Член 7

Изменения на Директива (ЕС) 2015/2366

Директива (ЕС) 2015/2366 се изменя, както следва:

1) В член 3, буква й) се заменя със следното:

„й) услугите, предоставяни от доставчици на технически услуги, подпомагащи предоставянето на платежни услуги, без да влизат в нито един момент във владение на средствата по превода, включително обработката и съхранението на данни, доверителните услуги и услугите за защита на личния живот, установяването на автентичността на данни и автентификацията на субекти, предоставянето на информационни и комуникационни технологии (ИКТ) и на съобщителни мрежи, предоставянето и поддръжката на терминали и устройства, използвани за платежни услуги, с изключение на услугите по иницииране на плащане и услугите по предоставяне на информация за сметка;“

2) Член 5, параграф 1 се изменя, както следва:

a) първата алинея се изменя, както следва:

i) буква д) се заменя със следното:

„д) описание на управленската рамка и механизмите за вътрешен контрол на заявителя, включително на административните процедури, процедурите за управление на риска и счетоводните процедури, както и на механизмите за използване на услуги за ИКТ в съответствие с Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета (*7), което показва, че управленската рамка и механизмите за вътрешен контрол са пропорционални, подходящи, надеждни и достатъчни;

ii) буква е) се заменя със следното:

„е) описание на въведената процедура, чрез която се наблюдават, обработват и проследяват свързани със сигурността инциденти и свързани със сигурността жалби на клиенти, и която включва механизъм за докладване на инциденти, съобразен със задълженията на платежната институция за уведомяване, установени в глава III от Регламент (ЕС) 2022/2554;“;

iii)

буква з) се заменя със следното:

„з) описание на мерките за осигуряване на непрекъснатост на дейността, включително ясно идентифициране на операциите от критично значение, ефективни политика и планове за непрекъснатост на дейността на ИКТ и планове за реакция и възстановяване на ИКТ, както и процедура за редовно изпитване и преглед на адекватността и ефикасността на тези планове в съответствие с Регламент (ЕС) 2022/2554“;

б) третата алинея се заменя със следното:

„По отношение на посочените в първа алинея, буква й) мерки за контрол на сигурността и мерки за смекчаване на въздействието от рисковете се обяснява по какъв начин те осигуряват висока степен на оперативна устойчивост на цифровите технологии в съответствие с глава II от Регламент (EС) 2022/2554, по-специално във връзка с техническата сигурност и защитата на данните, включително за софтуера и системите на ИКТ, използвани от заявителя или от предприятията, на които той възлага на подизпълнители всички или част от дейностите си. Посочените мерки включват и мерките за сигурност, предвидени в член 95, параграф 1 от настоящата директива. При посочените мерки се вземат под внимание предвидените в член 95, параграф 3 от настоящата директива насоки на ЕБО за мерките за сигурност, когато има такива.“

3) В член 19, параграф 6 втората алинея се заменя със следното:

„Възлагането на подизпълнители на изпълнението на важни оперативни функции, включително системи на ИКТ, не може да се извършва по начин, който съществено засяга качеството на вътрешния контрол на платежната институция и възможността на компетентните органи да наблюдават и проследяват впоследствие изпълнението от платежната институция на всички предвидени в настоящата директива задължения.“

4) В член 95, параграф 1 се добавя следната алинея:

„Първа алинея не засяга прилагането на глава II от Регламент (ЕС) 2022/2554 по отношение на:

а) доставчиците на платежни услуги, посочени в член 1, параграф 1, букви а), б) и г) от настоящата директива;

б) доставчиците на услуги по предоставяне на информация за сметка, посочени в член 33, параграф 1 от настоящата директива;

в) платежните институции, освободени съгласно член 32, параграф 1 от настоящата директива; и

г) и институциите за електронни пари, освободени от изисквания, както е посочено в член 9, параграф 1 от Директива 2009/110/ЕО;“

5) В член 96 се добавя следният параграф:

„7.Държавите членки гарантират, че параграфи 1—5 от настоящия член не се прилагат за:

а) доставчиците на платежни услуги, посочени в член 1, параграф 1, букви а), б) и г) от настоящата директива;

б) доставчиците на услуги по предоставяне на информация за сметка, посочени в член 33, параграф 1 от настоящата директива;

в) платежните институции, освободени съгласно член 32, параграф 1 от настоящата директива; и

г) институциите за електронни пари, за които е предвидено освобождаване съгласно член 9, параграф 1 от Директива 2009/110/ЕО.“

6) В член 98 параграф 5 се заменя със следното:

„5.В съответствие с член 10 от Регламент (ЕС) № 1093/2010 ЕБО редовно извършва преглед и — ако е целесъобразно — актуализира регулаторните технически стандарти с цел, наред с другото, да вземе предвид нововъведенията и развитието на технологиите, както и разпоредбите на глава II от Регламент (EС) 2022/2554 “.