Informationssäkerhet

Informationssäkerheten av finanssektorns aktörer gås genom i flera olika faser. Med informationssäkerhet avses ett arrangemang som syftar till att trygga informationens konfidentialitet, integritet och tillgänghet¹.

Om kraven på informationssäkerheten inom finanssektorn föreskrivs i lagar och i Finansinspektionens föreskrifter och anvisningar

Tillsynen över informationssäkerheten är en väsentlig del av tillsynen över serviceleverantörernas operativa risker² inom finanssektorn, och den hör till Finansinspektionens grundläggande uppgifter. Flera speciallagar ställer sådana krav på informationssäkerheten som aktörer i finanssektorn måste iaktta. Till exempel i kreditinstitutslagen förutsätts det att kreditinstitut ska införa metoder för att identifiera, utvärdera och hantera exponeringen för operativa risker. Kreditinstitutet ska ha adekvata, trygga och funktionssäkra betalningsdatasystem, värdepappersdatasystem och andra datasystem. Kreditinstitutet ska även ha beredskaps- och kontinuitetsplaner för att bereda sig för allvarliga störningar i affärsverksamheten samt säkerställa sin förmåga att fortlöpande bedriva verksamhet och begränsa förlusterna i störningssituationer.

Finansinspektionen har i flera speciallagar getts behörigheten att utfärda närmare föreskrifter och anvisningar om den tillräckliga informationssäkerhetsnivån hos sina tillsynsobjekt.³

Nivån på informationssäkerheten gås genom redan innan verksamheten inleds

Verksamheten i finanssektorn är tillståndsbelagd. Bara sökande som uppfyller minimikraven enligt bestämmelserna kan få ett tillstånd att bedriva verksamhet. I tillståndsvillkoren ingår krav som gäller hanteringen av operativa risker, och sökanden måste visa att den uppfyller dem innan tillståndet kan beviljas. Sökande bevisar ofta att de uppfyller kraven gällande informationssäkerheten genom att skaffa ett utlåtande om informationssäkerheten av en extern, oberoende värderare (auditering).

Efter att tillståndet har beviljats blir aktören Finansinspektionens tillsyns-objekt, vilket innebär att aktören omfattas av löpande tillsyn. Finansinspektionen kan göra en riskbedömning av aktören och i den även un-dersöka hur informationssäkerheten har genomförts. Tillsynsmyndigheten kan också göra inspektioner och bedöma utläggandet på entreprenad, när betydande IT-funktioner läggs ut på entreprenad.

Informationssäkerheten ska även beaktas i situationer i vilka tillhandahållandet av tjänster läggs ner. En plan för nedläggandet eller överföringen av tjänster krävs ofta redan i det skedet då ansökan om inledandet av verksamheten lämnas in.

¹Konfidentialitet betyder att information bara kan användas av de som har rätt att använda den och att den inte avslöjas till någon annan. Med integritet avses att informationen inte har ändrats utan tillstånd eller i misstag och att eventuella ändringar kan verifieras. Med tillgänglighet avses det hur information, ett inform-ationssystem eller en tjänst kan utnyttjas under den önskade tiden och på det önskade sättet. Tillgängligheten betyder också att det ska finnas nödvändiga reservarrangemang för fel- och störningssituationer.
²Med operativ risk avses risken för förlust till följd av
• otillräckliga eller misslyckade interna processer
• personalen
• system
• externa faktorer.
³Se till exempel: Föreskrifter och anvisningar 8/2014, Hantering av operativa risker i företag under tillsyn inom finanssektorn