MOKĖJIMO IR VERTYBINIŲ POPIERIŲ ATSISKAITYMO SISTEMŲ PRIEŽIŪROS TVARKOS APRAŠAS
PROJEKTAS
Lietuvos banko valdybos 20XX m. mėnuo xx d. nutarimu Nr. xx-xx
MOKĖJIMO IR VERTYBINIŲ POPIERIŲ ATSISKAITYMO SISTEMŲ PRIEŽIŪROS TVARKOS APRAŠAS
I SKYRIUS BENDROSIOS NUOSTATOS
1. Mokėjimo ir vertybinių popierių atsiskaitymo sistemų priežiūros tvarkos apraše (toliau – Aprašas) nustatytos Lietuvos banko atliekamos mokėjimo ir vertybinių popierių atsiskaitymo sistemų (toliau – sistemos, sistema) priežiūros priemonės ir jų taikymo tvarka.
2. Apraše vartojamos sąvokos:
2.1. Incidentas - pavienis įvykis arba keletas tarpusavyje susijusių įvykių, kurių sistemos operatorius neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį mokėjimo paslaugų vientisumui, prieinamumui, konfidencialumui, autentiškumui ir (arba) tęstinumui.
2.2. Kritinis incidentas – incidentas, atitinkantis šio Aprašo 1 priede nustatytus kriterijus.
2.3. Vertybinių popierių atsiskaitymo sistema – vertybinių popierių atsiskaitymo sistema kaip ji apibrėžta Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatyme.
3. Šis aprašas taikomas visoms mokėjimo sistemoms, kaip jos suprantamos pagal Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatymą, Lietuvos Respublikos mokėjimų įstatymą arba Europos Centrinio Banko reglamentą (ES) Nr. 795/2014 dėl priežiūros reikalavimų sistemiškai svarbioms mokėjimo sistemoms (toliau – SSMS priežiūros reglamentas).
4. Kitos Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatyme, Lietuvos Respublikos finansų įstaigų įstatyme, Lietuvos Respublikos finansinių priemonių rinkų įstatyme, SSMS priežiūros reglamente ir Europos Parlamento ir Tarybos reglamente (ES) Nr. 909/2014 dėl atsiskaitymo už vertybinius popierius gerinimo Europos Sąjungoje ir centrinių vertybinių popierių depozitoriumų, kuriuo iš dalies keičiamos direktyvos 98/26/EB ir 2014/65/ES bei Reglamentas (ES) Nr. 236/2012 (toliau - CVPD reglamentas).
II SKYRIUS
SISTEMŲ PRIEŽIŪROS PRIEMONĖS
5. Vykdant sistemų priežiūrą Lietuvos banko taikomos priemonės:
5.1. Sistemų registravimas.
5.2. Sistemų vertinimas.
5.3. Sistemų stebėsena.
6. Sistemų registravimas nėra būtina sąlyga taikyti kitas sistemų priežiūros priemones.
III SKYRIUS
SISTEMŲ REGISTRAVIMAS
7. Lietuvos bankas registruoja sistemas Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatymo 5 straipsnyje nustatyta tvarka.
8. Pagal Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatymo 5 straipsnio 3 ir 4 dalių nuostatas Lietuvos bankas turi teisę atsisakyti įregistruoti sistemą arba savo iniciatyva panaikinti sistemos registraciją, kai iš jam pateiktos arba jo turimos informacijos galima spręsti, kad atitinkamai nebus užtikrinamas arba nebeužtikrinamas saugus ir veiksmingas sistemos veikimas.
9. Lietuvos bankas spręsdamas, ar užtikrinamas saugus ir veiksmingas sistemos veikimas,
vadovaujasi sistemos vertinimo rezultatais ir sistemos stebėsenos informacija.
IV SKYRIUS
SISTEMŲ VERTINIMAS
10. Lietuvos bankas, vykdydamas mokėjimo sistemų vertinimą, vadovaujasi SSMS priežiūros reglamentu, Europos Centrinio Banko (ECB) patvirtintomis Pakeista mažmeninių mokėjimo sistemų priežiūros sąranga (Revised oversight framework for retail payment systems, February 2016) ir Pakeista mokėjimo sistemų vertinimo metodika (Revised assessment methodology for payment systems, June 2018) bei kitais ECB dokumentais, reglamentuojančiais mokėjimo sistemų priežiūrą.
11. Lietuvos bankas vertina vertybinių popierių atsiskaitymo sistemas atsižvelgdamas į CVPD reglamento ir kitų ES teisės aktų nuostatas, Tarptautinių atsiskaitymų banko Mokėjimo ir atsiskaitymo sistemų komiteto kartu su Vertybinių popierių komisijų tarptautinės organizacijos techniniu komitetu (CPSS-IOSCO) parengtais Finansų rinkos infrastruktūrų (toliau – FRI) principais (The CPSS-IOSCO Principles for Financial Market Infrastructures (PFMIs), April 2012) bei kitais ECB dokumentais, reglamentuojančiais vertybinių popierių atsiskaitymo sistemų priežiūrą.
12. Sistemų vertinimas dėl kibernetinio atsparumo reikalavimų atliekamas pagal ECB paskelbtus FRI priežiūros institucijų lūkesčius kibernetinio atsparumo srityje (Cyber resilience oversight expectations for financial market infrastructures (CROE), December 2018), kurie detalizuoja CPSS-IOSCO parengtas Kibernetinio atsparumo gaires finansų rinkos infrastruktūroms, papildančias FRI principus.
13. Tam tikrais atvejais, siekiant užtikrinti sklandžią ir patikimą sistemos veiklą, gali būti vykdomas ir platesnis mokėjimo sistemų vertinimas, apimantis daugiau SSMS priežiūros reglamento ar FRI reikalavimų (principų) negu kad privaloma pagal mokėjimo sistemų klasifikavimą pagal Pakeistą mažmeninių mokėjimo sistemų priežiūros sąrangą.
14. Sistemos operatorius praneša Lietuvos bankui per Lietuvos banko nustatytą terminą, bet ne vėliau kaip per 3 mėnesius po vertinimo rezultatų pateikimo dienos, apie sistemos operatoriui pateiktų rekomendacijų įgyvendinimo planą. Sistemos operatorius informuoja Lietuvos banką apie pateiktų rekomendacijų plano įgyvendinimo rezultatus per 5 darbo dienas po atskiros rekomendacijos įgyvendinimo dienos arba pateikia rekomendacijų plano įgyvendinimo apžvalgos ataskaitą ketvirčiui pasibaigus. Jeigu įgyvendintos ne visos rekomendacijos, praėjus metams nuo vertinimo ataskaitos užbaigimo, gali būti prašoma sudaryti naują rekomendacijų įgyvendinimo planą.
15. Mokėjimo sistemos operatorius pateikia informaciją apie planuojamus esminius sistemos pakeitimus iki sistemos pakeitimų įgyvendinimo dienos. Esminis sistemos pakeitimas suprantamas kaip sistemos funkcionalumo pokytis, kuris ženkliai pakeičia sistemos nustatymus arba prideda naujų pagrindinių veiklos funkcijų. Pateikiama informacija esminių pakeitimų atveju turi apimti: sistemos pakeitimų aprašymą, pranešimą klientams, reikiamą atnaujinti teisinę, funkcinę, organizacinę dokumentaciją, numatomų pokyčių rizikos vertinimą, operatoriaus vertinimą dėl esminio sistemos pakeitimo atitikties FRI principams, testavimo rezultatus. Informavimas apie vertybinių popierių atsiskaitymo sistemos pokyčius atliekamas kaip numatyta CVPD reglamente ir vykdant stebėseną, kiek tai neprieštarauja CVPD reglamento nuostatoms.
16. Bendradarbiaujant su Europos Sąjungos valstybės narės arba kitos užsienio valstybės kompetentinga institucija, atsakinga už sistemų ir (arba) jų dalyvių priežiūrą (toliau – užsienio kompetentinga institucija) sistemos gali būti vertinamos ir pagal kitus tarptautinių institucijų ir organizacijų nustatytus standartus, principus ir rekomendacijas.
V SKYRIUS
SISTEMŲ STEBĖSENA
17. Sistemų stebėsena apima, bet neapsiriboja šiomis funkcijomis:
17.1. Sistemų veiklos analizė ir incidentų nagrinėjimas.
17.2. Oficialaus sistemų ir jų dalyvių sąrašo atnaujinimas.
17.3. Sistemos operatoriaus, ESMA ir kitų institucijų informavimas dėl bankroto bylos iškėlimo arba operacijų sustabdymo.
17.4. Informacijos apie kritinį incidentą gautos iš mokėjimo sistemos operatoriaus pateikimas ECB.
18. Lietuvos bankas turi teisę nustatyti sistemų, kurių operatoriaus įsisteigimo vieta yra Lietuvos Respublika ir/arba kurių dalyvių teisėms ir įsipareigojimams, atsirandantiems dėl dalyvavimo sistemoje, taikoma Lietuvos Respublikos teisė bei kurių operatorius nėra Lietuvos bankas, stebėsenai atlikti reikalingą informaciją ir jos pateikimo periodiškumą.
19. Lietuvos bankas, vykdydamas sistemų stebėseną, organizuoja dvišalius reguliarius ir/arba teminius susitikimus su sistemų operatoriais, kurių metu pristatomi vykdomi ar planuojami įgyvendinti sistemų pokyčiai, sistemų priežiūros planai, galimi reguliaciniai pakeitimai ir dalinamasi kita, su sistemų veikla ir jų priežiūra susijusia informacija.
20. Sistemų stebėsenai atlikti Lietuvos bankas gali pareikalauti iš sistemų operatoriaus sudaryti sąlygas jam susipažinti su vidaus ir nepriklausomų išorės auditorių ataskaitomis ir išvadomis apie sistemų ir jų operatorių veiklą, su pačių sistemų operatorių ir jų sistemų veiklos ataskaitomis.
21. Mokėjimo sistemos operatorius informuoja Lietuvos banką apie sistemoje įvykusius
kritinius incidentus kaip nustatyta Aprašo 2 priede.
22. Vertybinių popierių atsiskaitymo sistemos operatorius turi nedelsdamas informuoti Lietuvos banką apie sistemoje įvykusį incidentą. Jei nesutarta kitaip, vertybinių popierių atsiskaitymo sistemos operatorius, teikdamas informaciją apie incidentą, turi užpildyti Aprašo 3 priede pateiktą 1 lentelę.
23. Mokėjimo sistemos operatorius kas ketvirtį Lietuvos bankui pateikia ataskaitą apie visus per ataskaitinį laikotarpį mokėjimo sistemoje įvykusius incidentus. Vertybinių popierių atsiskaitymo sistemos operatorius, pasibaigus ketvirčiui, per 10 darbo dienų turi pateikti statistinę informaciją apie vertybinių popierių atsiskaitymo sistemos veiklą. Teikiama statistinė informacija turėtų apimti
bent jau Komisijos deleguotojo reglamento (ES) 2017/392, kuriuo Europos Parlamento ir Tarybos reglamentas (ES) Nr. 909/2014 papildomas centrinių vertybinių popierių depozitoriumų veiklos leidimų išdavimo, priežiūros ir veiklos reikalavimų techniniais reguliavimo standartais, 42 straipsnio 1 dalyje a-h ir l punktuose nurodytus duomenis.
24. Vertybinių popierių atsiskaitymo sistemos operatorius Lietuvos banko prašymu turi pateikti ir kitą turimą Lietuvos banko funkcijoms vykdyti svarbią informaciją, susijusią su centrinio vertybinių popierių depozitoriumo ir vertybinių popierių atsiskaitymo sistemos veikla.
25. Sistemų stebėsenai atlikti surinkta informacija gali būti naudojama vykdant Europos centrinių bankų sistemos uždavinius, nustatytus Europos centrinių bankų sistemos ir Europos Centrinio Banko statuto 3 straipsnyje.
26. Lietuvos bankas gavęs iš sistemos operatoriaus pranešimą apie sistemos ir (arba) jos dalyvių pasikeitimus, per vieną darbo dieną padaro atitinkamus pakeitimus sistemos dalyvių sąraše ir informuoja Europos vertybinių popierių ir rinkų instituciją (ESMA), jeigu keičiasi sistemos operatoriaus duomenys. Informacija skelbiama Lietuvos banko svetainėje Oficialiame sistemų ir jų dalyvių sąraše.
27. Lietuvos bankas gavęs iš teismo arba kitos institucijos pranešimą apie sprendimą dėl bankroto bylos iškėlimo arba operacijų sustabdymo Lietuvos Respublikoje registruotam sistemos dalyviui, informuoja sistemos, kurioje dalyvauja dalyvis, operatorių, ESMA ir kitas institucijas. Gavus pranešimą iš kitos valstybės narės atsakingos institucijos apie sistemos, kurios dalyvių teisėms ir įsipareigojimams, atsirandantiems dėl dalyvavimo sistemoje, taikoma Lietuvos Respublikos teisė, dalyvio operacijų sustabdymą arba pradėtą jo bankroto procesą, informuojamas sistemos, kurioje dalyvauja dalyvis, operatorius.
28. Lietuvos bankas, gavęs iš mokėjimo sistemos operatoriaus informaciją apie kritinį incidentą, pateikia ją ECB nustatyta tvarka.
VI SKYRIUS
BENDRADARBIAVIMAS SU KITŲ ŠALIŲ KOMPETENTINGOMIS INSTITUCIJOMIS IR TARPTAUTINĖMIS ORGANIZACIJOMIS
29. Lietuvos bankas, prižiūrėdamas mokėjimo sistemas, bendradarbiauja su ECB ir eurą įsivedusių Europos Sąjungos valstybių narių nacionaliniais centriniais bankais (NCB) vadovaudamasis SSMS reglamentu ir Pakeista mažmeninių mokėjimo sistemų priežiūros sąranga, Pakeista mokėjimo sistemų vertinimo metodika ir kitais ECB dokumentais, reglamentuojančiais mokėjimo sistemų priežiūrą.
30. Kai Lietuvos bankas suinteresuotas mokėjimo sistemos, kuriai netaikomas Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatymas ir (arba) kurios operatorius nėra įsisteigęs Lietuvos Respublikoje, patikima ir veiksminga veikla, Lietuvos bankas dalyvauja tokios mokėjimo sistemos priežiūroje pagal susitarimą su kompetentinga institucija, atsakinga už tos mokėjimo sistemos priežiūrą. Lietuvos banko interesas gali atsirasti tuo atveju, kai Lietuvos Respublikoje įsisteigę ir (arba) paslaugas Lietuvos Respublikoje teikiantys rinkos dalyviai naudojasi tokios mokėjimo sistemos paslaugomis, arba Lietuvos bankas turi interesą dėl kitų reikšmingų priežasčių. Ši nuostata netaikoma, jeigu mokėjimo sistema yra prižiūrima pagal Aprašo 29 punkte nurodytus teisės aktus.
31. Kai užsienio kompetentinga institucija yra suinteresuota Lietuvoje veikiančios mokėjimo sistemos patikima ir veiksminga veikla, ji gali kreiptis į Lietuvos banką, prašydama sudaryti bendradarbiavimo susitarimą dėl tokios mokėjimo sistemos priežiūros.
32. Vykdydamas vertybinių popierių atsiskaitymo sistemų priežiūrą Lietuvos bankas bendradarbiauja su kitų šalių priežiūros institucijomis vadovaudamasis CVPD reglamente nustatytais reikalavimais.
33. Lietuvos bankas bendradarbiauja su užsienio kompetentingomis institucijomis, taip pat su Tarptautiniu valiutos fondu, Pasaulio banku, kitomis tarptautinėmis institucijomis ir organizacijomis, vykdančiomis sistemų vertinimo programas.
