§ 4 Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu – Systém řízení bezpečnostních a provozních rizik

§ 4 Systém řízení bezpečnostních a provozních rizik (1) Platební instituce zavede k řízení bezpečnostních a provozních rizik souvisejících s platebními službami, které poskytuje, opatření pro zmírnění těchto rizik a kontrolní mechanismy. Platební instituce stanoví a udržuje účinné postupy řízení bezpečnostních a provozních incidentů, a to i pro odhalování a klasifikaci závažných bezpečnostních a provozních incidentů. (2) Platební instituce v rámci systému řízení bezpečnostních a provozních rizik řídí vždy také rizika v oblasti informačních a komunikačních technologií a bezpečnosti, která zahrnují alespoň a) rizika ztráty v důsledku narušení důvěrnosti dat, integrity systémů a dat nebo dostupnosti systémů a dat nebo v důsledku neschopnosti změnit informační a komunikační systémy v přiměřeném čase a s přiměřenými náklady, pokud se mění prostředí nebo činnosti, b) bezpečnostní rizika vyplývající z nedostatečnosti nebo selhání vnitřních procesů nebo z vnějších událostí včetně kybernetických útoků nebo z nedostatečného fyzického zabezpečení. (3) Podrobnosti k řízení rizik v oblasti informačních a komunikačních technologií a bezpečnosti, kterým platební instituce je nebo by mohla být vystavena v souvislosti s jí poskytovanými platebními službami, jsou uvedeny v příloze k této vyhlášce. (4) Platební instituce vypracuje politiku bezpečnosti informací, která vymezuje zásady a pravidla na ochranu důvěrnosti, integrity a dostupnosti dat a informací platební instituce a uživatelů platebních služeb. Platební instituce upraví ve svých vnitřních předpisech bezpečnostní opatření v souladu s podrobnostmi k řízení rizik podle přílohy k této vyhlášce.