1. "Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem" (tālāk tekstā – noteikumi) ir saistoši Latvijā reģistrētām kredītiestādēm, licencētām maksājumu iestādēm un licencētām elektroniskās naudas iestādēm (tālāk tekstā – maksājumu pakalpojumu sniedzējs). Noteikumi nosaka kritērijus, pēc kuriem maksājumu pakalpojumu sniedzējs klasificē būtiskus operacionālos vai drošības incidentus, kā arī prasības un kārtību, ko tas ievēro, ziņojot par šādiem incidentiem Finanšu un kapitāla tirgus komisijai (tālāk tekstā – Komisija).
4. Komisijai ir tiesības informēt tiesībsargājošās iestādes par maksājumu pakalpojumu sniedzēja iesniegtajiem ziņojumiem normatīvajos aktos noteiktajos gadījumos.
5. Maksājumu pakalpojumu sniedzējs nodrošina, ka tā iekšējās kontroles sistēmā ir noteikti visi maksājumu pakalpojumu sniedzēja pienākumi saistībā ar ziņošanu par operacionāliem vai drošības incidentiem saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likumu, un procesu ieviešanu, lai izpildītu šajos noteikumos definētās prasības.
6. Operacionālais vai drošības incidents (tālāk tekstā – incidents) – vienreizējs notikums vai vairāki saistīti notikumi, kurus maksājumu pakalpojumu sniedzējs nav plānojis un kuri negatīvi ietekmē vai, iespējams, ietekmēs ar maksājumiem saistīto pakalpojumu "integritāti, pieejamību, konfidencialitāti vai autentiskumu.
(Grozīts ar FKTK 26.07.2022. noteikumiem Nr. 138)
7.1 Autentiskums – informācijas izcelsmes patiesums un neapstrīdamība.
(FKTK 26.07.2022. noteikumu Nr. 138 redakcijā)
10. Maksājumu pakalpojumu sniedzējs kā būtisku klasificē incidentu, kas atbilst vienam vai vairākiem kritērijiem "augstākas ietekmes līmenī" vai trim vai vairākiem kritērijiem "zemākas ietekmes līmenī", kā noteikts šo noteikumu 11. punktā un atbilstoši šajos noteikumos noteiktajam novērtējumam.
11. Maksājumu pakalpojumu sniedzējs novērtē incidentu attiecībā uz katru atsevišķo kritēriju, nosakot, vai līdz incidenta novēršanai ir sasniegtas vai, visticamāk, tiks sasniegtas tabulā "Kritēriji un to robežvērtības" norādītās attiecīgās robežvērtības.
Tabula. Kritēriji un to robežvērtības
Kritērijs | Zemāks ietekmes līmenis | Augstāks ietekmes līmenis |
Ietekmētie darījumi | > 10% no maksājumu pakalpojumu sniedzēja ierastā darījumu apmēra (darījumu skaita ziņā), kā arī incidenta ilgums > 1 stunda* vai > 500 000 EUR, kā arī incidenta ilgums > 1 stunda* | > 25% no maksājumu pakalpojumu sniedzēja ierastā darījumu apmēra (darījumu skaita ziņā) vai > 15 miljoni EUR |
Ietekmētie maksājumu pakalpojumu izmantotāji | > 5 000, kā arī incidenta ilgums > 1 stunda* vai > 10% no maksājumu pakalpojumu sniedzēja maksājumu pakalpojumu izmantotājiem, kā arī incidenta ilgums > 1 stunda* | > 50 000 vai > 25% no maksājumu pakalpojumu sniedzēja maksājumu pakalpojumu izmantotājiem |
Pakalpojuma dīkstāve | > 2 stundas | Nav piemērojams |
Tīkla vai informācijas sistēmu drošības pārkāpums | Jā | Nav piemērojams |
Ekonomiskā ietekme | Nav piemērojams | > Maks. (0.1% no pirmā līmeņa kapitāla**, 200 000 EUR) vai > 5 miljoni EUR |
Augsts iekšējās eskalācijas līmenis | Jā | Jā, un, iespējams, tiks noteikts krīzes (vai tai pielīdzināms) režīms |
Citi potenciāli ietekmētie maksājumu pakalpojumu sniedzēji vai attiecīgās infrastruktūras | Jā | Nav piemērojams |
Ietekme uz reputāciju | Jā | Nav piemērojams |
* Robežvērtība, kura attiecas uz incidenta ilgumu, kas ir vairāk par vienu stundu, ir piemērojama tikai operacionālajiem incidentiem, kuri ietekmē maksājumu pakalpojumu sniedzēja spēju uzsākt vai apstrādāt darījumu.
** Pirmā līmeņa kapitāls, kā noteikts Eiropas Parlamenta un Padomes 2013. gada 26. jūnija Regulas (ES) Nr. 575/2013 par prudenciālajām prasībām attiecībā uz kredītiestādēm, un ar ko groza Regulu (ES) Nr. 648/2012 25. pantā.
