Člen 20
Varnostne zahteve
1.
Udeleženci vzpostavijo ustrezne varnostne kontrole, da zavarujejo svoje sisteme pred nepooblaščenim dostopom in uporabo. Udeleženci so izključno odgovorni za ustrezno varstvo zaupnosti, celovitosti in razpoložljivosti svojih sistemov.
2.
Udeleženci Banko Slovenije takoj obvestijo o vseh varnostnih incidentih v svoji tehnični infrastrukturi in, kjer je primerno, o varnostnih incidentih, ki nastanejo v tehnični infrastrukturi drugih izvajalcev. Banka Slovenije lahko zahteva nadaljnje informacije o incidentu in po potrebi zahteva, da udeleženec sprejme ustrezne ukrepe za preprečitev ponovnega nastanka takega dogodka.
3.
Banka Slovenije lahko vsem udeležencem in/ali udeležencem, ki jih šteje za kritične, naloži dodatne varnostne zahteve, zlasti glede kibernetske varnosti ali preprečevanja goljufij.
4.
Udeleženci zagotovijo Banki Slovenije: (i) trajen dostop do svojega potrdila o izpolnjevanju zahtev izbranega ponudnika omrežnih storitev za varnost končnih točk ter (ii) enkrat na leto izjavo o samocertifikaciji v TARGET, kakor se zahteva za vrste računov, ki jih udeleženci imajo, in kakor je objavljena na zaprti spletni strani Banke Slovenije in spletni strani ECB v angleščini.
5.
Banka Slovenije oceni udeleženčeve izjave o samocertifikaciji glede ravni njegove skladnosti z vsako od zahtev za samocertifikacijo v TARGET. Te zahteve so navedene v Dodatku VII.
6.
Raven skladnosti udeleženca z zahtevami za samocertifikacijo v TARGET se v naraščajočem vrstnem redu glede na resnost razvrsti tako: „popolna skladnost“, „manjša neskladnost“ ali „večja neskladnost“. Uporabljajo se naslednja merila: popolna skladnost se doseže, kadar udeleženec izpolni 100 % zahtev, manjša neskladnost je, kadar udeleženec izpolnjuje manj kot 100 %, vendar vsaj 66 % zahtev, večja neskladnost pa je, kadar udeleženec izpolnjuje manj kot 66 % zahtev. Če udeleženec dokaže, da konkretna zahteva zanj ne pride v poštev, se šteje, da je za potrebe razvrstitve skladen z zadevno zahtevo. Udeleženec, ki ne doseže „popolne skladnosti“, predloži akcijski načrt, v katerem prikaže, kako namerava doseči popolno skladnost. Banka Slovenije o statusu skladnosti takega udeleženca obvesti ustrezne nadzorne organe.
7.
Če udeleženec odkloni odobritev trajnega dostopa do svojega potrdila o izpolnjevanju zahtev izbranega ponudnika omrežnih storitev za varnost končnih točk ali ne zagotovi samocertifikacije v TARGET, se raven njegove skladnosti razvrsti kot „večja neskladnost“.
8.
Banka Slovenije vsako leto ponovno oceni skladnost udeležencev.
9.
Banka Slovenije lahko udeležencem, katerih raven skladnosti je bila ocenjena kot manjša ali večja neskladnost, naloži naslednje ukrepe zaradi neskladnosti v naraščajočem vrstnem redu glede na resnost:
10.
Udeleženci, ki omogočajo dostop do svojega TARGET računa tretjim osebam, kakor je določeno v členu 7, in udeleženci, ki so registrirali imetnike naslovljive BIC, kakor je določeno v delu III, člen 2, obravnavajo tveganje, ki izhaja iz takega dostopa, v skladu z varnostnimi zahtevami iz odstavkov 1 do 9.