Kredittilsynet
Postboks 100 Bryn
0611 OSLO
Deres ref. Deres brev Vår ref. Dato
2002/8627 10.10.2002 200200085 (SPB) 20.01.2003
2002/000702FNH)
Forslag til ny forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) - Høringssvar
Vi viser til Kredittilsynets brev av 10.10.02, med forslag til ny IKT-forskrift og anmodning om eventuelle kommentarer til forslaget.
Sammendrag
Sparebankforeningen og FNH deler Kredittilsynets oppfatning om at stabil drift av datasystemer, og kommunikasjonen mellom slike, blir stadig viktigere, og at det derfor i større grad enn tidligere er viktig å sikre kvaliteten på styringen av IKT-virksomheten. Forslaget til ny IKT-forskrift må i så måte betraktes som bedre enn dagens IT-forskrift.
Vi er imidlertid sterkt i tvil om formålet med reguleringen forsvarer kostnadene med å oppfylle så omfattende krav som forslaget synes å legge opp til. Det er etter vår vurdering nødvendig å få bedre frem begrunnelsen for reguleringen, noe som blant annet kan resultere i at en lettere ser at det er naturlig at aktører av forskjellig størrelse, og viktighet for samfunnet, blir underlagt forskjellige krav til oppfølging av sine systemer.
Det er videre vår oppfatning at en ny forskrift bør sees i sammenheng med annet eksisterende, og eventuelt nytt, regelverk på området. Vi tenker her spesielt på Internkontrollforskriften og Personopplysningsforskriften, samt det nå pågående arbeidet med en nasjonal strategi for informasjonssikkerhet. Et samarbeid med andre offentlige myndighetsorganer synes i denne sammenheng å også være helt nødvendig. Dersom det likevel skal utarbeides et nytt regelverk nå, bør dette skje i form av en utvidelse av Internkontrollforskriften, og ikke som en separat forskrift.
Vi har videre en del kommentarer direkte til forslagene til paragrafer.
Generelt om forslaget til regulering og detaljnivå
Som begrunnelse for behovet for ”oppgradering” av IT-forskriften vises det til at bruken av IKT innenfor Kredittilsynets tilsynsområder har endret seg, og at det er viktig at IKT-forskriften er oppdatert og samsvarer med bruk av teknologiske løsninger. Tilsynet viser også til arbeidet som pågår internasjonalt, med nytt risikobasert regelverk (Basel II) og det i denne sammenheng sannsynlige utfallet med større krav til foretakenes styring av operasjonell risiko.
Sparebankforeningen og FNH slutter seg til Kredittilsynets vurderinger av at kvaliteten på styringen av IKT-virksomheten er blitt viktigere for foretakenes funksjonsmåte og operasjonelle risiko, og at kontroll av operasjonell risiko krever mer oppmerksomhet enn før og krever høyere prioritering. Ut fra en isolert risiko- og beredskapsmessig innfallsvinkelsynes det heller ikke være grunn til å ha en annen oppfatning enn det tilsynet i høringsnotatet og utkastet til forskrift legger til grunn som prinsipper for god oppfølging av operasjonell risiko. I utkastet stilles krav til en profesjonell IKT-virksomhet, noe som er viktig både med tanke på den samfunnsmessige betydning en del slike systemer har og de forpliktelser den enkelte aktør har overfor egne kunder og eiere, samt egne ansatte innen virksomheten.
Oppfølgingen av risiko synes imidlertid å måtte bli svært grundig, med langt større krav til eksplisitt ansvarsplassering, skriftlighet i rutiner, prosedyrer og kvalitetsmål, enn i dagens IT-forskrift. Utover den generelle henvisningen til IKT-systemenes stadig større betydning generelt, finner vi ikke at høringsnotatet tar opp hvilke vurderinger som ligger til grunn for at kravene gjøres så omfattende, og som kan forsvare de ekstra kostnader en slik utvidet regulering vil påføre de foretak som omfattes av forslaget. Vi antar at forslaget må sees i sammenheng med de problemene som oppsto i EDB Fellesdata høsten 2001, og de ringvirkninger disse problemene gav. Denne episoden kan imidlertid etter vår oppfatning ikke tilskrives manglende regelverk, og heller ikke anses å være tilstrekkelig som begrunnelse for så omfattende generell regulering som det legges opp til i utkastet, spesielt når det stilles like krav til alle som omfattes av reglene. Merbelastningen blir relativt sett størst på de mindre aktørene, selv om det, som tilsynet trekker frem i høringsnotatet,til en viss grad er mulig å dra veksler på det samarbeidet som skjer når det gjelder kjøp av tjenester.
