Gå til innhold
20.05.2009. Sist oppdatert: 23.04.2014 Skriv ut

IT-tilsyn

Hendelsesrapportering

Rapportering av alvorlige og kritiske IKT-hendelser er fra 1. desember 2009 forskriftsregulert gjennom en endring av Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Det er lagt til et nytt avsnitt i § 9 Avviks- og endringshåndtering.

Kravet om hendelsesrapportering omfatter de samme typer finansforetak som IKT-forskiften forøvrig med unntak av eiendomsmeglerforetak, inkassoforetak og pensjonskasser.

Rundskriv 15/2009 av 25.november 2009 beskriver nærmere opplegget for hendelsesrapporteringen.

Ønsker foretaket å sikre utveksling av konfidensiell informasjon, se veiledning i Finanstilsynets rutine for kryptert e-post.

I prøveperioden deltok også filialer av utenlandske banker i Norge i rapporteringen. Disse er ikke innenfor IKT-forskriftens virkeområde, men Finanstilsynet vil anmode om at filialer av utenlandske banker fortsatt deltar i rapporteringen. Foretak som ikke deltok i prøveordningen og som ønsker nærmere informasjon om rapporteringen, kan melde fra om dette, eventuelt avtale et møte med Finanstilsynet

Basert på rapporterte hendelser lager IT-tilsynet statistikker (pdf) og analyserer årsaksforhold. Statistikken er input til den årlig ROS-analysen

Hjemmelsgrunnlag

Seksjon for IT-tilsyn (IT-tilsynet) har tilsynsansvar når det gjelder Finanstilsynslovens bestemmelser som gjelder for finansforetakenes bruk av IKT. Bestemmelsene er konkretisert i Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Denne finnes også i en engelsk utgave.

IT-tilsynet har også tilsynsansvar når det gjelder finansforetakenes etterlevelse av lov om betalingssystemer som i kapittel 3 blant annet stiller krav om  sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester.

Meldeplikt

Meldeplikten for systemer for betalingstjenester er et viktig virkemiddel for oppfølging av betalingssystemene. Meldeplikten er utformet som en egenevalueringsmelding med 19 kontrollspørsmål.

Veiledninger

IT-tilsynet utarbeider veiledninger til enkelte av bestemmelsene i IKT-forskriften.

IT-tilsynets arbeidsform - egenevaluering med kontrollspørsmål

For å vurdere om finansforetakene etterlever kravene i IKT-forskriften, benytter IT-tilsynet såkalt egenevaluering.  Spørsmålene er basert på Cobit, ITIL, ISO og andre kilder, tilpasset av Finanstilsynet for det norske finansmarkedet.

Risiko- og sårbarhetsanalyse (ROS)

Finanstilsynet utarbeider hvert år en  risiko og sårbarhetsanalyse av finansforetakenes bruk av IKT, som også finnes i en engelsk utgave.

Beredskapsutvalget for finansiell infrastruktur (BFI)

Finanstlsynet er ansvarlig leder og sekretariat for BFI.
Mer informasjon om BFI.

Kontaktinformasjon

Seksjonssjef Frank Robert Berg 22939847
Tilsynsrådgiver Stig Ulstein 22939966
Tilsynsrådgiver Åshild Johnsen 22939702
Seniorrådgiver Anne Karen Seip 22939846 
Tilsynsrådgiver  Atle Dingsør 22939951
Tilsynsrådgiver  Sissel Kravdal Gjessing 22939855
Spesialrådgiver Roar Tørlen 22939923
Spesialrådgiver  Olav Johannessen 22929960
Spesialrådgiver Arild Tømmerås 22929854

RELATERT INNHOLD

Aktuelt

Risk and the Android Heartbleed vulnerability (23.4.2014)

Mobil betaling (22.4.2014)

Facebook is about to get into the e-money game (22.4.2014)

Svakheter i OpenSSL (10.4.2014)

Heretter må banken også betale dine rettsutgifter (26.3.2014)

Bankene ble overrasket (26.3.2014)

Nets selges (24.3.2014)

Energy firm cyber defence is too week, insurers say (18.3.2014)

mCash (17.3.2014)

Nasjonalt ID-kort i 2016 (3.3.2014)

20 sikkerhetskontroller utviklet av SANS (20.2.2014)

Falske SSL sertifikater (18.2.2104)

Hull i IE10 (16.2.2014)

Analyser

Cybersecurity strategy of the European Union (3.3.2014)

ECB 3rd report on card fraud (3.3.2014)

Security Protocols and Evidence: Where many payment systems fail (20.2.2014)

CSIS: 20 Critical Security Controls (6.1.2014)

A Framework for Designing Cryptographic Key Management Systems (26.8.2013)

ECB: Virtual Currency Schemes (13.8.2013)

2013 Data breach investigation report by Verizone (12.8.2013)

Celent report: Banks must adopt video banking (12.8.2013)

Hendelser 

Hendelser pr. 31.12.2013

Arkiv

Oversikt over eldre nyheter, analyser og hendelser 

Lenker

Nettvett

Cloud Security Alliance

ENISA

Financial Services - Information Sharing and Analysis Center

Bank for International Settlements 

SANS - 20 critical security controls

EU kommisjonens nettsted innenfor Payment Services 

EU kommisjonens nettsider om personvern

Beskyttelse av kortholderdata (PCI/DSS)

EU CERT

Microsoft Malware Protection Center

NIST