(FKTK 26.07.2022. noteikumu Nr. 138 redakcijā)
12. Maksājumu pakalpojumu sniedzējs novērtē incidentu atbilstoši kritērijiem un indikatoriem, uz kuriem tie ir balstīti:
12.1. ietekmētie darījumi – visu iekšzemes un pārrobežu darījumu, kurus incidents ir tieši vai netieši ietekmējis vai, visticamāk, ietekmēs, kopējā vērtība un apdraudēto maksājumu skaits procentos no izmantoto ietekmēto maksājumu pakalpojumu veikto maksājumu ierastā līmeņa – to ikdienas iekšzemes un pārrobežu maksājumu vidējā skaita gadā, kurus veic, izmantojot tos pašus maksājumu pakalpojumus, kurus ietekmēja incidents. Aprēķiniem par atsauces periodu izmanto iepriekšējo gadu. Ja maksājumu pakalpojumu sniedzējs neuzskata, ka šis rādītājs ir reprezentatīvs (piemēram, sezonalitātes dēļ), tā vietā izmanto atbilstošāku rādītāju un šo noteikumu pielikuma attiecīgajā laukā sniedz šādas pieejas pamatojumu. Par operacionālajiem incidentiem, kuri skar spēju uzsākt vai apstrādāt darījumus, maksājumu pakalpojumu sniedzējam ir jāziņo vienīgi tad, ja incidents ilgst vairāk par vienu stundu. Incidenta ilgums ir jāmēra no brīža, kad incidents radies, līdz brīdim, kad regulārās darbības vai operācijas atkal tiek nodrošinātas tādā pašā līmenī kā pirms incidenta;
12.2. ietekmētie maksājumu pakalpojumu izmantotāji – to skaits absolūtā izteiksmē un procentos no maksājumu pakalpojumu izmantotāju kopējā skaita, iekļaujot visus klientus, kuriem ir piekļuve ietekmētajam maksājumu pakalpojumam un kuri ir cietuši vai, visticamāk, cietīs no incidenta sekām. Maksājumu pakalpojumu sniedzējs aprēķinu balsta uz iepriekšējām norisēm, lai noteiktu to maksājumu pakalpojumu izmantotāju skaitu, kuri, iespējams, incidenta pastāvēšanas laikā ir izmantojuši minēto maksājumu pakalpojumu. Ja maksājumu pakalpojumu sniedzējs piedāvā darbības pakalpojumus citiem maksājumu pakalpojumu sniedzējiem, tas ņem vērā tikai savus maksājumu pakalpojumu izmantotājus (ja tādi ir) un tas maksājumu pakalpojumu sniedzējs, kurš saņem minētos darbības pakalpojumus, novērtē incidentu saistībā ar saviem maksājumu pakalpojumu izmantotājiem. Kopējais maksājumu pakalpojumu izmantotāju skaits ir to maksājumu pakalpojumu izmantotāju kopskaits, ar kuriem incidenta laikā ir bijušas noslēgtas līgumattiecības (vai arī visnesenākais pieejamais rādītājs) un kuriem ir pieeja ietekmētajam maksājumu pakalpojumam neatkarīgi no to lieluma un no tā, vai tie ir uzskatāmi par aktīviem vai pasīviem maksājumu pakalpojumu izmantotājiem;
12.3. pakalpojuma dīkstāve – laiks, kurā pakalpojums, visticamāk, nebūs pieejams maksājumu pakalpojumu izmantotājam vai kurā maksājumu pakalpojumu sniedzējs nevarēs izpildīt maksājuma rīkojumu Maksājumu pakalpojumu un elektroniskās naudas likuma 1. panta 11. punkta izpratnē. Maksājumu pakalpojumu sniedzējs ņem vērā laiku, kurā jebkurš uzdevums, process vai kanāls, kas ir saistīts ar maksājumu pakalpojumu sniegšanu, nav vai, visticamāk, nebūs pieejams. Pakalpojuma dīkstāvi aprēķina no brīža, kad dīkstāve sākas, ņemot vērā gan laiku, kurā tas ir atvērts pakalpojumu darbībai, kas nepieciešama maksājumu pakalpojumu izpildei, gan arī laiku ārpus darba laika un uzturēšanas laiku, ja tas ir atbilstoši un piemērojami. Pakalpojuma dīkstāvi aprēķina no konstatēšanas brīža gadījumā, kad nav iespējams noteikt tās sākuma laiku;
12.4. ekonomiskā ietekme – ar incidentu saistītās monetārās izmaksas, ņemot vērā gan absolūto skaitli, gan attiecīgā gadījumā šo izmaksu relatīvo nozīmi attiecībā uz maksājumu pakalpojumu sniedzēja lielumu (t. i., maksājumu pakalpojumu sniedzēja pirmā līmeņa kapitālu). Maksājumu pakalpojumu sniedzējs ņem vērā ar incidentu gan tieši saistītās (jau zināmās), gan netieši saistītās (paredzamās izmaksas), arī ekspropriētos līdzekļus vai aktīvus, aparatūras vai programmatūras aizstāšanas izmaksas, citas tiesu vai atlīdzināšanas izmaksas, līgumsaistību neizpildes dēļ piemērotās izmaksas, sankcijas, ārējās saistības un zaudētos ieņēmumus;
12.5. augsts iekšējās eskalācijas līmenis – vai par šo incidentu ir ziņots vai tiks ziņots maksājumu pakalpojuma sniedzēja vadībai. Maksājumu pakalpojumu sniedzējs izvērtē, vai par incidentu tā ietekmes uz pakalpojumiem, kas saistīti ar maksājumiem, dēļ (visticamāk) tiks informēta vadība ārpus periodiskās ziņošanas procedūras un nepārtraukti incidenta pastāvēšanas laikā, un apsver, vai šīs ietekmes dēļ ir vai tiks noteikts krīzes režīms;
12.6. citi iespējami ietekmētie maksājumu pakalpojumu sniedzēji vai attiecīgās infrastruktūras – sistēmiskās sekas, kādas, visticamāk, radīs šis incidents, t. i., tā iespēja ietekmēt arī citus maksājumu pakalpojumu sniedzējus, finanšu tirgus infrastruktūras un/vai maksājumu karšu shēmas. Maksājumu pakalpojumu sniedzējs novērtē incidenta ietekmi uz finanšu tirgu, izvērtējot, vai incidents (visticamāk) skars citus maksājumu pakalpojumu sniedzējus neatkarīgi no tā, vai tas ir ietekmējis vai, visticamāk, ietekmēs finanšu tirgus infrastruktūru nevainojamu darbību, un vai tas ir negatīvi ietekmējis vai, visticamāk, negatīvi ietekmēs finanšu sistēmas stabilu darbību kopumā. Maksājumu pakalpojumu sniedzējs ņem vērā dažādas dimensijas, piemēram, vai ietekmētais komponents/programmatūra ir patentēti vai vispārpieejami, vai negatīvi ietekmētais tīkls ir iekšējs vai ārējs un vai maksājumu pakalpojumu sniedzējs ir pārtraucis vai, visticamāk, pārtrauks pildīt savus pienākumus tajās finanšu tirgus infrastruktūrās, kurās tas ir dalībnieks;
12.7. ietekme uz reputāciju – kā šis incidents var samazināt lietotāju uzticēšanos maksājumu pakalpojumu sniedzējam un maksājuma pakalpojumam vai tirgum kopumā;
12.8. tīkla vai informācijas sistēmu drošības pārkāpums – vai kāda ļaunprātīga darbība ir ietekmējusi ar maksājumu pakalpojumu nodrošināšanu saistītā tīkla vai informācijas sistēmu pieejamību, autentiskumu, integritāti vai konfidencialitāti.
(Grozīts ar FKTK 26.07.2022. noteikumiem Nr. 138)
13. Maksājumu pakalpojumu sniedzējs izmanto aplēses, ja tam nav faktisku datu, ar ko pamatot savus slēdzienus, neatkarīgi no tā, vai līdz incidenta novēršanai ir sasniegta vai, visticamāk, tiks sasniegta konkrēta robežvērtība.
14. Maksājumu pakalpojumu sniedzējs pastāvīgi incidenta pastāvēšanas laikā veic novērtējumu, lai identificētu iespējamas statusa izmaiņas augšup (no nebūtiska uz būtisku) vai lejup (no būtiska uz nebūtisku).
15. Maksājumu pakalpojumu sniedzējs apkopo visu būtisko informāciju, sagatavo ziņojumu par incidentu, izmantojot šo noteikumu pielikumā pievienoto Ziņojuma veidlapu, un iesniedz Komisijai, nosūtot to uz elektroniskā pasta adresi mps.incidents@fktk.lv.
16. Maksājumu pakalpojumu sniedzējs izmanto šo noteikumu pielikumā sniegto veidlapu, lai informētu Komisiju incidenta pastāvēšanas laikā (t. i., lai sagatavotu sākotnējo, starpposma un noslēguma ziņojumu, kā noteikts šo noteikumu 21.–27. punktā). Maksājumu pakalpojumu sniedzējs aizpilda veidlapu pakāpeniski, pēc iespējas papildinot to ar jaunu informāciju, kas kļūst pieejama iekšējās izmeklēšanas gaitā.
17. Maksājumu pakalpojumu sniedzējs sniedz Komisijai jebkādu pieejamu papildinformāciju, ko tas uzskata par būtisku Komisijai, pievienojot standarta Ziņojuma veidlapai papildu dokumentāciju kā vienu vai vairākus pielikumus.
18. Maksājumu pakalpojumu sniedzējs katrā ziņojumā norāda datumu, kad tiks sniegts nākamais atjauninājums, un tam ir jābūt pēc iespējas drīzāk, bet ne vēlāk kā pēc trim darba dienām.
19. Maksājumu pakalpojumu sniedzējs sazinās ar Komisiju, ja nav iespējams ievērot norādīto nākamā atjauninājuma datumu.
20. Ja maksājumu pakalpojumu sniedzējs var iesniegt visu informāciju, kas nepieciešama noslēguma ziņojumā (t. i., Ziņojuma veidlapas C sadaļā), četru stundu laikā kopš incidenta konstatēšanas, tas sākotnējā ziņojumā sniedz informāciju, kas saistīta ar sākotnējo, pēdējo starpposma un noslēguma ziņojumu.
21. Maksājumu pakalpojumu sniedzējs sākotnējo ziņojumu (Ziņojuma veidlapas A sadaļa) nosūta Komisijai četru stundu laikā pēc incidenta klasificēšanas par būtisku vai, ja tas nav iespējams, tiklīdz tas kļūst iespējams.
(Grozīts ar FKTK 26.07.2022. noteikumiem Nr. 138)
22. Maksājumu pakalpojumu sniedzējs iesniedz Komisijai sākotnējo ziņojumu, tiklīdz iepriekš par nebūtisku atzīts incidents kļūst par būtisku incidentu.
23. Maksājumu pakalpojumu sniedzējs iesniedz starpposma ziņojumus (Ziņojuma veidlapas B sadaļa) ik reizi, kad uzskata, ka ir noticis būtisks statusa atjauninājums, un vismaz līdz nākamā atjauninājuma datumam, kas norādīts iepriekšējā ziņojumā (vai nu sākotnējā ziņojumā, vai iepriekšējā starpposma ziņojumā).
24. Maksājumu pakalpojumu sniedzējs, iesniedzot papildu starpposma ziņojumus, aktualizē informāciju, kas jau ir iesniegta Ziņojuma veidlapas A un B sadaļā, ja pēc iepriekšējā paziņojuma tam kļūst zināma jauna būtiska informācija vai notiek būtiskas izmaiņas.
25. Ja pakalpojumu darbība atgriežas ierastajā ritmā, pirms ir pagājušas četras stundas kopš incidenta konstatēšanas, maksājumu pakalpojumu sniedzējs var iesniegt vienlaicīgi sākotnējo un starpposma ziņojumu (t. i., aizpildot Ziņojuma veidlapas A un B sadaļu) pirms četru stundu termiņa beigām.
26. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu (Ziņojuma veidlapas C sadaļa), kad ir veikta cēloņa analīze, neatkarīgi no tā, vai seku mazināšanas pasākumi jau ir veikti, ne vēlāk kā divdesmit darba dienu laikā pēc tam, kad pakalpojumu darbība ir atgriezusies ierastajā ritmā. Maksājumu pakalpojumu sniedzējs sazinās ar Komisiju pirms minētā termiņa iestāšanās, ja ir nepieciešams šā termiņa pagarinājums, un norāda kavējuma pamatojumu, kā arī jaunu paredzamo noslēguma ziņojuma datumu.
(Grozīts ar FKTK 26.07.2022. noteikumiem Nr. 138)
27. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu arī tad, ja incidenta novērtēšanas rezultātā konstatē, ka incidents, par kuru jau ir ziņots, vairs neatbilst kritērijiem, pēc kuriem tas atzīts par būtisku, un nav sagaidāms, ka tas atbildīs minētajiem kritērijiem pirms tā novēršanas. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu, tiklīdz šis apstāklis ir konstatēts, bet ne vēlāk kā līdz paredzētajam nākamā ziņojuma datumam. Aizpildot Ziņojuma veidlapas C sadaļu, maksājumu pakalpojumu sniedzējs atzīmē lodziņu "incidents pārklasificēts kā nebūtisks" un paskaidro iemeslus, kas pamato šādu pazemināšanu.
28. Ar šo noteikumu spēkā stāšanos spēku zaudē Finanšu un kapitāla tirgus komisijas 26.09.2018. normatīvie noteikumi Nr.157 "Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem"
(FKTK 26.07.2022. noteikumu Nr. 138 redakcijā)
Noteikumos iekļautas tiesību normas, kas izriet no Eiropas Banku iestādes 2021. gada 10. jūnija "Pārskatītajām pamatnostādnēm paziņošanai par būtiskiem incidentiem atbilstīgi MPD2" (EBI/PN/2021/03).
(Pielikums FKTK 26.07.2022. noteikumu Nr. 138 redakcijā)