1. En cas d’incident opérationnel ou de sécurité majeur, les prestataires de services de paiement informent sans retard injustifié l’autorité compétente dans l’État membre d’origine du prestataire de services de paiement.
Lorsque l’incident a ou est susceptible d’avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement, le prestataire de services de paiement informe sans retard injustifié ses utilisateurs de services de paiement de l’incident et de toutes les mesures disponibles qu’ils peuvent prendre pour atténuer les effets dommageables de l’incident.
2. Dès réception de la notification visée au paragraphe 1, l’autorité compétente de l’État membre d’origine communique sans retard injustifié les détails importants de l’incident à l’ABE et à la BCE, et, après avoir évalué la pertinence de l’incident pour d’autres autorités concernées de cet État membre, informe celles-ci en conséquence.
L’ABE et la BCE, en coopération avec l’autorité compétente de l’État membre d’origine, évaluent la pertinence de l’incident pour d’autres autorités concernées au niveau national et de l’Union et informent celles-ci en conséquence. La BCE informe les membres du SEBC des questions pertinentes pour le système de paiement.
Sur la base de cette notification, les autorités compétentes prennent, le cas échéant, toutes les mesures nécessaires afin de protéger la sécurité immédiate du système financier.
3. D’ici au 13 janvier 2018, l’ABE, en étroite coopération avec la BCE et après avoir consulté toutes les parties concernées, y compris sur le marché des services de paiement, représentant tous les intérêts en présence, émet des orientations conformément à l’article 16 du règlement (UE) no 1093/2010 à l’intention des destinataires suivants:
|
a) |
des prestataires de service de paiement, concernant la classification des incidents majeurs visés au paragraphe 1 et le contenu, le format, y compris des modèles de notification, et les procédures pour la notification de ces incidents; |
|
b) |
des autorités compétentes, concernant les critères permettant d’évaluer la pertinence de l’incident et les éléments des notifications d’incident à communiquer à d’autres autorités nationales. |
4. L’ABE, en étroite coopération avec la BCE, réexamine les orientations visées au paragraphe 3 à intervalles réguliers et, en tout état de cause, au moins tous les deux ans.
5. Lorsqu’elle émet et réexamine les orientations visées au paragraphe 3, l’ABE tient compte des normes et/ou des spécifications mises au point et publiées par l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information pour des secteurs exerçant des activités autres que la fourniture de services de paiement.
6. Les États membres veillent à ce que les prestataires de services de paiement fournissent à leurs autorités compétentes, au moins chaque année, des données statistiques relatives à la fraude liée aux différents moyens de paiement. Les autorités compétentes en question fournissent ces données sous forme agrégée à l’ABE et à la BCE.