Vi savner generelt i høringsnotatet en drøftelse av risiko knyttet til virksomhetenes anvendelse av IKT. Etter vår oppfatning bør slik regulering være basert på en klarere definert hensikt, og være knyttet til de enkelte IKT-systemenes samfunnsmessige betydning, herunder hvilke ringvirkninger operasjonelle problemer i enkeltforetak kan gi. For systemer som ikke klart kan anses å ha slik betydning, må nivået på operasjonell kvalitet være en naturlig del av de privatøkonomiske vurderingene i det enkelte foretak. Reguleringen må også utredes og vurderes i forhold til anerkjente standarder og prinsipper, både nasjonale og internasjonale, slik at en også sikrer at reguleringen virker konkurransenøytralt i forhold til utenlandske konkurrenter. Dette tilsier blant annet at en i første omgang bør avvente resultatene av det internasjonale arbeidet med kapitalkrav som også skal dekke operasjonell risiko (”Basel II”), og aktørenes tilpasninger til de regler som eventuelt vil følge av dette arbeidet.
Høringsnotatet tar heller ikke opp hvordan forslaget til ny IKT-forskrift samsvarer med andre aktuelle lover og forskriftskrav. Sparebankforeningen og FNH vurderer det som en unødvendig komplisert reguleringsteknikk at bestemmelsene i utkastet til IKT-forskrift ikke kan innarbeides i eller harmoniseres bedre med den allerede eksisterende Internkontrollforskriften. Sistnevnte forskrift er kommet til etter at IT-forskriften trådte i kraft. To separate forskrifter fra Kredittilsynet, som delvis er overlappende, gjør oppfølgingen av regelverket mer arbeidskrevende både for de som er regulert og for regulatør, og i verste fall kan forskriftene komme i motstrid med hverandre. Hertil kommer at det i forskrift hjemlet i Lov om personopplysninger er gitt regler som stiller relativt omfattende krav til sikring av personopplysninger, herunder krav til IT-systemer og krav om etablering av internkontrollsystemer. Generelt bør arbeidet med IKT-forskriften - eventuelt også Internkontrollforskriften - også vurderes i sammenheng med det nå pågående arbeide med å utarbeide en nasjonal strategi for informasjonssikkerhet. Vi viser i denne sammenheng til følgende utdrag fra det dokument som Nærings- og handelsdepartementet sendte ut på høring 21.10.02 (s. 44):
"For å forenkle etterlevelsen av IT-sikkerhet i norske virksomheter, bør det være et mål å harmonisere, samordne og forenkle anvendelse av terminologi, standarder, normer, tilsynsmetodikk m.m. innen IT-sikkerhet der forholdene ligger til rette for dette. En slik samordning vil forenkle brukervirksomhetenes arbeid med IT-sikkerhet og beredskap og den vil kunne bidra til et samfunnsmessig kostnadseffektivt tilsyn.
Det bør derfor treffes tiltak for å styrke koordineringen og utøvelse av koordinerings- og / eller tilsynsansvar mellom de tre departementene og utøvelse av myndighet mellom NSM (Nasjonal Sikkerhetsmyndighet), PT (Post- og Teletilsynet), Datatilsynet (DT), DSB(Direktoratet for sivilt beredskap), Kredittilsynet, mfl. for å forenkle tilsyn, etterlevelse, normering og forståelse av lover og forskrifter. (...)"
En naturlig konklusjon er derfor at Kredittilsynet også avventer sluttbehandlingen av den rapport det vises til over før det eventuelt utarbeides ny IKT-forskrift. Alternativtbør reguleringen innarbeides i Internkontrollforskriften. De institusjoner som faller utenfor virkeområdet til Internkontrollforskriften, kan eventuelt reguleres direkte gjennom en egen IKT-forskrift eller ved at virkeområdet for Internkontrollforskriften utvides.
