Det europeiske banktilsynsmyndigheten (EBA) har utarbeidet retningslinjer om IKT-sikkerhet og -risiko og publiserte "Guidelines on ICT and security risk management" 28. november 2019. Retningslinjene er utarbeidet med bakgrunn i kravene i det reviderte betalingstjenestedirektivets "Guidelines on security measures for operational and security risks of payment services". Retningslinjene gjelder fra 30. juni 2020.
Retningslinjene retter seg mot banker, betalingsforetak og e-pengeforetak, og inneholder blant annet detaljerte krav for hvordan foretak skal sikre seg mot IKT-sikkerhetsrisikoen de er eksponert for. Norge har siden 2003 hatt IKT-forskriften som regulerer de områder som retningslinjene omfatter.
Det er Finanstilsynets vurdering at forskriften er dekkende for de områdene foretakene skal vurdere risiko for og at retningslinjene vil bli en nyttig utdyping av IKT-forskriftens bestemmelser. Et av hovedmålene med retningslinjene er å gi foretakene en bedre forståelse for tilsynsmyndighetenes forventninger for hvordan IKT-sikkerhetsrisiko skal behandles.
Finanstilsynet har bekreftet at retningslinjene vil bli fulgt i Norge.
Finanstilsynet vil oppdatere sin tilsynspraksis og krav til behandling av IKT-sikkerhetsrisiko i tråd med de nye retningslinjene.
Mer informasjon: