Tilsyn med IT og betalingstjenester

Mer informasjon om bestemmelsene:

• Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften)

Finanstilsynet har også ansvar for tilsyn med finansforetakenes etterlevelse av lov om betalingssystemer. Kapittel 3 i loven stiller blant annet krav til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester.

Utkontraktering

Flytting av norske bankers IKT-oppgaver ut av Norge stiller generelt store krav til risikoforståelse og risikohåndtering hos den enkelte bank. Utflytting av slike oppgaver må skje på en forsvarlig måte og slik at kritiske driftsfunksjoner i norske banker ikke blir utsatt for uakseptabel risiko. Dette er særlig viktig ved flytting av oppgaver til områder med høy landrisiko. Finanstilsynets vurdering er at risikoen ved utflytting av driftsfunksjoner knyttet til bankenes reskontro- og betalingssystemer til høyrisikoland er for høy til at det kan aksepteres. 

Hendelsesrapportering

Rapportering av alvorlige og kritiske IKT-hendelser er fra 1. desember 2009 forskriftsregulert gjennom en endring av Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). Det er lagt til et nytt avsnitt i § 9 Avviks- og endringshåndtering.

• Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT)

Kravet om hendelsesrapportering omfatter de samme typer finansforetak som IKT-forskiften forøvrig med unntak av eiendomsmeglerforetak.

I prøveperioden deltok også filialer av utenlandske banker i Norge i rapporteringen. Disse er ikke innenfor IKT-forskriftens virkeområde, men Finanstilsynet vil anmode om at filialer av utenlandske banker fortsatt deltar i rapporteringen. Foretak som ikke deltok i prøveordningen og som ønsker nærmere informasjon om rapporteringen, kan melde fra om dette, eventuelt avtale et møte med Finanstilsynet. 

Finanstilsynets rundskriv 15/2009 beskriver nærmere opplegget for hendelsesrapporteringen:

• Rundskriv 15/2009: Rapportering av IKT-hendelser til Kredittilsynet

Hendelser skal rapporteres til: hendelse@finanstilsynet.no

Meldeplikt

Meldeplikten for systemer for betalingstjenester er et viktig virkemiddel for oppfølging av betalingssystemene. Meldeplikten er utformet som en egenevalueringsmelding med 19 kontrollspørsmål.

• Rundskriv 17/2004: System for betalingstenester - meldeplikt til Kredittilsynet

Veiledninger til IKT-forskriften

IT-tilsynet har utarbeidet veiledninger for etterlevelse av enkelte av IKT-forskriftens bestemmelser.

• Veiledning til IKT-forskriftens § 5 "Sikkerhet" (pdf)
• Veiledning for gjennomføring av risiko- og sårbarhetsanalyser (pdf)
• Veiledning i etterlevelse av IKT-forskriften for mindre sparebanker (pdf)
• Veiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak (pdf)
• Egenevalueringsskjema for foretakets IT-virksomhet tilpasset eiendomsmeglingforetak(pdf)

Risiko og sårbarhetsanalyse (ROS)

Basert på rapporterte hendelser lager IT-tilsynet statistikker og analyserer årsaksforhold. Statistikken er input til den årlige ROS-analysen. 

• Risiko- og sårbarhetsanalyse