Latvijas Bankas noteikumi: Šajā laidienā 6 Pēdējās nedēļas laikā 7 Visi
Latvijas Bankas noteikumi Nr. 361
Rīgā 2024. gada 2. decembrī
Noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem
Izdoti saskaņā ar Maksājumu pakalpojumu
un elektroniskās naudas likuma
104.1 panta ceturto daļu
I. Vispārīgie jautājumi
1. Noteikumi ir saistoši Latvijā reģistrētām kredītiestādēm, licencētām maksājumu iestādēm un licencētām elektroniskās naudas iestādēm (turpmāk – maksājumu pakalpojumu sniedzējs). Noteikumi nosaka kritērijus, pēc kuriem maksājumu pakalpojumu sniedzējs klasificē būtiskus operacionālos vai drošības incidentus, kā arī kārtību, ko tas ievēro, ziņojot par šādiem incidentiem Latvijas Bankai.
2. Noteikumi attiecas uz visiem būtiskiem operacionāliem un drošības incidentiem.
3. Latvijas Banka pārsūta no maksājumu pakalpojumu sniedzēja saņemtos ziņojumus Eiropas Banku iestādei.
4. Latvijas Bankai ir tiesības informēt tiesībsargājošās iestādes par maksājumu pakalpojumu sniedzēja iesniegtajiem ziņojumiem normatīvajos aktos noteiktajos gadījumos.
5. Maksājumu pakalpojumu sniedzējs nodrošina, ka tā iekšējās kontroles sistēmā ir noteikti visi maksājumu pakalpojumu sniedzēja pienākumi saistībā ar ziņošanu par operacionāliem vai drošības incidentiem saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likumu, un procesu ieviešanu, lai izpildītu šajos noteikumos definētās prasības.
II. Termini
6. Operacionālais vai drošības incidents (turpmāk – incidents) – vienreizējs notikums vai vairāki saistīti notikumi, kurus maksājumu pakalpojumu sniedzējs nav plānojis un kuri negatīvi ietekmē vai, iespējams, ietekmēs ar maksājumiem saistīto pakalpojumu integritāti, pieejamību, konfidencialitāti vai autentiskumu.
7. Integritāte – informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums.
8. Autentiskums – informācijas izcelsmes patiesums un neapstrīdamība.
9. Pieejamība – iespēja pilnvarotām personām izmantot pakalpojumus noteiktā laikā un vietā.
10. Konfidencialitāte – piekļuves informācijai nodrošināšana tikai pilnvarotām personām.
III. Būtiska incidenta klasifikācija
11. Maksājumu pakalpojumu sniedzējs kā būtisku klasificē incidentu, kas atbilst vienam vai vairākiem kritērijiem "augstākas ietekmes līmenī" vai trim vai vairākiem kritērijiem "zemākas ietekmes līmenī", kā noteikts šo noteikumu 12. punktā un atbilstoši šajos noteikumos noteiktajam novērtējumam.
12. Maksājumu pakalpojumu sniedzējs novērtē incidentu attiecībā uz katru atsevišķo kritēriju, nosakot, vai līdz incidenta novēršanai ir sasniegtas vai, visticamāk, tiks sasniegtas tabulā "Kritēriji un to robežvērtības" norādītās attiecīgās robežvērtības.
