Senere ændringer til forskriften
Lovgivning forskriften vedrører
Ændrer i/ophæver
Links til EU direktiver, jf. note 1
32002L0065
 
32007L0064
 
32009L0110
 
32010L1093
 
32013L0036
 
32015L2366
 
Oversigt (indholdsfortegnelse)
Kapitel 1
Kapitel 2
Kapitel 3
Bilag 1
Den fulde tekst

Bekendtgørelse om indberetning af drifts- og sikkerhedshændelser m.v. for udbydere af betalingstjenester1)

I medfør af § 127, stk. 4, og § 152, stk. 7, i lov nr. 652 af 8. juni 2017 om betalinger fastsættes:

Kapitel 1

Anvendelsesområde og definitioner

§ 1. Denne bekendtgørelse finder anvendelse på følgende virksomheder ved udbud af betalingstjenester:

1) Pengeinstitutter, der udsteder elektroniske penge eller udbyder betalingstjenester, jf. §§ 2 og 3 i lov om betalinger.

2) Offentlige myndigheder og Danmarks Nationalbank, hvis disse udsteder elektroniske penge eller udbyder betalingstjenester, jf. §§ 2 og 3 i lov om betalinger.

3) Virksomheder, der er meddelt tilladelse som e-pengeinstitut i medfør af § 8 i lov om betalinger, og som udbyder betalingstjenester, jf. bilag 1 i lov om betalinger.

4) Virksomheder, der er meddelt tilladelse som betalingsinstitut i medfør af § 9 i lov om betalinger.

5) Virksomheder, der er meddelt begrænset tilladelse til at udstede elektroniske penge i medfør af § 50 i lov om betalinger.

6) Virksomheder, der er meddelt begrænset tilladelse til at udbyde betalingstjenester i medfør af § 51 i lov om betalinger.

7) Virksomheder, der er meddelt tilladelse til at udbyde kontooplysningstjenester, jf. § 60, stk. 1, i lov om betalinger.

§ 2. I denne bekendtgørelse forstås ved:

1) Drifts- og sikkerhedshændelse: En enkeltstående eller en række af hændelser, der ikke er planlagt af en virksomhed omfattet af § 1, og som har fået eller formodes at få negativ indvirkning på betalingsrelaterede tjenesters integritet, tilgængelighed, fortrolighed, ægthed eller kontinuitet.

2) Betalingsrelaterede tjenester: Betalingstjenester omfattet af bilag 1 i lov om betalinger og alle de tekniske støttefunktioner, der er nødvendige for den korrekte levering af betalingstjenester.

Kapitel 2

Indberetning af større hændelser

§ 3. En virksomhed omfattet af § 1 skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser.

Stk. 2. Omfanget af en drifts- og sikkerhedshændelse skal vurderes ud fra kriterierne angivet i bilag 1. Der vil være tale om en større drifts- og sikkerhedshændelse, når hændelsen opfylder eller forventes at opfylde

1) ét eller flere af kriterierne på højere indvirkningsniveau, jf. bilag 1, eller

2) tre eller flere af kriterierne på lavere indvirkningsniveau, jf. bilag 1.

Stk. 3. Underretningen efter stk. 1 skal bestå af:

1) En indledende rapport, jf. § 4.

2) Foreløbige rapporter om løbende orientering af status på hændelsen, jf. § 5.

3) En endelig rapport, jf. § 6.

Stk. 4. Underretning af hændelser skal ske gennem den fælles digitale løsning for indberetning af hændelser til offentlige myndigheder på www.virk.dk.

§ 4. En virksomhed omfattet af § 1 skal indsende en indledende rapport til Finanstilsynet snarest muligt efter drifts- og sikkerhedshændelsen konstateres og om muligt indenfor 4 timer. Konstateres drifts- og sikkerhedshændelsen uden for normal arbejdstid, skal den indledende rapport sendes til Finanstilsynet senest 4 timer efter, at normal arbejdstid er påbegyndt den efterfølgende arbejdsdag.

Stk. 2. Er alle oplysninger til brug for underretningen ikke tilgængelige for virksomheden på tidspunktet, hvor underretning skal foretages, jf. stk. 1, skal virksomheden afgive en underretning baseret på skøn.

§ 5. En virksomhed omfattet af § 1 skal løbende indsende foreløbige rapporter til Finanstilsynet og første gang indenfor 3 arbejdsdage fra, at drifts- og sikkerhedshændelsen konstateres. De foreløbige rapporter skal løbende ajourføres, når virksomheden får kendskab til nye relevante oplysninger eller væsentlige ændringer siden den forudgående underretning, dog ikke med større interval end 3 arbejdsdage, og indtil hændelsens ophør.

Stk. 2. Er alle oplysninger til brug for underretningen ikke tilgængelige for virksomheden på tidspunktet, hvor underretning skal foretages, jf. stk. 1, skal virksomheden afgive en underretning baseret på skøn.

§ 6. En virksomhed omfattet af § 1 skal indsende en endelig rapport til Finanstilsynet senest to uger efter, at drifts- og sikkerhedshændelsen er ophørt, og driften kan anses for at være tilbage til normal.

Stk. 2. Den endelige rapport skal være baseret på faktiske oplysninger.

Outsourcing og konsolideret indberetning

§ 7. En virksomhed omfattet af § 1 kan outsource indberetningen af større drifts- og sikkerhedshændelser efter §§ 4-6 til en tredjepart, når følgende betingelser er opfyldt, jf. dog stk. 2:

1) Virksomheden underretter forinden Finanstilsynet om outsourcingen af indberetningen.

2) Den formelle kontrakt mellem virksomheden og tredjeparten, der er grundlaget for outsourcingen af indberetningen, fastlægger entydigt opgavefordelingen mellem parterne.

3) Fortroligheden af følsomme data samt kvaliteten, sammenhængen, integriteten og pålideligheden af de oplysninger, der gives til Finanstilsynet, er forsvarligt sikret.

Stk. 2. Virksomheder omfattet af § 1, nr. 3 og 4, skal foruden stk. 1 opfylde de krav til outsourcing af væsentlige driftsmæssige funktioner, som er fastlagt i §§ 39 og 40 i lov om betalinger.

Stk. 3. Den virksomhed, der outsourcer indberetningen efter §§ 4-6, har fortsat ansvaret for opfyldelsen af kravene til indberetningen samt de oplysninger, der afgives til Finanstilsynet.

Stk. 4. Virksomheden skal underrette Finanstilsynet, hvis virksomheden trækker outsourcingen af indberetningen tilbage. Virksomheden skal desuden underrette Finanstilsynet om enhver væsentlig ændring, der berører tredjeparten og dennes evne til at opfylde indberetningsforpligtelsen.

§ 8. En eller flere virksomheder omfattet af § 1, kan på konsolideret niveau outsource indberetningen efter §§ 4-6 til en tredjepart, som er etableret i Danmark, i de tilfælde hvor en drifts- og sikkerhedshændelse skyldes en afbrydelse af den eller de ydelser, der leveres af den pågældende tredjepart.

Stk. 2. Virksomheden skal forinden underrette Finanstilsynet om outsourcingen af indberetningen efter stk. 1.

Stk. 3. Kontrakten mellem virksomheden og tredjeparten, der er grundlaget for outsourcingen af indberetningen, skal entydigt fastlægge opgavefordelingen mellem parterne, og det skal fremgå, at tredjeparten holder virksomheden løbende underrettet om alle relevante oplysninger om hændelsen, herunder den dialog, som tredjeparten har med Finanstilsynet, i det omfang det ikke udgør et brud på fortroligheden af oplysninger, som vedrører andre virksomheder.

Orientering til brugerne af betalingstjenesten

§ 9. En virksomhed omfattet af § 1 skal snarest muligt, efter drifts- og sikkerhedshændelsen konstateres, vurdere, om drifts- og sikkerhedshændelsen direkte eller indirekte har eller kan få indvirkning på betalingstjenestens brugere og deres økonomiske interesser.

Stk. 2. Viser virksomhedens vurdering, jf. stk. 1, at drifts- og sikkerhedshændelsen direkte eller indirekte har eller kan få indvirkning på brugernes økonomiske interesser, skal virksomheden snarest muligt orientere brugerne om hændelsen og om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger. Ved orienteringen til brugerne skal virksomheden tage hensyn til drifts- og sikkerhedshændelsens negative følger samt den måde, hvorpå virksomheden normalt kommunikerer med sine brugere på.

Kapitel 3

Straffebestemmelser

§ 10. Overtrædelse af §§ 3-6 og § 9 straffes med bøde.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Ikrafttræden

§ 11. Bekendtgørelsen træder i kraft den 1. januar 2019.

Finanstilsynet, den 3. december 2018

Jesper Berg

/ Tobias Thygesen


Bilag 1

Kriterier for vurdering af drifts- og sikkerhedshændelser

Omfanget af en drifts- og sikkerhedshændelse skal vurderes ud fra følgende kriterier:

Kriterier
Beskrivelse af kriterier
Lavere indvirkningsniveau
Højere indvirkningsniveau
Berørte transaktioner
Den samlede værdi af alle transaktioner, der er eller formodes at være blevet direkte eller indirekte berørt af hændelsen, samt antallet af berørte betalinger som en procentdel af det antal transaktioner, der normalt foretages med de berørte betalingstjenester.
Ved det ”normale niveau af betalingstransaktioner” forstås den daglige mængde, beregnet som årsgennemsnit af transaktioner, der udføres med de betalingstjenester, der er blevet berørt af hændelsen, idet referenceperioden er det forudgående år.
> 10 % af betalingstjenesteyderens normale transaktionsniveau (i antal transaktioner)
og
> 100 000 EUR
> 25 % af betalingstjenesteyderens normale transaktionsniveau (i antal transaktioner)
eller
> 5 mio. EUR
Berørte betalingstjenestebrugere
Det samlede antal af alle berørte betalingstjenestebrugere både i absolutte tal og som procentdel af det samlede antal betalingstjenestebrugere.
Der skal medregnes alle både aktive og passive betalingstjenestebrugere, der er kontraktligt bundet til virksomheden på tidspunktet for hændelsen og har adgang til den berørte betalingstjeneste.
> 5 000
og
> 10 % af betalingstjenesteudbyderens betalingstjenestebrugere
> 50 000
eller
> 25 % af betalingstjenesteudbyderens betalingstjenestebrugere
Tjenestens nedetid
Den periode, hvor tjenesten formodes at være utilgængelig for betalingstjenestebrugeren, eller hvor betalingsordren ikke kan udføres af virksomheden.
> 2 timer
Ikke relevant
Økonomisk indvirkning
Virksomheden skal fastlægge de samlede omkostninger, der direkte eller indirekte er relateret til hændelsen, herunder f.eks. omkostninger til udskiftning af hardware eller software, andre omkostninger af retlig eller afhjælpende art, eksterne forpligtelser og tabte indtægter.
Ikke relevant
> Maks. [0,1 % af kernekapitalen; 200 000 EUR]
eller
> 5 mio. EUR
Højt niveau af intern udbredelse
Virksomheden skal fastlægge om den informationsansvarlige er eller formodes at ville blive informeret om hændelsen uden om en eventuel regelmæssig indberetningsprocedure, herunder om hændelsen har eller vil udløse en krisesituation.
Ja
Ja, og der forventes en krisesituation (eller tilsvarende)
Andre betalingstjenesteudbydere eller relevante infrastrukturer, der kan være blevet berørt
Virksomheden skal vurdere hændelsens indvirkning på det finansielle markeds infrastrukturer og/eller kortbetalingsordninger, navnlig om hændelsen har gentaget sig eller forventes at gøre det hos andre virksomheder, der udbyder betalingstjenester, om hændelsen har påvirket den gnidningsløse funktion af det finansielle markeds infrastrukturer eller forventes at gøre det, og om hændelsen har berørt det finansielle systems funktion som helhed eller forventes at gøre det.
Ja
Ikke relevant
Indvirkning på omdømmet
Virksomheder skal fastlægge, hvordan hændelsen kan underminere brugernes tillid til virksomheden selv og generelt til den underliggende tjeneste og markedet som helhed, navnlig under hensyntagen til sandsynligheden for, at hændelsen vil være samfundsskadelig.
Ja
Ikke relevant

Officielle noter

1) Bekendtgørelsen indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF, EU-Tidende 2015, nr. L 337, side 35.