11. člen
(operativno tveganje)
(1)
Upravljavec plačilnega sistema mora sisteme, politike, postopke in kontrole v okviru upravljanja operativnega tveganja najmanj vsaki dve leti in ob večjih spremembah pregledati, posodobiti in preizkusiti.
(2)
Upravljavec plačilnega sistema mora določiti cilje glede ravni storitev, operativne zanesljivosti ter politike za doseganje teh ciljev. Zadevne politike morajo vključevati tudi pravila in postopke glede upravljanja tveganj iz naslova zunanjih ponudnikov storitev, ki upravljavcu plačilnega sistema omogočajo zagotoviti izpolnjevanje vseh pogojev, ki veljajo za pridobitev in ohranitev dovoljenja Banke Slovenije za upravljanje plačilnega sistema.
(3)
Upravljavec plačilnega sistema mora določiti celovite politike fizične in informacijske varnosti, s katerimi se ustrezno ugotavljajo, ocenjujejo in upravljajo vse morebitne ranljivosti in grožnje. Zadevne politike morajo vključevati tudi ukrepe za zagotavljanje kibernetske odpornosti plačilnega sistema.
(4)
Upravljavec plačilnega sistema mora vzpostaviti načrt neprekinjenega poslovanja, ki obravnava dogodke, za katere upravljavec oceni, da obstaja znatno tveganje, da bi povzročili motnje v delovanju plačilnega sistema.