Tabula. Kritēriji un to robežvērtības
Kritērijs |
Zemāks ietekmes līmenis |
Augstāks ietekmes līmenis |
Ietekmētie darījumi | > 10 % no maksājumu pakalpojumu
sniedzēja ierastā darījumu apmēra (darījumu skaita ziņā), kā arī incidenta ilgums > 1 stunda* vai > 500 000 euro, kā arī incidenta ilgums > 1 stunda* |
> 25 % no maksājumu pakalpojumu
sniedzēja ierastā darījumu apmēra (darījumu skaita ziņā) vai > 15 milj. euro |
Ietekmētie maksājumu pakalpojumu izmantotāji | > 5 000, kā arī incidenta ilgums > 1 stunda* vai > 10 % no maksājumu pakalpojumu sniedzēja maksājumu pakalpojumu izmantotājiem, kā arī incidenta ilgums > 1stunda* |
> 50 000 vai > 25 % no maksājumu pakalpojumu sniedzēja maksājumu pakalpojumu izmantotājiem |
Pakalpojuma dīkstāve | > 2 stundas | Nav piemērojams |
Tīkla vai informācijas sistēmu drošības pārkāpums | Jā | Nav piemērojams |
Ekonomiskā ietekme | Nav piemērojams | > Maks. (0.1 % no pirmā līmeņa
kapitāla**, 200 000 euro) vai > 5 milj. euro |
Augsts iekšējās eskalācijas līmenis | Jā | Jā, un, iespējams, tiks noteikts krīzes (vai tai pielīdzināms) režīms |
Citi potenciāli ietekmētie maksājumu pakalpojumu sniedzēji vai attiecīgās infrastruktūras | Jā | Nav piemērojams |
Ietekme uz reputāciju | Jā | Nav piemērojams |
* Robežvērtība, kura attiecas uz incidenta ilgumu, kas ir vairāk par vienu stundu, ir piemērojama tikai operacionālajiem incidentiem, kuri ietekmē maksājumu pakalpojumu sniedzēja spēju uzsākt vai apstrādāt darījumu.
** Pirmā līmeņa kapitāls, kā noteikts Eiropas Parlamenta un Padomes 2013. gada 26. jūnija Regulas (ES) Nr. 575/2013 par prudenciālajām prasībām attiecībā uz kredītiestādēm, un ar ko groza Regulu (ES) Nr. 648/2012 25. pantā.
13. Maksājumu pakalpojumu sniedzējs novērtē incidentu atbilstoši kritērijiem un indikatoriem, uz kuriem tie ir balstīti:
13.1. ietekmētie darījumi – visu to iekšzemes un pārrobežu darījumu kopējā vērtība, kurus incidents ir tieši vai netieši ietekmējis vai, visticamāk, ietekmēs, un apdraudēto maksājumu skaits procentos no izmantoto ietekmēto maksājumu pakalpojumu veikto maksājumu ierastā līmeņa – to ikdienas iekšzemes un pārrobežu maksājumu vidējā skaita gadā, kurus veic, izmantojot tos pašus maksājumu pakalpojumus, kurus ietekmēja incidents. Aprēķiniem par atsauces periodu izmanto iepriekšējo gadu. Ja maksājumu pakalpojumu sniedzējs neuzskata, ka šis rādītājs ir reprezentatīvs (piemēram, sezonalitātes dēļ), tā vietā izmanto atbilstošāku rādītāju un šo noteikumu pielikuma attiecīgajā laukā sniedz šādas pieejas pamatojumu. Par operacionālajiem incidentiem, kuri skar spēju uzsākt vai apstrādāt darījumus, maksājumu pakalpojumu sniedzējam jāziņo vienīgi tad, ja incidents ilgst vairāk par vienu stundu. Incidenta ilgums jāmēra no brīža, kad incidents radies, līdz brīdim, kad regulārās darbības vai operācijas atkal tiek nodrošinātas tādā pašā līmenī kā pirms incidenta;
13.2. ietekmētie maksājumu pakalpojumu izmantotāji – to skaits absolūtā izteiksmē un procentos no maksājumu pakalpojumu izmantotāju kopējā skaita, iekļaujot visus klientus, kuriem ir piekļuve ietekmētajam maksājumu pakalpojumam un kuri ir cietuši vai, visticamāk, cietīs no incidenta sekām. Maksājumu pakalpojumu sniedzējs aprēķinu balsta uz iepriekšējām norisēm, lai noteiktu to maksājumu pakalpojumu izmantotāju skaitu, kuri, iespējams, incidenta pastāvēšanas laikā ir izmantojuši minēto maksājumu pakalpojumu. Ja maksājumu pakalpojumu sniedzējs piedāvā darbības pakalpojumus citiem maksājumu pakalpojumu sniedzējiem, tas ņem vērā tikai savus maksājumu pakalpojumu izmantotājus (ja tādi ir) un tas maksājumu pakalpojumu sniedzējs, kurš saņem minētos darbības pakalpojumus, novērtē incidentu saistībā ar saviem maksājumu pakalpojumu izmantotājiem. Kopējais maksājumu pakalpojumu izmantotāju skaits ir to maksājumu pakalpojumu izmantotāju kopskaits, ar kuriem incidenta laikā ir bijušas noslēgtas līgumattiecības (vai arī visnesenākais pieejamais rādītājs) un kuriem ir pieeja ietekmētajam maksājumu pakalpojumam neatkarīgi no to lieluma un no tā, vai tie ir uzskatāmi par aktīviem vai pasīviem maksājumu pakalpojumu izmantotājiem;
13.3. pakalpojuma dīkstāve – laiks, kurā pakalpojums, visticamāk, nebūs pieejams maksājumu pakalpojumu izmantotājam vai kurā maksājumu pakalpojumu sniedzējs nevarēs izpildīt maksājuma rīkojumu Maksājumu pakalpojumu un elektroniskās naudas likuma 1. panta 11. punkta izpratnē. Maksājumu pakalpojumu sniedzējs ņem vērā laiku, kurā jebkurš uzdevums, process vai kanāls, kas ir saistīts ar maksājumu pakalpojumu sniegšanu, nav vai, visticamāk, nebūs pieejams. Pakalpojuma dīkstāvi aprēķina no brīža, kad dīkstāve sākas, ņemot vērā gan laiku, kurā tas ir atvērts pakalpojumu darbībai, kas nepieciešama maksājumu pakalpojumu izpildei, gan arī laiku ārpus darba laika un uzturēšanas laiku, ja tas ir atbilstoši un piemērojami. Pakalpojuma dīkstāvi aprēķina no konstatēšanas brīža, ja nav iespējams noteikt tās sākuma laiku;
13.4. ekonomiskā ietekme – ar incidentu saistītās monetārās izmaksas, ņemot vērā gan absolūto skaitli, gan – attiecīgā gadījumā – šo izmaksu relatīvo nozīmi attiecībā uz maksājumu pakalpojumu sniedzēja lielumu (t. i., maksājumu pakalpojumu sniedzēja pirmā līmeņa kapitālu). Maksājumu pakalpojumu sniedzējs ņem vērā ar incidentu gan tieši saistītās (jau zināmās), gan netieši saistītās (paredzamās) izmaksas, arī ekspropriētos līdzekļus vai aktīvus, aparatūras vai programmatūras aizstāšanas izmaksas, citas tiesu vai atlīdzināšanas izmaksas, līgumsaistību neizpildes dēļ piemērotās izmaksas, sankcijas, ārējās saistības un zaudētos ieņēmumus;
13.5. augsts iekšējās eskalācijas līmenis – vai par šo incidentu ir ziņots vai tiks ziņots maksājumu pakalpojuma sniedzēja vadībai. Maksājumu pakalpojumu sniedzējs izvērtē, vai par incidentu tā ietekmes uz pakalpojumiem, kas saistīti ar maksājumiem, dēļ (visticamāk) tiks informēta vadība ārpus periodiskās ziņošanas procedūras un nepārtraukti incidenta pastāvēšanas laikā, un apsver, vai šīs ietekmes dēļ ir vai tiks noteikts krīzes režīms;
