Forarbejder til Bekendtgørelse af lov om betalinger § 126
Med forslaget til § 126 fastsættes det, at udbydere af betalingstjenester skal underrette Finanstilsynet og dets brugere om større hændelser, samt at udbydere skal indrapportere statistik om de udbudte betalingstjenester til Finanstilsynet.
Bestemmelsen er ny og gennemfører artikel 96 i 2. betalingstjenestedirektiv.
Det foreslås i stk. 1, at udbydere af betalingstjenester snarest muligt skal underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Finanstilsynet skal uden unødig forsinkelse vurdere underretningen og videregive oplysninger, der er relevante, til den Europæiske Central Bank, Den Europæiske Banktilsynsmyndighed samt de relevante tilsynsmyndigheder i de lande, der er berørt af hændelsen.
Ved drifts- og sikkerhedshændelser forstås tekniske og operationelle svigt, fejl og nedbrud samt sikkerhedsmæssige kompromitteringer mv., som kan få driftsmæssige eller økonomiske konsekvenser for udbyderens brugere. Hændelsesrapporteringskravet berører alle betalingsrelaterede tjenester. Det omfatter eksempelvis nedbrud eller indbrud i netbank, svigt og nedbrud i betalingssystemer eller kortsystemer, fejl i tekniske systemer, der medfører generel manglende eller mangelfuld gennemførelse af betalingstransaktioner. Der henvises i øvrigt til lovforslagets § 125, stk. 1, nr. 2, hvoraf det fremgår, at en udbyder skal have procedurer for at håndtere drifts- og sikkerhedshændelser.
Med forslaget forpligtes udbydere til snarest muligt at underrette Finanstilsynet om hændelsen, hvis denne er større. Det vil indebære, at en udbyder af betalingstjenester skal underrette Finanstilsynet, så snart denne bliver bekendt med hændelsen, medmindre dette vil medføre en forværring af hændelsen.
Hvorvidt en hændelse anses for at være væsentlig nok til at være underlagt kravet om underretning til Finanstilsynet beror på en konkret vurdering. Til vurdering af væsentlighed, kan der inddrages en rældke parametre i den konkrete vurdering, herunder om hændelsen har potentiale til at udvikle sig til en katastrofesituation, der aktiverer gældende kriseberedskabsplan, om hændelsen påvirker eller kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf, eller om hændelsen kan give anledning til politianmeldelse. Derudover kan det inddrages om hændelsen har medført, at virksomheden nedsætter en særlig ”task force” for at behandle hændelsen, om der er mistanke om at tredjemand har haft adgang til fortroligt data, om hændelsen kan påvirke fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer eller om hændelsen, hvis den er længerevarende påvirker virksomhedens generelle it-drift og serviceleverancer. Endelig kan det inddrages om hændelsen kan give anledning til kundeklager af principiel karakter, om hændelsen kan føre til negativ presseomtale for den pågældende virksomhed eller om hændelsen i væsentlig grad berører kundernes økonomiske situation.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 126, stk. 1, straffes med bøde.
Overtrædelse af forslagets § 126, stk. 1, vil omfatte den situation, hvor en udbyder af betalingstjenester undlader snarest muligt at underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at foretage underretning i strid med forslagets § 126, stk. 1.
Det foreslås i stk. 2, at i den situation, hvor hændelsen har eller kan få indvirkning på brugerne af betalingstjenestens økonomiske interesser, skal udbyderen snarest muligt orientere brugerne om denne samt om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger.
Nogle hændelser kan alene have operationelle eller sikkerhedsmæssige konsekvenser, eksempelvis ved at en bestemt betalingstjeneste ikke er tilgængelig i en kortere periode, mens andre hændelser kan have økonomiske konsekvenser for brugerne. Det omfatter eksempelvis manglende eller mangelfuld lønudbetalinger, som følge af tekniske svigt. I sådanne tilfælde skal udbyderen underrette brugerne snarest muligt. Afhængigt af hændelsen, kan det være relevant at underrette betaler såvel som betalingsmodtager. Udbyderen skal i den forbindelse også informere brugerne om, hvilke foranstaltninger, der er tilgængelige for brugeren, så denne kan begrænse negative effekter af hændelsen. Hvor en teknisk fejl hos et pengeinstitut eksempelvis medfører en manglende lønudbetaling, skal pengeinstituttet således informere kunderne om, hvad de kan gøre for at imødegå negative effekter, eksempelvis, hvis der som følge af den manglende lønudbetaling, ikke er dækning på kontoen til at betale en anden forpligtelse.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 126, stk. 2, straffes med bøde.
Overtrædelse af forslagets § 126, stk. 2, vil omfatte den situation, hvor en udbyder undlader snarest muligt at orientere brugerne om en hændelse, der har indvirkninger på brugernes økonomiske interesser, samt de tilgængelige foranstaltninger, som de kan foretage for at begrænse hændelsens negative følger. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at foretage orientering i strid med forslagets § 126, stk. 2.
Det foreslås i stk. 3, at udbydere af betalingstjenester minimum en gang årligt skal indrapportere statistik om drift og misbrug af de betalingstjenester, som de udbyder, til Finanstilsynet.
Med bestemmelsen fastsættes det, at udbydere minimum en gang årligt skal indrapportere statistik vedrørende drift og misbrug af de udbudte betalingstjenester. Dette kunne eksempelvis omfatte antallet af transaktioner, volumen af betalinger, oppetider og tilgængelighed af systemer, antal og værdi af netbanksindbrud eller misbrug med betalingskort. De statistiske indberetninger skal gøre det muligt for Finanstilsynet dels at vurdere det generelle sikkerhedsniveau og den generelle driftsstabilitet på markedet for betalingstjenester, og dels at vurdere om enkelte udbydere har højere misbrugs- og svindelrater end andre sammenlignelige udbydere.
Indberetningskravet skal ses i sammenhæng med stk. 4, hvoraf det fremgår, at Finanstilsynet i bekendtgørelsesform vil fastsætte nærmere krav til indholdet af de statistiske oplysninger, frekvensen af leveringen samt de tekniske specifikationer, hvormed de skal leveres. Disse bliver fastsat under hensyntagen til de retningslinjer EBA udarbejder, jf. artikel 96, stk. 3 og artikel 5, stk. 5, i 2. betalingstjenestedirektiv.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 126, stk. 3, straffes med bøde.
Overtrædelse af forslagets § 126, stk. 3, vil omfatte den situation, hvor en udbyder af betalingstjenester undlader at indrapportere statistik om drift og misbrug af de betalingstjenester, som de udbyder, minimum en gang årlig. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at foretage indrapportering i strid med forslagets § 126, stk. 3.
Det foreslås i stk. 4, at Finanstilsynet fastsætter nærmere regler om den tekniske gennemførelse af indberetningspligten i henhold til stk. 1-3.
Med bestemmelsen bemyndiges Finanstilsynet til at fastsætte nærmere regler om udbyderes underretning om hændelser, jf. stk. 1 og stk. 2, samt indrapportering af statistik, jf. stk. 3. Reglerne vil blive udmøntet i bekendtgørelsesform og vil fastsætte kravene til indholdet, formatet og den tekniske gennemførelse af hændelsesrapporteringen. Bekendtgørelsen skal udarbejdes således, at der sikres overholdelse af de retningslinjer, som EBA udarbejder, jf. artikel 96, stk. 3, i 2.betalingstjenestedirektiv. Dette skal dog ske under hensyntagen til, at indberetningen sker på en måde, der begrænser de erhvervsøkonomiske konsekvenser forbundet hermed mest muligt.
EBA skal ifølge artikel 96, stk. 3, i 2. betalingstjenestedirektiv, i tæt samarbejde med ECB og efter høring af alle relevante interessenter, herunder interessenter på betalingstjenestemarkedet, og under hensyntagen til alle involverede interesser, udarbejde retningslinjer i overensstemmelse med artikel 16, i EBA-forordningen adresseret til udbydere om klassificering af større hændelser og om indholdet og formatet af og procedurerne for underretning om sådanne hændelser og adresseret til de kompetente myndigheder om kriterierne for, hvordan det skal vurderes, hvor relevant en hændelse er, og hvilke elementer i hændelsesindberetningerne der skal deles med andre nationale myndigheder.
Udbyderes og Finanstilsynets efterlevelse af bestemmelsen i stk. 1 og 2, skal ske i overensstemmelse med retningslinjerne.
Med bestemmelsen bemyndiges Finanstilsynet endvidere til at fastsætte nærmere krav til indholdet af de statistiske oplysninger, frekvensen af leveringen samt de tekniske specifikationer, hvormed de leveres, jf. stk. 3. Disse vil blive fastsat under hensyntagen til de forpligtelser, som Finanstilsynet har til at indsende sådanne statistiske oplysninger til EBA og ECB, jf. artikel 96, stk. 6. Dette skal dog ske under hensyntagen til, at indberetningen sker på en måde, der begrænser de erhvervsøkonomiske konsekvenser forbundet hermed mest muligt.
Det skal i forbindelse hermed bemærkes, at Finanstilsynet i henhold til artikel 16, i EBA-forordningen, skal bestræbe sig på bedst muligt på at efterleve retningslinjer udstedt af EBA. Hvis Finanstilsynet ikke efterlever eller ikke agter at efterleve dem, skal Finanstilsynet underrette EBA og angive sin begrundelse herfor.
