Rapportering om operasjonell risiko og sikkerhetsrisiko knyttet til foretakets betalingstjenester og foretakets vurdering av om gjennomførte risikoreduserende tiltak er tilstrekkelige.
1. april 2019 trådte ny forskrift om systemer for betalingstjenester i kraft. Den nye forskriften erstatter den gamle forskriften om systemer for betalingstjenester av 17. desember 2015.
Den nye forskriften gjelder for betalingstjenestetilbydere, herunder banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak, opplysningsfullmektiger og filialer av slike foretak med hovedsete i annen EØS-stat. Betalingsforetak med begrenset tillatelse, jf. finansforetaksloven § 2-10, fjerde ledd, er særskilt unntatt fra forskriftens virkeområde.
Den gamle forskriften om systemer for betalingstjenester, påla foretak som tilbyr elektroniske betalingstjenester å gjennomføre risiko- og sårbarhetsanalyser knyttet til betalingstjenestene. Foretakets risiko- og sårbarhetsvurdering skulle legges til grunn for å avklare behov for sikkerhetstiltak.
Den nye forskriften om systemer for betalingstjenester har en lignende bestemmelse i § 2, tredje ledd. Betalingstjenestetilbyderne skal årlig rapportere følgende til Finanstilsynet:
- En samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester.
- En vurdering av om tilbyderens tiltak er tilstrekkelige.
Ordlydsendringen er gjort på bakgrunn av PSD 2-direktivets bestemmelse i artikkel 95 nr. 2.
Når foretaket vurderer operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester, vil IKT-forskriften § 3 kunne være relevant. Foretak som er omfattet av IKT-forskriften skal analysere risikoer forbundet med foretakets IKT-virksomhet og IKT-systemer. Risikoanalysene skal gjennomføres minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten. Det skal gjennomføres tiltak for å redusere de risikoene som blir avdekket gjennom risikoanalysene, slik at risikoene forbundet med foretakets betalingstjenester styres innenfor akseptable grenser.
Rapporteringsfrist og retningslinjer
Frist for første innrapportering av risikovurderinger knyttet til foretakets betalingstjenester og evaluering av iverksatte risikoreduserendtiltak, blir mest sannsynlig 15. februar 2020.
Finanstilsynet vil komme med mer informasjon om rapporteringsplikten i henhold til den nye forskriften av 15. februar 2019 om systemer for betalingstjenester, slik at betalingstjenestetilbyderne får tid til å forberede rapporteringen i tråd med Finanstilsynets anbefalinger i rimelig tid før rapporteringsfristen.
EBA publiserte 12. januar 2018 retningslinjer om sikkerhetstiltak for operasjonell risiko ved betalingstjenester under PSD 2:
EBA utarbeider imidlertid nye retningslinjer om håndtering av risiko knyttet til IKT og sikkerhet. Utkast til de nye retningslinjene ble publisert 13. desember 2018. Utkastet integrerer retningslinjene i EBA/GL/2017/17 fullt ut.
Høringsrunden for de nye retningslinjene løp frem til 19. mars 2019. Når EBAs nye retningslinjer om håndtering av risiko knyttet til IKT og sikkerhet trer i kraft, oppheves EBAs retningslinjer om sikkerhetstiltak for operasjonell risiko og sikkerhetsrisiko ved betalingstjenester under PSD 2 (EBA/GL/2017/17).
Finanstilsynet anbefaler betalingstjenestetilbyderne å gjøre seg kjent med og holde seg oppdatert om EBAs retningslinjer. De vil være retningsgivende for foretakenes praktisering av bestemmelsen i den nye forskriften om systemer for betalingstjenester § 2, tredje ledd.