Bekendtgørelse af lov om finansiel virksomhed § 333b

Det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens ramme, jf. § 333 a, og foranstaltninger efter § 333 b og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, der gennemfører rammen, jf. § 333 a.

Stk. 2. Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.

Stk. 3. En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, og når der forekommer større it- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.

Stk. 4. En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.

Stk. 5. En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.

Stk. 6. En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, der medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.

Stk. 7. Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.

Forarbejder til Bekendtgørelse af lov om finansiel virksomhed § 333b

Retsinformation

Bestemmelsen er en delvis videreførelse af en tilsvarende bestemmelse af den gældende lov om sparevirksomheder.

Bestemmelsen definerer i stk. 1 den virksomhed, der udløser kravet om en tilladelse som sparevirksomhed.

Bestemmelsen opretholder det gældende krav om, at de modtagne midler anbringes på anden måde end ved indsættelse i et pengeinstitut.

I forhold til den gældende bestemmelse er bestemmelsens opbygning og systematik ændret med henblik på at opnå samme opbygning og systematik, som i tilladelsesbestemmelserne i forslagets kapitel 5.

Sparevirksomheder adskiller sig fra pengeinstitutter ved, at sparevirksomheder ikke kan foretage udlån. Hvis virksomheden udover den virksomhed, der er defineret i bestemmelsen yder lån for egen regning, som ikke er omfattet af forslagets § 8, stk. 3, skal virksomheden have tilladelse som pengeinstitut, jf. forslagets § 7, stk. 1. Endvidere har pengeinstitutter eneret til ved henvendelse til offentligheden at tilbyde sig som modtagere af indlån, jf. forslagets § 7, stk. 4.

Virksomheder omfattet af forslagets § 7, stk. 3, 3. pkt., adskiller sig fra sparevirksomheder ved, at disse virksomheder ikke kan modtage indlån. Endvidere er det et krav, at den virksomhed, der består i at modtage andre midler, der skal tilbagebetales, ikke er en væsentlig del af virksomhedens drift.

Det bemærkes, at indskud i sparevirksomheder ikke er omfattet af lov om en garantifond for indskydere og investorer.

I stk. 2 foreslås det at hæve kapitalkravet for sparevirksomheder fra 5 millioner kr. til 1 millioner euro. Baggrunden for dette ændringsforslag er den almindelige prisudvikling.

Det følger af bestemmelsen, at nye sparevirksomheder skal være aktieselskaber, idet der stilles krav om, at startkapitalen skal være aktiekapital. Efter forslaget kan nye sparevirksomheder således kun stiftes som aktieselskaber, hvorfor bestemmelsen indskrænker de selskabsformer, der kan drive sparevirksomhed. Efter den gældende lov om sparevirksomheder kan sparevirksomheder enten være aktieselskaber, anpartsselskaber, erhvervsdrivende fonde, andelsselskaber (andelsforeninger) eller andre selskaber eller foreninger med begrænset ansvar eller filialer af udenlandske virksomheder, der svarer til de nævnte.

Da pengeinstitutter efter forslaget skal være aktieselskaber, jf. forslagets § 7, stk. 8, og da denne selskabsform stemmer bedst med indskyderbeskyttelseshensyn foreslås det, at sparevirksomheder skal være aktieselskaber.

Efter den gældende lov om sparevirksomheder kan der ikke uden samtykke fra Finanstilsynet udbetales højere udbytte end 1 pct. over Nationalbankens højeste diskonto i løbet af regnskabsårets beregnet af egenkapitalen. Bestemmelsen er utidssvarende og forslås derfor ophævet.