a) Krav til udbydere af betalingstjenester
Udbydere af betalingstjenester er forpligtet til snarest muligt at underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Kravet fremgår af Bekendtgørelse af lov om betalinger §127 (LBK nr 53 af 18/01/2023).
De nærmere krav til hvornår, hvad og hvordan der skal indberettes, fremgår af EBA’s retningslinjer for indberetning af større hændelser (EBA/GL/2021/03) og af bekendtgørelse om indberetning af drifts- og sikkerhedshændelser for udbydere af betalingstjenester (BEK nr 105 af 27/01/2023).
Hændelserne skal indberettes på virk.dk (hændelse vedrørende den finansielle sektor). Ved indberetningen skal dette skema anvendes. Der henvises også til skemaet på Virk.dk.
Betalingstjenesteudbydere bør klassificere drifts- og sikkerhedshændelser som større, hvis de opfylder:
- et eller flere kriterier af ”højere indvirkningsniveau” (se tabel nedenfor) eller
- tre eller flere kriterier ”lavere indvirkningsniveau” (se tabel nedenfor).
Kriterier |
Lavere indvirkningsniveau |
Højere indvirkningsniveau |
Berørte transaktioner |
> 10% af betalingstjenesteudbyderens normale transaktionsniveau (i antal transaktioner) og hændelsens varighed > 1 time*
eller
>500.000 EUR og hændelsens varighed > 1 time*
|
> 25% af betalingstjenesteudbydernes normale transaktionsniveau (i antal transaktioner)
eller
> 15.000.000 EUR
|
Berørte betalingstjenestebrugere |
> 5.000 og hændelsens varighed > 1 time*
eller
> 10% af betalingstjenesteudbyderens betalingstjenestebrugere og hændelsens varighed > 1 time*
|
> 50.000
eller
> 25% af betalingstjenesteudbyderens betalingstjenestebrugere
|
Tjenestens nedetid |
> 2 timer |
Ikke relevant
|
Brud på sikkerheden i netværks- eller informationssystemer |
Ja |
Ikke relevant |
Økonomisk indvirkning
|
Ikke relevant |
> Max. [0,1% kernekapital**; 200.000 EUR]
eller
> 5.000.000 EUR
|
Højt niveau af intern eskalering |
Ja |
Ja, og en krisesituation ( eller tilsvarende) vil sandsynligvis blive udløst |
Andre betalingstjenesteudbydere eller relevante infrastrukturer, der kan være blevet berørt |
Ja |
Ikke relevant |
Indvirkning på omdømmet |
Ja |
Ikke relevant |
*Tærskelværdien vedrørende hændelsens varighed i en periode på mere end en time gælder kun for driftshændelser, der påvirker betalingstjenesteudbyderens evne til at initiere og/eller behandle transaktioner.
**Kernekapital som defineret i artikel 25 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2021.
Læs mere om kriterierne for, hvornår en IT-hændelse anses for at være større under pkt. 4 i de ovenfor nævnte EBA retningslinjer for indberetning af større hændelser i henhold til PDS2.
I perioden fra hændelsen opstår til den er endeligt håndteret og afsluttet, skal der indsendes følgende:
- En indledende rapport om hændelsen, snarest muligt og senest 4 timer efter, at hændelsen er klassificeret som større.
- En foreløbig rapport om hændelsen, når driften igen er normal, dog senest 3 arbejdsdage efter indsendelsen af den indledende rapport, samt løbende undervejs i forløbet, når udbyderen bliver opmærksom på væsentlige ændringer siden sidste indberetning.
- En endelig rapport om hændelsen, senest 20 arbejdsdage efter, at hændelsen er ophørt, og normal drift er genoptaget. Den endelige rapport skal indeholde nøjagtige oplysninger om hændelsen, og ikke blot estimater. Herudover skal rapporten indeholde en angivelse af grundlæggende årsag samt en beskrivelse af de handlinger/foranstaltninger, der er iværksat eller planlagt for at forebygge en gentagelse af hændelsen.
Finanstilsynet vurderer hver indberetning og videregiver relevante oplysninger til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og evt. andre relevante tilsynsmyndigheder.
b) Krav til operatører af væsentlige tjenester
Udpegede operatører af væsentlige tjenester er forpligtet til hurtigst muligt at underrette Finanstilsynet og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Kravet fremgår af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. bilag 5, stk. 70 (BEK nr 1103 af 30/06/2022) og bekendtgørelse om hændelsesrapportering for operatører af væsentlige tjenester (BEK nr 457 af 09/05/2018).
Indberetningen skal indeholde oplysninger om:
- Antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste.
- Hændelsens varighed.
- Den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.
- Eventuelle grænseoverskridende konsekvenser af hændelsen.
Hændelsen kan indberettes på virk.dk (hændelse vedrørende samfundskritisk infrastruktur), hvor der er mulighed for samtidig indberetning til Finanstilsynet og Center for Cybersikkerhed.
c) Krav til virksomheder omfattet af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Virksomheder omfattet af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. skal uden unødigt ophold rapportere kritiske it-sikkerhedshændelser til Finanstilsynet. Kravet fremgår af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. bilag 5, stk. 66 (BEK nr 1103 af 30/06/2022).
Rapporteringen skal som minimum omfatte it-sikkerhedshændelser, der medfører væsentlig reduktion i funktionaliteten som følge af brud på fortrolighed, integritet og/eller tilgængelighed til it-systemer og/eller data.
Nedenstående forhold kan have betydning for Finanstilsynet og bør derfor inkluderes i virksomhedens vurdering.
- Hændelsen har potentiale til at udvikle sig til en katastrofesituation, der involverer gældende kriseberedskab.
- Hændelsen påvirker eller kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf.
- Hændelsen kan give anledning til politianmeldelse.
- Virksomheden nedsætter en særlig ”task force” for at behandle hændelsen.
- Der er mistanke om, at tredjemand har haft adgang til fortroligt data.
- Hændelsen kan give anledning til kundeklager af principiel karakter.
- Hændelsen påvirker fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer.
- Hændelsen kan føre til negativ presseomtale for den pågældende virksomhed.
Finanstilsynet forventer hurtigst muligt information om IT-hændelser under hensynstagen til, at årsagsafklaring samt problemløsning af den specifikke hændelse har førsteprioritet.
Indberetning til Finanstilsynet kan ske på itincidents@ftnet.dk.
Hvis henvendelsen kræver en krypteret forbindelse, og det ikke er muligt at opnå via itincidents@ftnet.dk, kan der sendes krypterede e-mails til Finanstilsynets hovedpostkasse ved at anvende Finanstilsynets offentlige certifikat. Certifikatet kan hentes fra medarbejdersignatur.dk.
Ved henvendelser via Finanstilsynets hovedpostkasse bedes det fremgå, at henvendelsen vedrører en IT-sikkerhedshændelse og skal videresendes til itincidents@ftnet.dk.