1. Les États membres veillent à ce que les prestataires de services de paiement établissent un cadre prévoyant des mesures d’atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité, liés aux services de paiement qu’ils fournissent. Ce cadre prévoit que les prestataires de services de paiement établissent et maintiennent des procédures efficaces de gestion des incidents, y compris pour la détection et la classification des incidents opérationnels et de sécurité majeurs.
2. Les États membres veillent à ce que les prestataires de services de paiement fournissent à l’autorité compétente, chaque année ou à des intervalles plus rapprochés fixés par l’autorité compétente, une évaluation à jour et exhaustive des risques opérationnels et de sécurité liés aux services de paiement qu’ils fournissent et des informations sur le caractère adéquat des mesures d’atténuation et des mécanismes de contrôle mis en œuvre pour faire face à ces risques.
3. D’ici au 13 juillet 2017, l’ABE, en étroite coopération avec la BCE et après avoir consulté toutes les parties concernées, y compris sur le marché des services de paiement, représentant tous les intérêts en présence, émet des orientations conformément à l’article 16 du règlement (UE) no 1093/2010 concernant l’établissement, la mise en œuvre et le suivi des mesures de sécurité, y compris, le cas échéant, des procédures de certification.
L’ABE, en étroite coopération avec la BCE, réexamine à intervalles réguliers les orientations visées au premier alinéa et, en tout état de cause, au moins tous les deux ans.
4. Tenant compte de l’expérience acquise dans l’application des orientations visées au paragraphe 3, l’ABE, le cas échéant à la demande de la Commission, élabore des projets de normes techniques de réglementation concernant les critères et les conditions pour l’établissement et le suivi des mesures de sécurité.
La Commission est habilitée à adopter les normes techniques de réglementation visées au premier alinéa, conformément aux articles 10 à 14 du règlement (UE) no 1093/2010.
5. L’ABE encourage la coopération, y compris l’échange d’informations, dans le domaine des risques opérationnels et de sécurité associés aux services de paiement entre les autorités compétentes, et entre les autorités compétentes et la BCE et, le cas échéant, l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information.