Bekendtgørelse af lov om betalinger § 125

Med forslaget til § 125 fastsættes en række forpligtelser med hensyn til håndtering af operationelle og sikkerhedsmæssige risici for en udbyder af betalingstjenester.

Bestemmelsen er ny og gennemfører artikel 95 og 97, stk. 3, i 2. betalingstjenestedirektiv.

Med henblik på at sikre tillid til og stabilitet i det finansielle system er det nødvendigt at fastsætte tilstrækkelige lovgivningsmæssige rammer for sikkerheden i forbindelse med udbuddet af betalingstjenester, således at forbrugere og virksomheder kan være betrygget i, at deres betalinger håndteres på en sikker måde, der begrænser risiciene for svindel, nedbrud og tekniske fejl. I den henseende fastsætter lovforslagets §§ 125-128 rammerne for udbydere af betalingstjenesters håndtering af operationelle og sikkerhedsmæssige risici.

2. betalingstjenestedirektiv fastsætter en række overordnede principper for udbyderes håndtering af operationelle og sikkerhedsmæssige risici. Disse principper gennemføres i dette lovforslags §§ 125-128. I artikel 95, 96 og 98 i 2. betalingstjenestedirektiv fastsættes imidlertid en række mandater til EBA og Kommissionen med henblik på at udarbejde mere detaljerede retningslinjer og standarder for hvordan disse principper skal udmøntes. I visse tilfælde fastsættes disse i delegerede retsakter af Kommissionen i form af forordninger, som derved vil have direkte retsvirkning her i landet. I andre tilfælde fastsættes de i retningslinjer fra EBA, som Finanstilsynet efterfølgende skal gennemføre. Der henvises i øvrigt til afsnit 8 i de almindelige bemærkninger for en nærmere beskrivelse af forholdet til EU-retten.

Det foreslås i stk. 1, nr. 1, at en udbyder af betalingstjenester skal fastlægge og opretholde procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder.

Bestemmelsen skal ses i sammenhæng med lovforslagets § 25, nr. 8, hvoraf det følger, at betalingsinstitutter og e-pengeinstitutter, for at kunne opnå og opretholde deres tilladelse, skal have betryggende kontrol- og sikkerhedsforanstaltninger på it-området. Det indebærer blandt andet, at bestyrelsen skal fastlægge en it-sikkerhedspolitik for virksomheden ud fra den ønskede risikoprofil på it-området, som er identificeret på baggrund af konkrete risikovurderinger relateret til virksomhedens it-anvendelse. Direktionen skal sikre, at it-sikkerhedspolitikken efterleves, eksempelvis ved, at direktionen uddyber it-sikkerhedspolitikken i procedurer, forretningsgange mv., der i tilstrækkelig grad understøtter relevante forhold relateret til virksomhedens it-anvendelse.

Den foreslåede bestemmelse i stk. 1, nr. 1, går videre end kravet i § 25, nr. 8, idet den omfatter alle udbydere af betalingstjenester, og ikke kun e-pengeinstitutter og betalingsinstitutter. Bestemmelsen omfatter derved også eksempelvis pengeinstitutter. Derudover fastsætter bestemmelsen mere konkrete krav til udformningen af procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med udbuddet af betalingstjenester.

Der skal i udarbejdelsen af procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici tages udgangspunkt i den eller de konkrete betalingstjenester, som virksomheden udbyder. Derudover bør udbyderen generelt tage højde for best practices, hvad angår håndtering af de generelle operationelle it-risici. En udbyder skal ifølge forslaget fastlægge og opretholde disse procedurer og kontrolmekanismer. Det indebærer, at de løbende bør opdateres og, at der udarbejdes forretningsgange, som sikrer, at de efterleves i den daglige drift.

