Finans Norges innspill til Totalberedskapskommisjonen
Finansnæringen er kritisk infrastruktur. Betalingssystemer, cybersikkerhet og naturskader må være inkludert i enhver beredskapssammenheng. Her ligger norsk finansnæring langt framme i sitt arbeid. Dette er et arbeid som kan innlemmes i et helhetlig arbeid med beredskap i Norge. Finans Norge mener samarbeid er nøkkelen for et godt og solid beredskapsarbeid i Norge, og vi vil gjerne ha en dialog og lar oss derfor gjerne invitere til kommisjonen for å utdype.
Sammendrag
Norsk finansnæringen spiller en sentral rolle i Norges beredskapsarbeid. Det er særlig tre områder Finans Norge vil trekke fram:
1. Betalingssystemer som en kritisk infrastruktur
2. Cybersikkerhet
3. Naturskader
Samfunnssikkerhet handler om samfunnets evne til å verne seg mot og håndtere hendelser som truer grunnleggende verdier og funksjoner, og setter liv og helse i fare. Finans Norge mener disse tre områdene er essensielle deler av samfunnssikkerheten, og vil i dette høringsinnspillet redegjøre for finansnæringens arbeid på disse tre områdene.
1. Betalingssystemer som kritisk infrastruktur
Den finansielle infrastrukturen består av betalingssystemet og verdipapiroppgjørssystemet, samt verdipapirregisteret, markedsplasser og sentrale motparter.
Betalingssystemet omfatter interbanksystemer og systemer for betalingstjenester for overføring av midler, med formelle og standardiserte ordninger og felles regler for behandling, avregning eller oppgjør av betalingstransaksjoner. Betalingssystemet, herunder betalingstjenester, reguleres i lovverket blant annet gjennom betalingssystemloven, forskrift om systemer for betalingstjenester og forskrift om betalingstjenester, samt gjennom finansnæringens selvregulering forvaltet av Finans Norge og Finans Norges datterselskap Bits AS som blant annet har ansvaret for Felles avregning gjennom NICS. Bits og NICS-systemet ble i 2022 underlagt sikkerhetsloven.
Finanstilsynet er utpekt av Finansdepartementet som sektorvis responsmiljø (SRM) med oppgave å håndtere IKT-sikkerhetshendelser i finanssektoren innenfor Finanstilsynets ansvarsområde. Finanstilsynet utøver rollen sammen med finansnæringens eget selskap NFCERT. I denne forbindelser er Beredskapsutvalget for finansiell infrastruktur (BFI) opprettet for å:
• Komme fram til og koordinere tiltak for å forebygge og løse krisesituasjoner og andre situasjoner som kan resultere i store forstyrrelser i den finansielle infrastrukturen. I en krisesituasjon skal utvalget varsle og informere berørte aktører og myndigheter om hvilke problemer som har oppstått, hvilke konsekvenser problemene kan medføre, og hvilke tiltak som settes i verk for å løse problemene.
• Forestå nødvendig koordinering av beredskapssaker innenfor finansiell sektor. Herunder skal det, på grunnlag av sivilt beredskapssystem, samordne utarbeidelse og iverksettelse av varslingsplaner og beredskapstiltak ved sikkerhetspolitiske kriser og krig.
Finanstilsynet leder og er sekretariat for utvalget. I utvalget deltar sentrale myndigheter og aktører i den finansielle infrastrukturen, herunder Finans Norge/Bits. BFI har regelmessige møter og gjennomfører årlige beredskapsøvelser.
Under koronapandemien og i forbindelse med krigen i Ukraina har Finanstilsynet og BFI rettet særlig oppmerksomhet mot virksomheter som støtter viktige funksjoner, herunder kritiske samfunnsfunksjoner definert av Direktoratet for samfunnssikkerhet og beredskap (DSB).
Den finansielle infrastrukturen i Norge vurderes årlig av Finanstilsynet gjennom sin ROS-analyse og blir betegnet som robust. Samtidig er trusselbildet i stadig endring. De sentrale foretakene i den norske finansielle infrastrukturen har gjennomgående gode beredskapsplaner. I 2021 var det heller ingen IKT-hendelser med konsekvenser for finansiell stabilitet. Så langt har ikke digital kriminalitet rettet mot foretak i den norske finanssektoren ført til alvorlige hendelser.
2. Cybersikkerhet og forebyggende arbeid mot hvitvasking og terrorfinansiering
Finansiell infrastruktur er gjennomregulert og et viktig utviklingstrekk fra regulator er at man ønsker at næringen skal åpne for stadig flere tredjepartsaktører (PSD2, PSD3, Open finance). Samtidig går utviklingen i retning av stadig raskere effektuering av særlig betalingsløsninger (straksbetalinger). Gitt en slik utvikling, er det avgjørende viktig at regulator veier hensynet til cybersikkerhet høyt opp mot andre og viktige hensyn som for eksempel å tilrettelegge for effektiv konkurranse.
Finansnæringens arbeid med cybersikkerhet kan deles i to: operasjonelt og strategisk nivå. På det operasjonelle nivået har alle konsesjonsbelagte selskaper et betydelig ressurspådrag for å sikre egen infrastruktur. I løpet av noe tid vil EUs DORA-forordning erstatte IKT-forskriften og innebære et betydelig større compliance- og rapporteringsansvar.
