IT-hændelsesrapportering for finansielle virksomheder, fælles datacentraler og udbydere af betalingstjenester

Her finder du information om finansielle virksomheder, fælles datacentraler og udbydere af betalingstjenesters indberetning af IT-hændelser til Finanstilsynet

Finanstilsynet forventer at blive orienteret om væsentlige IT-hændelser hos finansielle virksomheder og fælles datacentraler.

Endvidere stiller lov om betalinger krav om, at udbydere af betalingstjenester skal orientere Finanstilsynet om væsentlige IT-hændelser. 

Virksomheder, der ikke er omfattet af lov om betalinger

1. Hvornår skal Finanstilsynet orienteres?
For virksomheder, der ikke er omfattet af lov om betalinger, er det som udgangspunkt virksomheden selv, der vurderer, hvornår noget er væsentligt.

Dog er der nogle klare indikatorer, hvor Finanstilsynet umiddelbart vurderer, at tilsynet bør orienteres. Nedenstående forhold kan have betydning for Finanstilsynet og bør derfor inkluderes i virksomhedens vurdering.

  • Hændelsen har potentiale til at udvikle sig til en katastrofesituation, der involverer gældende kriseberedskab.
  • Hændelsen påvirker eller kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf
  • Hændelsen kan give anledning til politianmeldelse
  • Virksomheden nedsætter en særlig ”task force” for at behandle hændelsen.
  • Der er mistanke om, at tredjemand har haft adgang til fortroligt data.
  • Hændelsen kan give anledning til kundeklager af principiel karakter.
  • Hændelsen påvirker fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer.
  • Hændelsen kan føre til negativ presseomtale for den pågældende virksomhed.

2. Hvordan skal Finanstilsynet orienteres?

Finanstilsynet forventer hurtigst muligt information om IT-hændelser under hensynstagen, til, at årsagsafklaring samt problemløsning af den specifikke hændelse har førsteprioritet.
Finanstilsynet kan orienteres på nedenstående måder: 

  • Telefonisk:  
    • IT-inspektør Adam Al-Saffar Tlf. 33 55 83 22.
    • IT-inspektør Mikkel Jensen Tlf. 33 55 83 39.
    • IT-inspektør Anja Andersen Tlf. 33 55 83 58.
    • IT-inspektør Mette Kreutzfeldt Tlf. 41 93 35 95.
  • E-mail:

    Virksomheder, der er omfattet af lov om betalinger

    Virksomheder omfattet af lov om betalinger skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser, jf. § 127, stk. 1 i samme lov.

    De nærmere krav til, hvad indberetningen skal indeholde, fremgår af EBA’s retningslinjer  om rapportering af væsentlige IT-hændelser. Retningslinjerne er oversat til dansk og kan findes på Finanstilsynets hjemmeside.

    1. Hvornår skal Finanstilsynet underrettes?

    Virksomheder omfattet af lov om betalinger skal kun underrette Finanstilsynet om væsentlige IT-hændelser.

    En IT-hændelse anses som væsentlig, når enten:

    • Et eller flere af ”højere indvirkningsniveau” kriterierne overskrides (se tabel nedenfor).
    • Tre eller flere af ”lavere indvirkningsniveau” kriterierne overskrides (se tabel nedenfor). 

      

    Læs mere om kriterierne for, hvornår en IT-hændelse er væsentlig behandles nærmere i pkt. 1.4, i de ovenfor nævnte retningslinjer om rapportering af væsentlige IT-hændelser.

    2. Hvad skal indsendes om hændelsen?

    Ved indberetningen skal anvendes dette skema.

    I perioden fra hændelsens opståen og til den er endeligt håndteret og afsluttet, skal der indsendes følgende:

    • En indledende rapport om hændelsen senest 4 timer fra hændelsen opdages.
    • En foreløbig rapport om hændelsen senest 3 dage efter hændelsen opdages, samt løbende undervejs i forløbet, når udbyderen bliver opmærksom på ny relevant information, eller væsentlige ændringer siden sidste opdatering.
    • En endelig rapport om hændelsen senest to uger efter, at driften kan anses for at være tilbage til normal. Den endelige rapport skal indeholde nøjagtige oplysninger om hændelsen, og ikke blot estimater. Herudover skal rapporten indeholde en angivelse af root cause, samt et resumé af de tiltag, der er iværksat eller planlagt for at fjerne problemet eller modvirke, at problemet opstår igen.

    Finanstilsynet vurderer hver indberetning og videregiver relevante oplysninger, til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og evt. andre relevante tilsynsmyndigheder.

    3. Hvordan skal Finanstilsynet underrettes?

    Finanstilsynet skal orienteres via e-mail: