Rapportering om operasjonell risiko og sikkerhetsrisiko knyttet til foretakets betalingstjenester og foretakets vurdering av om gjennomførte risikoreduserende tiltak er tilstrekkelige.
1. april 2019 trådte ny forskrift om systemer for betalingstjenester i kraft. Den nye forskriften erstatter den gamle forskriften om systemer for betalingstjenester av 17. desember 2015.
Den nye forskriften gjelder for betalingstjenestetilbydere, herunder banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak, opplysningsfullmektiger og filialer av slike foretak med hovedsete i annen EØS-stat. Betalingsforetak med begrenset tillatelse, jf. finansforetaksloven § 2-10, fjerde ledd, er særskilt unntatt fra forskriftens virkeområde.
Den gamle forskriften om systemer for betalingstjenester, påla foretak som tilbyr elektroniske betalingstjenester å gjennomføre risiko- og sårbarhetsanalyser knyttet til betalingstjenestene. Foretakets risiko- og sårbarhetsvurdering skulle legges til grunn for å avklare behov for sikkerhetstiltak.
Den nye forskriften om systemer for betalingstjenester har en lignende bestemmelse i § 2, tredje ledd. Betalingstjenestetilbyderne skal årlig rapportere følgende til Finanstilsynet:
- En samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester.
- En vurdering av om tilbyderens tiltak er tilstrekkelige.
Ordlydsendringen er gjort på bakgrunn av PSD 2-direktivets bestemmelse i artikkel 95 nr. 2.
Når foretaket vurderer operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester, vil IKT-forskriften § 3 kunne være relevant. Foretak som er omfattet av IKT-forskriften skal analysere risikoer forbundet med foretakets IKT-virksomhet og IKT-systemer. Risikoanalysene skal gjennomføres minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten. Det skal gjennomføres tiltak for å redusere de risikoene som blir avdekket gjennom risikoanalysene, slik at risikoene forbundet med foretakets betalingstjenester styres innenfor akseptable grenser.
Rapporteringsfrist og retningslinjer
Finanstilsynet vil publisere krav til innrapportering av risikovurderinger knyttet til foretakets betalingstjenester, sammen med retningslinjer for innrapportering 2. april 2020.
For at virksomhetene skal få tilstrekkelig med tid til å utføre risikovurderingene iht. Finanstilsynets retningslinjer, er fristen for første innrapportering av risikovurderinger satt til 30. juni 2020.
EBA publiserte 12. januar 2018 retningslinjer om sikkerhetstiltak for operasjonell risiko ved betalingstjenester under PSD 2 - EBA/GL/2017/17. Det har i 2018 og 2019 vært arbeidet med nye retningslinjer vedrørende håndtering av risiko knyttet til IKT og sikkerhet - EBA/GL/2019/04. Denne skal blant annet innlemme EBA/GL/2017/17. I november 2019 publiserte EBA Final Report av EBA/GL/2019/04. Disse retningslinjene vil tre i kraft sommeren 2020 og erstatter da retningslinjene i EBA/GL/2017/17.
Finanstilsynet anbefaler betalingstjenestetilbyderne å gjøre seg kjent med og holde seg oppdatert om EBAs retningslinjer, da de vil være retningsgivende for foretakenes praktisering av bestemmelsen i den nye forskriften om systemer for betalingstjenester §2. tredje ledd.
Mer informasjon: