českou xxxxxxx xxxxx xxxxx §222 xxxx. 1 xxxxxx. Jiné xxx xxxxxxxx xxxxxxx platební xxxxxxxxx testuje xxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxx na xxxxxx, xxxxxxx xxxx xxxxx xxx xxxx.
45. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxx x xxxxxxx xxxx infrastruktury, xxxxxxx nebo xxxxxxx x x případě, xx dojde ke xxxxxx v důsledku xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx incidentů xxxx x xxxxxxxx xxxxxx xxxxxx nebo výrazně xxxxxxxxx kritických xxxxxxxx xxxxx dostupných x xxxxxxxxx.
46. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx, x xxxxxxx xxxxxxxxxx XXX xxxxxxx xxx xxxxxxxxxx xxxxxxx.
47. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx bezpečnostní opatření xxxxxxxx xx
x) xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx služeb,
b) xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxx platebních xxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxxxx xxxx.
48. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxx xxxxxxx xxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxx.
Xxxxxxx příprava x xxxxxxxx týkající xx xxxxxxxxxxx xxxxxxxxx
49. Xxxxxxxx xxxxxxxxx zavede xxxxxxx xxxxxxx xxxxxxxx zahrnující xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx x xxxxxxx, xx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxx xxxxx úkolů x xxxxxxxxxx x xxxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxx xxxxx xx xxxxxxxxx lidské xxxxx, xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxx x xxxxx rizika xxxxxxx x xxxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxx přípravy zajišťoval xxxxxxx xxx všechny xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx alespoň xxxxxx xxxxx.
Xxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
50. Xxxxxxxx xxxxxxxxx řídí provoz x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx xx xxxxxxx zdokumentovaných x xxxxxxxxxx xxxxxxx x postupů, xxxxx xxxxxxxxx vedoucí pracovník. Xxxxx soubor xxxxxxxxx xxxxxxxx, jak xxxxxxxx xxxxxxxxx provozuje, xxxxxxx x xxxxxxxxxx xxx XXX xxxxxxx x XXX xxxxxx, xxx xxxxxxxxxxx xxxxxxxx operace x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx udržuje aktuální xxxxxx xxxxxxxx a xxxxxxxx, který xx xxxxxxx x xxxxxxxxx xxxxxxxxx (xxxx jen "XXX xxxxxxx").
51. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx. Xxxxxxxx instituce xxxxxxx x xxxxx možno xxxxxxx účinnost xxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxxxx, jak xxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxx při xxxxxxxxx xxxxxxxxxx úkolů.
52. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx a xxxxxxxxx, xxxxx xxxxxxxx odhalit, xxxxxxxxxx x xxxxxxxxx xxxxx.
53. Xxxxxxxx instituce xxxxxxx xxxxxxxx soupis XXX xxxxx včetně xxxxxxxx xxxxxxxx x xxxxxxxx. Xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxxx i xxxxx x xxxxxxxx xxxxxxxxxx xxxx xxxx xxx xxxxxxx proces konfigurace x řízení xxxx.
54. Xxxxxx XXX xxxxx xx xxxxxxxxxx xxxxxxxx, xxx xxxxxxx okamžitou xxxxxxxxxxxx xxxxxxxx xxxxxx, xxxx xxxxxxxx, xxxxxxxxxxxx xxxxxxxxxxx x xxxxx, xxxxx ho xx x xxxxxxxxxx. Platební xxxxxxxxx má zdokumentovány xxxxxxxx vazby mezi XXX aktivy xxxxx xxxxxxxxxx reagovat xx xxxxxxxxxxxx x xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxxx xxxxx.
55. Xxxxxxxx instituce xxxxxxx a řídí xxxxxxx cykly IKT xxxxx, xxx zajistila, xx xxxx aktiva xxxxx x nadále xxxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxx i xxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx XXX aktiva xxxx xxxxxxxxxxx vývojáři x xxxxxxxxx xxxxxxxxxxxxx x xxx xxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx x omezuje xxxxxx xxxxxxxxxxx ze xxxxxxxxxxx xxxx nepodporovaných XXX aktiv.
56. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx plánování x sledování xxxxxxxxxx XXX systémů x xxxxxxxxx kapacity xxx, xxx xxxx xxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxxx a xxxxxxxxxxx v jejich xxxxxxxx, xxxx je xxxxxxxxxx x xxxxxxxxx xx ně.
57. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxx xxx x IKT xxxxxxx, xxx xxxx data x xxxxxxx xxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxxx. Xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxx x XXX systémů x xxxxxxx xx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx testování xxxxxxx xxxxxxxxxx a xxxxxx dat x XXX systémů.
58. Platební xxxxxxxxx xxxxxxx, aby xxxxxx dat x XXX xxxxxxx byly xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx od xxxxxxxxxx xxxxx xxx, xxx nebyly vystaveny xxxxxxx rizikům.
Řízení xxxxxxxxx x xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií
59. Platební xxxxxxxxx xxxxxxx x xxxxxxxxx proces xxxxxx xxxxxxxxx a xxxxxxxx xxx xxxxxxxxx x xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xx nejdříve pokračovala xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxx a xxxxxxx v xxxxxxx xxxxxxxx. Platební xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xx xxxxxxxxxxx události xxxx bezpečnostního nebo xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx Xxxxxxxx xxxxxx Evropského xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx (XX) 2015/2366 o xxxxxxxxxx xxxxxxxx na xxxxxxxx xxxx (XXX2).
60. X xxxxxxxxx minimalizace xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxx xxxxxxxx instituce xxxxxxx x uplatňuje vhodné xxxxxxx x xx xxxxxx organizační xxxxxxxxxx, xxxxx zajistí xxxxxxxx x integrované xxxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx a xxxxxxxxx, xxx xxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxx xxxxxxx x zamezeno xxxxxxx xxxxxxxxxxx incidentů. Xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx zahrnují
a) xxxxxxx xxx rozpoznávání, xxxxxx xxxxxxxxx, xxxxxxxxxxxxx, xxxxxxxxxxxx x klasifikaci xxxxxxxxx xxxxx xxxxxxxx xx xxxxxxx xxxxxxxxxxx z xxxxxxxx xxxxxxxx činnosti,
b) xxxx x povinnosti xxx xxxxx xxxxxxx x případě chyb, xxxxxx, kybernetických xxxxx x jiných xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxxxxxx, xxxxxxx x xxxxxx xxxxxx příčiny jednoho xxxx xxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxxxxxxxx
1. xxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xx xx, které byly xxxxxxxxxxxxxx xxxx xx xxxxxxxx xxxxxx nebo xxx platební instituce,
2. xxxxxxxxxx hlavní zjištění x xxxxxx analýz x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx opatření,
d) xxxxxx xxxxx vnitřní xxxxxxxxxx včetně xxxxxxx xxx oznamování xxxxxxxxx x xxxxxx xxxxxxx xx xxxxx xxxxxx xxxxxx, zahrnující x xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxxxx, přičemž xxxx xxxxxxx xxxxxxxxx, že
1. xxxxxxxxx s xxxxxxxxxxx xxxxxx nepříznivým dopadem xx kritické XXX xxxxxxx a IKT xxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx s xxxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx,
2. x případě xxxxxxxxx incidentů xxxx xxxxxxxxxxx vedoucí xxxxx x xxxxxxx xxxxxxxxx, x to xxxxxxx x dopadu, xxxxxx x xxxxxxxxxxx kontrolách, xxxxx platební xxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) postupy xxxxxx xx xxxxxxxxx xx zmírnění xxxxxx xxxxxxxxxxxxx s incidenty x xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx obchodní xxxxxx x xxxxxxx, xxxxx platební xxxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx zainteresovanými xxxxxxx xx xxxxxx xxxxxx xxxxxx na xxxxxxxx x obnovy po xxxxxxxxx a poskytnout xxxxxx xxxxxxxxx uživatelům xxxxxxxxx xxxxxx a xxxxx xxxxxx xxxxxxx.
Xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx
61. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxx x xxxxxx xxxxxxxx, xxxxx xxxxxx xxxx, xxxxxxxxxx x působnosti pro xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií jsou xxxxxxxxx x xxxxxxx xxxxxx, xxxxxxx, xxxxxxxxx xxxx zavádění IKT xxxxxxx x IKT xxxxxx. Xxxx projekty xxxxx být xxxxxxxx xxxxxxx xxxxxxxx transformace x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx.
62. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx x omezuje xxxxxx vyplývající z xxxxxx xxxxxxxxx projektů x xxxxxxx informačních x xxxxxxxxxxxxx technologií x zohledňuje xxxx xxxxxx, xxxxx xxxxx xxxxxxxx ze xxxxxxxxxx xxxxx mezi různými xxxxxxxx x x xxxxx xxxx xxxxxxxx xx xxxxx xxxxxxxx xxxx odborných znalostech.
63. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, která xxxxxxxx xxxxxxx
x) xxxx xxxxxxxx,
x) xxxx x xxxxxxxxxx x projektu,
c) xxxxxxxxxxx xxxxx xxxxxxxx,
x) xxxx, xxxxxx rámec x fáze projektu,
e) xxxxxx mezníky projektu,
f) xxxxxxxxx xxxxxxxx xx xxxxxx xxxx.
64. Politika xxxxxx projektů v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx zajišťuje, xxx xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx, xxxxx je xxxxxxxxx na xxxxxx xxxxxx.
65. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx v xxxxxxxxxxx týmu xxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx projektem x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx. Projektový xxx musí xxx xxxxxxxx potřebné x xxxxxxxxx bezpečné x xxxxxxxxx realizace xxxxxxxx x jeho dokončení.
66. Xxxxxxx pracovník xx xxxxxxxxxx o xxxxxxxx, xxxxxxxx x postupu xxxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x x xxxx xxxxxxxxxxxxx xxxxxxxx, x xx xxxxxxxxxx xxxx xxxxxxxx xx xxxxxxx xxxxxxxx, podle xxxxxxx a velikosti xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx a xxxxx xxxxxxx xxxx xxxxxxxxxxx. Platební instituce xxxxxxxx xxxxxx xxxxxxxx xx xxxxx xxxxxxx xxxxxx rizik.
Pořizování x xxxxx XXX xxxxxxx
67. Xxxxxxxx instituce xxxxxxx x uplatňuje xxxxxx xxx xxxxxxxx, vývoj x xxxxxx IKT xxxxxxx. Uplatňuje xxxxxx xxxxxxxx orientovaný xxxxxxx.
68. Xxxxxxxx instituce xxxxxxx, xxx xxxx provedením xxxxxxxxxx pořízení xxxx xxxxxx XXX xxxxxxx xxxxxxxxx úrovně xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx na xxxxxxxxxx xxxxxxxxx.
69. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxx neúmyslné nebo xxxxxxx změny XXX xxxxxxx xxxxx xxxxxx x xxxxxxxx x xxxxxxxxxx xxxxxxxxx.
70. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx postupy pro xxxxxxxxx x xxxxxxxxxxx XXX xxxxxxx xxxx xxxxxx xxxxxx xxxxxxxx. Xxxx postupy zohledňují xxxxxxxxxx obchodních procesů x xxxxx. Testování xxxxxxxxx, xxx nové XXX xxxxxxx xxxxxxxxx xxx, jak xxxx xxxxxxxxx. Xxxxxxxx instituce xxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxxxxx.
71. Platební xxxxxxxxx xxxxxxx IKT xxxxxxx, XXX služby x xxxxxxxx pro bezpečnost xxxxxxxxx xxx, aby xxxxxxxxxxxxxx možná xxxxx xxxxx, xxxxxxxx x xxxxxxxxx x xxxxxxx xxxxxxxxxxx.
72. Platební instituce xxxxxx samostatná xxxxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx, xxx zajistila xxxxxxxxxxxx xxxxxxxx xxxxxx x omezila xxxxx xxxxxxxxxxx xxxx na xxxxxxxxx systémy. Xxxxxxxx xxxxxxxxx xxxxxxx oddělení xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx neprodukčních xxxxxxxxx. Xxxxxxxx instituce xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx dat v xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx x datům x xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx omezí xx xxxxxxxxx xxxxxxxxx.
73. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx integrity xxxxxxxxxx xxxx XXX xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxx instituce. Xxxxxxxx xxxxxxxxx komplexně xxxxxxxxxxxx xxxxx, zavádění, xxxxxx x xxxxxxxxxxx XXX systémů, xxx xx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx v xxxx xxxxxxx. Xxxxxxxxxxx IKT xxxxxxx obsahuje alespoň xxxxxxxxxxxx dokumentaci, xxxxxxxxxxx xxxxxxxxxxx systému x xxxxxxxx postupy.
74. Xxxxxxx xxxxxxxx instituce pro xxxxxxxx x vývoj XXX xxxxxxx xxxxxxxx xxxx XXX systémy xxxxxxxx xxxx řízené xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx v xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx. Platební xxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx přístup. Platební xxxxxxxxx xxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx obchodní funkce xxxx procesy.
Řízení xxxx x xxxxxxx informačních x komunikačních technologií
75. Xxxxxxxx instituce xxxxxxx x uplatňuje xxxxxx xxxxxx xxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií, xxx xxxxxxxxx, xx xxxxxxx xxxxx XXX xxxxxxx xxxx zaznamenávány, xxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, prováděny x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx změny xxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxx xxx xxxxxxxxxx xxxxxxx, xxxxx postupů, xxxxx xxxxxxx dostatečnou xxxxxxxxxxxx.
76. Xxxxxxxx xxxxxxxxx průběžně xxxxxxxx, xxx změny xxxxxxxxxxx provozního prostředí xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx dalších xxxxxxxx x xxxxxxx rizik. Xxxx xxxxx jsou x souladu x xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx xxx řízení xxxx.
Xxxxxx kontinuity xxxxxxxx
77. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxx výkonu xxxxxxxx x trvalého xxxxxxxxx xxxxxxxx xxxxxxxxx (xxxx xxx "řízení xxxxxxxxxx xxxxxxxx"), aby upevnila xxxx xxxxxxxxx poskytovat xxxx xxxxxx a xxxxxxx xxxxxx x xxxxxxx závažného narušení xxxxxxxxxxxxx xxxxxxxx.
78. V xxxxx xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx dopad xx xxxxxxxxxxxxxx činnost xxxxxxxxxxx xxx expozice xxxx závažným xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx dopadům, včetně xxxxxx x oblasti xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, a xx xxxxxxxxxxxxx i kvalitativně. Xxxxxxx xxxxxxxxx údajů, xxxxx xxxxxxxxx poskytovatelů xxxxxxxxxx xxx xxxxxxxx xxxxxx, xxxxxxx dostupných xxxxx nebo xxxxxx xxxxxxxx údajů, které xxxxx xxx x xxxxxxxx xxxxxxx xxxxxx xx podnikatelskou xxxxxxx xxxxxxxxxx, x analýzu xxxxxxx. Platební xxxxxxxxx x xxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx a klasifikovaných xxxxxxxxxx funkcí, podpůrných xxxxxxx, třetích stran x xxxxxxxxxxxx xxxxx x xxxxxx xxxxxxxx xxxxx.
79. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx XXX xxxxxxx x XXX služby byly xxxxxxxx x xxxxxxx x xxxx xxxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx, zejména jde-li x redundanci xxxxxxxx xxxxxxxxxx komponent, aby xx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxx na xxxx xxxxxx xxxxx.
80. Xxxxxxxx xxxxxxxxx xx základě xxxxx xxxxxx dopadu xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, které xxxx xxxxxxxxxxxxxx a xxxxxxxxx xxxxxxxx xxxxxxxxxxx. Plány xxxxxxxxxx činnosti xxxxxxxxxx xxxxxxx xxxxxx, která xx xxxxx xxx xxxxxxxxxx xxxxx xx XXX xxxxxxx x XXX služby. Plány xxxxxxxxxx xxxxxxxx podporují xxxx týkající se xxxxxxx x x xxxxxxx potřeby obnovy xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx obchodních funkcí, xxxxxxxxxx xxxxxxx a xxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx při xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx i xx xxxxxxxxxxxxxxxx třetími xxxxxxxx.
81. Xxxxxxxx xxxxxxxxx xx plány kontinuity xxxxxxxx, xxx xxxxxxxxx, xx xxxx moci xxxxxxxxx xxxxxxxx na xxxxxxxx scénáře xxxxxxx x xx xxxx xxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxxx obchodních xxxxxxxx po přerušení x xxxxx xxxxxxxxx xxxx, během xxx xxxx xxx po xxxxxxxxx xxxxxxx systém xxxx proces (xxxx xxx "cílová xxxx xxxxxx") a x xxxxx maximální lhůty, xxxxx níž xx xxxxxxxxxx ztráta dat x xxxxxxx incidentu (xxxx xxx "cílový xxx xxxxxx"). X xxxxxxx vážného xxxxxxxx xxxxxxxx, které xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx opatření xxx xxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
82. Platební xxxxxxxxx ve xxxx xxxxx kontinuity činnosti xxxxxxx xxxxx xxxxxxx, xxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxxxx xxxx xxx vystavena, x xx xxxxxx xxxxxxx kybernetického xxxxx. Xxxxxxxx xxxxxxxxx posuzuje xxxxx xxxxx naplnění xxxxxxxx scénářů. Na xxxxxxx těchto xxxxxxx xxxxxxxx instituce stanoví, xxx xx byla xxxxxxxxx xxxxxxxxxx XXX xxxxxxx x XXX xxxxxx, jakož i xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx.
83. Xxxxxxxx instituce xx základě xxxxxx xxxxxx na xxxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx x xxxxxx xxxxxxxx xxxxxxxx instituce. Xxxx xxxxx specifikují, xxxx xxxxxxxx mohou xxxxxxxx xxxxxxxx xxxxx x xxxx opatření xxxx xxx xxxxxxx x zajištění xxxxxxxxxxx, xxxxxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxx XXX xxxxxxx x XXX xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
84. Plány xxxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxx i xxxxxxxxxx xxxxxxxx xxxxxx. Tyto xxxxx jsou
a) xxxxxxxx xx xxxxxx činnosti xxxxxxxxxx xxxxxxxxxx funkcí, xxxxxxxxxx xxxxxxx, informačních xxxxx a xxxxxx xxxxxxxxxx vazeb, aby xxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xx fungování xxxxxxxx xxxxxxxxx a xx xxxxxxxx systém, xxxxxx dopadů na xxxxxxxx xxxxxxx a xx xxxxxxxxx xxxxxxxxxx xxxxxx, a xxxxxxxxx xxxxxxxxx čekajících platebních xxxxxxxxx,
x) xxxx zdokumentovány x xxxxxxxxxxxx obchodním x podpůrným xxxxxxx x jsou xxxxxx xxxxxxxx x případě xxxxxxxxx situace,
c) jsou xxxxxxxxxxxxx x xxxxxxx x poznatky získanými x incidentů, xxxxxxxxx, x nově xxxxxxxxxxxxxxxx xxxxxx xx xxxxxxxx x xx změněnými xxxx x prioritami xxxxxx.
85. Plány reakce x xxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx, kdy xxxxxx nemusí xxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxx, xxxxx, xxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxx.
86. X rámci xxxxx xxxxxx x xxxxxx xxxxxxxx instituce vezme x xxxxx xxxxxxxx xxx kontinuitu činnosti xx xxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxx xxxx xxxxxxx význam xxx xxxxxxxxxx XXX xxxxxx xxxxxxxx xxxxxxxxx, x xx xxxxxxxxx x xxxxxxx x Xxxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxxxx Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxx.
87. Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx činnosti pravidelně xxxxxxx. Xxxxxxx zajistí, xxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxx kritických xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx aktiv x xxxxxx xxxxxxxxxx xxxxx, xxxxxx těch xxxxxx, xxxxxxx x xxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxx xxxxxx, xxxx xxxxxxxxx alespoň xxxxxx xxxxx.
88. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx plánů kontinuity xxxxxxxx alespoň xxxxxx xxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxxxxxxx o xxxxxxxx x xxxxxxxxxx xxxxxxxxx x předchozích událostí. Xxxxxxxx xxxxx cílů xxxxxx, xxxxxx změn xxxxxx xxxx xxxxxx x xxxxxxxx xxxx xxxxxx, xxxx změny xxxxxxxxxx funkcí, podpůrných xxxxxxx x xxxxxxxxxxxx xxxxx jsou xxxxxxxx xxxxxxxxxx xxxx xxxxx xx xxxxxxxxxxx xxxxx xxxxxxxxxx činnosti.