Finansnæringen har også i felleskap etablert to viktige operasjonelle enheter for forsvaret av infrastrukturen, og for å motvirke at den misbrukes av aktører til hvitvasking eller terrorfinansiering.
Nordic Financial CERT (NFCERT) er et samarbeid med medlemmer fra finansnæringen i hele Norden. Dette er en taktisk enhet som driver etterretning, slår tilbake ulike angrep og deler informasjon og kompetanse med medlemmene.
Offentlig Privat Samarbeid Antihvitvask og Terrorfinansiering (OPS AT) er et samarbeid der 25 deltakere fra bank, forsikring og det offentlige jobber sammen for å forhindre hvitvasking og terrorfinansiering. Dette gjøres gjennom faste møteplasser, der deltakerne utveksler erfaringer og trender de ser i egne organisasjoner. Møteplassene er av både større og mindre karakter, der noen er mer generelle mens andre har spesifikke temaer. Ifølge mandatet har OPS AT seks hovedformål:
• Øke samhandling, kommunikasjon og utveksling av informasjon på tvers av finansnæringen og offentlig sektor
• Dele informasjon om trender og trusselbildet
• Heve kompetansenivået innen AML hos rapporteringspliktige og offentlige myndigheter
• Diskutere og fremme forslag til iverksettelse av risikoreduserende tiltak
• Koordinere og samordne ressursinnsats der dette er mulig/hensiktsmessig
• Initiere og gjennomføre prosjekter som vil forbedre anti-hvitvaskingsarbeidet
Per i dag har OPS AT en kjernegruppe, tre arbeidsgrupper og flere prosjekter/initiativer som er i oppstartsfasen.
På det strategiske nivået vurder Finans Norge nå om det er behov for ytterligere tiltak både innad i næringen, men også sektoruavhengig på tvers av privat sektor. Stadig mer blir digitalisert og den digitale infrastrukturen blir stadig mer sammenvevd. Finans Norge mener samarbeid er et viktig beredskapstiltak for å styrke motstandskraften mot cybertrusler.
3. Naturskader og forebygging
Naturskader påfører samfunnet svært store utgifter, og klimaendringer gjør at det kan forventes en økning i antall skader. Målrettet skadeforebygging vil i noen grad kunne motvirke en slik økning. Dette arbeidet vil også være nyttig i et beredskapsperspektiv.
Finans Norge har siden 2018 samarbeidet med Direktoratet for samfunnssikkerhet og beredskap (DSB) hvor målet er å redusere klimarisiko, og utveksle kunnskap og data om naturskader. Formålet med samarbeidet er å få bedre oversikt over risiko og sårbarhet i samfunnet, og dermed øke og effektivisere forebygging av uønskede hendelser. Samarbeidet skal støtte opp om mer kunnskapsbasert forebyggende arbeid i kommunene.
Forsikringsbransjen bidrar med skadedata til DSBs kunnskapsbank, slik at dataene blir tilgjengelig for de som skal jobbe med samfunnssikkerhet og arealplanlegging i fylker og kommuner. Plattformen inneholder data fra blant annet DSBs egne fagsystemer, Norges vassdrags- og energidirektorat (NVE), Meteorologisk institutt (MET) og Statens vegvesen, i tillegg til skadedata fra Finans Norge. Finans Norge mener at det er viktig å legge til rette for innsamling av opplysninger om natur- og vannskader til forebyggende samfunnssikkerhetsarbeid.
Når en naturskade inntreffer, er også finansnæringen til stede i beredskapsarbeidet. Restverdireding (RVR) er organisert gjennom Finans Norge forsikringsdrift, og samarbeider med brannvesen og forsikringsnæringen om å redde mest mulig av gjenverdiene etter brann, vannlekkasjer og andre akutte skader. RVR bidrar som et ledd i beredskapen ved store skader som eksempelvis skredet på Gjerdrum i 2020. Fra 11. januar til 17. februar 2021 ble det hentet ut eiendeler og gjort sikkerhetssjekk på 414 adresser og mer enn 300 biler kjørt ut fra evakuert sone, samt næringsvirksomhet og kommunale bygg. Dette eksemplet belyser forsikringsnæringens arbeid også under naturkatastrofer eller skader. RVR-samarbeidet mellom brannvesenene og forsikringsselskapene er et godt eksempel på hvordan privat og offentlig samarbeid kan drives og utvikles.
Oppsummering
Dette innspillet har pekt på finansnæringens rolle i beredskapsarbeidet i Norge. Finansnæringen er en sentral aktør i beredskapsarbeidet rundt betalingsformidling, cybersikkerhet og naturskader. Slik som Finans Norge peker på i dette innspillet er det en rekke samarbeid mellom finansnæringen og offentlige etater. Dette er samarbeid Finans Norge mener det vil være gunstig å bygge videre på for å øke beredskapen i Norge. Finans Norge stiller gjerne til dialog og samtale for å utdype.
Med vennlig hilsen
Idar Kreutzer
Administrerende direktør
Finans Norge
Dato: 07.11.2022