Der skal som udgangspunkt anvendes proportionalitet i kravene til, hvad disse bør omfatte, således at de reflekterer virksomhedens størrelse og de udbudte betalingstjenesters omfang og karakter. De skal dog under alle omstændigheder adressere, hvordan operationelle it-risici identificeres, vurderes og imødegås, samt hvorledes der sikres tilstrækkelig kontrol og opfølgning med udførelsen af imødegående kontrol- og sikringsforanstaltninger. Endvidere skal det sikres, at ændringer til det eksisterende it-risikobillede løbende vurderes og at imødegående kontrol- og sikringsforanstaltninger tilpasses herefter. I tillæg hertil kan de indeholde en beskrivelse af, hvordan certificeringsprocesser håndteres i det omfang virksomheden udbyder betalingstjenester, der kræver en certificering. Det kunne eksempelvis være udbydere af indløsning eller udstedelse af betalingskort, som skal opnå en certificering i henhold til internationale betalingskortstandarder.

Ifølge forslaget til stk. 3, fastsætter Finanstilsynet nærmere regler om indholdet af procedurerne og kontrolmekanismerne. Der henvises til bemærkningerne herfor.

Det foreslås i stk. 1, nr. 2, at udbydere af betalingstjenester skal fastlægge og opretholde effektive procedurer for håndtering af drifts- og sikkerhedshændelser.

Ved drifts- og sikkerhedshændelser forstås tekniske og operationelle svigt, fejl og nedbrud samt sikkerhedsmæssige kompromitteringer, som kan få driftsmæssige eller økonomiske konsekvenser for udbyderens brugere. Hændelsesrapporteringskravet berører alle betalingsrelaterede tjenester. Det omfatter eksempelvis nedbrud eller indbrud i netbank, svigt og nedbrud i betalingssystemer eller kortsystemer eller fejl i tekniske systemer, der medfører generel manglende eller mangelfuld gennemførelse af betalingstransaktioner.

Omfanget af procedurerne skal fastsættes i overensstemmelse med virksomhedens omfang og type. Det afhænger således af bl.a. størrelse og typen af betalingstjenester, hvilke procedurer det er nødvendigt at fastsætte. Uanset, at der skal anlægges et proportionalitetshensyn når procedurerne fastlægges, skal de altid indeholde en beskrivelse af, hvordan virksomheden opdager, klassificerer og reagerer på drifts- og sikkerhedshændelser. Procedurerne bør således altid indeholde en beredskabsplan samt en beskrivelse af, hvordan en hændelse eskaleres internt i virksomheden, da størrelsen på hændelse bør afgøre omfanget af foranstaltningerne, der skal sættes i værk.

Bestemmelsen skal ses i sammenhæng med udbyders forpligtelse, jf. lovforslagets § 126, til snarest muligt at underrette Finanstilsynet om væsentlige drifts- og sikkerhedshændelser. Ifølge forslaget til nr. 2, skal alle udbydere fastlægge og opretholde procedurer for, hvordan drifts- og sikkerhedshændelser håndteres, herunder hvordan det sikres, at Finanstilsynet orienteres rettidigt, samt hvordan udbyderens brugere orienteres, hvis hændelsen kan have negativ indvirkningen på brugernes økonomiske interesser, i henhold til forpligtelsen i § 126.

Det foreslås i stk. 1, nr. 3, at udbydere af betalingstjenester skal fastlægge og opretholde passende sikkerhedsforanstaltninger, der beskytter integriteten og fortroligheden af brugerens personaliserede sikkerhedsforanstaltninger i overensstemmelse med forordninger og regler udstedt i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv nr. 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

En brugers personaliserede sikkerhedsforanstaltninger består, jf. lovforslagets § 7, nr. 31, af elementer, som udbyderen stiller til rådighed for brugeren med henblik på at foretage autentifikation. Autentifikation er en procedure, der medfører, at en udbyder kan verificere identiteten af brugeren eller validiteten af anvendelsen af et specifikt betalingsinstrument. For at sikre, at en procedure for brugerautentificering ikke kan misbruges af tredjemand, eksempelvis til at udgive sig for at være brugeren, er det afgørende, at fortroligheden og pålideligheden af de elementer, som proceduren for brugerautentificering beror sig på, ikke kompromitteres.

En udbyder af betalingstjenester skal således implementere tilstrækkelige kontrol- og sikringsforanstaltninger, som skal sikre, at brugerens personaliserede sikkerhedsforanstaltninger beskyttes. Disse foranstaltninger skal derudover opretholdes, hvilket indebærer, at udbyderen løbende skal opdatere kontrol- og sikringsforanstaltningerne, hvilket skal gøres på baggrund af en løbende risikovurdering.