Vi merker oss for øvrig at høringsnotatet inneholder en del vurderinger knyttet til hvordan operasjonell risiko bør følges opp, mens utkastet til forskrift er begrenset til de konkrete krav til oppfølging. Vi vil også peke på at det synes vanskelig å se at forskriften kan stå alene, uten høringsnotatets presiseringer. (Jf. i denne sammenheng også vår kommentar til § 4.) Detaljgraden i kravene vil videre stille store krav til kontinuerlig oppdatering av forskriften. En rammeregulering kombinert med en en veileding i gode oppfølgingsprinsipper burde langt på vei kunne gi de samme effekter som tilsynet ønsker å oppnå gjennom forslaget til forskrift.
Kommentarer til utkastet til forskrift og de enkelte paragrafer
Innledningsvis tillater vi oss å anføre at ordlyden i utkastet til forskrift generelt bør bearbeides noe, med hensyn til språk og konsistens. Flere av setningene synes ikke å være helt fullstendige, og språket kan enkelte steder virke noe tungt og bestemmelsene uklare. Et eksempel på dette er at det noen steder stilles krav om at foretaket skal ”fastsette” eller ”utarbeide” regler, mens det andre ganger er krav om at det skal ”foreligge” eller foretaket skal ”ha etablert” regler. Førstnevnte innebærer et krav om at noe skal bli gjort, mens sistnevnte innebærer at noe allerede skal være på plass. Vi antar imidlertid at de ulike begrepene her er benyttet synonymt, og ikke er ment å reflektere realitetsforskjeller.
Generelt finner vi det viktig at en benytter begreper i samsvar med definisjoner som er gitt i andre deler av lov- og regelverket på finansområdet, herunder lov om betalingssystemer m.v.. Det ville også vært en fordel om en baserte seg på kjente begreper fra annen IT-litteratur. ”IT-sikkerhet” er her et sentralt begrep, og omfatter tilgjengelighet, integritet og konfidensialitet. En må videre unngå at begrepenes innhold tolkes ulikt av virksomhetene. Vi savner i denne sammenheng en definisjonsliste, med eksplisitte definisjoner og/eller henvisninger til andre steder i lovverket. Eksempler på begreper som bør defineres klarere er kontinuitetsplaner, katastrofeberedskap, katastrofeplaner, videreutvikling og systemvedlikehold. Enkelte andre noe uheldige ord- eller språkvalg vil vi nevne under de påfølgende kommentarer til de enkelte paragrafer. Vi vil også vise til at de ulike kravene i forskriftsforslaget ikke er beskrevet i samme detaljeringsnivå.
Til § 1:
Med de forbehold som følger av våre generelle kommentarer til forskriftsutkastet, vil vi gi vår tilslutning til forslaget om å gi reguleringen et større virkeområde enn dagens IT-forskrift. Dette gjelder både utvidelsen til å gjelde flere typer foretak og utvidelsen til å gjelde flere typer IKT-systemer. Vi er imidlertid noe i tvil om betegnelsen ”IKT-systemer som er av betydning for foretaket" er presis nok, og vi antar at begrepet kan tolkes slik at virkeområdet favner ut over det som er nødvendig med tanke på hensikten med reguleringen. Vi vil i denne sammenheng igjen peke på at det er viktig å fokusere på den samfunnsmessige betydning operasjonell svikt i de aktuelle systemer kan ha.
Som foreslått i utkastet bør virkeområdet defineres ut fra type foretak, og ikke ved bruk av navnet til enkeltforetak. Dette må anses å være en riktig innfallsvinkel, og sikrer dessuten at forskriften faktisk regulerer målgruppen.
Ut fra omtalen i høringsnotatet synes det klart at Kredittilsynet har lagt opp til at BBS fortsatt skal være direkte omfattet av virkeområde, noe som også er bekreftet muntlig over telefon. Vi vil i denne sammenheng peke på at vi anser BBS for å falle utenfor virksomhetsområdet, etter opplistingen i utkastets § 1. BBS gjennomfører ikke oppgjør, og kan derfor ikke defineres som en ”Oppgjørssentral”. ”Oppgjørssentraler” er videre, etter vår vurdering, et begrep som i beste fall er unøyaktig. Det synes også unaturlig at BBS skal kunne omfattes av ”Systemer for betalingstjenester”. Systemer for betalingstjenester er i lov om betalingssystemer definert som ”systemer basert på standardvilkår for overføring av penger fra eller mellom kundekonti i banker og finansieringsforetak når overføringene bygger på bruk av betalingskort, tallkoder eller annen form for selvstendig brukerlegitimasjon utstedt til en ubestemt krets”. Ut fra dette oppfatter vi ikke begrepet ”systemer for betalingstjenester” dit at det beskriver en type juridisk enhet, som for eksempel kan pålegges plikter i en forskrift. Det er foretaket eller enheten som driver systemer for betalingstjenester som i tilfelle vil være adressat for påleggene i en forskrift. Bruken av begrepet i forskriften må ta hensyn til dette.
Et annet spørsmål er om det i det hele tatt er naturlig at BBS omfattes direkte av reguleringen. BBS har flere roller. BBS er for det første underleverandør av IT-tjenester til bankene. BBS vil, og bør, på dette området etter forskriftsteksten likestilles med andre underleverandører til den enkelte bank. BBS er videre driftssted for bankenes felles interbanksystem NICS. NICS driftes etter avtale med NICS Operatørkontor, som er en forening med de to bankforeningene som medlemmer. Det er NICS Operatørkontor som er ansvarlig for driften av NICS, og har konsesjon fra Norges Bank for drift av dette systemet. Norges Bank stiller i denne sammenheng krav både til beredskap og reserveløsninger, og har ansvar for tilsyn med systemet. Også på dette området bør det sikres at "dobbeltregulering" unngås. Det er derfor vår klare oppfatning at BBS ikke bør være direkte omfattet av virkeområdet for forskriften, men derimot for de aktuelle aktivitetsområdene være underlagt forskriften gjennom utkontrakteringsbestemmelsen i utkastets § 12.
Til § 2:
Andre setning i paragrafen synes å være er ufullstendig. Vi antar at ordene ”er organisert” eller lignende mangler etter ordet ”avvikling”. Videre er ordet ”prosess” brukt på en måte som kan skape tvil om hva disse prosessene er knyttet til.
I henhold til paragrafens annen og tredje setning skal det foreligge beskrivelser/retningslinjer på en rekke områder, blant annet anskaffelse, utvikling, drift, systemvedlikehold, utkontraktering med videre. Vi er usikre på hvordan disse krav skal forstås i forhold de mer spesifikke bestemmelser om det vi oppfatter som de samme forhold i §§ 5, 6, 7, 8 og 12. Vi antar en slik oppsplitting gjør forskriften lite pedagogisk. Tilgjengeligheten blir dermed tyngre enn nødvendig.
Tilsynet bør vurdere om det kan være hensiktsmessig å også stille krav til uavhengig kontroll/revisjon.
Til § 3:
I overskriften introduseres begrepene ”risiko” og ”sårbarhet”. Begrepene bør forklares nærmere, ettersom disse begrepene av mange anses som overlappende. Vi finner det videre uheldig at man i første setning bruker begrepet ”risikovurdering”, mens det i neste setning benyttes begrepet ”risikoanalyse”, da vi antar at det menes det samme. I annen setning innføres dessuten begrepet ”sårbarhetsanalyse”, uten at det fremgår om dette har en spesifikk betydning i forhold til risikovurdering/risikoanalyse.
I første punktum krever man prosedyre for risikovurdering av "foretakets virksomhet", dette kreves også i Internkontrollforskriften. Vi er derfor usikre på i hvilken grad dette i denne sammenhengen er rettet mot IKT-relevante deler av virksomheten. I så fall er dette til å misforstå, ellers burde det være tilstrekkelig at det er beskrevet i Internkontrollforskriften.
I annet punktum synes det være en språklig svikt. Vi antar at det her menes at det skal være klare ansvarsforhold for oppfølging av risiko, men ikke for ”gjennomføring … av risiko”. Muligens har man i utkastet ment å gi uttrykk for at det skal være klare ansvarsforhold for gjennomføring av risikovurderingene.
Til § 4:
Begrepet ”kvalitetsmål” er ikke nærmere definert i forskriften, noe som krever at høringsnotatet er tilgjengelig når kravene i forskriften skal tolkes. Dette må anses å være uheldig.
Kravet om fastsettelse av kvalitetsmål for de enkelte deler av IKT-virksomheten må dessuten vurderes å høre så nært sammen med kravene som er beskrevet i § 2, at det av pedagogiske grunner vil være en fordel å behandle innholdet i denne paragrafen nært til regelen i § 2.
Til § 5:
Formuleringen ”skal sikre beskyttelse” foreslår vi erstattes med enten ”sikrer” eller ”beskytter”. Ordlyden fremstår videre som noe tung, og det fremstår som noe uklart hvilke krav det i siste setning vises til. Vi foreslår at denne setningen tas ut. Alternativt bør følgende formulering vurderes som erstatning: ”Det skal etableres krav til IKT-sikkerheten, som så langt det er praktisk mulig, er målbare. Det skal etableres prosedyrer som sikrer oppfølging av kravene.”
Til § 6:
Testing før produksjonssetting må anses å være helt avgjørende for unngå driftstekniske problemer. Det bør derfor etter vår oppfatning vurderes om eksplisitte krav om testrutiner bør inn i paragrafen. Det må videre komme klart frem at det er internt ansvarlig for driftensom godkjenner systemene før de settes i ordinær produksjon.
Videre omfatter § 6 anskaffelse, utvikling og videreutvikling, § 7 omfatter systemvedlikehold, § 8 drift og § 9 problem og endringshåndtering. Flere av disse begrepene går over i hverandre og vi forstår ikke hvorfor det skille på disse begrepene. Det skal videre være rutinerfor anskaffelse, retningslinjerfor systemvedlikehold, mens det kreves prosedyrerfor drift, men det er ikke klart for oss om det er forskjell i disse begrepene slik de er brukt. Generelt kunne man i disse paragrafene med fordel trukket inn det etablerte IT-sikkerhetsbegrepet som omfatter konfidensialitet, tilgjengelighet og integritet.
Både i § 6 og i § 8 er det videre et uttrykkelig krav om at rutinene skal være skriftlig. Et naturlig spørsmål er om skriftlighetskravet betyr at rutinene må foreligge på papir, eller vil kravet være oppfylt om rutinene lagres elektronisk. Vi viser i denne sammenheng til føringene for utarbeidelse av lover og forskrifter som er gitt av Nærings- og Handelsdepartementet gjennom eRegelprosjektet. Vi foreslår at ”skriftlig” erstattes med ”dokumenterte”.
Vi viser også til at formkrav om ”skriftlighet”, mangler i de fleste andre paragrafene. Det synes uklart om dette er valgt bevisst.
Til § 7:
Det bør vurderes om det er presist nok at konkrete krav om retningslinjer relateres til ”anerkjente prinsipper på området”.
Til § 8:
Etter vår vurdering må det viktige være at prosedyrene eksisterer og er innarbeidet og følges opp i organisasjonen.
Vi viser for øvrig til våre kommentarer til § 6 med hensyn til skriftlighetskravet.
Til § 9:
Generelt bør innholdet i prosedyrene komme før kravet om at prosedyrene skal være dokumentert. Setningen om ”eskaleringsrutiner” bør derfor flyttes frem.
En benytter i paragrafen begrepet ”produksjonssystemene”. Det synes uklart for oss om en med dette mener det samme som en i andre paragrafer betegner som ”IKT-systemene”. Videre benyttes begrepene ”problem” og ”avvik” om hverandre, uten at meningsforskjellen er forklart.
Kravene til dokumentasjon bør dessuten knyttes til ”vesentlighet”, jf. forslagets §13.
Til § 10:
Regelgiver presiserer her at kontinuitetsplanen skal være oppdatert. Dette kravet finnes ikke for de øvrige prosedyrer/planer/retningslinjer/rutiner – uten at vi klart ser om det har vært meningen at det skal være noen realitetsforskjell her. Vi benytter imidlertid anledningen til å peke på at forskriften mangler egen regel om oppdateringer/revisjoner av alle de prosedyrer med videre som aktørene skal etablere. Antagelig ville det være hensiktsmessig med en generell bestemmelse om dette.
Tilsynet bør vurdere om det i denne paragrafen, eller annet sted i forskriften, også bør knyttes noen formuleringer knyttet til kontinuitet på personellsiden, herunder rutiner for opplæring, både av brukere av systemene og IKT-personell.
Til § 11:
At man i overskriften omtaler ”driftsavbrudd” sammen med ”katastrofeberedskap” virker som at man kobler to ulike forhold. Driftsavbrudd er et begrep vi heller ville benyttet i forbindelse med § 10 om kontinuitetskrav. Generelt er det i §10 og §11 overlapping som bør unngås. En kontinuitetsplan skal ha som mål å sikre kontinuerlig drift. Viktige komponenter i en slik plan er forebygging mot avbrudd, håndtering av avbrudd og gjenoppretting av ordinær drift. Disse tre komponentene henger sammen, og bør behandles som en helhet. Vårt forslag er derfor at de to paragrafer samordnes til en, som dekker krav til kontinuitet inkludert beredskap.
Definisjonen av ”katastrofe” synes videre å være upresis og svært ”bred”. Hvilke begivenheter som fører til at en situasjon defineres som en ”katastrofe” vil videre, naturlig nok, være forskjellig fra aktør til aktør. Kravene i forskriften må ta hensyn til dette.
Vi har også visse problemer med situasjonsbeskrivelsen som gis i bestemmelsen. Vi tenker her på at man skal ”gjenopprette IKT-driften” i en situasjon der den samme ”ikke kan opprettholdes som følge av en katastrofe”. Enda mer påtagelig blir dette når katastrofe defineres som en situasjon der det har oppstått et ”driftsavbrudd” slik at ”IKT-drift ikke kan fortsette”.
Det bør videre vurderes om det i punkt f) bør skilles mellom ”varsling” av aktører som er direkte berørt av situasjonen og ”informasjon” til andre, som for eksempel media. Vi savner dessuten ”ledelsen” i listen over aktører som skal varsles.
Til § 12:
At kravene omfatter utkontraktert IKT-virksomhet må anses å være helt avgjørende for at forskriften skal gi de ønskede effekter. Vi tenker her ikke minst på aktørenes avhengighet av stabile telefoni- / kommunikasjonstjenester.
Vi er imidlertid noe usikre på om det generelt er klart nok hva som ligger i begrepet å ”forvalte”utkontrakteringsavtaler i utkastets femte ledd.
Til § 13:
Vi savner en angivelse av når treårsfristen for oppbevaring begynner å løpe. Det synes nærliggende å anta at oppbevaringsplikten gjelder for dokumentasjon som ikke lengre beskriver den aktuelle situasjon eller systemer, og begynner å løpe fra dette tidspunkt. Dette bør imidlertid komme klarere frem av ordlyden i forskriften.
Ut fra ordlyden i forslaget kan det videre tolkes som om det legges opp til at aktørene kontinuerlig skal oppbevare dokumentasjon av alle endringer som gjøres. Kravet vil i så fall være svært ressurskrevende å oppfylle i praksis. Vi antar videre at bestemmelsen bør vurderes og utformes under hensyntagen til de regler som allerede eksisterer for oppbevaring av dokumentasjon, herunder regler knyttet til regnskapslovens bestemmelser.
Til § 14 og 15:
Der er av stor betydning at tidspunkt for ikraftsettelse tar hensyn til den tid virksomhetene må ha til å tilpasse seg til de nye kravene. Dette gjelder også ved bruk av dispensasjonsadgangen, som også generelt bør benyttes fleksibelt, basert på en vurdering av systemenes betydning og risiko knyttet til feil.
Kontaktpersoner
Eventuelle spørsmål bes rettet til Per Erik Stokstad, Sparebankforeningen (tlf.: 22 98 65 34), eller Trond Bakkerud, FNH (tlf.: 23 28 43 53).
Med vennlig hilsen
for Finansnæringens Hovedorganisasjon for Sparebankforeningen i Norge
Trond Bakkerud Per Erik Stokstad
Kontorsjef Ass. direktør