Lov om finansiel virksomhed Kapitel 19 c

Stk. 2 Finanstilsynet skal ved udpegningen af en operatør af finansielle digitale infrastrukturer lægge vægt på følgende:

• 1) Omfanget og antallet af virksomheder i den finansielle sektor, som virksomheden varetager kritiske og vigtige opgaver for.

• 2) Karakteren af de kritiske og vigtige funktioner, som er afhængige af virksomhedens leverancer.

• 3) Betydningen af operatørens leverancer for den finansielle stabilitet.

• 4) Virksomhedens tilknytning til de virksomheder i den finansielle sektor, som modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.

Stk. 3 It-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur, kan udpeges som operatører af finansielle digitale infrastrukturer.

Stk. 4 Finanstilsynet skal på sin hjemmeside offentliggøre, hvilke virksomheder der er udpeget som operatører af finansielle digitale infrastrukturer.

Stk. 5 Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af finansielle digitale infrastrukturer, herunder de kriterier, som Finanstilsynet skal lægge vægt på efter stk. 1 og 2.

Stk. 2 En operatør skal som led i rammen for styring af it- og cyberrisici træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.

Stk. 3 Foranstaltningerne nævnt i stk. 2 skal omfatte følgende:

• 1) Politikker for risikoanalyse og informationssystemsikkerhed, jf. § 333 d,

• 2) håndtering af hændelser, jf. § 333 f,

• 3) driftskontinuitet, herunder backupstyring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7,

• 4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h-333 j,

• 5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2,

• 6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 333 e, stk. 10, og § 333 g,

• 7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11,

• 8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering,

• 9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver og

• 10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i infrastrukturen, hvor det er relevant.

Stk. 4 En operatør skal, når den overvejer foranstaltninger nævnt i stk. 3, nr. 4, tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer. Ved vurderingen skal operatøren desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant, og hvor resultaterne af sådanne vurderinger foreligger.

Stk. 2 Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.

Stk. 3 En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, og når der forekommer større it- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.

Stk. 4 En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.

Stk. 5 En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.

Stk. 6 En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, der medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.

Stk. 7 Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.

Stk. 2 Operatøren skal med passende mellemrum identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.

Stk. 3 Rammen for it- og cyberrisikostyring skal som minimum omfatte strategier, politikker, procedurer og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer såsom lokaler, datacentre og sensitive udpegede områder mod risici.

Stk. 2 En operatør skal løbende identificere alle kritiske forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske eller vigtige forretningsfunktioner for operatørens kunder.

Stk. 3 En operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.

Stk. 4 En operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.

Stk. 5 En operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data og udforme og gennemføre it-sikkerhedspolitikker, -procedurer og -protokoller og udforme it-værktøjer, der er egnet til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner.

Stk. 6 En operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.

Stk. 7 En operatør skal have en politik for it-driftsstabilitet, som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer m.v., med henblik på

• 1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile,

• 2) hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag,

• 3) at planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne, og som forhindrer yderligere skade, omgående aktiveres,

• 4) at anslå foreløbige virkninger, skader og tab og

• 5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til alt relevant internt personale og eksterne interessenter og indberettes til Finanstilsynet.

Stk. 8 En operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Operatøren skal endvidere have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.

Stk. 9 En operatør skal regelmæssigt teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.

Stk. 10 En operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.

Stk. 11 En operatør skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.

Stk. 2 En operatør skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning og håndtering af og opfølgning på it- og cyberhændelser, og at de grundlæggende årsager identificeres, dokumenteres og håndteres.

Stk. 3 En operatør skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.

Stk. 4 En hændelse anses for væsentlig, jf. stk. 3, hvis

• 1) den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren eller

• 2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

Stk. 5 En operatør skal ved en indberetning, jf. stk. 3, foretage følgende:

• 1) Indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

• 2) Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse fremsende en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.

• 3) Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er nævnt under nr. 1, og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning, og kompromitteringsindikatorerne, hvor sådanne foreligger.

• 4) Efter anmodning fra Finanstilsynet eller fra CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.

• 5) Fremsende en endelig rapport senest 1 måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte følgende:

  • a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.

  • b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.

  • c) Anvendte og igangværende afbødende foranstaltninger.

  • d) Oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.

• 6) Forelægge en statusrapport for Finanstilsynet og CSIRT’en senest 1 måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest 1 måned efter operatørens håndtering af hændelsen.

Stk. 6 En operatør skal, hvor det er relevant, uden unødigt ophold underrette modtagere af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.

Stk. 7 En operatør skal uden unødigt ophold underrette modtagere af opetatørens tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.

Stk. 8 En operatør kan underrette Finanstilsynet om en væsentlig cybertrussel, når operatøren anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.

Stk. 2 En operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og er integreret i operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.

Stk. 3 En operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf.

Stk. 4 Vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstest, jf. stk. 3, skal foretages ud fra

• 1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor,

• 2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og

• 3) operatørens specifikke it-risikoprofil, grad af it-modenhed og de teknologiske kendetegn, der er involveret.

Stk. 2 En operatør, der har overladt driften af en forretningsfunktion til en leverandør, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.

Stk. 3 En operatør skal regelmæssigt gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.

Stk. 4 En operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.

Stk. 5 En operatør skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.

Stk. 6 Inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren

• 1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion,

• 2) vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt,

• 3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen,

• 4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet, og

• 5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.

Stk. 7 Når en operatør indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester. Operatøren skal på grundlag af en risikobaseret tilgang fastsætte hyppigheden af revisioner og inspektioner og de områder, der skal underkastes revision.

Stk. 8 En operatør skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer:

• 1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår.

• 2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester.

• 3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring.

• 4) Finanstilsynet kan ikke længere føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.

Stk. 9 En operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder

• 1) mulige svigt fra tredjepartsudbyderens side,

• 2) en forringelse af kvaliteten af de leverede it-tjenester,

• 3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester,

• 4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester og

• 5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.

Stk. 10 En operatør skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten, i tilfælde af at de omstændigheder, der er nævnt i stk. 9, indtræder.

Stk. 11 En operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden at

• 1) dens forretningsaktiviteter afbrydes,

• 2) efterlevelsen af de lovgivningsmæssige krav begrænses og

• 3) kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.

Stk. 12 Exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.

Stk. 13 En operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepartsudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.

Stk. 2 De kontraktlige ordninger for brugen af it-tjenester skal mindst omfatte følgende elementer:

• 1) En klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.

• 2) En angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.

• 3) Bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.

• 4) Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.

• 5) Beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.

• 6) En forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.

• 7) En forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.

• 8) Opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.

Stk. 3 De kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er nævnt i stk. 2, mindst omfatte følgende:

• 1) En fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester og uden unødigt ophold træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.

• 2) Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for operatøren, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer.

• 3) Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed, for at operatøren kan levere sine tjenester.

• 4) En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest, jf. § 333 g, stk. 3.

• 5) En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs-, inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.

• 6) Exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiode,

  • a) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, og

  • b) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.

Stk. 2 En operatør skal underrette Finanstilsynet om sin deltagelse i de ordninger, der er nævnt i stk. 1, og i tilfælde af udtrædelse af sådanne ordninger.

Stk. 2 Ved ændring af oplysningerne i stk. 1 skal operatøren straks og senest 3 måneder efter ændringen underrette Finanstilsynet herom.

Stk. 2 Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil operatøren træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1 blev anvendt.

Stk. 3 En afgørelse efter stk. 1 kan af operatøren eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Sagen anlægges i den borgerlige retsplejes former.