Die Zentralbank stellte klar, dass sich an den bestehenden Anweisungen zur Sicherheit und Risikominderung für Kartenzahlungen, Prepaid-Zahlungsinstrumente (PPIs) und Mobile Banking nichts ändert. Dies gilt auch weiterhin.
Was die neuen Richtlinien sagen
„Um Cyber- und Technologierisiken, die sich aus Verbindungen von PSOs mit nicht regulierten Unternehmen ergeben, die Teil ihres digitalen Zahlungsökosystems sind, effektiv zu identifizieren, zu überwachen, zu kontrollieren und zu verwalten, Gemeinnützige Organisationen müssen „Gewährleisten Sie die Einhaltung dieser Anweisungen auch durch solche nicht regulierten Unternehmen, vorbehaltlich einer gegenseitigen Vereinbarung“, heißt es in dem Richtlinienentwurf.
„Der Vorstand (Board) des PSO ist dafür verantwortlich, eine angemessene Aufsicht über Informationssicherheitsrisiken, einschließlich Cyberrisiken und Cyberresilienz, sicherzustellen“, heißt es im Entwurf.
Der Entwurf verlangt von PSOs, ein genehmigtes Dokument zu entwickeln Cyber-Krisenmanagementplan (CCMP), um Cyberbedrohungen und -angriffe zu erkennen, einzudämmen, darauf zu reagieren und sich davon zu erholen. Darüber hinaus werden PSOs dazu verpflichtet, Aufzeichnungen über Schlüsselrollen, Informationsbestände, kritische Funktionen, Prozesse, Drittanbieter von Dienstleistungen und deren Verbindungen zu führen und deren Nutzungsniveau, Kritikalität und Geschäftswert zu dokumentieren. Als Orientierungshilfe könnten relevante Richtlinien des CERT-In oder des National Critical Information Infrastructure Protection Center (NCIIPC) oder des IDRBT und anderer Behörden herangezogen werden, hieß es weiter.
Der Entwurf umfasst auch Netzwerksicherheit, Anwendungssicherheitslebenszyklus (ASLC), Sicherheitstests, Anbieterrisikomanagement, Geschäftskontinuitätspläne und andere wichtige Themen.