IT-hændelsesrapportering for finansielle virksomheder, fælles datacentraler og udbydere af betalingstjenester

Her finder du information om finansielle virksomheder, fælles datacentraler og udbydere af betalingstjenesters indberetning af IT-hændelser til Finanstilsynet.

Som en del af Finanstilsynets løbende tilsyn forventer Finanstilsynet at blive underrettet om væsentlige IT-hændelser hos finansielle virksomheder og fælles datacentraler.

I henhold til lov om betalinger er udbydere af betalingstjenester forpligtet til at underrette Finanstilsynet om væsentlige IT-hændelser. Underretningen skal ske gennem den fælles digitale løsning for indberetning af hændelser til offentlige myndigheder på virk.dk jf. bekendtgørelse om indberetning af drifts- og sikkerhedshændelser m.v. for udbydere af betalingstjenester §3 stk. 4.

I henhold til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. og bekendtgørelse om hændelsesrapportering for operatører af væsentlige tjenester, er udpegede operatører af væsentlige tjenester forpligtet til hurtigst muligt at underrette Finanstilsynet og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer.

Metode for underretning

Finanstilsynet forventer at underretningerne sker via virk.dk.

Link til virk.dk:

https://indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed

Det er også muligt at tage direkte kontakt til Finanstilsynet:
Telefonisk:  

  • IT-inspektør Adam Al-Saffar Tlf. 33 55 83 22
  • IT-inspektør Mette Kreutzfeldt Tlf. 41 93 35 75

E-mail:

Underretningskrav

Nedenfor fremgår Finanstilsynets forventninger til, hvad en orientering om en væsentlig IT-hændelse hos finansielle virksomheder og fælles datacentraler skal indeholde, hvilke krav der er til under retning i henhold til lov om betalinger, samt hvilke krav der er til den underretning, som operatører af væsentlige tjenester skal foretage.

Underretning af væsentlige hændelser

Det er som udgangspunkt virksomheden selv, der vurderer, hvornår noget er væsentligt. Dog har Finanstilsynet nogle klare indikatorer for, hvornår Finanstilsynet bør orienteres. Nedenstående forhold kan have betydning for Finanstilsynet og bør derfor inkluderes i virksomhedens vurdering.

  • Hændelsen har potentiale til at udvikle sig til en katastrofesituation, der involverer gældende kriseberedskab.
  • Hændelsen påvirker eller kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf
  • Hændelsen kan give anledning til politianmeldelse
  • Virksomheden nedsætter en særlig ”task force” for at behandle hændelsen.
  • Der er mistanke om, at tredjemand har haft adgang til fortroligt data.
  • Hændelsen kan give anledning til kundeklager af principiel karakter.
  • Hændelsen påvirker fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer.
  • Hændelsen kan føre til negativ presseomtale for den pågældende virksomhed.
    Finanstilsynet forventer hurtigst muligt information om IT-hændelser under hensynstagen til, at årsagsafklaring samt problemløsning af den specifikke hændelse har førsteprioritet.

Underretning i relation til lov om betalinger

I henhold til lov om betalinger er udbydere af betalingstjenester forpligtet til at underrette Finanstilsynet om væsentlige IT-hændelser. Underretningen skal ske gennem den fælles digitale løsning for indberetning af hændelser til offentlige myndigheder på virk.dk jf. bekendtgørelse om indberetning af drifts- og sikkerhedshændelser m.v. for udbydere af betalingstjenester §3 stk. 4.

De nærmere krav til, hvad indberetningen skal indeholde, fremgår af EBA’s retningslinjer om indberetning af større hændelser. Retningslinjerne er oversat til dansk og kan findes her.

En IT-hændelse anses som væsentlig, når enten:

  • Et eller flere af ”højere indvirkningsniveau” kriterierne overskrides (se tabel nedenfor).
  • Tre eller flere af ”lavere indvirkningsniveau” kriterierne overskrides (se tabel nedenfor). 

   

Læs mere om kriterierne for, hvornår en IT-hændelse anses for at være væsentlig under pkt. 1.4 i de ovenfor nævnte EBA retningslinjer om rapportering af væsentlige IT-hændelser.
Ved indberetningen skal dette skema anvendes. Der henvises også til skemaet på Virk.dk.

I perioden fra hændelsens opståen og til den er endeligt håndteret og afsluttet, skal der indsendes følgende:

  • En indledende rapport om hændelsen senest 4 timer fra hændelsen opdages.
  • En foreløbig rapport om hændelsen senest 3 dage efter hændelsen opdages, samt løbende undervejs i forløbet, når udbyderen bliver opmærksom på ny relevant information, eller væsentlige ændringer siden sidste opdatering.
  • En endelig rapport om hændelsen senest to uger efter, at driften kan anses for at være tilbage til normal. Den endelige rapport skal indeholde nøjagtige oplysninger om hændelsen, og ikke blot estimater. Herudover skal rapporten indeholde en angivelse af root cause, samt et resumé af de tiltag, der er iværksat eller planlagt for at fjerne problemet eller modvirke, at problemet opstår igen.  

Finanstilsynet vurderer hver indberetning og videregiver relevante oplysninger til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og evt. andre relevante tilsynsmyndigheder.

Underretning for operatører af væsentlige tjenester (NIS-direktiv)

Finanstilsynets har første gang den 9. november 2018 udpeget operatører af væsentlige tjenester. Finanstilsynet vurderer, at oplysninger om udpegelsen af virksomhederne er tavshedsbelagte i medfør af henholdsvis § 354, stk. 1, 1. pkt., i lov om finansiel virksomhed og § 224, stk. 1, 1. pkt., i lov om kapitalmarkeder, hvorfor de udpegede virksomheder ikke offentliggøres.

Samtidig har Finanstilsynet udarbejdet en liste over de tjenester, som operatører af væsentlige tjenester leverer, der er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.

Listen over væsentlige tjenester for penge- og realkreditinstitutter er følgende:

  • Likviditetsstyring
  • Afvikling af værdipapirhandler
  • Elektroniske betalinger
  • Clearing
  • Afvikling af detailbetalinger
  • Afvikling af rente og afdragsbetalinger (realkredit og statsobligationer)
  • Indgåelse af værdipapirhandler
  • Udstedelser af nye lån og obligationer
  • Udstedelser af realkreditobligationer
  • Indlån

Listen over væsentlige tjenester for markedspladser er følgende:

  • Driften af en markedsplads, der enten kan være et reguleret marked, en multilateral handelsfacilitet (MHF) eller en organiseret handelsfacilitet (OHF).

Virksomheder der er udpeget som operatører af væsentlige tjenester, skal hurtigst muligt underrette Finanstilsynet og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Er der tale om et penge- eller realkreditinstitut, følger kravet om underretning af bilag 5, nr. 11, i bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. For operatører af markedspladser følger kravet om underretning af § 2, stk. 1, i bekendtgørelse om hændelsesrapportering for operatører af væsentlige tjenester. 

Finanstilsynet opfordre virksomheder til at underrette via virk.dk, da indberetningsplatformen muliggøre at sende til flere myndigheder samtidig. Virksomheder kan også anvende ovenstående metode for underretning.

Underretningen skal indeholde oplysninger, der gør det muligt for Finanstilsynet og Center for Cybersikkerhed at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen. Med henblik på at fastlægge omfanget af en hændelses konsekvenser, skal følgende kriterier inddrages:

  • Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.
  • Hændelsens varighed.
  • Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.