Rapportering om operasjonell risiko og sikkerhetsrisiko knyttet til foretakets betalingstjenester og foretakets vurdering av om gjennomførte risikoreduserende tiltak er tilstrekkelige.
1. april 2019 trådte ny forskrift om systemer for betalingstjenester i kraft. Forskriften gjelder for betalingstjenestetilbydere, herunder banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak, opplysningsfullmektiger og filialer av slike foretak med hovedsete i annen EØS-stat. Betalingsforetak med begrenset tillatelse, jf. finansforetaksloven § 2-10, fjerde ledd, er særskilt unntatt fra forskriftens virkeområde.
Forskriften om systemer for betalingstjenester stiller krav om at betalingstjenestetilbyderne årlig skal rapportere til Finanstilsynet
- en samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester
- en vurdering av om tilbyderens tiltak er tilstrekkelige.
Rapporteringsfrist og retningslinjer
Finanstilsynet utarbeider et eget skjema som skal benyttes for innrapporteringen. Finanstilsynet utarbeider også en oversikt som viser sammenhengen mellom spørsmålene i skjemaet og kontrollmålene i COBIT. Det kan komme mindre justeringer i de endelige versjonene.
Foreløpig skjema for innrapportering og foreløpig oversikt, som viser sammenhengen mellom spørsmålene i skjemaet og kontrollmålene i COBIT:
Frist for første innrapportering av risikovurderinger knyttet til foretakets betalingstjenester var opprinnelig satt til 30. juni 2020. På grunn av utfordringer som betalingstjenestetilbyderne må håndtere i forbindelse med koronaviruset (COVID-19), er fristen utsatt inntil videre. Finanstilsynet kommer tilbake med ny frist for innrapportering.
Kravene til innrapportering er basert på kravene i EBA/GL/2017/17, samt den nyere EBA GL EBA/GL/2019/04 som er forventet å tre i kraft sommeren 2020 og erstatter EBA/GL/2017/17.
Mer informasjon: