Text size:

Description and continuity requirements of payment services and cash circulation

Issuer:Governor of Eesti Pank
Type:regulation
In force from:08.03.2019
In force until: In force
Translation published:24.04.2019

This decree is adopted on the basis of subsection 37 (2) of the Emergency Act and subsection 3 (3) of the Credit Institutions Act.

§ 1.  Scope of the decree

 (1) This decree defines payment services and cash circulation as vital services (hereinafter collectively referred to as vital services), establishes requirements for the continuity of vital services and lays down the list of vital service providers.

 (2) The decree also stipulates requirements for the availability level of vital services and service provision readiness, as well as measures for the prevention of interruptions to vital services. It also establishes the procedure for the restoration of vital services and circumstances amounting to an emergency caused by an extensive or severe interruption to a vital service, as well as the procedure for reporting an emergency or a threat of emergency.

§ 2.  Providers of vital services

 (1) Providers of vital services (hereinafter service provider) include:
 1) AS SEB Pank;
 2) Swedbank AS;
 3) Luminor Bank AS;
 4) AS LHV Pank.
[RT I, 05.03.2019, 17 - entry into force 08.03.2019]

 (2) Eesti Pank shall revise the list of service providers at least once a year and update it as necessary.

§ 3.  Payment services

  Vital payment services include intra-bank payments by the service provider, payments between service providers and card payment services provided by the service provider.

§ 4.  Cash circulation

  Cash circulation as a vital service includes services which enable clients to make cash payments in payment accounts and withdraw cash from payment accounts.

§ 5.  Requirements for the prevention of interruptions to vital services

 (1) For the purposes of preparing the continuity risk assessment and plan referred to in subsection 39 (1) of the Emergency Act and in planning various measures, the service provider must consider at least the following threats:
 1) cyber attacks;
 2) failures in information systems and equipment;
 3) acts of terrorism;
 4) fires;
 5) long-term power outages;
 6) disruptions to phone, mobile phone and data communication services;
 7) riots;
 8) epidemics;
 9) strikes;
 10) floods.

 (2) For ensuring the continuity of the information systems and equipment required for performing the critical activities of vital services, the service provider shall take at least the following measures:
 1) ensure backup power supply by alternative cable routes;
 2) ensure backup data communications by alternative cable routes and a backup provider of data communication services;
 3) the systems and communications referred to in clauses 1) and 2) of this subsection switch automatically to backup;
 4) there is an autonomous power supply system, which starts automatically and ensures independent power supply for at least 24 hours.

§ 6.  Requirements for the availability level of vital services

 (1) In case of an emergency, the service provider shall ensure that:
 1) at least 10% of cash distribution points remain operative;
 2) payments between the accounts opened with the service provider and those with other service providers are settled at least once per settlement day;
 3) the service provider’s information systems or equipment, or any backup systems or equipment remain operative; cooperation with third parties helps to ensure card transactions take place;
 4) vital services are provided to an extent corresponding to 70% of the average number of the transactions relating to the relevant service under normal circumstances.
[RT I, 19.07.2018, 2 - entry into force 01.07.2020]

 (2) In determining the location of the cash distribution points referred to in clause (1) 1) of this section, the service provider shall consider the geographical coverage of the cash points, the population density in a particular region and the options normally available for taking out cash.

 (3) The service provider shall seek the approval of Eesti Pank as regards the location of cash distribution points referred to in clause (1) 1) of this section.

§ 7.  Permissible duration of interruption to vital services

 (1) A vital service is interrupted if due to failures in the delivery of the service, the number of service transactions falls below 20% of the average number of transactions for a comparable preceding period.

 (2) The maximum permissible duration of an interruption to a vital service shall be 12 hours.

 (3) The service provider shall calculate the ratio showing the extent of the interruption to the vital service, referred to in the regulation established under subsection 39 (5) of the Emergency Act, as a ratio of the interrupted or rejected client queries to the total number of client queries.

§ 8.  Requirements for outsourcing services in support of the principal activities

 (1) The outsourcing of services in support of the principal activities of the service provider (hereinafter outsourcing a service) refers to a situation where a critical activity as defined in the regulation established under subsection 39 (5) of the Emergency Act is fully or partially performed by an external service provider

 (2) Outsourcing a service shall not exempt the service provider from the obligations and responsibilities stipulated by the Emergency Act or any legal act based on the Emergency Act.

 (3) In case of outsourcing any of the services referred to in clauses 36 (1) 1), 3), 5), 6) and 7) of the Emergency Act, the provision of a vital service may not depend on companies who are not vital service providers.

