Hendelsesrapportering
Rapportering av alvorlige og kritiske IKT-hendelser blir fra 1. desember 2009 forskriftsregulert gjennom en endring av Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Det er lagt til et nytt avsnitt i § 9 Avviks- og endringshåndtering.
Kravet om hendelsesrapportering omfatter de samme typer finansforetak som IKT-forskiften forøvrig med unntak av eiendomsmeglerforetak, inkassoforetak og pensjonskasser.
Rundskriv 15/2009 15/2009 av 25.november 2009 beskriver nærmere opplegget for hendelsesrapporteringen.
Ønsker foretaket å sikre utveksling av konfidensiell informasjon, se veiledning i Finanstilsynets rutine for kryptert e-post.
I prøveperioden deltok også filialer av utenlandske banker i Norge i rapporteringen. Disse er ikke innenfor IKT-forskriftens virkeområde, men Finanstilsynet vil anmode om at filialer av utenlandske banker fortsatt deltar i rapporteringen. Det vil bli sendt ut egen forespørsel og informasjon om rapporteringen til filialene.
Foretak som ikke deltok i prøveordningen og som ønsker nærmere informasjon om rapporteringen, kan melde fra ønske om dette, eventuelt avtale et møte med Finanstilsynet.
Hjemmelsgrunnlag
Seksjon for IT-tilsyn (IT-tilsynet) har tilsynsansvar når det gjelder Finanstilsynslovens bestemmelser som gjelder for finansforetakenes bruk av IKT. Bestemmelsene er konkretisert i Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Denne finnes også i en engelsk utgave.
IT-tilsynet har også tilsynsansvar når det gjelder finansforetakenes etterlevelse av lov om betalingssystemer som i kapittel 3 blant annet stiller krav om sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester.
Meldeplikt
Meldeplikten for systemer for betalingstjenester er et viktig virkemiddel for oppfølging av betalingssystemene. Meldeplikten er utformet som en egenevalueringsmelding med 19 kontrollspørsmål.
Veiledninger
IT-tilsynet utarbeider veiledninger til enkelte av bestemmelsene i IKT-forskriften.
IT-tilsynets arbeidsform - egenevaluering med kontrollspørsmål
For å vurdere om finansforetakene etterlever kravene i IKT-forskriften, benytter IT-tilsynet såkalt egenevaluering. Spørsmålene er basert på Cobit, ITIL, ISO og andre kilder, tilpasset av Finanstilsynet for det norske finansmarkedet.
Risiko- og sårbarhetsanalyse (ROS)
Finanstilsynet utarbeider hvert år en risiko og sårbarhetsanalyse av finansforetakenes bruk av IKT, som også finnes i en engelsk utgave.
Hendelsesrapportering
I følge rundskriv 31/2007, Rapportering av IKT-hendingar til Kredittilsynet, skal finansforetak rapportere hendelser til Finanstilsynet. Baserte på rapporterte hendelser lager IT-tilsynet statistikk som viser hendelser fordelt på virksomhetsområde. For hendelser relatert til internet, rapporteres også hovedårsaken til hendelsen. Finansforetakene kan benytte denne i sin risiko- og sårbarhetsanalyse.
IT-tilsynet lager statistikker (pdf) og analyserer årsaksforhold. Statistikken er input til den årlig ROS-analysen.
