Stadig nye regler utfordrer foretakene 

Det kan bli litt mye å håndtere for finansforetakene når stadig nye regler skal etterleves. Seksjonssjef Olav Johannessen i Finanstilsynet sier det er krevende å ha oppmerksomhet på alle områder, men den finansielle infrastrukturen i Norge er robust. 

Tekst og fotoMagne S. Otterdal 

14. mai presenterte Finanstilsynetrisiko- og sårbarhetsanalysen (ROS) 2020 på en digital pressekonferanse. Hovedtrekkene i ROS-rapporten er at den finansielle infrastrukturen i Norge er robust. Det var ingen IKT-hendelser med konsekvenser for finansiell stabilitet i 2019.  

ROSER KORONA-HÅNDTERING 

ROS-rapporten vier god plass til koronakrisen, men selve fremleggelsen av ROS preget av situasjonen. Pressekonferansen var digital, uten fremmøtte journalister og fotografer i Finanstilsynets møtelokale.  

Seksjonssjef Johannessen ga i sin presentasjon ros til de sentrale foretakene i den norske finansielle infrastrukturen, som så langt har håndtert koronakrisen godt og sikret stabil drift. Foretakene har gode beredskapsplaner og har raskt iverksatt nødvendige tiltak. 

Under koronakrisen har Finanstilsynet og Beredskapsutvalget for finansiell infrastruktur (BFI) fokusert på virksomheter som støtter viktige funksjoner, inkludert de kritiske samfunnsfunksjonene definert av Direktoratet for samfunnssikkerhet og beredskap. 

Koronasituasjonen har ført til utfordringer for foretakene i den finansielle infrastrukturen i forbindelse med drift, smittehåndtering, bemanning og sikkerhet, men så langt har foretakene håndtert situasjonen godt. 

FÆRRE IKT-HENDELSER 

Det var færre rapporterte IKT-hendelser i 2019 som påvirket tilgjengeligheten til betalingstjenestene og de øvrige kunderettede tjenestene, enn i 2018.  

Ifølge ROS har det, tross økende omfang av digital kriminalitet, ikke ført til større hendelser i den norske finanssektoren. Meldingen fra Finanstilsynet til styret og ledelsen i alle finansforetak, er å rette særlig oppmerksomhet mot endringer i trusselbildet. 

– Foretakene må fortsette sitt arbeid med å kartlegge risiko- og sårbarheter, iverksette preventive tiltak og ha beredskap for å håndtere angrep og følgeskader, sier Olav Johannessen. 

FUNN I BANKENE
I 2019 gjennomførte Finanstilsynet en rekke tilsyn blant annet hos bankene og her er noen av de funnene kontrollørene gjorde:  

  •  Utilstrekkelig oppfølging av leverandører, spesielt etterlevelse av foretakets sikkerhetskrav 
  • Oppdatering og forbedring av sikkerhetsdokumentasjon.  
  • Manglende kontroll med at egne sikkerhetskrav etterleves 
  • Mangelfulle rutiner for informasjonsklassifisering og beskyttelse  
  • Risikoanalyser av IKT-virksomheten avdekker ikke reell risiko  
  • Svakheter i organisering av sikkerhetsarbeidet 
  • Svakheter i bankers kontinuitets- og kriseledelse  
  • Behov for bedre forberedelser for å kunne håndtere en alvorlig cyber-hendelse  
  • Svakheter i kontrollen med uttrekk til AML-systemene i betalingsforetak  
  • Risikoanalyser av IKT-virksomheten avdekker ikke reell risiko  
  • Utilstrekkelig oppfølging av leverandører, spesielt etterlevelse av foretakets sikkerhetskrav. 

NYE KRAV 

På spørsmål fra Finansfokus om hva som er årsaken til manglene Finanstilsynet avdekker i norske finansforetak, svarer seksjonssjef Olav Johannessen at foretakene ikke har nok oppmerksomhet på alle områder ved styring og kontroll med virksomheten. 

–  Det er krevende å ha oppmerksomhet på alle områderDet kommer stadig nye, strengere og mer detaljerte krav som må følges. Det er også krevende å holde tritt med denne utviklingen, sier Johannessen. 

Foretakene har knapphet på kompetanse til å følge regelverket tett

Han legger til at det er mange små foretak. Det er krevende for disse å ha full oversikt over alt de gjør. I tillegg gjør foretakene en god del i samarbeid med andre foretak. 

– Det er et komplekst svar med mange fragmenter som utgjør bakgrunn og årsak til dette, sier Johannessen.  

KNAPPHET PÅ KOMPETANSE 

I ROS-analysen fremgår det blant annet at Finanstilsynet har avdekket at flere foretak som driver betalingstjenester hadde manglende forståelse av regelverket og behov for en vesentlig forbedring av sine rutiner. 

– På hvilke områder mangler foretakene kompetanse til å følge opp regelverket? 

– Jeg vil ikke si de mangler kompetanse til å følge opp regelverket, men de har knapphet på kompetanse til å følge regelverket tett. 

– Hvordan forklarer foretakene manglene som tilsynet påviser? 

– I noen tilfeller så er de kanskje ikke tilstrekkelig kjent med kravene. I andre tilfeller er det prioriteringer i arbeidet som er årsaken, blant annet, sier seksjonssjef Olav Johannessen i Finanstilsynet.