394
VYHLÁŠKA
ze dne 9. prosince 2024,
kterou se mění vyhláška č. 1/2022 Sb., o žádostech a oznámeních k výkonu činnosti podle zákona o platebním styku, ve znění vyhlášky č. 151/2022 Sb., a vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu, ve znění pozdějších předpisů
Česká národní banka stanoví podle § 263 zákona č. 370/2017 Sb., o platebním styku, ve znění zákona č. 129/2022 Sb., k provedení § 10 odst. 4, § 20 odst. 4, § 43 odst. 3, § 48 odst. 4, § 59 odst. 4, § 60 odst. 3, § 69 odst. 4, § 78 odst. 4, § 100 odst. 4 a § 101 odst. 3 tohoto zákona:
ČÁST PRVNÍ
Změna vyhlášky o žádostech a oznámeních k výkonu činnosti podle zákona o platebním styku
Čl. I
Vyhláška č. 1/2022 Sb., o žádostech a oznámeních k výkonu činnosti podle zákona o platebním styku, ve znění vyhlášky č. 151/2022 Sb., se mění takto:
1. Na konci textu poznámky pod čarou č. 1 se doplňují slova „ , ve znění směrnice Evropského parlamentu a Rady (EU) 2022/2556“.
2. V § 2 písm. g) se na konci bodu 4 slovo „a“ nahrazuje čárkou.
3. V § 2 písm. g) se na konci bodu 5 čárka nahrazuje slovem „a“ a doplňuje se bod 6, který zní:
„6. proces vyhodnocení dat a reportování výsledků vyhodnocení v rámci struktury řízení společnosti,“.
4. V § 2 písm. h) bodě 4 se slova „pro oznamování závažných bezpečnostních a provozních incidentů podle § 221 zákona“ nahrazují slovy „podle čl. 13 a kapitoly III nařízení Evropského parlamentu a Rady (EU) 2022/2554“.
5. V § 2 písm. i), § 3 písm. j), § 6 písm. h), § 8 písm. j), § 11 písm. k), § 14 písm. j) a v příloze č. 5 písm. f) se slova „zajištění kontinuity“ nahrazují slovy „zachování provozu“.
6. V § 2 písm. i) úvodní části ustanovení se slovo „obsahující“ nahrazuje slovy „ , včetně identifikace kritických operací, politik a plánů zachování provozu informačních a komunikačních technologií, plánů reakce a obnovy v oblasti informačních a komunikačních technologií, popisu postupů pro pravidelné testování a přezkum těchto plánů podle nařízení Evropského parlamentu a Rady (EU) 2022/2554,“.
7. V § 2 písm. i) se body 1 až 6 zrušují.
8. V § 3 a 11 písmeno q) zní:
„q) popis rizik a opatření k jejich řízení zahrnující
1. podrobné hodnocení rizik souvisejících s platebními službami, které žadatel poskytuje nebo hodlá poskytovat, a to s ohledem na plánované technické zabezpečení poskytování těchto platebních služeb, včetně hodnocení rizika podvodného jednání, a bezpečnostní a kontrolní opatření a postupy ke zmírnění identifikovaných rizik a k ochraně držitelů elektronických peněz nebo uživatelů platebních služeb před těmito riziky,
2. popis systému řízení rizik žadatele podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554, a to včetně případů, kdy žadatel hodlá svěřit výkon některé provozní činnosti jiné osobě, a
3. vnitřní předpis nebo předpisy, kterými bude žadatel zajišťovat provádění bezpečnostních a kontrolních opatření a postupů ke zmírnění rizik podle bodu 1 a ze kterých bude zřejmé naplnění požadavků podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554,“.
