Uradni list

Številka 81
Uradni list RS, št. 81/2018 z dne 14. 12. 2018
Uradni list

Uradni list RS, št. 81/2018 z dne 14. 12. 2018

Kazalo

3892. Sklep o spremembah in dopolnitvah Sklepa o ureditvi notranjega upravljanja, upravljalnem organu in procesu ocenjevanja ustreznega notranjega kapitala za banke in hranilnice, stran 12893.

  
Na podlagi 1. točke 58. člena, 1., 2. in 3. točke 135. člena Zakona o bančništvu (Uradni list RS, št. 25/15, 44/16, 77/16 in 41/17; v nadaljevanju ZBan-2) in drugega odstavka 13. člena ter prvega odstavka 31. člena Zakona o Banki Slovenije (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, 59/11 in 55/17) izdaja Svet Banke Slovenije
S K L E P 
o spremembah in dopolnitvah Sklepa o ureditvi notranjega upravljanja, upravljalnem organu in procesu ocenjevanja ustreznega notranjega kapitala za banke in hranilnice 
1. člen 
V Sklepu o ureditvi notranjega upravljanja, upravljalnem organu in procesu ocenjevanja ustreznega notranjega kapitala za banke in hranilnice (Uradni list RS, št. 73/15, 49/16, 68/17 in 33/18, v nadaljevanju Sklep) se 8. točka drugega odstavka 3. člena spremeni tako, da se glasi:
»8. »nagnjenost k prevzemanju tveganj« (v nadaljevanju nagnjenost k tveganjem) je vnaprej dogovorjena skupna raven tveganj, vključno z ravnmi posameznih vrst tveganj, ki jih je banka še pripravljena prevzeti za namen uresničevanja svojih poslovnih ciljev, strategij, politik in načrtov, ob upoštevanju sposobnosti za prevzemanje tveganj, strategij in politik prevzemanja in upravljanja tveganj, ter politik kapitala, likvidnosti in prejemkov banke;«,
15., 18. in 26. točka se črtajo, ostale točke pa se ustrezno preštevilčijo.
2. člen 
Drugi odstavek 14. člena se spremeni tako, da se glasi:
»(2) Banka mora za namen ocenjevanja primernosti nosilcev ključnih funkcij opredeliti nosilce ključnih funkcij.«
3. člen 
V 21. členu se doda nov tretji odstavek, ki se glasi:
»(3) Banka mora v procesu ugotavljanja in ocenjevanja pomembnih tveganj zagotoviti sodelovanje vseh ustreznih organizacijskih enot, vključno s poslovnimi področji banke.«.
4. člen 
Sedmi odstavek 33. člena se spremeni tako, da se glasi:
»(7) Notranje kontrole pri informacijskih sistemih iz 6. točke prvega odstavka tega člena vključujejo:
1. pri uresničevanju strategije razvoja informacijskih sistemov: ugotavljanje skladnosti s poslovnimi procesi, kvalitete projektnega načrtovanja, vključenosti ustreznih kadrov ter seznanjenosti različnih vodstvenih ravni s pripadajočo problematiko;
2. pri zagotavljanju varnosti informacijskih sistemov: logične in fizične kontrole pri dostopanju do informacijskih sistemov;
3. pri strojni opremi: ugotavljanje njene ustreznosti glede zahtev pripadajočih poslovnih procesov, notranjih in tehničnih standardov ter rednosti njenega vzdrževanja. Strojna oprema pomeni opredmeteno računalniško in komunikacijsko opremo;
4. pri programski opremi: ugotavljanje njene ustreznosti in uporabe v poslovnih procesih v smislu izpolnjevanja zahtev uporabnikov ter ločevanja funkcij razvoja, vzdrževanja in uporabe programske opreme. Programska oprema pomeni računalniške programe, postopke in pravila, ki zagotavljajo načrtovano operativnost strojne opreme.«.
5. člen 
Naslov podpoglavja 2.4.2. se spremeni tako, da se glasi »Funkcija notranjih kontrol in funkcija upravljanja informacijske varnosti«.
6. člen 
Naslov 34. člena se spremeni tako, da se glasi »splošno«.
Drugi odstavek 34. člena se spremeni tako, da se glasi:
»(2) Banka mora vzpostaviti tudi funkcijo upravljanja informacijske varnosti ter določiti vodjo te funkcije. Funkcija upravljanja informacijske varnosti mora imeti primerljiv položaj, kot ga imajo funkcije iz prvega odstavka tega člena, zlasti z vidika zagotavljanja neodvisnosti, pooblastil in odgovornosti te funkcije.«.
7. člen 
Na koncu prvega odstavka 41. člena se doda besedilo »v delu točk dnevnega reda, ki so povezane s področjem dela te funkcije«.
8. člen 
Na koncu prvega odstavka 46. člena se doda besedilo »v delu točk dnevnega reda, ki so povezane s področjem dela te službe«.
9. člen 
Za 46. členom se doda novo podpoglavje 2.4.2.4., ki se glasi:
»2.4.2.4. Funkcija upravljanja informacijske varnosti 
46.a člen 
(politika upravljanja informacijske varnosti) 
Banka mora imeti in uresničevati ustrezno politiko upravljanja informacijske varnosti, ki opredeljuje zlasti:
(a) cilje in pristop banke k zagotavljanju varnosti informacijskih sistemov in informacij, vključno z osnovnimi načeli uresničevanja informacijske varnosti;
(b) načela in postopke za zagotavljanje zaupnosti, integritete in razpoložljivosti informacij, ter porazdelitev odgovornosti glede varovanja informacijske tehnologije, informacij, shranjenih v informacijskih sistemih banke, ter pripadajoče dokumentacije. »Zaupnost« informacij pomeni, da je informacija razkrita le pooblaščenim osebam, »integriteta informacij« pomeni, da je informacija neoporečna in celovita, »razpoložljivost informacij« pomeni, da imajo pooblaščeni uporabniki v potrebnem času zagotovljen dostop do informacij;
(c) splošne standarde informacijske varnosti za vse zaposlene ter podrobnejša pravila zagotavljanja varnosti informacij za posamezne skupine zaposlenih;
(d) obrazložitev najpomembnejših postopkov za ugotavljanje in obvladovanje tveganj iz naslova informacijske varnosti na različnih ravneh organizacijske strukture banke.
46.b člen 
(namen in pooblastila funkcije upravljanja informacijske varnosti) 
(1) Funkcija upravljanja informacijske varnosti spremlja in kontrolira postopke informacijske varnosti z namenom preprečevanja nepooblaščenega dostopa do informacij v hrambi, obdelavi ali prenosu ter njihovih sprememb, vključno z upravljanjem s tem povezanih tveganj ter izdelavo vsakokratne analize teh tveganj za namen procesa ICAAP.
(2) Uprava mora zagotoviti, da ima funkcija upravljanja informacijske varnosti:
(a) ustrezna pooblastila za učinkovito opravljanje dela,
(b) zadostne kadrovske in finančne vire za:
i. izvajanje politike informacijske varnosti,
ii. učinkovito upravljanje tveganj iz naslova informacijske varnosti,
iii. usposabljanje in izobraževanje zaposlenih banke o zagotavljanju informacijske varnosti ter
iv. usposabljanje in izobraževanje zaposlenih v funkciji upravljanja informacijske varnosti.
(3) Uprava mora z namenom zagotavljanja učinkovitosti funkcije upravljanja informacijske varnosti zagotoviti dosledno in pravočasno obravnavo vseh predloženih poročil, ugotovitev in predlogov ukrepov te funkcije ter od višjega vodstva zahtevati odpravo ugotovljenih nepravilnosti v skladu z dogovorjenimi roki. Morebitno neupoštevanje priporočil funkcije upravljanja informacijske varnosti ter morebitne zamude pri odpravi ugotovljenih nepravilnosti glede na dogovorjene roke, mora biti pisno utemeljeno s strani naslovnika priporočil.
46.c člen 
(naloge funkcije upravljanja informacijske varnosti) 
(1) Naloge funkcije upravljanja informacijske varnosti vključujejo:
1. redno analizo informacijskih tveganj, oceno tveganj in zagotavljanje ocene skladnosti z veljavnimi predpisi in standardi;
2. upravljanje z varnostnimi incidenti ali potencialnimi varnostnimi incidenti s sodelovanjem drugih funkcij v banki, kjer je ustrezno (npr. ugotavljanje, ocenjevanje, spremljanje in poročanje o varnostnih incidentih);
3. nadzor izvedbe ukrepov za izboljšanje stanja informacijske varnosti;
4. redno pregledovanje in posodabljanje politike informacijske varnosti ter zagotavljanje skladnosti s politiko;
5. redno in izredno poročanje upravljalnemu organu o neskladnostih, varnostnih incidentih, tveganjih, pojavu novih groženj iz naslova informacijske varnosti ter o izvajanju ukrepov za izboljšanje informacijske varnosti;
6. svetovanje upravi in višjemu vodstvu glede upravljanja informacijske varnosti, vključno glede razvoja predpisov in standardov s tega področja;
7. izobraževanje zaposlenih glede informacijske varnosti;
8. izdelava usmeritev za zaposlene glede ustreznega upravljanja informacijske varnosti (npr. navodila, priročniki).
(2) Ugotovljena tveganja s področja informacijske varnosti morajo biti vključena v poročila o operativnih tveganjih. Če gre za pomembna tveganja, morajo le-ta biti ustrezno obravnavana v okviru vsakokratnega procesa ICAAP.
46.d člen 
(vodja funkcije upravljanja informacijske varnosti) 
(1) Funkcijo upravljanja informacijske varnosti mora voditi oseba z ustreznim znanjem, izkušnjami ter pooblastili.
(2) Osebe, ki opravljajo naloge funkcije upravljanja informacijske varnosti, ne smejo opravljati nobenih operativnih nalog, ki spadajo v obseg dejavnosti, ki naj bi jih ta funkcija spremljala in kontrolirala.
(3) Banka mora o imenovanju ali razrešitvi vodje funkcije upravljanja informacijske varnosti obvestiti nadzorni svet banke.
46.e člen 
(neposreden dostop do nadzornega sveta in uprave) 
(1) Banka mora vodji funkcije upravljanja informacijske varnosti omogočiti redno sodelovanje na sejah nadzornega sveta v delu, ki se nanašajo na tveganja iz naslova informacijske varnosti. Vodja funkcije upravljanja informacijske varnosti na teh sejah predstavlja analize, ocene in druge informacije glede tveganj iz naslova informacijske varnosti ter zastopa stališča funkcije upravljanja informacijske varnosti, ki so v skladu s politiko informacijske varnosti banke.
(2) Banka mora zagotoviti, da funkcija upravljanja informacijske varnosti o svojih ugotovitvah poroča upravi in nadzornemu svetu neovirano in neodvisno. Neovirano poročanje pomeni, da funkcija upravljanja informacijske varnosti poroča navedenim organom oziroma funkcijam brez morebitnih zahtev ali pritiskov s strani člana upravljalnega organa ali višjega vodstva po neprimernem prilagajanju ali izpuščanju informacij. Banka mora v ta namen zagotoviti, da je način navedenega poročanja upravi in nadzornemu svetu določen s strani funkcije upravljanja informacijske varnosti in ne s strani uprave ali nadzornega sveta. Neodvisno obveščanje pomeni, da lahko funkcija upravljanja informacijske varnosti poroča nadzornemu svetu brez predhodne predložitve zadevnega poročila upravi v podpis oziroma odobritev.«.
10. člen 
V 2. točki četrtega odstavka 56. člena se črta besedilo »ter prepise zvočnega zapisa sej nadzornega sveta«.
11. člen 
V 3. točki prvega odstavka 90. člena se za besedo »ICAAP« doda besedilo »in njegovih rezultatov«, v 6. točki pa se črta besedilo »ter prepise zvočnega zapisa sej nadzornega sveta«.
12. člen 
Peti odstavek 91. člena se spremeni tako, da se glasi:
»(5) Banka obvesti Banko Slovenije o imenovanju ali razrešitvi vodje službe notranje revizije, vodje funkcije upravljanja tveganj, vodje funkcije skladnosti poslovanja in vodje funkcije upravljanja informacijske varnosti ter predloži vso relevantno dokumentacijo, najkasneje v petih delovnih dneh po njegovem imenovanju ali razrešitvi.«.
KONČNE IN PREHODNE DOLOČBE 
13. člen 
(Uveljavitev sklepa) 
(1) Ta sklep začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
(2) Ne glede na prvi odstavek tega člena se členi Sklepa, ki se spreminjajo s 4., 5., 6., 9. in 12. členom tega sklepa, začnejo uporabljati tri mesece po njegovi uveljavitvi.
Ljubljana, dne 10. decembra 2018
dr. Primož Dolenc l.r.
Namestnik predsednika 
Sveta Banke Slovenije