Sikkerhedsforanstaltningerne skal fastsættes i overensstemmelse med omfanget og karakteren af den eller de betalingstjenester, som de personaliserede sikkerhedsforanstaltninger kan anvendes til at autentificere. Som minimum bør sikkerhedsforanstaltningerne dog altid indeholde procedurer og kontrolmekanismer, som sikrer, at integriteten og fortroligheden sikres i alle autentifikations faser, herunder visning, transmission og lagring. Det indebærer blandet andet, at de personaliserede sikkerhedsforanstaltninger ikke bør være læselige, når de indtastes af brugeren, samt at der anvendes tilstrækkelig kryptografisk sikkerhed, eksempelvis ved at anvende anerkendte krypteringsmetoder, når der sker en transmission af de personaliserede sikkerhedsforanstaltninger transmission eller hvis disse lagres. Derudover bør sikkerhedsforanstaltningerne indeholde kontrol- og sikringsforanstaltninger, som sikrer fortroligheden og pålideligheden, når elementerne i de personaliserede sikkerhedsforanstaltninger genereres og associeres med en bruger, samt i forbindelse med levering, genudstedelse og tilbagekaldelse og deaktivering af de personaliserede sikkerhedsforanstaltninger.

Hvor udbyderen indgår aftale med en betalingsmodtager om indløsning af betalingstransaktioner, som betyder, at betalingsmodtager bliver bekendt med brugerens personaliserede sikkerhedsforanstaltninger, bør udbydere endvidere sikre, at betalingsmodtageren er kontraktuelt forpligtet til at efterleve passende sikkerhedsforanstaltninger, der beskytter fortroligheden og pålideligheden af de personaliserede sikkerhedsforanstaltninger.

Kommissionen skal i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv fastsætte en forordning, der skal præciserer de nærmere krav som sikkerhedsforanstaltninger skal opfylde for at beskytte fortroligheden og integriteten af brugeres personaliserede sikkerhedsforanstaltninger. Virksomhedernes efterlevelse af bestemmelsen i stk. 1, nr. 3, vil således direkte afhænge af efterlevelse af forordningen. Finanstilsynet vil blive bemyndiget til at føre tilsyn med, om virksomhederne overholder forordningen. Det følger endvidere af stk. 3, at Finanstilsynet kan fastsætte nærmere bestemmelser om beskyttelsen af fortroligheden og integriteten af de personaliserede sikkerhedsoplysninger.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 125, stk. 1, straffes med bøde.

Overtrædelse af forslagets § 125, stk. 1 vil omfatte den situation, hvor en udbyder af betalingstjenester og udsteder af elektroniske penge undlader at fastlægge forretningsgange, procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder, underlader at fastlægge og opretholde effektive procedurer for håndtering af drifts- og sikkerhedshændelser, og undlader at fastlægge passende sikkerhedsforanstaltninger, der beskytter integriteten og fortroligheden af brugerens personaliserede sikkerhedsforanstaltninger. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at handle i strid med forslagets § 125, stk. 1.

Det foreslås i stk. 2, at udbydere af betalingstjenester en gang årligt skal indsende en ajourført og samlet risikovurdering i henhold til stk. 1, samt en beskrivelse af de forebyggende foranstaltninger, som udbyderne har truffet for at begrænse disse risici til Finanstilsynet.