13.6. citi iespējami ietekmētie maksājumu pakalpojumu sniedzēji vai attiecīgās infrastruktūras – sistēmiskās sekas, kādas, visticamāk, radīs šis incidents, t. i., tā iespēja ietekmēt arī citus maksājumu pakalpojumu sniedzējus, finanšu tirgus infrastruktūras un/vai maksājumu karšu shēmas. Maksājumu pakalpojumu sniedzējs novērtē incidenta ietekmi uz finanšu tirgu, izvērtējot, vai incidents (visticamāk) skars citus maksājumu pakalpojumu sniedzējus neatkarīgi no tā, vai tas ir ietekmējis vai, visticamāk, ietekmēs finanšu tirgus infrastruktūru nevainojamu darbību, un vai tas ir negatīvi ietekmējis vai, visticamāk, negatīvi ietekmēs finanšu sistēmas stabilu darbību kopumā. Maksājumu pakalpojumu sniedzējs ņem vērā dažādas dimensijas, piemēram, vai ietekmētais komponents/programmatūra ir patentēti vai vispārpieejami, vai negatīvi ietekmētais tīkls ir iekšējs vai ārējs un vai maksājumu pakalpojumu sniedzējs ir pārtraucis vai, visticamāk, pārtrauks pildīt savus pienākumus tajās finanšu tirgus infrastruktūrās, kurās tas ir dalībnieks;
13.7. ietekme uz reputāciju – kā šis incidents var samazināt lietotāju uzticēšanos maksājumu pakalpojumu sniedzējam un maksājumu pakalpojumam vai tirgum kopumā;
13.8. tīkla vai informācijas sistēmu drošības pārkāpums – vai kāda ļaunprātīga darbība ir ietekmējusi ar maksājumu pakalpojumu nodrošināšanu saistītā tīkla vai informācijas sistēmu pieejamību, autentiskumu, integritāti vai konfidencialitāti.
14. Maksājumu pakalpojumu sniedzējs izmanto aplēses, ja tam nav faktisku datu, ar ko pamatot savus slēdzienus, neatkarīgi no tā, vai līdz incidenta novēršanai ir sasniegta vai, visticamāk, tiks sasniegta konkrēta robežvērtība.
15. Maksājumu pakalpojumu sniedzējs pastāvīgi incidenta pastāvēšanas laikā veic novērtējumu, lai identificētu iespējamas statusa izmaiņas augšup (no nebūtiska uz būtisku) vai lejup (no būtiska uz nebūtisku).
IV. Paziņošanas process
16. Maksājumu pakalpojumu sniedzējs apkopo visu būtisko informāciju, sagatavo ziņojumu par incidentu, izmantojot šo noteikumu pielikumā sniegto ziņojuma veidlapu, un iesniedz Latvijas Bankai, nosūtot to uz e-pasta adresi mps.incidents@bank.lv.
17. Maksājumu pakalpojumu sniedzējs izmanto šo noteikumu pielikumā sniegto ziņojuma veidlapu, lai informētu Latvijas Banku incidenta pastāvēšanas laikā (t. i., lai sagatavotu sākotnējo, starpposma un noslēguma ziņojumu, kā noteikts šo noteikumu V, VI un VII nodaļā). Maksājumu pakalpojumu sniedzējs aizpilda veidlapu pakāpeniski, pēc iespējas papildinot to ar jaunu informāciju, kas kļūst pieejama iekšējās izmeklēšanas gaitā.
18. Maksājumu pakalpojumu sniedzējs sniedz Latvijas Bankai jebkādu pieejamu papildinformāciju, ko tas uzskata par būtisku Latvijas Bankai, pievienojot standarta ziņojuma veidlapai papildu dokumentāciju kā vienu vai vairākus pielikumus.
19. Maksājumu pakalpojumu sniedzējs katrā ziņojumā norāda datumu, kad tiks sniegts nākamais atjauninājums, un tam ir jābūt pēc iespējas drīzāk, bet ne vēlāk kā pēc trim darbdienām.
20. Maksājumu pakalpojumu sniedzējs sazinās ar Latvijas Banku, ja nav iespējams ievērot norādīto nākamā atjauninājuma datumu.
21. Ja maksājumu pakalpojumu sniedzējs var iesniegt visu informāciju, kas nepieciešama noslēguma ziņojumā (t. i., ziņojuma veidlapas C sadaļā), četru stundu laikā kopš incidenta konstatēšanas, tas sākotnējā ziņojumā sniedz informāciju, kas saistīta ar sākotnējo, pēdējo starpposma un noslēguma ziņojumu.
V. Sākotnējais ziņojums
22. Maksājumu pakalpojumu sniedzējs sākotnējo ziņojumu (ziņojuma veidlapas A sadaļa) nosūta Latvijas Bankai četru stundu laikā pēc incidenta klasificēšanas par būtisku vai, ja tas nav iespējams, tiklīdz tas kļūst iespējams.
23. Maksājumu pakalpojumu sniedzējs iesniedz Latvijas Bankai sākotnējo ziņojumu, tiklīdz iepriekš par nebūtisku atzīts incidents kļūst par būtisku incidentu.
VI. Starpposma ziņojums
24. Maksājumu pakalpojumu sniedzējs iesniedz starpposma ziņojumus (ziņojuma veidlapas B sadaļa) ik reizi, kad uzskata, ka ir noticis būtisks statusa atjauninājums, un vismaz līdz nākamā atjauninājuma datumam, kas norādīts iepriekšējā ziņojumā (vai nu sākotnējā ziņojumā, vai iepriekšējā starpposma ziņojumā).
25. Maksājumu pakalpojumu sniedzējs, iesniedzot papildu starpposma ziņojumus, aktualizē informāciju, kas jau ir iesniegta ziņojuma veidlapas A un B sadaļā, ja pēc iepriekšējā paziņojuma tam kļūst zināma jauna būtiska informācija vai notiek būtiskas izmaiņas.
26. Ja pakalpojumu darbība atgriežas ierastajā ritmā, pirms ir pagājušas četras stundas kopš incidenta konstatēšanas, maksājumu pakalpojumu sniedzējs var iesniegt vienlaikus sākotnējo un starpposma ziņojumu (t. i., aizpildot ziņojuma veidlapas A un B sadaļu) pirms četru stundu termiņa beigām.
VII. Noslēguma ziņojums
27. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu (ziņojuma veidlapas C sadaļa), kad ir veikta cēloņa analīze, neatkarīgi no tā, vai seku mazināšanas pasākumi jau ir veikti, ne vēlāk kā 20 darbdienu laikā pēc tam, kad pakalpojumu darbība ir atgriezusies ierastajā ritmā. Maksājumu pakalpojumu sniedzējs sazinās ar Latvijas Banku pirms minētā termiņa iestāšanās, ja ir nepieciešams šā termiņa pagarinājums, un norāda kavējuma pamatojumu, kā arī jaunu paredzamo noslēguma ziņojuma datumu.
28. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu arī tad, ja incidenta novērtēšanas rezultātā konstatē, ka incidents, par kuru jau ir ziņots, vairs neatbilst kritērijiem, pēc kuriem tas atzīts par būtisku, un nav gaidāms, ka tas atbildīs minētajiem kritērijiem pirms tā novēršanas. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu, tiklīdz šis apstāklis ir konstatēts, bet ne vēlāk kā līdz paredzētajam nākamā ziņojuma datumam. Aizpildot ziņojuma veidlapas C sadaļu, maksājumu pakalpojumu sniedzējs atzīmē lodziņu "incidents pārklasificēts kā nebūtisks" un paskaidro iemeslus, kas pamato šādu pazemināšanu.
VIII. Noslēguma jautājumi
29. Noteikumi ir spēkā līdz 2025. gada 16. janvārim.
30. Atzīt par spēku zaudējušiem Finanšu un kapitāla tirgus komisijas 2020. gada 14. jūlija noteikumus Nr. 93 "Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem" (Latvijas Vēstnesis, 2020, Nr. 139).
Informatīva atsauce uz Eiropas Banku iestādes pamatnostādnēm
Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Banku iestādes 2021. gada 10. jūnija "Pārskatītajām pamatnostādnēm paziņošanai par būtiskiem incidentiem atbilstīgi MPD2" (EBI/PN/2021/03).
Latvijas Bankas prezidents M. Kazāks