Informationssäkerheten av finanssektorns aktörer gås genom i flera olika faser – regleringen kommer sannolikt att ytterligare stramas åt
En tillräcklig nivå på informationssäkerheten har under den senaste tiden diskuterat flitigt i Finland. Med informationssäkerhet avses ett arrangemang som syftar till att trygga informationens konfidentialitet, integritet och tillgänghet1.
Om kraven på informationssäkerheten inom finanssektorn föreskrivs i lagar och i Finansinspektionens föreskrifter och anvisningar
Tillsynen över informationssäkerheten är en väsentlig del av tillsynen över serviceleverantörernas operativa risker2 inom finanssektorn, och den hör till Finansinspektionens grundläggande uppgifter. Flera speciallagar ställer sådana krav på informationssäkerheten som aktörer i finanssektorn måste iaktta. Till exempel i kreditinstitutslagen förutsätts det att kreditinstitut ska införa metoder för att identifiera, utvärdera och hantera exponeringen för operativa risker. Kreditinstitutet ska ha adekvata, trygga och funktionssäkra betalningsdatasystem, värdepappersdatasystem och andra datasystem. Kreditinstitutet ska även ha beredskaps- och kontinuitetsplaner för att bereda sig för allvarliga störningar i affärsverksamheten samt säkerställa sin förmåga att fortlöpande bedriva verksamhet och begränsa förlusterna i störningssituationer.
Finansinspektionen har i flera speciallagar getts behörigheten att utfärda närmare föreskrifter och anvisningar om den tillräckliga informationssäkerhetsnivån hos sina tillsynsobjekt.3
Nivån på informationssäkerheten gås genom redan innan verksamheten inleds
Verksamheten i finanssektorn är tillståndsbelagd. Bara sökande som uppfyller minimikraven enligt bestämmelserna kan få ett tillstånd att bedriva verksamhet. I tillståndsvillkoren ingår krav som gäller hanteringen av operativa risker, och sökanden måste visa att den uppfyller dem innan tillståndet kan beviljas. Sökande bevisar ofta att de uppfyller kraven gällande informationssäkerheten genom att skaffa ett utlåtande om informationssäkerheten av en extern, oberoende värderare (auditering).
Efter att tillståndet har beviljats blir aktören Finansinspektionens tillsyns-objekt, vilket innebär att aktören omfattas av löpande tillsyn. Finansinspektionen kan göra en riskbedömning av aktören och i den även undersöka hur informationssäkerheten har genomförts. Tillsynsmyndigheten kan också göra inspektioner och bedöma utläggandet på entreprenad, när betydande IT-funktioner läggs ut på entreprenad.
Informationssäkerheten ska även beaktas i situationer i vilka tillhandahållandet av tjänster läggs ner. En plan för nedläggandet eller överföringen av tjänster krävs ofta redan i det skedet då ansökan om inledandet av verksamheten lämnas in.
Nivån på informationssäkerhet är allmänt taget bra i Finland – fel- och störningsmeddelanden ger tillsynsmyndigheten värdefull information
Finska företag i finanssektorn har vanligen klarat sig bra i jämförelser av nivån på cybersäkerheten.4 Trots detta bör man komma ihåg att det inte finns någonting sådant som hundraprocentig informationssäkerhet. Upprätthållandet av informationssäkerhet förutsätter kontinuerligt utvecklingsarbete. Dessutom ska informationssäkerheten tas på ett omfattande sätt i beaktande i alla processer.
Finansinspektionen får lägesrapporter av tillsynsobjekten i form av olika anmälningar, eftersom tillsynsobjekten enligt flera bestämmelser är skyldiga att informera Finansinspektionen om fel och störningar i sin verksamhet. Störningsmeddelanden utnyttjas på många sätt inom tillsynen. På basis av dem kan man göra iakttagelser om enskilda tillsynsobjekt samt lyfta fram företeelser som berör flera tillsynsobjekt. Av fel- och störningsmeddelanden görs också anonymiserade sammanfattningar, som skickas vidare till europeiska tillsynsmyndigheter. Sammanfattningarna gör det även möjligt att följa med olika företeelser i hela Europa.
Strängare reglering är att vänta
Europeiska kommissionen publicerade den 24 september 2020 ett stort paket om digital finansiering, som omfattar bland annat ett utkast till förordning om digital funktionssäkerhet i finanssektorn (Digital Operational Resilience Act, DORA). Om förslaget till förordning genomförs, medför förordningen bland annat en skyldighet att testa ICT-verksamhetens informationssäkerhet samt för viktiga finansmarknadsaktörer en skyldighet till heltäckande penetrationstestning, dvs. testning av systemet med tanke på informationssäkerhetsrisken. Tillsynen över funktioner som lagts ut på entreprenad blir ännu stängare. Dessutom föreslås det egna tillsynsramar för kritiska outsourcingpartner, vilket innebär att viktiga IT-serviceleverantörer också ska omfattas av tillsynsmyndigheternas behörighet inom finanssektorn.
Samtidigt gås också EU:s nät- och informationssäkerhetsdirektiv5 (s.k. NIS-direktiv) genom på nytt. Det är möjligt att kraven på informationssäkerhet utvidgas också genom detta direktiv. Kommunikationsministeriet har å sin sida grundat en arbetsgrupp för att utreda olika sätt att förbättra informationssäkerheten och dataskyddet i samhällets kritiska sektorer.6
1Konfidentialitet betyder att information bara kan användas av de som har rätt att använda den och att den inte avslöjas till någon annan. Med integritet avses att informationen inte har ändrats utan tillstånd eller i misstag och att eventuella ändringar kan verifieras. Med tillgänglighet avses det hur information, ett informationssystem eller en tjänst kan utnyttjas under den önskade tiden och på det önskade sättet. Tillgänglig-heten betyder också att det ska finnas nödvändiga reservarrangemang för fel- och störningssituationer.
2Med operativ risk avses risken för förlust till följd av
• otillräckliga eller misslyckade interna processer
• personalen
• system
• externa faktorer.
3Se till exempel: Föreskrifter och anvisningar 8/2014, Hantering av operativa risker i företag under tillsyn inom finanssektorn
4Se t.ex. https://www.huoltovarmuuskeskus.fi/johdon-ohjaus-on-ratkaisevaa-yrityksen-kyberkestavyyden-kannalta/
5https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016L1148
6https://www.lvm.fi/-/tyoryhma-selvittamaan-keinoja-yhteiskunnan-kriittisten-toimialojen-tietoturvan-ja-tietosuojan-parantamiseksi-1241272