Hendelsesrapportering
Rapportering av alvorlige og kritiske IKT-hendelser er fra 1. desember 2009 forskriftsregulert gjennom en endring av Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Det er lagt til et nytt avsnitt i § 9 Avviks- og endringshåndtering.
Kravet om hendelsesrapportering omfatter de samme typer finansforetak som IKT-forskiften forøvrig med unntak av eiendomsmeglerforetak, inkassoforetak og pensjonskasser.
Rundskriv 15/2009 av 25.november 2009 beskriver nærmere opplegget for hendelsesrapporteringen.
Ønsker foretaket å sikre utveksling av konfidensiell informasjon, se veiledning i Finanstilsynets rutine for kryptert e-post.
I prøveperioden deltok også filialer av utenlandske banker i Norge i rapporteringen. Disse er ikke innenfor IKT-forskriftens virkeområde, men Finanstilsynet vil anmode om at filialer av utenlandske banker fortsatt deltar i rapporteringen. Foretak som ikke deltok i prøveordningen og som ønsker nærmere informasjon om rapporteringen, kan melde fra om dette, eventuelt avtale et møte med Finanstilsynet
Basert på rapporterte hendelser lager IT-tilsynet statistikker (pdf) og analyserer årsaksforhold. Statistikken er input til den årlig ROS-analysen.
Hjemmelsgrunnlag
Seksjon for IT-tilsyn (IT-tilsynet) har tilsynsansvar når det gjelder Finanstilsynslovens bestemmelser som gjelder for finansforetakenes bruk av IKT. Bestemmelsene er konkretisert i Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Denne finnes også i en engelsk utgave.
IT-tilsynet har også tilsynsansvar når det gjelder finansforetakenes etterlevelse av lov om betalingssystemer som i kapittel 3 blant annet stiller krav om sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester.
Meldeplikt
Meldeplikten for systemer for betalingstjenester er et viktig virkemiddel for oppfølging av betalingssystemene. Meldeplikten er utformet som en egenevalueringsmelding med 19 kontrollspørsmål.
Veiledninger
IT-tilsynet utarbeider veiledninger til enkelte av bestemmelsene i IKT-forskriften.
IT-tilsynets arbeidsform - egenevaluering med kontrollspørsmål
For å vurdere om finansforetakene etterlever kravene i IKT-forskriften, benytter IT-tilsynet såkalt egenevaluering. Spørsmålene er basert på Cobit, ITIL, ISO og andre kilder, tilpasset av Finanstilsynet for det norske finansmarkedet.
Risiko- og sårbarhetsanalyse (ROS)
Finanstilsynet utarbeider hvert år en risiko og sårbarhetsanalyse av finansforetakenes bruk av IKT, som også finnes i en engelsk utgave.
Beredskapsutvalget for finansiell infrastruktur (BFI)
Finanstlsynet er ansvarlig leder og sekretariat for BFI.
Mer informasjon om BFI.
