Sklep o uporabi Smernic o upravljanju tveganj, povezanih z IKT in varnostjo

786. Sklep o uporabi Smernic o upravljanju tveganj, povezanih z IKT in varnostjo

Na podlagi tretjega odstavka 13. člena Zakona o bančništvu (Uradni list RS, št. 25/15, 44/16 – ZRPPB, 77/16 – ZCKR, 41/17, 77/18 – ZTFI-1 in 22/19 – ZIUDSOL in 44/19 – odl. US; v nadaljevanju ZBan-2), enajstega odstavka 243. člena Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18 in 9/18 – popr.; v nadaljevanju: ZPlaSSIED) in prvega odstavka 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 59/11 in 55/17) izdaja Svet Banke Slovenije

S K L E P
o uporabi Smernic o upravljanju tveganj, povezanih z IKT in varnostjo

(Namen in področje uporabe smernic)

Evropski bančni organ je na podlagi prvega odstavka 16. člena Uredbe (EU) št. 1093/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski bančni organ) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/78/ES (UL L št. 331 z dne 15. decembra 2010, str. 12), zadnjič spremenjena z Uredbo (EU) 2018/1717 Evropskega parlamenta in Sveta z dne 14. novembra 2018 o spremembi Uredbe (EU) št. 1093/2010, kar zadeva lokacijo sedeža Evropskega bančnega organa (UL L št. 291 z dne 16. novembra 2018, str. 1) (v nadaljevanju Uredba (EU) št. 1093/2010) dne 28. novembra 2019 na svoji spletni strani objavil Smernice o upravljanju tveganj, povezanih z informacijsko in komunikacijsko tehnologijo (v nadaljevanju: IKT) in varnostjo (EBA/GL/2019/04; v nadaljevanju: smernice).

Smernice iz prvega odstavka tega člena določajo ukrepe za obvladovanje tveganja, ki jih morajo finančne institucije sprejeti v skladu s 74. členom Direktive 2013/36/EU Evropskega parlamenta in Sveta z dne 26. junija 2013 o dostopu do dejavnosti kreditnih institucij in bonitetnem nadzoru kreditnih institucij in investicijskih podjetij, spremembi Direktive 2002/87/ES in razveljavitvi direktiv 2006/48/ES in 2006/49/ES za obvladovanje svojih tveganj, povezanih z IKT in varnostjo, za vse dejavnosti, in ki jih morajo ponudniki plačilnih storitev, sprejeti v skladu s prvim odstavkom 95. člena Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta z dne 25. novembra 2015 o plačilnih storitvah na notranjem trgu, spremembah direktiv 2002/65/ES, 2009/110/ES ter 2013/36/EU in Uredbe (EU) št. 1093/2010 ter razveljavitvi Direktive 2007/64/ES (UL L št. 337 z dne 23. decembra 2015, str. 35–127) (v nadaljevanju Direktiva (EU) 2015/2366) za obvladovanje operativnih in varnostnih tveganj, povezanih s plačilnimi storitvami, ki jih opravljajo. Smernice vključujejo zahteve za informacijsko varnost, vključno s kibernetsko varnostjo, če so informacije shranjene v sistemih IKT.

Smernice so naslovljene na:

institucije, kot so opredeljene v 3. točki prvega odstavka 4. člena Uredbe (EU) št. 575/2013 Evropskega parlamenta in Sveta z dne 26. junija 2013 o bonitetnih zahtevah za kreditne institucije in investicijska podjetja ter o spremembi Uredbe (EU) št. 648/2012 (UL L št. 176 z dne 27. junija 2013, str. 1), zadnjič spremenjena z Uredbo (EU) 2019/876 Evropskega parlamenta in Sveta z dne 20. maja 2019 o spremembi Uredbe (EU) št. 575/2013 v zvezi s količnikom finančnega vzvoda, količnikom neto stabilnega financiranja, zahtevami glede kapitala in kvalificiranih obveznosti, kreditnim tveganjem nasprotne stranke, tržnim tveganjem, izpostavljenostmi do centralnih nasprotnih strank, izpostavljenostmi do kolektivnih naložbenih podjemov, velikimi izpostavljenostmi, zahtevami glede poročanja in razkritja ter Uredbe (EU) št. 648/2012 (UL L št. 150 z dne 7. junija 2019, str. 1–225) (v nadaljevanju Uredba (EU) št. 575/2013);