 (4) In case of outsourcing a critical activity, as defined in the regulation established under subsection 39 (5) of the Emergency Act, with a level of criticality 16 or more, the provider of such service must comply with the security measures prescribed by section 7 of the Cybersecurity Act.

§ 9.  Restoration of vital services and restoration priorities

 (1) In case of an interruption to a vital service or a risk thereof, the service provider shall take the measures for resolving the situation, as described in the recovery plan of the continuity plan, ensuring the participation of persons and institutions involved in the restoration and utilisation of the vital service.

 (2) If possible, the service provider shall adhere to the following order of priorities in the restoration of a vital service:
 1) vital services are first restored in regions with higher population density;
 2) as a matter of priority, vital services are made available to other providers of vital services.

§ 10.  Emergencies caused by an extensive or severe disturbance or interruption to vital services

 (1) Emergencies caused by an extensive or severe disturbance or interruption to payment services include large-scale interferences affecting the continuity of an interbank settlement system, or the total cessation of the operation of the system.

 (2) Emergencies caused by an extensive or severe disturbance or interruption to cash circulation include large-scale interferences affecting the continuity of cash-in-transit, or the total cessation of cash-in-transit operations.

 (3) Resolving an emergency caused by an extensive or severe disturbance or interruption to a vital service shall be coordinated by Eesti Pank.

§ 11.  Reporting an interruption to vital services

 (1) The service provider shall report any interruption to a vital service lasting for at least one hour, a risk of an interruption, any event significantly interfering with the continuity of the vital service or an impending risk of such an event at the email address [email protected] on the next business day at the latest.

 (2) The notification referred to in subsection (1) of this section must include the following information:
 1) the duration and time of occurrence of the interruption, including the date and time or the interval;
 2) a short description and the known or assumed cause of the incident;
 3) the measures already taken or yet to be taken to restore the service and to mitigate the effects of the interruption;
 4) information about any foreseeable losses incurred by the users of the service;
 5) information about any foreseeable impact on the continuity of the vital services.

 (3) If a situation referred to in subsection (1) of this section has not been resolved within four hours or if the risk of an interruption to a vital service persists, the service provider shall give a preliminary notification with the information described in subsection (2) of this section at the earliest opportunity and a full notification on the following business day at the latest. The preliminary notification shall include at least the information described in clauses (2) 1) and 2) of this section and the estimated duration of the disturbance.

 (4) In case the service provider reports the information described in subsection (3) of this section to Eesti Pank under another legal act, the notification obligation stipulated in this section shall be deemed fulfilled.

 (5) In case the e-mail services are not functioning, the service provider shall notify Eesti Pank of circumstances described in subsection (1) of this section using the contact information provided in emergency response plans.

§ 12.  Repeal of decree

  [Omitted from this text.]

§ 13.  Entry into force

  Subsection 6 (1) of this decree enters into force of 1 July 2020.

Väljaandja:Eesti Panga President
Akti liik:määrus
Teksti liik:terviktekst
Redaktsiooni jõustumise kp:08.03.2019
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge:RT I, 05.03.2019, 21

Määrus kehtestatakse hädaolukorra seaduse § 37 lõike 2 ning krediidiasutuste seaduse § 3 lõike 3 alusel.

§ 1.   Määruse reguleerimisala

  (1) Määrusega kehtestatakse makseteenuse ja sularaharingluse kui elutähtsate teenuste (edaspidi ühiselt elutähtis teenus) kirjeldus ja nende toimepidevuse nõuded ning elutähtsa teenuse osutajate loetelu.

  (2) Määruses sätestatakse nõuded elutähtsa teenuse tasemele ja teenuse osutamise valmisolekule ning meetmed elutähtsa teenuse katkestuse ennetamiseks. Samuti sätestatakse elutähtsa teenuse taastamise korraldus ja tingimused, mille puhul on tegemist elutähtsa teenuse ulatuslikust või raskete tagajärgedega katkestusest põhjustatud hädaolukorraga, ning hädaolukorrast või selle ohust teavitamise korraldus.

§ 2.   Elutähtsa teenuse osutajad

  (1) Elutähtsa teenuse osutajad (edaspidi teenuseosutaja) on:
  1) AS SEB Pank;
  2) Swedbank AS;
  3) Luminor Bank AS;
  4) AS LHV Pank.
[RT I, 05.03.2019, 17 - jõust. 08.03.2019]

  (2) Eesti Pank vaatab teenuseosutajate loetelu üle vähemalt üks kord aastas ning vajaduse korral ajakohastab seda.

§ 3.   Makseteenused

  Elutähtsad makseteenused on teenuseosutaja osutatavad pangasisesed maksed, teenuseosutajate vahelised maksed ja teenuseosutaja osutatavad kaardimaksed.

