Vedlegg 3: Finanstilsynets oppfølging

Finanstilsynet vil føre tilsyn med foretakenes etterlevelse av kravene til trygge og robuste IKT-systemer og vurdere beredskapen for håndtering av kritiske situasjoner i 2024.  

Finanstilsynets tilsyn med IKT og betalingstjenester – sentrale områder

Tilsynsvirksomheten er risikobasert og Finanstilsynet prioriterer tilsyn med foretak som har størst betydning for finansiell stabilitet og velfungerende markeder. Finanstilsynet vil vurdere IKT-risiko og gjennomgå foretakenes årlige risikovurderinger. Videre vil Finanstilsynet følge opp følgende temaer:

• foretakenes overordnede styring og kontroll med IKT-virksomheten
• kontroll og oppfølging av IKT-tjenesteleverandører og utkontraktert IKT-virksomhet
• beredskap, herunder testing av beredskapsløsninger
• arbeid med IKT-/cybersikkerhetsarbeidet
• foretakenes kontroll med tilganger til systemer
• endringshåndtering
• foretakenes betalingstjenester og
• IKT-løsninger for å avdekke hvitvasking og terrorfinansiering.

Bruk av ny teknologi, større endringer på IKT-området og større endringer i den finansielle infrastrukturen er også aktuelle områder som vil følges opp.

Arbeid med betalingssystemer

Finanstilsynet vil følge opp betalingsløsningenes robusthet, at tilfredsstillende beredskap er etablert for løsningene og at beredskapen i det elektroniske betalingssystemet er forsvarlig. Samarbeidet med Norges Bank knyttet til betalingssystemet og finansiell infrastruktur vil videreføres.

Finanstilsynet vil fortsatt følge opp foretakenes etterlevelse av forskrift om systemer for betalingstjenester[1], herunder:

• kontotilbyderes grensesnitt (API-er) for tredjepartstilbyderes tilgang til konto, jf. uttalelse fra den europeiske banktilsynsmyndigheten (EBA)[2]
• risiko knyttet til betalingstjenestene og
• etterlevelse av meldeplikten ved nye eller endrede betalingstjenester.

Finanstilsynet vil påse at foretakene har godt dokumenterte rutiner på områder relatert til IKT- og betalingstjenester ved konsesjonsbehandlingen.

Oppfølging av hendelser

Oppfølging av IKT-hendelser er et prioritert område i tilsynsvirksomheten. Finanstilsynet vil overvåke utviklingen nøye. Finanstilsynet vil vurdere om foretak rapporterer hendelser i henhold til regelverket og vil påse at foretaket avdekker årsaken til hendelsen samt iverksetter tiltak for å hindre gjentakelser. Ved alvorlige avvik vil Finanstilsynet følge hendelsen gjennom hele forløpet og fortløpende vurdere særlige tiltak. Videre vil Finanstilsynet følge opp at både kontotilbydere og tredjepartstilbydere rapporterer avvik knyttet til kontotilbyderes grensesnitt (API-er) og at kontotilbyderne korrigerer avvikene og informerer tredjepartstilbyderne i samsvar med PSD2. Avdekkede sårbarheter i foretakenes IKT-løsninger vil også følges opp. Finanstilsynet vil videreføre sin årlige gjennomgang av hendelsesrapporteringen til de største aktørene.

Utkontraktering av IKT-virksomhet

Finanstilsynet vil følge opp foretakenes utkontraktering av IKT-virksomhet.  Oppfølgingen omfatter foretakenes melding til Finanstilsynet om nye og endrede avtaler om utkontraktering av kritisk eller viktig IKT-virksomhet, i henhold til finanstilsynsloven § 4c jf. meldepliktforskriften[3] § 3. Tilsynsvirksomheten vil omfatte:

• oppfølging av foretakenes styring og kontroll med utkontraktert IKT-virksomhet
• at foretakene gjennomfører risikoanalyser og en forsvarlig vurdering av utkontrakteringsforholdet før avtaleinngåelsen
• at avtalene er i tråd med regelverket, spesielt at innsynsretten er ivaretatt
• at kritiske og viktige avtaler er styrebehandlet og
• at utkontrakteringen ellers er forsvarlig behandlet i foretaket, jf. IKT-forskriften § 2.

Beredskapsarbeid

Arbeidet i Beredskapsutvalget for finansiell infrastruktur (BFI) videreføres. BFI gjennomgår blant annet hendelsesscenarioer, og det vurderes om ansvarsforhold ved krisesituasjoner er tilstrekkelig klare. Det er planlagt gjennomføring av beredskapsøvelser også i 2024, og tiltak knyttet til funn i tidligere øvelser vil følges opp. Enkelte hendelser vil følges opp nærmere, særlig hos sentrale aktører i den finansielle infrastrukturen.

Finanstilsynet vil delta i felles nordisk/baltiske aktiviteter knyttet til beredskap og operasjonell motstandskraft.

Finanstilsynet vil delta i relevant beredskapsarbeid initiert av andre sektorer og samhandling innenfor nasjonalt rammeverk for håndtering av IKT-sikkerhetshendelser, blant annet gjennom Nasjonalt cybersikkerhetssenter (NCSC), som Nasjonal sikkerhetsmyndighet (NSM) har etablert.

Finanstilsynet vil innrette sitt beredskapsarbeid og håndtering av IKT-sikkerhetshendelser i tråd med NSMs rammeverk for håndtering av IKT-sikkerhetshendelser[4]. Finanstilsynet er sektorvis responsmiljø (SRM) på finansmarkedsområdet og utøver rollen i samarbeid med Nordic Financial CERT (NFCERT), i henhold til avtale. NSMs rammeverk ligger til grunn for samhandlingen mellom Finanstilsynet og NFCERT.

Oppfølging av trusselbildet knyttet til digital kriminalitet

Finanstilsynet vil holde seg orientert om foretakenes bruk av IKT og utvikling innen betalingstjenester, herunder særskilte utviklingstrekk knyttet til:

• det digitale trusselbildet
• digital kriminalitet
• systemisk IKT-risiko
• beredskapsarbeid rettet mot digital sårbarhet og digital sikkerhet
• foretakenes organisering og oppfølging av sikkerhetsarbeidet
• endringene i betalingsformidlingen ved bruk av ny teknologi
• grensekryssende virksomhet.

Sammen med Norges Bank etablerte Finanstilsynet i 2021 et rammeverk for testing av cybersikkerhet i finanssektoren (TIBER-NO). Målet er å bidra til finansiell stabilitet gjennom økt motstandsdyktighet mot cyberangrep for kritiske funksjoner i norsk finansiell sektor. Arbeidet følges opp av en styringsgruppe ledet av Norges Bank, hvor Finanstilsynet deltar.

Finanstilsynet vil gjennomføre regelmessige møter med foretak og NFCERT. Videre vil Finanstilsynet delta i Nasjonalt cybersikkerhetssenter (NCSC), de europeiske tilsynsmyndighetenes arbeid med IKT-sikkerhet og European Systemic Cyber Group (ESCG), under Det europeiske systemrisikorådet (ESRB).

I 2023 ble det startet opp et arbeid for vurdering av systemisk IKT-risiko i samarbeid med Norges Bank. Målet er å etablere et rammeverk for kartlegging og vurdering av systemisk IKT-risiko og gjennomføre årlige vurderinger. 

Forbrukervern

Finanstilsynet vil følge opp at foretakene etablerer digitale løsninger i tråd med regelverket, og at løsninger som lanseres har innebygd sikkerhet og funksjonalitet i tråd med forbrukernes forventninger. Foretakenes ivaretagelse av kundenes sikkerhet ved bruk av deres løsninger og tjenester vil vektlegges.

Finanstilsynet vil også følge opp at foretakene ikke deler kundenes data uten samtykke, og at data ikke kommer tredjepart urettmessig i hende. Videre vil Finanstilsynet følge opp at foretakene kommuniserer med sin kunder på en trygg og forsvarlig måte, blant annet at de ikke sender eller ber om informasjon om kunden eller kundens engasjement i e-poster eller gjør kundene usikre ved å vedlegge lenker i e-poster eller SMS-kommunikasjon.

Finanstilsynet vil følge opp at forbrukerne gis mulighet til å beskytte seg mot uønskede hendelser, for eksempel gjennom mulighet for å sperre kort for bruk på internett.

Basert på krav om rapportering av svindel ved bruk av betalingstjenester, jf. forskrift om systemer for betalingstjenester § 2, vil Finanstilsynet følge opp samlet omfang av svindler og ved behov også enkeltaktører. Kvaliteten på rapporteringen vil følges opp.

Ved hendelser vil Finanstilsynet følge opp at foretakene gir kundene informasjon om hvordan de har blitt rammet og hvordan foretaket eller kunden selv kan avhjelpe situasjonen.

Finanstilsynet vil fortsette å følge opp at bankene ivaretar sine plikter når det gjelder etterlevelse av finansforetakslovens[5] bestemmelser om kontanttilbud. Finanstilsynet vil også følge opp at bankene har etablert løsninger i tråd med finansforetaksforskriftens bestemmelser om løsninger for å møte økt etterspørsel etter kontanter i en krisesituasjon[6].

Noter

[1] Lovdata: Forskrift om systemer for betalingstjenester
[2] EBAs uttalelse om tredjepartstilbyderes tilgang til konto: EBA calls on national authorities to take supervisory actions for the removal of obstacles to account access under the Payment Services Directive
[3] Lovdata: Forskrift om meldeplikt ved utkontraktering av virksomhet mv.
[4] Nasjonal sikkerhetsmyndighet (NSM): Rammeverk for håndtering av IKT-hendelser
[5] Lovdata: Lov om finansforetak og finanskonsern (finansforetaksloven)
[6] Lovdata: Forskrift om finansforetak og finanskonsern (finansforetaksforskriften)