Kredittilsynet
Postboks 100 Bryn
0611 OSLO
Deres ref:
Vår ref:07/8075 2007/00513 (FNH)
200700101 (Sparebankforeningen)
Dato: Oslo, 1. oktober 2007
Det vises til Kredittilsynets høringsbrev av 31. august 2007 hvor Kredittilsynet ber om tilbakemeldinger på innholdet i utkast til rundskriv om rapportering av IKT-hendelser.
Innledningsvis vil vi vise til høringsbrevet 2. avsnitt hvor det står: ”Med bakgrunn i det generelle behovet for hendelsesrapportering og en gjennomført spørreundersøkelse overfor banker høsten 2006, har Kredittilsynet, i dialog med FNH og Sparebankforeningen, utarbeidet et opplegg for hendelsesrapportering som Kredittilsynet i form av rundskriv, vil anbefale at Banker, VPS og Oslo Børs benytter i en prøveperiode på 12 måneder.”
Slik denne setningen er formulert, kan det forstås dit hen at FNH og Sparebankforeningen har vært med i utformingen av utkast til rundskrivet, hvilket ikke er tilfelle. Den dialog med FNH og Sparebankforeningen som det vises til i brevet, er begrenset til at spørsmålet om hendelsesrapportering er blitt tatt opp i to møter. I det første møtet ble Kredittilsynet blant annet orientert om den hendelsesrapportering og den ”Kvalitets- og beredskapsplan” som er etablert innen ”NICS-regimet”. I det andre møtet orienterte Kredittilsynet om det opplegget de hadde kommet frem til og meddelte at de nå ville sende utkast til rundskriv på høring. Fra vår side ble det i begge møter uttrykt bekymring over den belastning bankene blir påført i form av rapporteringskrav på stadig nye områder.
Vi registrerer at Kredittilsynet oppfatter at det er varierende praksis i det enkelte foretak i forhold til oppfølgingen av IKT-forskriftens § 9. Vi legger til grunn at tilsynets primære virkemiddel for bedre oppfølging i enkelte foretak vil være en direkte kontakt mellom tilsynet og de foretak som tilsynet anser har mangler i oppfølgingen av IKT-forskriftens § 9.
Etter lov om betalingssystemer m.v. (bsl) kan Kredittilsynet gi en institusjon pålegg dersom tilsynet finner at det system for betalingstjenester som institusjonen driver, ikke innrettes eller drives i samsvar med bestemmelser fastsatt i eller i medhold av lov. Etter vår oppfatning synes både kvaliteten og sikkerheten gjennomgående å være god i de systemer for betalingstjenester som institusjoner i dag tilbyr.
FNH og Sparebankforeningen har forståelse for at Kredittilsynet må sikre at tilsynet får den informasjon som er nødvendig for å oppfylle lovpålagte oppgaver. I så måte er det positivt at Kredittilsynet gjennom det foreliggende forslag legger opp til standardisering av innhold i rapportering og nivå på hendelser som skal rapporteres. Det er imidlertid generelt viktig at banknæringens rapporteringsbyrde holdes så liten og rasjonell som mulig. I denne sammenheng er det viktig at det foretas en kritisk vurdering av behovet for informasjon og vurdering av muligheter for koordinering med rapportering til andre myndighetsorganer.
Med dette som utgangspunkt kan FNH og Sparebankforeningen vanskelig se at Kredittilsynets behov for hendelsesrapportering skulle være så omfattende, og spesielt ikke så tidskritisk som foreslått. Ved kriminelle anslag som krever vurdering av koordinerte tiltak, vil myndighetene, spesielt politi/Økokrim, uansett bli hurtig informert om situasjonen. Som tilsynet vil være kjent med er det også i regi av BSK etablert informasjonsnettverk som benyttes ved kriminelle anslag mot nettbanketjenestene.
Etter vår vurdering vil det primære formål med en hurtig informasjon om hendelser knytte seg til raskt å iverksette avhjelpende operasjonelle tiltak i andre institusjoner. Vi oppfatter det ikke slik at Kredittilsynet har til hensikt å etablere seg i en operasjonell koordinerende rolle.
Siden formålet med forslaget til hendelsesrapportering er å bygge opp en erfaringsbase, vil det være logisk å legge hendelsesrapporteringen til etter at problemet er løst, slik at man kan være mer presis når det gjelder årsaker og løsninger. Dette tilsier at rapportering tidligst bør gis 3 virkedager etter en hendelse. Vi kan også se for oss en periodisk rapportering.
Når det gjelder alvorlige hendelser som fører til at hele eller helt sentrale deler av en institusjons virksomhet ikke kan opprettholdes, er det naturlig at Kredittilsynet varsles så raskt som mulig.
Når det gjelder de konkrete eksemplene Kredittilsynet har tatt med i utkastet til rundskriv vedrørende hendelsesrapportering, vil vi anmerke at det er avgjørende at slike eksempler er klargjørende. Punktet om hendelser som bør rapporteres bør derfor bearbeides slik at det for rapportørene vil være enklere å vurdere opp mot hendelser som foretaket selv vurderer til en alvorlighetsgrad ”svært alvorlig” eller ”kritisk”. Tilsynet bør i denne sammenheng klart definere disse alvorlighetsgrader. Viktig er det også å se hendelsesrapportering i sammenheng med den kartlegging av hendelser som følger av Basel II-reglenes bestemmelser om operasjonell risiko, noe som krever at vesentlighet av hendelsene oppfattes noenlunde likt. Fra banknæringens side er det nærliggende å ta til orde for den klassifisering av avvik som banker benytter i forbindelse med NICS. Denne kategorisering er som følger:
Avviks-
kategori |
Normal utløsende faktor |
Omfang |
Opptrapping |
1 |
Avvik |
Hendelser som fører til mindre forsinkelser eller avbrudd og hvor man har kontroll med årsaksforhold. |
Oppgraderes til
kategori 2 dersom leveranse ikke kan skje i henhold til driftsmønster selv om utsettelser var innvilget. |
2 |
Avbrudd |
Hendelser hvor alle normale ressurser er tilgjenglig for å utbedre feilen med ukjent oppretningstid. |
Oppgraderes til kategori 3 ved forsinkelser eller avbrudd som medfører at produksjonen tidligst kan inngå i neste oppgjørsdøgn. |
3 |
Langvarig avbrudd |
Samme som ovenfor, men varighet er analysert til å være langvarig. |
Oppgraderes til kategori 4 ved forsinkelser eller avbrudd som medfører at det vil gå mer enn et døgn før produksjonen kan foregå på normalt vis. |
4 |
Katastrofe |
Unormal hendelse og som gjør at drift ikke kan fortsette på normal måte, på normalt sted og med normale ressurser. |
|
I utkastets pkt. 3 er det beskrevet formen for rapportering. Det står her at ”Hendelser som bankene rapporter til NICS Operatørkontor” sendes med kopi til Kredittilsynet. I utgangspunktet betrakter vi ”gjenbruk” av rapportering som bra, men det bør fortrinnsvis skje ved samordning hos rapportmottakerne. For å unngå uklarheter i etablerte rapporteringsrutiner, mener vi at dette primært bør gjennomføres ved at Kredittilsynet og Norges Bank (som tilsynsmyndighet for NICS Operatørkontor) som en del av sitt etablerte samarbeide, utveksler relevant informasjon. For den enkelte institusjon vil det kunne være hensiktsmessig om en hendelse i systemer for betalingstjenester som er av en slik karakter at den vil kunne få betydning for interbanksystemet NICS og således rapporteres til NICS, også kan sendes med kopi til Kredittilsynet. I tillegg til den rapportering som Norges Bank får fortløpende, rapporterer også NICS Operatørkontor periodisk til Norges Bank de hendelser som har funnet sted (normalt 6 ganger årlig).
FNH og Sparebankforeningen har ingen merknader til innhold i rapporteringen, opplistet i utkastets pkt. 4. Vi har heller ikke merknader til pkt. 5 i utkastet som omhandler evaluering av hendelsesrapporteringen.
Kredittilsynet legger opp til rapportering fra Banker, VPS og Oslo Børs, og vil anmode også BBS om å delta. Det åpnes videre for koordinering av meldinger som gjelder hendelser som rammer flere banker i en bankgruppering. FNH og Sparebankforeningen mener at det heller ikke er hensiktsmessig med flere likelydende meldinger om avvikshendelser i de sentrale operasjoner i den felles infrastruktur. I tillegg til NICS omfatter dette i første rekke BankID FOI og fellesfunksjonen for BankAxept.
BBS utarbeider rapporter over avvik i BankID FOI. Det kan være naturlig, med utgangspunkt i Kredittilsynets forslag til rapportering, at BankID Samarbeidet gjennom FNH og Sparebankforeningen periodisk rapporterer hendelser innen dette området til Kredittilsynet. Unntaket kan være alvorlige hendelser der BankID FOI settes ut av spill. I slike tilfeller bør driftsted for BankID FOI kunne varsle Kredittilsynet direkte om hendelsen.
Når det gjelder rapporteringsregime for Fellesfunksjonen for BankAxept kan vi tenke oss at Bankenes Standardiseringskontor (BSK) gir en periodisk rapportering til Kredittilsynet over avvikshendelser i den sentrale prosesseringen i BBS av BankAxept-transaksjoner. På samme måte som antydet i forbindelse med BankID FOI, bør også driftssted for Fellesfunksjonen for BankAxept kunne rapportere direkte til Kredittilsynet om det inntreffer hendelser som fører til at kortsystemet ikke kan benyttes.
Med vennlig hilsen
for Finansnæringens Hovedorganisasjon for Sparebankforeningen i Norge
Tor Johan Bjerkedal Jan Digranes
Direktør Avdelingsdirektør