§ 4.   Sularaharinglus

  Sularaharinglus kui elutähtis teenus on teenuseosutaja osutatav teenus, mida kasutades saavad kliendid maksekontole sularaha sisse maksta ja maksekontolt sularaha välja võtta.

§ 5.   Elutähtsa teenuse katkestuse ennetamise nõuded

  (1) Hädaolukorra seaduse § 39 lõikes 1 nimetatud toimepidevuse riskianalüüsi ja plaani koostamisel ning ennetavate meetmete kavandamisel peab teenuseosutaja arvestama vähemalt järgmiste võimalike ohtudega:
  1) küberrünnak;
  2) infosüsteemide ja seadmete rikked;
  3) terroriakt;
  4) tulekahju;
  5) pikaajaline elektrikatkestus;
  6) telefoniteenuse, mobiiltelefoniteenuse ja andmesideteenuse katkestus;
  7) tänavarahutus;
  8) epideemia;
  9) streik;
  10) üleujutus.

  (2) Teenuseosutaja rakendab elutähtsa teenuse kriitiliste tegevuste toimimiseks vajalike oluliste infosüsteemide ja seadmete toimepidevuse tagamiseks vähemalt järgmiseid meetmeid:
  1) olemas on dubleeritud elektrisisendid eri kaablitrassidest;
  2) andmesideühendus on dubleeritud eri kaablitrassidest ja dubleeritud on ka andmesideteenuse osutaja;
  3) käesoleva lõike punktides 1 ja 2 nimetatud dubleerivate ühenduste ümberlülitamine toimub automaatselt;
  4) olemas on autonoomne elektritoitesüsteem, mis käivitub automaatselt ja tagab sõltumatu elektritoite vähemalt 24 tunniks.

§ 6.   Nõuded elutähtsa teenuse tasemele

  (1) Teenuseosutaja peab hädaolukorras tagama, et:
  1) töötab vähemalt 10% sularaha väljastamise punktidest;
  2) tema enda juures avatud kontode ja teiste teenuseosutajate juures avatud kontode vahel toimivad maksed vähemalt kord arvelduspäeva jooksul;
  3) toimivad tema enda või alternatiivsed infosüsteemid ja seadmed ning kolmandate isikutega tehakse koostööd, et toimiksid kaarditehingud;
  4) hädaolukorras suudab ta osutada elutähtsaid teenuseid mahus, mis vastab 70%-le asjaomase teenuse keskmisest tehingute arvust tavaolukorras.
[RT I, 19.07.2018, 2 - jõust. 01.07.2020]

  (2) Käesoleva paragrahvi lõike 1 punktis 1 nimetatud sularaha väljastamise punktide asukohtade valikul arvestab teenuseosutaja punktide geograafilist hajutatust, piirkonna elanike tihedust ja tavapäraseid sularaha väljavõtmise võimalusi.

  (3) Teenuseosutaja kooskõlastab käesoleva paragrahvi lõike 1 punktis 1 nimetatud sularaha väljastamise punktide asukohad Eesti Pangaga.

§ 7.   Elutähtsa teenuse katkestuse lubatud kestus

  (1) Elutähtsa teenuse katkestus on olukord, kus elutähtsa teenuse osutamise tõrgete tõttu langeb teenuse tehingute arv alla 20% eelneva sarnase perioodi keskmisest tehingute arvust.

  (2) Elutähtsa teenuse katkestuse lubatud kestus on kuni 12 tundi.

  (3) Teenuseosutaja arvutab hädaolukorra seaduse § 39 lõike 5 alusel kehtestatud määruses nimetatud elutähtsa teenuse katkestuse ulatuse suhtarvu katkenud ja tagasilükatud kliendipöördumiste arvu suhtena kliendipöördumiste koguarvu.

§ 8.   Põhitegevust toetavate teenuste sisseostmise nõuded

  (1) Teenuseosutaja põhitegevust toetavate teenuste sisseostmine (edaspidi teenuse sisseostmine) on olukord, kus hädaolukorra seaduse § 39 lõike 5 alusel kehtestatud määruse kohaselt väljaselgitatud kriitilist tegevust või selle osa täidab väline teenuseosutaja.

  (2) Teenuseosutaja ei vabane teenuse sisseostmisel kohustustest ja vastutusest, mis on talle pandud hädaolukorra seadusega ja selle alusel kehtestatud õigusaktidega.

  (3) Hädaolukorra seaduse § 36 lõike 1 punktides 1, 3, 5, 6 ja 7 nimetatud teenuseid sisse ostes ei tohi elutähtsa teenuse osutamine sõltuda ettevõtetest, kes ei ole elutähtsa teenuse osutajad.

