Dne 13. prosince 2018 zveřejnila EBA konzultační dokument s návrhem obecných pokynů pro řízení informačních a komunikačních rizik (ICT) a bezpečnostních rizik.
Pokyny formulují, jak by instituce měly řídit ICT a bezpečnostní rizika, kterým jsou vystaveny. Dalším cílem pokynů je, aby instituce lépe porozuměly dohledovým očekáváním v oblasti řízení ICT a bezpečnostních rizik.
Pokyny vycházejí z Pokynů k bezpečnostním opatřením v souvislosti s operačními a bezpečnostními riziky platebních služeb podle směrnice PSD2 (EBA/GL/2017/17), které byly určeny pouze poskytovatelům platebních služeb a pouze pro oblast platebních služeb. Návrh nových pokynů je určen širšímu okruhu institucí, zejména bankám a investičním společnostem, a to pro oblast platebních služeb i ostatních aktivit.
Pokyny obsahují detailní popis toho, jak by instituce měly postupovat, aby naplnily požadavky ustanovení článku 74 direktivy CRD (oblast internal governance) a článku 95 direktivy PSD2 (oblast operačních a bezpečnostních rizik).
Pokyny konkrétně upravují:
Při implementaci pokynů by instituce také měly zohlednit existující standardy a best practices.
Veřejná konzultace běží do 13. března 2019. Poté budou pokyny dokončeny a v okamžiku jejich účinnosti dojde ke zrušení Pokynů k bezpečnostním opatřením v souvislosti s operačními a bezpečnostními riziky platebních služeb podle směrnice PSD2 (EBA/GL/2017/17).
21-1-2019