Høring - Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)
Høringer
Publisert: 16. juni 2015
Sist endret: 25. januar 2017
Vedlegg
Vår referanse: 15/5816
Dato: 16.06.2015
Finanstilsynet sender på høring forslag til regler om sikkerhetskrav for systemer for betalingstjenester. Forskriften gis med hjemmel i betalingssystemloven. I tillegg foreslås det at det i IKT-forskriften fastsettes krav om at foretakenes styrer skal behandle avtaler om utkontraktering av IKT-virksomhet og endringer i slike avtaler. Finanstilsynets høringsnotat følger vedlagt.
Nærmere om forslag til system- og sikkerhetskrav
Det foreslås at foretak som tilbyr elektroniske betalingstjenester, skal gjennomføre løpende risiko- og sårbarhetsanalyser. I tillegg foreslås det enkelte minimumskrav til sikkerhet, herunder påloggingsmekanismer, krav til kryptering og betryggende utlevering av identitetskjennetegn. Bestemmelsene antas å være særlig nyttig ved etablering av nye løsninger utenfor de tradisjonelle samarbeidsløsningene. Kravene er i samsvar med prinsippene som ligger til grunn for den omforente europeiske standarden (SecuRe Pay). Basert på SecuRe Pay, har EBA fastsatt retningslinjer for sikkerhet for internett-betalinger, som vil gjort gjeldende fra 1. august 2015.
Kun institusjoner med konsesjon til å drive betalingstjenester kan drive systemer for betalingstjenester. Forskriftsforslaget retter seg derfor til banker og andre kredittinstitusjoner, betalingsforetak, og e-pengeforetak mv. Dette kan være foretak med norsk konsesjon, eller foretak som driver virksomhet her i riket basert på tilsvarende tillatelse i annen EØS-stat i samsvar med EU-retten. Finanstilsynet legger til grunn at kravene som foreslås her vil omfatte de nevnte norske foretak samt foretak som driver virksomhet i Norge som filial i samsvar med "general good- læren".
Krav om styrebehandling ved utkontraktering
IKT-systemer er blitt en sentral og vesentlig del av særlig bankenes virksomhet, men også generelt for andre institusjoner under tilsyn. Tilsynsvirksomheten har vist at IT-prosjekter, som etter Finanstilsynets syn har vesentlig betydning for institusjonens virksomhet og risiko, er gjennomført uten medvirkning fra institusjonenes styre eller øverste ledelse. Finanstilsynet foreslår derfor at avtaler om utkontraktering av IKT-virksomhet, eller endring av denne, skal behandles av styret. Det foreslås at styret skal forelegges planer for utkontrakteringen med risikovurdering, og en beskrivelse av hvordan foretakets ansvar for den utkontrakterte virksomheten skal følges opp. Styrets behandling skal sikre at beslutninger om utkontraktering av viktig virksomhet er forankret i foretakets øverste ledelse. Finanstilsynet foreslår for øvrig at også pensjonskasser og inkassoselskaper skal omfattes av IKT-forskriftens regler om hendelsesrapportering. Disse foretakene er omfattet av IKT-forskriften, men har vært unntatt fra kravet til hendelsesrapportering. Unntaket har vært historisk begrunnet. Ut fra den virksomhet disse foretakene driver i dag, mener tilsynet at det er viktig at alvorlige IKT-hendelser også for disse, rapporteres til Finanstilsynet. Samtidig foreslås enkelte språklige og redaksjonelle endringer i IKT forskriften, men som ikke medfører materielle endringer i forskriften.
Frist for merknader til forslagene er 1. september 2015.
For Finanstilsynet
Erik Lind Iversen
fung. direktør for bank- og forsikringstilsyn
Ole-Jørgen Karlsen
seksjonssjef
Dokumentet er godkjent elektronisk, og har derfor ikke håndskrevne signaturer.
Kopi: Finansdepartementet v/Finansmarkedsavdelingen
Høringsinstanser:
Den Norske Advokatforening
Den Norske Aktuarforening
Den Norske Revisorforening
Eiendomsmeglerforetakenes Forening
Finans Norge
Finansieringsselskapenes Forening
NHO
Norges Autoriserte Regnskapsføreres Forening
Norges Eiendomsmeglerforbund
Norges Interne Revisorers Forening
Norsk Kapitalforvalterforening
Norske Finansanalytikeres Forening
Norske Forsikringsmegleres Forening
Oslo Børs VPS Holding ASA
Pensjonskasseforeningen
Sparebankforeningen i Norge
Verdipapirfondenes Forening
Verdipapirforetakenes Forbund