Serwis korzysta z plików cookies w celu realizacji usług zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce. Dowiedz się więcej Rozumiem

Portal regulacyjny

Biuro Warszawa
Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa
tel. +48 22 652 26 18 

warsaw@dlklegal.com


Biuro Kraków
ul. Królowej Jadwigi 237
30-218 Kraków
tel. +48 12 410 07 47 

cracow@dlklegal.com

Obowiązek notyfikacji incydentów

Na mocy dyrektywy PSD II dostawcy usług płatniczych powinni bez zbędnej zwłoki powiadamiać właściwe organy nadzorcze o poważnych incydentach operacyjnych lub incydentach związanych z bezpieczeństwem. Dodatkowo, jeżeli incydent ma lub może mieć wpływ na interesy finansowe użytkowników, wymagane jest również niezwłoczne powiadomienie użytkowników danego dostawcy, wraz ze wskazaniem wszystkich dostępnych środków, które mogą oni podjąć w celu ograniczenia negatywnych skutków incydentu. Przykładowo, w razie wycieku danych klienta, włącznie z hasłem do bankowości elektronicznej, komunikat powinien zawierać m.in. informację o możliwości ograniczenia ryzyka fraudu w drodze zmiany tego hasła.

Po otrzymaniu notyfikacji incydentu od dostawcy usług płatniczych, właściwy organ nadzoru jest zobowiązany bezzwłocznie przekazać szczegóły dotyczące tego zdarzenia do EBC i EBA. Organy te we współpracy z właściwym organem w państwie pochodzenia, dokonują oceny czy incydent ma znaczenie dla organów unijnych i krajowych oraz powiadamiają je o tym, jeżeli uznają to za konieczne. Właściwy organ może sam dokonać takiej oceny i jeżeli stwierdzi, że incydent ma znaczenie dla odpowiednich organów tego państwa - powinien dokonać stosownego powiadomienia. W przypadku gdy incydent ma znaczenie dla systemu płatności, EBC powiadamia członków Europejskiego Systemu Banków Centralnych.

Należy pamiętać, że to nie jest jedyny mechanizm notyfikacji incydentów, który w najbliższych latach obejmie dostawców usług płatniczych. Podobne mechanizmy przewiduje przyjęte unijne rozporządzenie o ochronie danych osobowych (naruszenia danych osobowych powinny być notyfikowane do GIODO), a także dyrektywa NIS, nad którą prace ustawodawcze dobiegają końca (obejmie banki i będzie wymagać zgłoszenia organom publicznym incydentów, mających wpływ na bezpieczeństwo sieci i systemów informatycznych).

Dodatkowo dostawcy usług płatniczych powinni wdrożyć odpowiednie mechanizmy ograniczające ryzyko i mechanizmy kontroli służące zarządzaniu ryzykami operacyjnymi oraz ryzykami dla bezpieczeństwa, związanymi z usługami płatniczymi. Instytucje płatnicze przy składaniu wniosku o udzielenie zezwolenia powinny dodatkowo wykazać się wdrożeniem procedury monitorowania incydentów związanych z bezpieczeństwem i skarg klientów dotyczących bezpieczeństwa oraz postępowania i działań następczych w przypadku wystąpienia takich incydentów i skarg. Dostawcy usług płatniczych są zobowiązani do przekazywania co roku właściwym organom zaktualizowanej i kompleksowej oceny dotyczącej ryzyk operacyjnych i ryzyk dla bezpieczeństwa świadczonych usług płatniczych, a także oceny dotyczącej adekwatności środków ograniczających ryzyko i mechanizmów kontroli wprowadzonych w odpowiedzi na te ryzyka.