PSD 2 – Årlig rapportering av risikovurderinger knyttet til foretakenes betalingstjenester

1. april 2019 trådte ny forskrift om systemer for betalingstjenester i kraft. Forskriften gjelder for betalingstjenestetilbydere, herunder banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak, opplysningsfullmektiger og filialer av slike foretak med hovedsete i annen EØS-stat. Betalingsforetak med begrenset tillatelse, jf. finansforetaksloven § 2-10, fjerde ledd, er særskilt unntatt fra forskriftens virkeområde.

• Forskrift om systemer for betalingstjenester

Forskriften om systemer for betalingstjenester stiller krav om at betalingstjenestetilbyderne årlig skal rapportere til Finanstilsynet

1. en samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester
2. en vurdering av om tilbyderens tiltak er tilstrekkelige.

Rapporteringsfrist og retningslinjer

Finanstilsynet har utarbeidet et eget skjema som skal benyttes for innrapporteringen.

• Risikorapportering (xlsx)
• Risk reporting (xlsx)
• Sammenhengen mellom risikoområdene i rapporteringsskjemaet og kontrollmålene i Cobit (pdf)

Frist for innrapportering er satt til 15. februar 2022.

Vi ber om at regnearket sendes Finanstilsynet via skjema KRT-1060 i Altinn.
Opplys om referansenummer 21/13689 i felt 2.2. Vi ber om at svarene ikke blir sendt som Word eller PDF, fordi etterbehandlingen vår da blir mer tidkrevende og omstendelig.

Kravene til rapportering er basert på kravene i den nyere EBA GL EBA/GL/2019/04, samt EBA/GL/2017/17 som var gjeldende inntil denne ble erstattet av EBA/GL/2019/04 sommeren 2020.

Mer informasjon: 

• Final Report - EBA Guidelines on ICT and security risk management (EBA/GL/2019/04)
• Retningslinjer om sikkerhetstiltak for operasjonell risiko og sikkerhetsrisiko ved betalingstjenester under PSD 2 (EBA/GL/2017/17)