34. Lietuvos bankas dalyvauja ir bendradarbiauja vykdant mokėjimo schemų priežiūrą pagal ECB dokumentus ir sprendimus.
VII SKYRIUS BAIGIAMOSIOS NUOSTATOS
35. Lietuvos banko organizacinė struktūra užtikrina, kad būtų valdomas galimas interesų konfliktas tarp Lietuvos banko mokėjimo sistemų operatoriaus funkcijas ir sistemų priežiūros funkciją vykdančių padalinių.
36. Vykdydamas sistemų priežiūrą Lietuvos bankas taiko vienodą metodiką ir tokius pačius reikalavimus tiek privačių subjektų, tiek centrinių bankų valdomoms sistemoms.
37. Lietuvos bankas užtikrina informacijos, gautos atliekant sistemų priežiūrą, konfidencialumą, išskyrus teisės aktuose nustatytus atvejus ir atvejus, kai sistemų operatoriai sutinka, kad informacija būtų viešai atskleista.
38. Lietuvos bankas gali pateikti informaciją Europos centrinių bankų sistemos (ECBS) centriniams bankams, kiek to reikia, kad būtų užtikrintas veiksmingas mokėjimo ir vertybinių popierių atsiskaitymo sistemų veikimas, ir (arba) kompetentingoms valstybių narių ir Europos Sąjungos priežiūros institucijoms, kiek to reikia vykdant jų uždavinius, taip pat susijusioms trečiosioms šalims, kiek to reikia prižiūrint sistemas, jeigu tai neprieštarauja Lietuvos Respublikos ir Europos Sąjungos teisės aktams ir susijusios šalys užtikrina Lietuvos banko pateiktos informacijos konfidencialumą.
39. Sistemų operatoriai už šio Aprašo nuostatų laikymąsi atsako teisės aktų nustatyta tvarka.
Mokėjimo ir vertybinių popierių atsiskaitymo sistemų priežiūros tvarkos aprašo
1 priedas
1. Incidentas, kaip apibrėžta Sistemiškai svarbių mokėjimo sistemų priežiūros vadove (Oversight Guide for Systemically Important Payment systems, July 2017) laikomas kritiniu sistemiškai svarbių mokėjimo sistemų atveju atsižvelgiant į mokėjimo sistemų klasifikavimą pagal Pakeistą mažmeninių mokėjimo sistemų priežiūros sąrangą, jeigu tenkinami šie kriterijai:
1.1. Sistema 2 val. ar ilgiau neveikė įprastu režimu.
1.2. Prireikė panaudoti nenumatytų atvejų procedūras ir (arba) visą veiklos tęstinumo planą.
1.3. Prireikė aktyvuoti komunikacijos apie krizinę situaciją procedūras.
1.4. Apima ir sukčiavimo ar korupcijos atvejų nustatymą.
2. Kritiniais incidentais taip pat laikomi incidentai, įvykę sistemiškai svarbių mokėjimo sistemų dalyvio sistemose, kurie turėjo reikšmingos įtakos normaliai sistemos veiklai ar funkcionalumui, o taip pat incidentai, kurie kilo iš dalyvio įsipareigojimų nevykdymo.
3. Incidentas, kaip apibrėžta Kritinių incidentų įvykusių mokėjimo schemose ir mažmeninėse mokėjimo sistemose raportavimo procedūroje (Major incident reporting framework for payment schemes and retail payment systems, September 2016), klasifikuojamas kritiniu mažmeninių mokėjimo sistemų atžvilgiu, atsižvelgiant į mokėjimo sistemų klasifikavimą pagal Pakeistą mažmeninių mokėjimo sistemų priežiūros sąrangą, kai:
3.1. Vienas ar daugiau reikšmingumo kriterijų (1 lentelė) pasiekia aukštesnio poveikio lygį.
3.2. Trys ar daugiau reikšmingumo kriterijų atitinka žemesnio poveikio ribas.
1 lentelė. Reikšmingumo kriterijai
Kriterijai | Žemesnis poveikis | Aukštesnis poveikis |
Sistemos pasiekiamumas | Netaikoma | > 2 val. > 1 val. momentinių mokėjimų atveju |
Darbo dienos užbaigimas | Netaikoma | Nukeltas mažiausiai 1 val. |
Aukštas vidinio eskalavimo lygis | Taip | Taip ir prireikė aktyvuoti komunikacijos apie krizinę situaciją procedūras |
Poveikis kitoms finansų infrastruktūroms | Taip | Netaikoma |
Poveikis sistemos reputacijai | Taip | Netaikoma |
4. Mažmeninės mokėjimo sistemos operatorius gali nustatyti ir kitus kritinio incidento klasifikavimo kriterijus ar požymius pagal kuriuos incidentas būtų laikomas kritiniu nei kad apibrėžta 1 priedo 3 punkte.
Mokėjimo ir vertybinių popierių atsiskaitymo sistemų priežiūros tvarkos aprašo
2 priedas
KRITINIŲ INCIDENTŲ RAPORTAVIMO TVARKA MAŽMENINĖMS MOKĖJIMO
SISTEMOMS
1. Mokėjimo sistemos operatorius informuoja Lietuvos banką apie sistemoje įvykusius kritinius incidentus kaip nustatyta Kritinių incidentų įvykusių mokėjimo schemose ir mažmeninėse mokėjimo sistemose raportavimo procedūros 4 dalyje, t.y.:
1.1. Įvykus incidentui, prieš pateikiant informaciją sistemos dalyviams, mokėjimo sistemos operatorius nedelsdamas turi atsiųsti laisvos formos pranešimą apie įvykusį kritinį incidentą Lietuvos bankui.
1.2. Mokėjimo sistemos operatorius per 3 val. nuo kritinio incidento pražios turi elektroniniu paštu arba kitais Lietuvos banko nustatytais kanalais pranešti apie įvykusį incidentą ir kartu pateikti tuo metu žinomą informaciją, užpildydamas priežiūrinio proceso metu sutartą kritinio incidento raportavimo pradinę ataskaitos formą.
1.3. Mokėjimo sistemos operatorius per 3 darbo dienas po pradinės ataskaitos formos pateikimo dienos turi atsiųsti tarpinę ataskaitą (sutartą priežiūrinio proceso metu). Vėliau operatorius turėtų pateikti tarpinę ataskaitą kiekvieną kartą, kai įvyksta svarbus pasikeitimas ar iki datos nurodytos ankstesnėje ataskaitoje. Ataskaitoje turėtų būti pateikiamas išsamesnis kritinio incidento ir jo pasekmių aprašymas. Galutinė ataskaita gali būti pateikiama kartu su tarpine, jei tuo metu jau žinoma visa ataskaitai užpildyti būtina informacija.
1.4. Galutinė ataskaita (sutarta priežiūrinio proceso metu) Lietuvos bankui turi būti pateikta, kai sistemos veikla grįžta į normalų veiklos režimą, kai nustatyta pagrindinė kritinio incidento priežastis ir įgyvendinti ar numatyti taisomieji veiksmai. Galutinė ataskaita turėtų būti pateikta ne vėliau kaip per 2 savaites po to, kai sistemos veikla grįžta į normalų veiklos režimą.
Mokėjimo ir vertybinių popierių atsiskaitymo sistemų priežiūros tvarkos aprašo
3 priedas
VERTYBINIŲ POPIERIŲ ATSISKAITYMO SISTEMOS OPERATORIAUS
PRANEŠIMAS APIE OPERACINĮ INCIDENTĄ
1 lentelė. Pranešimas apie vertybinių popierių atsiskaitymo sistemos operacinį incidentą
Incidento data ir laikas | |
Incidento aprašymas (pasireiškimas) | |
Atlikti incidento šalinimo veiksmai | |
Incidento atsiradimo priežastis | |
Incidento trukmė |