Доставчиците на платежни услуги са длъжни да съобщават до един час за инциденти

Доставчиците на платежни услуги са длъжни да съобщават на компетентните органи до един час за инциденти, които засягат услуги, свързани с плащанията. От 1 януари догодина влизат в сила нови насоки, които трябва да се спазват, при настъпването на значими инциденти, определени от европейска директива за платежните услуги във вътрешния пазар. Българската народна банка ще прилага изискванията, определени от Европейския банков орган (ЕБО), съобщи пресцентърът на банковия регулатор.

Надзорни практики

Финансовите институции са длъжни да спазват насоките, които засягат пряко платежните услуги, които се предоставят от доставчик на платежни услуги в ЕС, но се отнасят до плащане към засегнат техен партньор извън Евросъюза.

Инцидентът може да е единично събитие или поредица от свързани събития, които не са планирани от доставчика на платежни услуги, но имат или вероятно ще окажат неблагоприятно въздействие върху целостта, достъпността, поверителността и автентичността на услугите, свързани с плащанията.

В насоките на ЕБО се обръща внимание, че услугите, свързани с плащанията, трябва да са с приемливи нива, предварително определени от доставчика.

Като значим инцидент се определя ситуация, при която има по-ниска или по-висока степен на въздействие, като доставчиците на платежни услуги трябва да определят броя на засегнатите ползватели на платежни услуги. Те трябва да преценят и дали злонамереното действие е застрашило сигурността на мрежите и информационните системи.

Доставчиците на платежни услуги са длъжни да определят последиците, които инцидентът вероятно ще има върху системите и други доставчици на платежни услуги, както и върху инфраструктури на финансови пазари и платежни схеми. Те трябва да докладват дали даден инцидент може да подкопае доверието на ползвателите в доставчика на платежната услуга или пазара като цяло.

При операционни инциденти, които засягат способността за обработване на операции, доставчиците на платежни услуги трябва да докладват само ако те продължат повече от един час.

Оценка на въздействие

Новите изисквания на ЕБО задължават доставчиците на платежни услуги да направят оценка на въздействието на инцидента върху финансовия пазар и платежните схеми, както и дали има риск за стабилното функциониране на финансовата система като цяло.

За целта могат да се разчита на прогнози, ако няма данни, които да подкрепят решенията на доставчиците, дали даден праг е достигнат или вероятно ще бъде достигнат, преди инцидентът да бъде разрешен.

Доставчиците на платежни услуги следва да правят оценка през целия жизнен цикъл на инцидента като го прекласифицират, както и да съобщават за него с доклад до компетентния орган в срок от четири часа от момента, в който операционният инцидент, или инцидентът, свързан със сигурността, бъде класифициран като значим.