Høringsinstansene jf. vedlagte liste
Saksbehandler: Frank Robert Berg
Dir.linje: 22 93 98 47
Vår ref.: 2002/8627
Arkivnr.: 650.3
Deres ref.:
Dato: 10.10.2002
Utviklingen innen informasjons- og kommunikasjonsteknologi (IKT) innenfor Kredittilsynets tilsynsområder har gjennomgått store endringer. Økt bruk av teknologi og nye/endrede samarbeidsformer har gitt mer komplekse løsninger og økt den operasjonelle risiko. IKT har etter hvert blitt en forutsetning for å drive effektiv virksomhet, og utviklingen setter store krav til tekniske løsninger, organisering og operasjon.
Nåværende IT-forskrift, av 16.12.1992 nr. 1157 ble satt i kraft 1. januar 1993, og den er ikke vesentlig endret etter dette. Utviklingen i bruk av IKT innenfor Kredittilsynets tilsynsområder har gjennom det siste tiåret endret seg slik at Kredittilsynet har sett det nødvendig å foreta en større oppgradering av forskriften.
IKT-forskriften er et viktig verktøy for å sikre standardkrav til foretakenes IKT-virksomhet. Likeledes gir dette et godt grunnlag for foretakenes eget arbeid med å sikre IKT-virksomheten. Forskriften benyttes ofte i foretakets eget arbeid med IKT, og som ledd i sikring av IKT-aktivitetene. Det er derfor viktig at IKT-forskriften er oppdatert og samsvarer med bruk av teknologiske løsninger.
Vedlagt følger utkast til ny forskrift og et høringsnotat som viser Kredittilsynets begrunnelser for endring av dagens forskrift.
Kredittilsynet ber om Deres eventuelle høringsuttalelse innen 20. januar 2003.
Kort sammendrag av Kredittilsynets vurderinger
Det er ingen tvil om at kvaliteten på styringen av IKT-virksomheten er svært viktig for foretakenes funksjonsmåte og operasjonelle risiko. IKT-forskriften spiller en viktig rolle som del av myndighetenes kontroll med å påse at foretakene i finansnæringen benytter informasjons- og kommunikasjonsteknologien på en måte som gir en stabil og forutsigbar situasjon. Kontroll av den operasjonelle risiko krever mer oppmerksomhet enn før, og øker i betydning, noe som krever høyere prioritering. Dette er bakgrunnen for Kredittilsynets vurdering av at dagens IT-forskrift bør tilpasses det endrede risikobildet i finansnæringen. Et annet forhold er det internasjonale arbeidet med nytt risikobasert regelverk (Basel II) og det sannsynlige utfallet med større krav til foretakenes styring av operasjonell risiko.
Forslaget til ny IKT-forskrift introduserer noen viktige nye elementer:
Den nye IKT-forskriften skal nå også gjelde for verdipapirforetak, fondsforvaltningsforetak, inkassoforetak, eiendomsmeglerforetak, oppgjørssentraler, verdipapirregistre, systemer for betalingstjenester, samt for e-pengeforetak når lov om e-pengeforetak trer i kraft. Nåværende IT-forskrift gjelder for norske forretningsbanker, sparebanker, livs-/ skadeforsikringsselskaper, Bankenes BetalingsSentral, Verdipapirsentralen, oppgjørssentral iht. verdipapirhandelloven kap. 6 og børser og autoriserte markedsplasser iht. børsloven § 3-4 første ledd annet punktum.
Forskriften legger opp til at den skal gjelde for alle IKT-systemer som er vesentlige for foretakets virksomhet. Nåværende IT-forskrift er begrenset til IT-systemer for rapportering i samsvar med gjeldende lover og forskrifter, samt systemer for øvrig som behandler økonomisk informasjon av viktighet for styring og kontroll. Dette gir i dag en vanskelig avgrensning, og er i praksis lite tjenlig ut fra hvordan systemene i dag er integrert i hverandre.
Forslaget søker å gi en struktur som er mer i samsvar med endringene som har skjedd mht. bruk av informasjonsteknologi, og den skal gi en ytterligere konkretisering på enkeltområder. Den er også mer prosessorientert og dermed i tråd med internasjonale standarder på området.
Med hilsen
Bjørn Skogstad Aamo (e.f.)
Anne Merethe Bellamy
Kopi: Finansdepartementet
Vedlegg:
- Liste over høringsinstanser (doc)
- Høringsnotat (doc)
- Utkast til ny Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) (doc)
