Tilsyn med beredskapen i det elektroniske betalingssystemet mv.
Finanstilsynet og Norges Banks brev av 23. mai 2016 til Finansdepartementet
1. Innledning
Finanstilsynet og Norges Bank opplyste i brev til departementet 30.11.2012 at de skulle gjennomføre et felles tilsyn for å undersøke beredskapen til det elektroniske betalingssystemet, herunder bankenes beredskap for distribusjon av kontanter. Tilsynet ble gjennomført i 2013, og omfattet DNB ASA, Storebrand Bank ASA, Lillestrøm Sparebank og NICS Operatørkontor. Merknader ble sendt i 2015, og følger vedlagt. Nedenfor oppsummerer vi funn fra tilsynet.
Vi viser også til Finanstilsynets brev til departementet av 19.6.2013 som delvis besvarer departementets spørsmål i brev av 26.4.2013. Avslutningsvis gis en oppdatering av arbeidet med prioritering av strøm og tele.
Finanstilsynet og Norges Bank vil følge opp beredskapen for det elektroniske betalingssystemet. Når det gjelder bankenes beredskapsansvar for distribusjon av kontanter i en krisesituasjon, vil vi komme tilbake til departementet. Vi viser i den forbindelse til rapporten «Alternative betalingsmåter i en beredskapssituasjon» (datert 4.9.2009). Vi viser og til departementets brev av 26.4.2013 og 27.3.2012, brev fra Finanstilsynet og Norges Bank til departementet av 30.11.2012 og 31.1.2012. Det vises videre til brev fra Finans Norge til Finanstilsynet av 31.10.2012.
2. Vurdering av beredskapen i det elektroniske betalingssystemet
Etter Finanstilsynets og Norges Banks vurdering er ikke den elektroniske beredskapen for betalingssystemet god nok. Det har skjedd forbedringer i drifts- og kriseløsningene for de elektroniske betalingssystemene de senere årene, men bankene og deres fellessystemer har ikke dokumentert at de har kriseløsninger som sikrer kundene tilfredsstillende betalingsformidling.
Digitalt sårbarhetsutvalg viser i NOU 2015:13 «Digital sårbarhet – sikkert samfunn» til at IKT-leverandører ikke selv kan sikre reservekommunikasjon dersom teleoperatørens leveranser faller ut. Ut fra dagens status på beredskapsløsningene viser sårbarhetsutvalget også til at kontanter gir flere muligheter i en krisesituasjon.
I NOU 2015:13 punkt 16.5.7 står:
«Avhengigheten av elektronisk kommunikasjon (ekom) er stor. Sentrale finansaktører bruker i stor grad samme kraft- og ekomleverandører. Finansbedrifter og IKT-leverandører kan ikke selv sikre reservekommunikasjon dersom teleoperatørenes leveranser faller ut.»
I NOU 2015:13 punkt 16.7.5 står
«Full overgang til digitale løsninger og dermed kun elektroniske penger kan ut fra en beredskapsmessig synsvinkel gi økt sårbarhet ut fra dagens status for beredskapsløsningene.
Utvalget mener dette er et eksempel på en stor sårbarhet med digitalt utspring som Norge må ha beredskap for. At det eksisterer kontanter, gir i seg selv flere muligheter i en krisesituasjon.»
3. Nærmere om merknader etter tilsyn med beredskapsløsninger
Det følger av Finanstilsynets og Norges Banks merknader til bankene at de ikke har tilfredsstillende beredskap for distribusjon av kontanter i en krisesituasjon.
I merknadene til DNB ASA står:
«Finanstilsynet og Norges Bank har videre notert seg bankens arbeid med etablering av nye datasenter med tilhørende beredskapsløsninger, heri også et tredje driftssted (katastrofesikring) for stormaskin som skal være operativt ila. 2015. Disse tiltakene vil bedre DNBs beredskap, men bankens beredskap for totalutfall av systemene er begrenset av evne til å håndtere kontanter, anslått til ca 2-3 dager. Finanstilsynet og Norges Bank vurderer derfor at DNB har mangler i sin totale beredskap.»
DNB ASA etablerte i 2015 to tredje driftssteder for blant annet sine betalingsløsninger. Løsningene er delvis testet. Full produksjonstest gjenstår.
I merknader (2.7.2015) til Storebrand Bank ASA står:
«Storebrand Bank ASA har ikke kontanthåndtering og vil ikke kunne yte betalingstjenester i en trinn 3 situasjon (1). Storebrand Bank ASA har ikke beredskap for en slik situasjon.»
I merknader (24.8.2015) til Lillestrøm Sparebank står:
«Finanstilsynet og Norges Bank ser at Lillestrøm Sparebank i noen situasjoner i en trinn 3 situasjon vil kunne forsyne sine kunder med kontanter. Totalt sett er beredskapen i en slik situasjon likevel mangelfull.»
Vi viser også til merknader (3.7.2015) til NICS Operatørkontor:
«Basert på mottatt informasjon om det tekniske oppsettet for katastrofeløsningen, hensyntatt viktigheten NICS har for finansiell stabilitet, er Norges Banks og Finanstilsynets vurdering at NICS Operatørkontor ikke har tilfredsstillende katastrofeløsning.»
NICS Operatørkontor arbeider med nytt driftsopplegg og ny kriseløsning.
4. Prioritering av aktører i finansiell infrastruktur når det gjelder tilgang til strømforsyning og telekommunikasjon i en beredskapssituasjon
Som et ledd i arbeidet med beredskapen i det elektroniske betalingssystemet har Finanstilsynet foreslått at seks foretak som leverer finansielle tjenester prioriteres når det gjelder tilgang til strømforsyning og telekommunikasjon i en beredskapssituasjon. Finanstilsynet har bidratt til at det er etablert rutiner hos disse foretakene for å oppdatere sine strøm- og teleleverandører med informasjon som gjør det mulig for dem å følge opp myndighetenes prioritering dersom en beredskapssituasjon skulle oppstå.
Hilsen
Emil Steffensen
Finanstilsynet
Sindre Weme
Norges Bank
Vedlegg
- Merknader til DNB Bank ASA 3.7.2015
- Merknader til Storebrand Bank ASA 2.7.2015
- Merknader til Lillestrøm Sparebank 24.8.2015
- Merknader til NICS Operatørkontor 3.7.2015
Fotnote
1. Trinn 3-situasjon ble under tilsynene brukt om situasjoner der første- og andreforsvaret har sviktet.