89. Testováním xxxxx xxxxxxxxxx činnosti xxxxxxxx xxxxxxxxx xxxxxxx, xx xx xxxxxxx xxxxxxxx xxx činnosti xx xxxx obnovy xxxxxxxx operace. Xxxxxxxx xxxxxxxxx zejména
a) zahrnuje xxxxxxxxx vhodného xxxxxxx xxxxxxxxx, xxx pravděpodobných xxxxxxx, včetně scénářů xxxxxxxxxxx pro xxxxx xxxxx kontinuity xxxxxxxx, x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx třetími xxxxxxxx; xxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx aktiv xx xxxxxxxxx xxx xxxxxx xx xxxxxxx x xxxxxxxxx toho, xx xx lze xxxxx provozovat po xxxxxxxxxx xxxxxx období x poté xxx xxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxxxx testování xxx, xxx prověřilo předpoklady, xx xxxxx xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx systémů xxxxxx x xxxxxx x xxxxx xxxxxxx xxxxxxxxxx, x
x) zahrnuje xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx, IKT xxxxxxx x IKT xxxxxx provozovaných xxxxxxxx xxxxxxxxx xxxxxxxxx reagovat xx xxxxxxx xxxxx xxxxxxx a).
90. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx testů xxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx vyplývající x testů jsou xxxxxxxxxxx, řešeny x xxxxxxxx vedoucímu xxxxxxxxxxxx.
91. Xxx xxxxxxx xxxxxxxx xxxx mimořádné xxxxxxx x xxxxx xxxxxxxxx xxxxx xxxxxxxxxx činnosti xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxx x uplatňována účinná xxxxxxxxxxx xxxxxxxx pro xxxxxx krize, xxx xxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx příslušné xxxxx xxxxxx platební xxxxxxxxx, xxxxxxxxx platebních xxxxxx x jiné xxxxxxxxxxxxxx xxxxx xxxxxx, včetně xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx, xxxxx to vyžadují xxxxxx předpisy, a xxxxxxxxx xxxxxxx xxxxxxxxxxxxx.
Xxxxxx xxxxxx s xxxxxxxxx xxxxxxxxxx služeb
92. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx postupy xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x platebními xxxxxxxx, x xx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxx.
93. Platební xxxxxxxxx zajistí, xx xxxxxxxxxx služby a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx služeb xxxx xxxxxxxxxxxxx x ohledem xx nové hrozby x xxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxx xxxx x všech xxxxxxx informováni.
94. Xxxxxxxx-xx xx funkčnost produktu, xxxxxxxx xxxxxxxxx umožní xxxxxxxxxx platebních služeb xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, xxxxx xxxxxxx x platebními xxxxxxxx xxxxxxxxxx uživateli platebních xxxxxx.
95. Xxxxx xx xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxx na omezeních xxxxx §163 xxxxxx, xxxxxxxx uživateli platebních xxxxxx tento xxxxxxxxx xxxxxxxxx xxxxx xxxxxxx.
96. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x provedených xxxx xxxxxxxxxxx xxxxxxxx x xxxxxx příkazu x xxxxxxxx xxxxxxxxx x xxx xxx xxxxxxxx xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxx xxxx.
97. Xxxxxxxx xxxxxxxxx xxxxxxxxx uživatele xxxxxxxxxx xxxxxx o aktuálních xxxxxxx xxxxxxxxxxxxxx postupů, xxxxx mají vliv xx xxxxxxxxxxx platebních xxxxxx xxxxxxxxx platebních xxxxxx.
98. Platební xxxxxxxxx xxxxxxxxx uživatelům xxxxxxxxxx xxxxxx pomoc v xxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx x xxxxxxx x xxxxxxxx xxxxxxxx xxxx potíží xxxxxxxxxx xx bezpečnostních xxxxxxxxxxx, xxxxx se vztahují xx xxxxxxxx služby. Xxxxxxxx xxxxxxxxx uživatele xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxx x xxx, xxx xxxxx xxxx xxxxx xxxxxx.".
Xx. XX
Xxxxxxxx
Xxxx vyhláška xxxxxx účinnosti xxxx 1. xxxxxxxx 2022.
Guvernér:
Ing. Xxxxxx x. x.
Informace
Právní xxxxxxx x. 2/2022 Sb. xxxxx xxxxxxxxx dnem 1.7.2022.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.