9. V § 6 písmeno k) zní:
„k) popis rizik a opatření k jejich řízení zahrnující
1. podrobné hodnocení rizik souvisejících s platebními službami, které žadatel poskytuje nebo hodlá poskytovat, a to s ohledem na plánované technické zabezpečení poskytování těchto platebních služeb, včetně hodnocení rizika podvodného jednání, a bezpečnostní a kontrolní opatření a postupy ke zmírnění identifikovaných rizik a k ochraně držitelů elektronických peněz nebo uživatelů platebních služeb před těmito riziky,
2. popis systému řízení rizik žadatele podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554, a to včetně případů, kdy žadatel hodlá svěřit výkon některé provozní činnosti jiné osobě, a
3. vnitřní předpis nebo předpisy, kterými bude žadatel zajišťovat provádění bezpečnostních a kontrolních opatření a postupů ke zmírnění rizik podle bodu 1 a ze kterých bude zřejmé naplnění požadavků podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554,“.
10. V § 8 a 14 písmeno p) zní:
„p) popis rizik a opatření k jejich řízení zahrnující
1. podrobné hodnocení rizik souvisejících s platebními službami, které žadatel poskytuje nebo hodlá poskytovat, a to s ohledem na plánované technické zabezpečení poskytování těchto platebních služeb, včetně hodnocení rizika podvodného jednání, a bezpečnostní a kontrolní opatření a postupy ke zmírnění identifikovaných rizik a k ochraně držitelů elektronických peněz nebo uživatelů platebních služeb před těmito riziky,
2. popis systému řízení rizik žadatele podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554, a to včetně případů, kdy žadatel hodlá svěřit výkon některé provozní činnosti jiné osobě, a
3. vnitřní předpis nebo předpisy, kterými bude žadatel zajišťovat provádění bezpečnostních a kontrolních opatření a postupů ke zmírnění rizik podle bodu 1 a ze kterých bude zřejmé naplnění požadavků podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554,“.
11. V příloze č. 2 písm. c) bodě 3 se slova „toku peněžních prostředků prováděné platební transakce“ nahrazují slovy „a podrobný rozpis odhadovaných peněžních toků (cash flow)“.
12. V příloze č. 3 písm. d) bodech 3 a 7 se číslo „19“ nahrazuje číslem „17“.
13. V příloze č. 3 písm. i) se slovo „subjektivity“ nahrazuje slovem „osobnosti“.
14. V příloze č. 4 písm. b) se slovo „doklady“ nahrazuje slovem „informace“.
15. V příloze č. 5 se na konci písmene h) slovo „a“ zrušuje.
16. V příloze č. 5 se na konci písmene i) tečka nahrazuje slovem „a“ a doplňuje se písmeno j), které zní:
„j) popis zásad pro využívání služeb informačních a komunikačních technologií podle kapitoly V, oddílu I nařízení Evropského parlamentu a Rady (EU) 2022/2554.“.
17. Příloha č. 6 se zrušuje.
ČÁST DRUHÁ
Změna vyhlášky o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
Čl. II
Vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu, ve znění vyhlášky č. 2/2022 Sb. a vyhlášky č. 151/2022 Sb., se mění takto:
1. V poznámce pod čarou č. 1 se věta první nahrazuje větou „Čl. 4 bod 46, čl. 8 odst. 2, čl. 9 odst. 1, čl. 9 odst. 2 a čl. 95 odst. 1 směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES, ve znění směrnice Evropského parlamentu a Rady (EU) 2022/2556.“.
2. V § 4 odstavec 2 zní:
„(2) Odstavcem 1 nejsou dotčeny povinnosti platební instituce řídit rizika v oblasti informačních a komunikačních technologií, kterým platební instituce je nebo by mohla být vystavena v souvislosti s jí poskytovanými platebními službami, podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554. Opatření pro zmírnění rizik v oblasti informačních a komunikačních technologií a kontrolní mechanismy zavedené platební institucí podle kapitoly II nařízení Evropského parlamentu a Rady (EU) 2022/2554 jsou součástí jejího řízení bezpečnostních a provozních rizik podle odstavce 1.“.
3. V § 4 se odstavce 3 a 4 zrušují.
4. Příloha se zrušuje.
ČÁST TŘETÍ
ÚČINNOST
Čl. III
Tato vyhláška nabývá účinnosti dnem 17. ledna 2025.
Guvernér:
Ing. Michl, Ph.D., v. r.