  (4) Kui sisse ostetakse hädaolukorra seaduse § 39 lõike 5 alusel kehtestatud määruse järgi kriitiline tegevus, mille kriitilisuse aste on 16 või suurem, peab sisseostetava teenuse osutaja täitma küberturvalisuse seaduse § 7 alusel kehtestatud turvameetmeid.

§ 9.   Elutähtsa teenuse taastamise korraldus ja prioriteedid

  (1) Elutähtsa teenuse katkestuse või katkestuse ohu korral käivitab teenuseosutaja olukorra lahendamiseks toimepidevuse plaani taastekavas kirjeldatud tegevused ning kaasab neisse tegevustesse elutähtsa teenuse taastamise ja kasutamisega seotud asutused ja isikud.

  (2) Kui võimalik, lähtub teenuseosutaja elutähtsa teenuse taastamisel järgmistest eesmärkidest:
  1) elutähtis teenus taastatakse esmalt suurema asustustihedusega piirkondades;
  2) elutähtis teenus tehakse kättesaadavaks esmajärjekorras teistele elutähtsa teenuste osutajatele.

§ 10.   Elutähtsa teenuse ulatuslikust või raskete tagajärgedega häirest või katkestusest põhjustatud hädaolukord

  (1) Makseteenuste ulatuslikust või raskete tagajärgedega katkestusest põhjustatud hädaolukord on pankadevahelise arveldussüsteemi toimepidevuses esinevad mõjuvad ja ulatuslikud häired või pankadevahelise arveldussüsteemi toimimise täielik lakkamine.

  (2) Sularaharingluse ulatuslikust või raskete tagajärgedega katkestusest põhjustatud hädaolukord on sularahaveo mõjuvad ja ulatuslikud häired või sularahavedude täielik lakkamine.

  (3) Elutähtsa teenuse ulatuslikust või raskete tagajärgedega häirest või katkestusest põhjustatud hädaolukorra lahendamist korraldab Eesti Pank.

§ 11.   Elutähtsa teenuse katkestusest teavitamine

  (1) Teenuseosutaja teatab elutähtsa teenuse katkestusest, mis kestab üks tund või kauem, katkestuse ohust, elutähtsa teenuse toimepidevust oluliselt häirivast sündmusest ja sellise sündmuse toimumise vahetust ohust e-postiga aadressile [email protected] hiljemalt järgmise tööpäeva jooksul.

  (2) Käesoleva paragrahvi lõikes 1 nimetatud teavitus peab sisaldama järgmist teavet:
  1) katkestuse kestus ja toimumise aeg, sealhulgas kuupäev ja kellaaeg või ajavahemik;
  2) sündmuse lühikirjeldus ning teadaolev või oletatav põhjus;
  3) teenuse taastamiseks ja teenuse katkestuse mõju vähendamiseks rakendatud ja rakendatavad meetmed;
  4) teadaolevad andmed prognoositava kahju kohta, mida teenuse kasutajad saavad;
  5) teadaolevad andmed prognoositava mõju kohta elutähtsate teenuste toimepidevusele.

  (3) Juhul kui käesoleva paragrahvi lõikes 1 nimetatud olukord ei ole lahendatud nelja tunni jooksul või kui elutähtsa teenuse katkemise oht kestab, edastab teenuseosutaja käesoleva paragrahvi lõikes 2 nimetatud teabe eelteavitusena esimesel võimalusel, aga täies mahus hiljemalt järgmise tööpäeva jooksul. Eelteavituse vormis edastatakse vähemalt käesoleva paragrahvi lõike 2 punktides 1 ja 2 kirjeldatud teave ning häire prognoositav kestus.

  (4) Juhul kui teenuseosutaja edastab käesoleva paragrahvi lõikes 3 kirjeldatud teabe Eesti Pangale mõne muu õigusakti alusel toimuva teavitamise raames, loetakse käesolevas paragrahvis kirjeldatud teavituskohustus täidetuks.

  (5) Juhul kui e-posti teenus ei toimi, teavitab teenuseosutaja Eesti Panka käesoleva paragrahvi lõikes 1 kirjeldatud sündmustest hädaolukorra lahendamise plaanides näidatud kontaktidel.

§ 12.   Määruse kehtetuks tunnistamine

  [Käesolevast tekstist välja jäetud.]

§ 13.   Määruse jõustumine

  Määruse § 6 lõige 1 jõustub 1. juulil 2020.

https://www.riigiteataja.ee/otsingu_soovitused.json