Nummer: 16

CYBER MODSTANDSDYGTIGHED I DEN FINANSIELLE SEKTOR

Regeringen skal aktivet deltage i udformningen af det kommende forslag om styrke operationel modstandsdygtighed for finansielle tjenesteydelser.

Dato:

22. juni 2020

Type af anbefaling:

Tidlig interessevaretagelse i EU

Tema:

Tidlig interessevaretagelse

Ansvarlig ministerium:

Erhvervsministeriet

Status på anbefaling:

Følges

Undertitel TIV 3

Skjul (1) Vis alle (1)

Åben alle Luk alle

Baggrund og Problem

Problem

Der er udfordringer i forhold til harmoniseringen af reglerne i EU. Der er derfor behov for fælles rammer for operationel modstandsdygtighed for finansielle tjenesteydelser. Inddragelse af alle aktører inden for det finansielle økosystem, herunder tredjepartsleverandører, og udviklingen i IKT-risici gør det muligt at skabe et fælles sikkerhedsniveau og øget robusthed i den finansielle sektor i EU.

Berørt EU-regulering

NIS-direktivet, PSD2, e-IDAS, GDPR, EBA's retningslinjer for IKT- og sikkerhedsrisikostyring, BIS CPMI-IOSCO Guidance on Cyber resilience for financial market infrastructures, TIBER-EU, EBA Guidelines on outsourcing), PSD2.

Berørt dansk lovgivning

Lov om finansiel virksomhed og lov om betalinger.

Berørte virksomheder

Finansielle virksomheder.

Begrundelse

Finanssektoren har en samfundsvigtig rolle i Danmark. Vedvarende eller avancerede cyberangreb mod kritiske dele af den danske finanssektors infrastruktur kan give anledning til tab af tillid og true den finansielle stabilitet og derved Danmarks økonomi. Der er et forhøjet trusselsbillede for cyberangreb mod sektoren. Det er væsentligt løbende at sikre at cybersikkerhed i den finansielle sektor er tilstrækkelig i hele Europa. Derfor væsentligt at Danmark deltager aktivt i de europæiske tiltag.

Forventede konsekvenser for erhvervslivet

Forslaget forventes at påvirke virksomheder i de samfundskritiske sektorer. Det kan medføre nye byrder for sektoren. Omfanget er endnu ukendt da indholdet er ukendt.

Anbefaling

Nye regler bør følge en risikobaseret tilgang. Dette vil sikre, at rammen er fremtidssikret, og vil give virksomhederne den fleksibilitet, der er nødvendig for at tilpasse sig cyber- og teknologirisicienes stadigt skiftende karakter. Alle nye krav bør harmoniseres og tilpasses de eksisterende regler på EU-plan og globalt plan for at undgå overlapninger eller overimplementering. Vigtigt også at aktører, der opererer på tværs af EU, oplever ens implementering på tværs af landegrænserne, ellers risikerer det at komplicere deres setup uhensigtsmæssigt.

Igangværende dansk indsats

Kommissionen har januar-marts gennemført en høring angående modstandsdygtighed overfor cyberangreb. Regeringen har en cyberstrategi for de samfundskritiske sektorer, herunder finanssektoren som løber frem til 2021.

Regeringens svar

Regeringens svar til Regelforum

Regeringen er enig i anbefalingen om behovet for at styrke cybersikkerheden i sektoren med fokus på operationel modstandsdygtighed for finansielle tjenesteydelser i sektoren.

Den stadigt stigende brug af informations- og kommunikationsteknologi i den finansielle sektor nødvendiggør en effektiv håndtering heraf.

Regeringen vil arbejde for en konsistent og fremtidssikret EU-lovgivning på
området for cybersikkerhed, hvor bl.a. inddragelse af væsentlige tredjepartsleverandører vil kunne spille en betydelig rolle.