IT-hændelsesrapportering for finansielle virksomheder, fælles datacentraler og udbydere af betalingstjenester

Her finder du information om finansielle virksomheder, fælles datacentraler og udbydere af betalingstjenesters indberetning af IT-hændelser til Finanstilsynet.

Som en del af Finanstilsynets løbende tilsyn forventer Finanstilsynet at blive underrettet om væsentlige IT-hændelser hos finansielle virksomheder og fælles datacentraler.

I henhold til lov om betalinger er udbydere af betalingstjenester forpligtet til at orientere Finanstilsynet om væsentlige IT-hændelser.

I henhold til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. og bekendtgørelse om hændelsesrapportering for operatører af væsentlige tjenester, bliver udpegede operatører af væsentlige tjenester forpligtet til hurtigst muligt at underrette Finanstilsynet og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer.

Det bemærkes at udpegningen af operatører af væsentlige tjenester sker ultimo oktober 2018.

Metode for underretning

Finanstilsynet forventer at underretningerne sker via virk.dk.

Link til virk.dk:

https://indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed

Det er også muligt at tage direkte kontakt til Finanstilsynet:
Telefonisk:  

  • IT-inspektør Adam Al-Saffar Tlf. 33 55 83 22
  • IT-inspektør Mette Kreutzfeldt Tlf. 41 93 35 75

E-mail:

Underretningskrav

Nedenfor fremgår Finanstilsynets forventninger til, hvad en orientering om en væsentlig IT-hændelse hos finansielle virksomheder og fælles datacentraler skal indeholde, hvilke krav der er til under retning i henhold til lov om betalinger, samt hvilke krav der er til den underretning, som operatører af væsentlige tjenester skal foretage.

Underretning af væsentlige hændelser

Det er som udgangspunkt virksomheden selv, der vurderer, hvornår noget er væsentligt. Dog har Finanstilsynet nogle klare indikatorer for, hvornår Finanstilsynet bør orienteres. Nedenstående for-hold kan have betydning for Finanstilsynet og bør derfor inkluderes i virksomhedens vurdering.

  • Hændelsen har potentiale til at udvikle sig til en katastrofesituation, der involverer gældende kriseberedskab.
  • Hændelsen påvirker eller kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf
  • Hændelsen kan give anledning til politianmeldelse
  • Virksomheden nedsætter en særlig ”task force” for at behandle hændelsen.
  • Der er mistanke om, at tredjemand har haft adgang til fortroligt data.
  • Hændelsen kan give anledning til kundeklager af principiel karakter.
  • Hændelsen påvirker fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer.
  • Hændelsen kan føre til negativ presseomtale for den pågældende virksomhed.
    Finanstilsynet forventer hurtigst muligt information om IT-hændelser under hensynstagen til, at årsagsafklaring samt problemløsning af den specifikke hændelse har førsteprioritet.

Underretning i relation til lov om betalinger

Udbydere af betalingstjenester skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser.

De nærmere krav til, hvad indberetningen skal indeholde, fremgår af EBA’s retningslinjer om rapportering af væsentlige IT-hændelser. Retningslinjerne er oversat til dansk og kan findes på Finans-tilsynets hjemmeside [link]

En IT-hændelse anses som væsentlig, når enten:

  • Et eller flere af ”højere indvirkningsniveau” kriterierne overskrides (se tabel nedenfor).
  • Tre eller flere af ”lavere indvirkningsniveau” kriterierne overskrides (se tabel nedenfor). 

   

Læs mere om kriterierne for, hvornår en IT-hændelse anses for at være væsentlig under pkt. 1.4 i de ovenfor nævnte EBA retningslinjer om rapportering af væsentlige IT-hændelser.
Ved indberetningen skal følgende skema anvendes [dette skema]. Der henvises også til skemaet på Virk.dk.

I perioden fra hændelsens opståen og til den er endeligt håndteret og afsluttet, skal der indsendes følgende:

  • En indledende rapport om hændelsen senest 4 timer fra hændelsen opdages.
  • En foreløbig rapport om hændelsen senest 3 dage efter hændelsen opdages, samt løbende undervejs i forløbet, når udbyderen bliver opmærksom på ny relevant information, eller væsentlige ændringer siden sidste opdatering.
  • En endelig rapport om hændelsen senest to uger efter, at driften kan anses for at være tilbage til normal. Den endelige rapport skal indeholde nøjagtige oplysninger om hændelsen, og ikke blot estimater. Herudover skal rapporten indeholde en angivelse af root cause, samt et resumé af de tiltag, der er iværksat eller planlagt for at fjerne problemet eller modvirke, at problemet opstår igen.  

Finanstilsynet vurderer hver indberetning og videregiver relevante oplysninger til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og evt. andre relevante tilsynsmyndigheder.

Underretning for operatører af væsentlige tjenester (NIS-direktiv)

Penge- og realkreditinstitutter eller operatører af markedspladser kan blive udpeget af Finanstilsynet som operatører af væsentlige tjenester. Finanstilsynets vil senest den 9. november 2018 offentliggøre en liste over de virksomheder, der er udpeget som operatører af væsentlige tjenester samt en liste over, hvilket tjenester der er identificeret som værende væsentlige.

Bliver en virksomhed udpeget som operatør af væsentlige tjenester, skal virksomheden hurtigst mu-ligt underrette Finanstilsynet og Center for Cybersikkerhed om hændelser, der har væsentlige kon-sekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Er der tale om et penge- eller realkreditinstitut, følger kravet om underretning af bilag 5, nr. 11, i bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. For operatører af markedspladser følger kravet om underretning af § 2, stk. 1, i bekendtgørelse om hændelsesrapportering for operatører af væsentlige tjenester.

Underretningen skal indeholde oplysninger, der gør det muligt for Finanstilsynet og Center for Cybersikkerhed at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen. Med henblik på at fastlægge omfanget af en hændelses konsekvenser, skal følgende kriterier inddrages:

  • Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.
  • Hændelsens varighed.
  • Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.