Kredittilsynet
Postboks 100 Bryn
0611 Oslo
Deres ref. Deres brev Vår ref. Dato
27.02.2009 Spbf: 200200085 19.06.2009
FNH: 2009/00282
Vi viser til Kredittilsynets brev av 27.03.09 med forslag til endring i IKT-forskriften.
FNH og Sparebankforeningen vil innledningsvis vise til de synspunkter som ble uttrykt i vår høringsuttalelse til utkast til rundskriv om rapportering av IKT-hendelser til Kredittilsynet (innføringen av prøveordningen), datert 01.10.07. De bekymringer som der ble uttrykt knyttet til bankenes totale rapporteringsbyrde og vår vurdering av at Kredittilsynets ikke burde ha behov for så omfattende og tidskritisk rapportering, er fortsatt gjeldende.
Vi registrerer at Kredittilsynet viser til at ”rapporteringen fungerer etter hensikten og gir viktig informasjon som benyttes i risikoarbeidet”. Etter vårt syn må et viktig resultat av rapporteringen vært økt fokus på risiko og hensiktsmessig risikoarbeid i den enkelte bank. Vår opplevelse er at bankene har klart å tilpasse seg prøveordningen på en god måte. Vi registrerer samtidig at bankene uttrykker en generell bekymring for en stadig økende rapporteringsbyrde. Vi vil også peke på at det er ulike vurderinger blant bankene om den nytte den enkelte bank har av at rapporter om hendelser også sendes til Kredittilsynet.
Siden Kredittilsynet selv mener denne rapportering fungerer etter hensikten, ser vi ikke behovet for at en nå formaliserer ordningen som et obligatorisk krav. Etter vårt syn bør en først foreta tilpasninger slik at en i størst mulig grad får til en rasjonell rapportering og dermed reduserer rapporteringsbyrden. Det vil gi et godt bidrag til bankenes motivasjon for rapporteringen. Samtidig er det viktig at bankene får gode tilbakemeldinger om hvordan de enkelte rapporter benyttes og stilles sammen med annen informasjon til et totalbilde. Sett fra den enkelte banks ståsted vil en slik tilbakemelding kunne bli et godt bidrag i det forebyggende arbeid mot at hendelser skal oppstå. Vi viser i denne sammenheng også til vår uttalelse fra 2007, om standardisering av klassifiseringen av hendelser:
”Viktig er det også å se hendelsesrapportering i sammenheng med den kartlegging av hendelser som følger av Basel II-reglenes bestemmelser om operasjonell risiko, noe som krever at vesentlighet av hendelsene oppfattes noenlunde likt. Tilsynet bør i denne sammen¬heng klart definere disse alvorlighetsgrader. Fra banknæringens side er det nærliggende å ta til orde for den klassifisering av avvik som banker benytter i forbindelse med NICS.”
Klassifiseringen i NICS, som også ble gjengitt i brevet i 2007, er i ”Felles kvalitets- og beredskapsplan for driftshåndtering av NICS (Norwegian Interbank Clearing System) 2008” beskrevet som følger:
”Avvikskategorier.
Avvikskategorier er en inndeling av avvik etter alvorlighetsgrad, det vil si forsinkelser, nedetid eller annet som forhindrer banken eller bankens kunder å gjennomføre normal transaksjonsbehandling.
Et avbrudd i en tjenesteleveranse, uavhengig av årsak vil gjøre det nødvendig å håndtere avviket med hensyn på å redusere omfang, sørge for informasjon, og ha prosesser for å gjenopprette normal leveranse. Avhengig av krisens varighet, kortsiktige og langsiktige konsekvenser, kan det være nødvendig å oppgradere til høyere avvikskategori. Området som er rammet vil bestemme oppgraderingen og prosesser som igangsettes.
Tabellen nedenfor viser de definerte avvikskategoriene.
Avviks-
kategori |
Normal utløsende faktor |
Omfang |
Opptrapping |
Prosess-
beskrivelse |
| 1 |
Avvik |
Hendelser som fører til mindre forsinkelser eller avbrudd og hvor man har kontroll med årsaksforhold. |
Oppgraderes til
kategori 2 dersom leveranse ikke kan skje i henhold til driftsmønster selv om utsettelser var innvilget. |
Henvisning
punkt 4.4.1 |
| 2 |
Avbrudd |
Hendelser hvor alle normale ressurser er tilgjenglig for å utbedre feilen med ukjent oppretningstid. |
Oppgraderes til
kategori 3 ved forsinkelser eller avbrudd som medfører at produksjonen tidligst kan inngå i neste oppgjørsdøgn. |
Henvisning
punkt 4.4.2 |
| 3 |
Langvarig avbrudd |
Samme som ovenfor, men varighet er analysert til å være langvarig. |
Oppgraderes til
kategori 4 ved forsinkelser eller avbrudd som medfører at det vil gå mer enn et døgn før produksjonen kan foregå på normalt vis. |
Henvisning
punkt 4.4.36 |
| 4 |
Katastrofe |
Unormal hendelse og som gjør at drift ikke kan fortsette på normal måte, på normalt sted og med normale ressurser. |
|
Henvisning
punkt 4.4.4 |
Det som for aktørene kan oppleves som en katastrofe er ikke nødvendigvis sammenfallende med en beslutning om overgang til en ”katastrofeløsning”. Enhver krise som oppstår må håndteres individuelt og beslutninger tas løpende basert på tilgjengelig informasjon, med formål å raskest mulig etablere en normal situasjon og redusere skadevirkninger.
Standardisering av hendelser vil ikke bare lette arbeidet med å klassifisere og rapportere i bankene, men sannsynligvis også lette Tilsynets analyser av innrapporterte hendelser.
Vi registrerer at Bankenes Betalingssentral AS (BBS) har deltatt i den frivillige rapporteringsordning som Kredittilsynet nå foreslår å gjøre obligatorisk for alle foretak som omfattes av IKT-forskriften. Slik vi ser det, er BBS ikke underlagt IKT-forskriften. Det er likevel slik at de avtaler de enkelte banker har med BBS som underleverandør, skal ”sikre at Kredittilsynet gis tilgang til opplysninger fra og [adgang til] tilsyn hos IKT-leverandøren der Kredittilsynet finner det nødvendig som et ledd i tilsynet med foretaket”. Hvorvidt BBS etter at rapporteringsordningen eventuelt gjøres obligatorisk skal videreføre rapportering til Tilsynet og de nærmere rutiner for dette, må bli et spørsmål som foretak som er underlagt IKT-forskriften og som benytter BBS for underleveranser, tar stilling til.
Spørsmålet om hensiktsmessig rapportering fra bank om hendelser i IKT-leveransene fra BBS Infrastruktur AS er et spørsmål som må drøftes mellom de enheter som har forvalteransvaret på vegne av næringen for slike leveranser (servicekontorene og BankID Norge – tidligere BankID Operasjonell Forvalter) og bankene.
Vi vil for ordens skyld gjøre oppmerksom på at rapportering om hendelser i NICS skjer fra NICS Operatørkontor (konsesjonshaver) til Norges Bank som konsesjonsmyndighet. Vi vil tro at NICS Operatørkontor ikke ser det som hensiktsmessig å rapportere hendelser også til Kredittilsynet.
Med hilsen
for Finansnæringens Hovedorganisasjon for Sparebankforeningen i Norge
Tor J. Bjerkedal Jan Digranes