Bestemmelsen skal ses i sammenhæng med stk. 1, nr. 1, om fastlæggelse af forretningsgange, procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici. Udarbejdelse af disse skal ske på baggrund af en konkret risikovurdering med afsæt i de betalingstjenester, som virksomheden udbyder. Udarbejdelsen af risikovurderingen skal ske efter en proportionalitetsbetragtning, men skal altid omfatte en konkret stillingtagen til alle de betalingstjenester, der udbydes, ligesom der bør foretages en vurdering af udbyderens overordnede operationelle it-risici. Det indebærer, at vurderingen af risiciene skal afspejle omfanget og karakteren af de udbudte betalingstjenester. Uanset hvilken betalingstjeneste, der udbydes, vil det som udgangspunkt være relevant at vurdere risiciene i henhold til design og udvikling af betalingstjenesten, eksempelvis den tekniske udvikling eller anvendelse af outsourcing, processerne for indrullering af brugere, eksempelvis personalisering og fremsendelse af et betalingsinstrument eller personaliserede sikkerhedsforanstaltninger, brugernes løbende anvendelse, eksempelvis autentifikation- og autorisations flow, og afvikling af brugere, eksempelvis tilbagekaldelse af et betalingsinstrument eller destruktion af de personaliserede sikkerhedsforanstaltninger.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 125, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 125, stk. 2 vil omfatte den situation, hvor en udbyder af betalingstjenester undlader årligt at indsende en ajourført og samlet risikovurdering i henhold til stk. 1, samt en beskrivelse af de forebyggende foranstaltninger, som udbyderne har truffet for at begrænse disse risici. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at indsende risikovurderingen i strid med forslagets § 125, stk. 2.

Det foreslås i stk. 3, at ved iværksættelse af betalingstransaktioner via en betalingsinitieringstjeneste, jf. bilag 1, nr. 7, finder stk. 1, nr. 3, også anvendelse.

Med bestemmelsen fastsættes det, at forpligtelsen til en hver tid at beskytte fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger også finder anvendelse ved iværksættelse af betalinger via en betalingsinitieringstjeneste.

Betalingsinitieringstjenester fungerer ved, at udbyderen iværksætter en betaling på vegne af betaleren, hos dennes kontoførende udbyder, typisk et pengeinstitut. Dette kan gøres ved at anvende de personaliserede sikkerhedsforanstaltninger, som den kontoførende udbyder har udstedt til betaleren. Betalingsinitieringstjenesten træder således ind som tredjepart mellem betaleren og den kontoførende udbyder. For at sikre, at betaleren såvel som dennes kontoførende udbyder kan sikre sig, at autentifikationen af betalingen ikke bliver kompromitteret under transmissionen via betalingsinitieringstjenesten, er det nødvendigt at stille tilstrækkelige sikkerhedskrav hertil. Dette indebærer, at der skal anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager. På den måde kan betaler være sikker på, at den autentifikation, som vedkommende foretager, alene kan anvendes til den transaktion, som betaler ønsker at foretage.

For denne type betalingstjeneste er det også særligt relevant at stille krav om beskyttelse af fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger.

Da betalingsinitieringstjenesten typisk foranlediger sig på personaliserede sikkerhedsforanstaltninger, der er udstedt af brugerens kontoførende udbyder, er det særligt vigtigt, at udbydere af betalingsinitieringstjenester træffer de nødvendige foranstaltninger for at sikre fortroligheden og integriteten af dem. Dette gøres eksempelvis ved at sikre, at elementerne i de personaliserede sikkerhedsforanstaltninger ikke er tilgængelige for andre and betalerne selv.

Med forslaget fastsættes der ikke en specifik metode, hvormed denne dynamiske forbindelse skal foretages. Kommissionen fastsætter i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv krav til stærk kundeautentifikation, jf. § 127, stk. 2, og om de krav, som sikkerhedsforanstaltningerne skal opfylde i overensstemmelse med § 125, stk. 1, nr. 3, for at beskytte fortroligheden og integriteten af brugeres personaliserede sikkerhedsforanstaltninger. Forordningen vil have direkte retsvirkning her i landet. Bestemmelsen i stk. 3, skal således efterleves i overensstemmelse med den forordning.

I henhold til artikel 115, i 2. betalingstjenestedirektiv vil forordningen træde i kraft 18 måneder efter vedtagelsen af de reguleringsmæssige tekniske standarder, som EBA, jf. 2. betalingstjenestedirektiv artikel 98, stk. 4, skal udarbejde til Kommissionen. Kravene, der medfølger, vil således træde i kraft på et senere tidspunkt end lovforslaget generelt.

Det foreslås i stk. 4, at når en udbyder af kontooplysningstjenester anmoder om oplysninger til brug for udbuddet af kontooplysningstjenester omfattet af bilag 1, nr. 8, finder stk. 1, nr. 3, også anvendelse.

