Na podlagi tretjega odstavka 13. člena Zakona o bančništvu (Uradni list RS, št. 92/21 in 123/21 – ZBNIP, 2/25 – odl. US in 17/25, v nadaljevanju: ZBan-3), enajstega odstavka 243. člena Zakona o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18, 9/18 – popr., 102/20, 113/24 in 17/25 – ZPPDFT-2B, v nadaljevanju: ZPlaSSIED) in prvega odstavka 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 59/11 in 55/17) izdaja Svet Banke Slovenije

(1) Evropski bančni organ je dne 28. novembra 2019 na svoji spletni strani objavil Smernice o upravljanju tveganj, povezanih z informacijsko in komunikacijsko tehnologijo (v nadaljevanju: IKT) in varnostjo (EBA/GL/2019/04; v nadaljevanju smernice EBA/GL/2019/04) o uporabi katerih je Banka Slovenije odločila s Sklepom o uporabi Smernic o upravljanju tveganj, povezanih z IKT in varnostjo (Uradni list RS, št. 52/20).

(2) Evropski bančni organ je na podlagi prvega odstavka 16. člena Uredbe (EU) št. 1093/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski bančni organ) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/78/ES (UL L št. 331 z dne 15. decembra 2010, str. 12), zadnjič spremenjena z Uredbo (EU) 2024/1620 Evropskega parlamenta in Sveta z dne 31. maja 2024 o ustanovitvi organa za preprečevanje pranja denarja in financiranja terorizma ter o spremembi uredb (EU) št. 1093/2010, (EU) št. 1094/2010 in (EU) št. 1095/2010 (UL L št. 2024/1620, z dne 19. 6. 2024) (v nadaljevanju: Uredba (EU) 1093/2010), dne 11. 2. 2025 na svoji spletni strani objavil Smernice o spremembi Smernic EBA/2019/04 o upravljanju tveganj, povezanih z IKT in varnostjo (EBA/GL/2025/02; v nadaljevanju: smernice EBA/GL/2025/02).

(3) Smernice iz drugega odstavka zajemajo vidike upravljanja odnosov s plačilnimi uporabniki, dopolnjujejo ukrepe za obvladovanje tveganj v skladu z uredbo o digitalni operativni odpornosti in povezanimi regulativnimi tehničnimi standardi, ki jih morajo ponudniki plačilnih storitev sprejeti v skladu s členom 95(1) Direktive (EU) 2015/2366 Evropskega parlamenta in Sveta z dne 25. novembra 2015 o plačilnih storitvah na notranjem trgu, spremembah direktiv 2002/65/ES, 2009/110/ES ter 2013/36/EU in Uredbe (EU) št. 1093/2010 ter razveljavitvi Direktive 2007/64/ES (UL L št. 337 z dne 23. decembra 2015, str. 35–127), zadnjič spremenjene z Uredbo (EU) 2024/886 Evropskega parlamenta in sveta z dne 13. marca 2024 o spremembi uredb (EU) št. 260/2012 in (EU) 2021/1230 ter direktiv 98/26/ES in (EU) 2015/2366 glede takojšnjih kreditnih prenosov v eurih (UL L št. 2024/886, z dne 19. 3. 2024); (v nadaljevanju Direktiva (EU) 2015/2366), da bi obvladovali operativna in varnostna tveganja v zvezi s plačilnimi storitvami, ki jih zagotavljajo. Smernice določajo zahteve za vzpostavljanje, izvajanje in spremljanje varnostnih ukrepov, ki jih morajo sprejeti ponudniki plačilnih storitev v skladu s členom 95(1) Direktive (EU) 2015/2366 za obvladovanje operativnih in varnostnih tveganj, povezanih s plačilnimi storitvami, ki jih opravljajo.

(4) Smernice so naslovljene na:

1. finančne institucije, kot so opredeljene v členu 4(1) Uredbe (EU) 1093/2010, ki so ponudniki plačilnih storitev, kot so opredeljeni v točki (a), točki (b) in točki (d) člena 1(1) Direktive (EU) 2015/2366, vključno s fizičnimi ali pravnimi osebami, ki so upravičene do izvzetja v skladu s členom 32 ali 33 Direktive (EU) 2015/2366, in pravnimi osebami, izvzetimi na podlagi člena 9 Direktive 2009/110/ES Evropskega parlamenta in sveta z dne 16. septembra 2009 o začetku opravljanja in opravljanju dejavnosti ter nadzoru skrbnega in varnega poslovanja institucij za izdajo elektronskega denarja ter o spremembah direktiv 2005/60/ES in 2006/48/ES in razveljavitvi Direktive 2000/46/ES (UL L št. 267 10. 10. 2009, str. 7), zadnjič spremenjene z Direktivo (EU) 2015/2366, in

2. pristojne organe, kot so opredeljeni v točki (vii) člena 4(2) Uredbe (EU) št. 1093/2010.

(1) Banka Slovenije s tem sklepom določa uporabo smernic EBA/GL/2019/04 in smernic EBA/GL/2025/02 in vseh prihodnjih sprememb smernic EBA/GL/2019/04, če ne bo Banka Slovenije za posamezno spremembo smernic odločila drugače, za:

1. ponudnike plačilnih storitev, kot so opredeljeni v 1. do 6. točki prvega odstavka 20. člena ZPlaSSIED, in

2. Banko Slovenije, kadar v skladu z ZPlaSSIED v vlogi pristojnega organa izvaja pristojnosti in naloge nadzora nad ponudniki plačilnih storitev iz 1. točke tega odstavka.

(2) Ponudniki plačilnih storitev iz 1. točke prvega odstavka tega člena v celoti upoštevajo določbe smernic v delu, v katerem so naslovljene na ponudnike plačilnih storitev.

(3) Banka Slovenije pri opravljanju nalog in pristojnosti nadzora v celoti upošteva določbe smernic v delu, ki se nanaša na izvajanje nalog in pooblastil pristojnega organa.

Z dnem začetka uporabe tega sklepa preneha veljati Sklep o uporabi Smernic o upravljanju tveganj, povezanih z IKT in varnostjo (Uradni list RS, št. 52/20).

Ta sklep začne veljati naslednji dan po njegovi objavi v Uradnem listu Republike Slovenije.