Finanstilsynet har ansvar for tilsyn med finansforetakenes bruk av IT og betalingstjenester.
Mer informasjon om bestemmelsene:
Finanstilsynet har også ansvar for tilsyn med finansforetakenes etterlevelse av lov om betalingssystemer. Kapittel 3 i loven stiller blant annet krav til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester.
Sikkerhet i internettbetalinger
Det europeiske tilsynsorganet EBA (European Banking Authority) har utgitt retningslinjer for sikkerhet når det gjelder internettbetalinger. Finanstilsynet har sluttet seg til reglene og skal følge opp at foretak under tilsyn etterlever disse.
Utkontraktering
Finanstilsynet har utarbeidet et rundskriv som angir tilsynets vurdering av utkontraktering av bankenes sentrale IKT-funksjoner til høyrisikoområder og som har betydning for å opprettholde bankdriften.
Flytting av norske bankers IKT-oppgaver ut av Norge stiller generelt store krav til risikoforståelse og risikohåndtering hos den enkelte bank. Utflytting av slike oppgaver må skje på en forsvarlig måte og slik at kritiske driftsfunksjoner i norske banker ikke blir utsatt for uakseptabel risiko. Dette er særlig viktig ved flytting av oppgaver til områder med høy landrisiko. Finanstilsynets vurdering er at risikoen ved utflytting av driftsfunksjoner knyttet til bankenes reskontro- og betalingssystemer til høyrisikoland er for høy til at det kan aksepteres.
Hendelsesrapportering
Rapportering av alvorlige og kritiske IKT-hendelser er fra 1. desember 2009 forskriftsregulert gjennom en endring av Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Det er lagt til et nytt avsnitt i § 9 Avviks- og endringshåndtering.
Kravet om hendelsesrapportering omfatter de samme typer finansforetak som IKT-forskiften forøvrig med unntak av eiendomsmeglerforetak.
I prøveperioden deltok også filialer av utenlandske banker i Norge i rapporteringen. Disse er ikke innenfor IKT-forskriftens virkeområde, men Finanstilsynet vil anmode om at filialer av utenlandske banker fortsatt deltar i rapporteringen. Foretak som ikke deltok i prøveordningen og som ønsker nærmere informasjon om rapporteringen, kan melde fra om dette, eventuelt avtale et møte med Finanstilsynet.
Finanstilsynets rundskriv 15/2009 beskriver nærmere opplegget for hendelsesrapporteringen:
Hendelser skal rapporteres til: hendelse@finanstilsynet.no
Kryptert e-post i hendelsesrapportering
Alle foretak har nå mulighet til å utveksle kryptert e-post med Finanstilsynet. Det er ikke nødvendig med installasjon av programvare hverken hos avsender eller mottaker. Ta kontakt med Finanstilsynet første gangen foretaket vil sende kryptert e-post. Finanstilsynet vil da sende en kryptert e-post til foretaket. Ved å svare på denne, vil e-post fra foretaket til Finanstilsynet bli kryptert. Mottakeren av en kryptert e-post fra Finanstilsynet må første gang registrere seg med brukernavn og passord.
Meldeplikt
Meldeplikten for systemer for betalingstjenester er et viktig virkemiddel for oppfølging av betalingssystemene. Meldeplikten er utformet som en egenevalueringsmelding med 19 kontrollspørsmål.
Veiledninger til IKT-forskriften
IT-tilsynet har utarbeidet veiledninger for etterlevelse av enkelte av IKT-forskriftens bestemmelser.
- Veiledning til IKT-forskriftens § 5 "Sikkerhet" (pdf)
- Veiledning for gjennomføring av risiko- og sårbarhetsanalyser (pdf)
- Veiledning i etterlevelse av IKT-forskriften for mindre sparebanker (pdf)
- Veiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak (pdf)
- Egenevalueringsskjema for foretakets IT-virksomhet tilpasset eiendomsformidlingsforetak (pdf)
Risiko og sårbarhetsanalyse (ROS)
Basert på rapporterte hendelser lager IT-tilsynet statistikker og analyserer årsaksforhold. Statistikken er input til den årlige ROS-analysen.