Med bestemmelsen fastsættes det, at forpligtelsen til at beskytte fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger til enhver tid også finder anvendelse ved udbuddet af kontooplysningstjenester.

Kontooplysningstjenester fungerer ved, at udbyderen på vegne af brugeren, tilgår oplysninger på dennes betalingskonti hos brugerens kontoførende udbyder, typisk et pengeinstitut. Dette gøres på baggrund af de personaliserede sikkerhedsforanstaltninger, som den kontoførende udbyder har udstedt til brugeren. For at sikre, at uvedkommende ikke får adgang til oplysninger om brugeren på dennes konti, er det vigtigt at sikre, at der også anvendes stærk kundeautentifikation, når en betalingskonti tilgås via en betalingsinitieringstjeneste. Det er ligeledes særligt relevant at stille krav om beskyttelse af fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger. Da kontooplysningstjenesten typisk foranlediger sig på personaliserede sikkerhedsforanstaltninger, der er udstedt af brugerens kontoførende udbyder, er det særligt vigtigt at udbyderen af kontooplysningstjenester træffer de nødvendige foranstaltninger for at sikre fortroligheden og integriteten af de personaliserede sikkerhedsforanstaltninger, herunder ved at sikre at elementerne i de personaliserede sikkerhedsforanstaltninger ikke er tilgængelige for andre and brugeren selv.

Med forslaget fastsættes der ikke en specifik metode hvormed den stærke autentifikations skal foretages. Kommissionen fastsætter i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv krav til stærk kundeautentifikation, jf. § 127, stk. 1, og om krav, som sikkerhedsforanstaltninger skal opfylde, i overensstemmelse med § 125, stk. 1, nr. 3, for at beskytte fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger. Forordningen vil have direkte retsvirkning her i landet. Bestemmelsen i stk. 4, skal således efterleves i overensstemmelse med den forordning.

I henhold til artikel 115, i 2. betalingstjenestedirektiv vil forordningen træde i kraft 18 måneder efter vedtagelsen af de reguleringsmæssige tekniske standarder, som EBA, jf. 2. betalingstjenestedirektiv artikel 98, stk. 4, skal udarbejde til Kommissionen. Kravene, der medfølger, vil således træde i kraft på et senere tidspunkt end lovforslaget i øvrigt.

Det foreslås i stk. 5, at Finanstilsynet kan fastsætte nærmere regler om de procedurer og kontrolmekanismer en udbyder af betalingstjenester skal have, jf. stk. 1, nr. 1 og 2, og stk. 2.

EBA skal ifølge artikel 95, stk. 3 og artikel 96, stk. 3, i 2. betalingstjenestedirektiv, udarbejde retningslinjer i henhold til de artikler som stk. 1, nr. 1 og 2, og stk. 2 gennemfører. Virksomhedernes efterlevelse og Finanstilsynets tilsyn med stk. 1 og 2, er således afhængige af indholdet af disse retningslinjer. Retningslinjerne er ikke vedtaget på tidspunktet for fremsættelsen af dette lovforslag.

I det omfang det er nødvendigt af hensyn til efterlevelsen af disse retningslinjer kan Finanstilsynet i bekendtgørelsesform fastsætte nærmere regler omkring udarbejdelse af forretningsgange, procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med udbuddet af betalingstjenester, udarbejdelsen af effektive procedurer for håndtering af drifts- og sikkerhedshændelser, samt omfanget og formatet for den årlige risikovurdering i henhold til stk. 2. Bekendtgørelsen vil sikre en tilstrækkelig efterlevelse af de retningslinjer, der udstedes i medfør af artikel 95, stk. 3, i 2. betalingstjenestedirektiv. Det skal i den forbindelse bemærkes, at Finanstilsynet i henhold til artikel 16, i EBA-forordningen, skal bestræbe sig på at efterleve disse retningslinjer bedst muligt. Hvis Finanstilsynet ikke efterlever eller ikke agter at efterleve dem, skal Finanstilsynet underrette EBA og angive sin begrundelse herfor.