Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT)

DatoFOR-2003-05-21-630
DepartementFinansdepartementet
PublisertI 2003 hefte 7
Ikrafttredelse01.08.2003
Sist endretFOR-2015-12-17-1732
EndrerFOR-1992-12-16-1157
Gjelder forNorge
HjemmelLOV-1956-12-07-1-§4, LOV-1999-12-17-95-§3-3, LOV-2007-06-29-74-§11
Kunngjort30.05.2003
KorttittelForskrift om IKT-systemer i banker mv

Hjemmel: Fastsatt av Kredittilsynet (nå Finanstilsynet) 21. mai 2003 med hjemmel i lov av 7. desember 1956 nr. 1 om tilsynet med finansinstitusjoner mv. (finanstilsynsloven) § 4 nr. 2, lov av 17. november 2000 nr. 80 om børsvirksomhet m.m. (børsloven) § 3-4 første ledd annet punktum og lov av 17. desember 1999 nr. 95 om betalingssystemer m.v. § 3-3 første ledd annet punktum.
Tilføyd hjemmel: Lov 29. juni 2007 nr. 74 om regulerte markeder (børsloven) § 11 første ledd annet punktum.
Endringer: Endret ved forskrifter 23 sep 2009 nr. 1284, 18 des 2009 nr. 1726, 17 des 2015 nr. 1732.

§ 1.Virkeområde

Forskriften gjelder for norske:

1.Forretningsbanker
2.Sparebanker
3.Finansieringsforetak
4.Forsikringsselskaper
5.Private, kommunale og fylkeskommunale pensjonskasser og pensjonsfond
6.Børser og autoriserte markedsplasser
7.Verdipapirforetak
8.Forvaltningsselskaper for verdipapirfond
9.Oppgjørssentraler
10.Verdipapirregistre
11.Inkassoforetak
12.Eiendomsmeglerforetak
13.Betalingsforetak
14.E-pengeforetak
15.Systemer for betalingstjenester.

Forskriften omfatter IKT-systemer som er av betydning for foretakets virksomhet. For eksterne brukere av foretakets IKT-systemer skal det foreligge avtaler som sikrer at forskriftens krav til sikkerhet og dokumentasjon ivaretas.

0Endret ved forskrift 17 des 2015 nr. 1732.
§ 2.Planlegging og organisering

Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte.

Foretaket skal ha retningslinjer som skal sikre at utkontraktert IKT-virksomhet oppfyller kravene i § 12.

Det skal oppnevnes ansvarlige i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling.

Avtaler om utkontraktering av IKT-virksomhet og endringer i slike avtaler skal behandles av styret. Styret skal forelegges planer for utkontrakteringen, med risikovurdering, og en beskrivelse av hvordan foretaket skal sikre leveransen.

0Endret ved forskrift 17 des 2015 nr. 1732.
§ 3.Risikoanalyse

Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene.

Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen.

Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres.

§ 4.Kvalitet

Foretaket skal fastsette kvalitetsmål for de enkelte deler av IKT-virksomheten knyttet opp mot foretakets øvrige mål. Foretaket skal ha dokumenterte prosedyrer for oppfølging av fastsatte kvalitetsmål.

§ 5.Sikkerhet

Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. § 1, mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKT-systemene. Kravene til IKT-sikkerhet skal så langt det er praktisk mulig være målbare. Oppfyllelse av kravene til informasjonssikkerhet for personopplysninger etter forskrift av 15. desember 2000 nr. 1265 til personopplysningsloven skal anses som oppfyllelse av kravene i paragrafen her.

§ 6.Utvikling og anskaffelse

Foretaket skal ha skriftlige prosedyrer for anskaffelse, utvikling, videreutvikling og testing av IKT-systemer. IKT-systemene skal ikke settes i ordinær drift før ansvarlig har godkjent dette.

§ 7.Systemvedlikehold

Foretaket skal sikre at IKT-systemene vedlikeholdes og forvaltes på en måte som gir en stabil, planlagt og forutsigbar drift. Det skal foreligge dokumenterte prosedyrer for systemvedlikeholdet.

§ 8.Drift

Drift av IKT-virksomheten skal være basert på dokumenterte prosedyrer, som sikrer fullstendig, rettidig og korrekt behandling og oppbevaring av data.

IKT-systemer skal ha dokumenterte driftsløsninger som sikrer en tilgjengelighet i tråd med foretakets dokumenterte krav. Det skal gjennomføres regelmessige analyser og tiltak for å motvirke avvik i IKT-systemene eller deres omgivelser, som påvirker oppnåelse av foretakets dokumenterte krav.

Foretaket skal teste og dokumentere at driften fungerer i henhold til foretakets dokumenterte krav.

0Endret ved forskrift 17 des 2015 nr. 1732.
§ 9.Avviks- og endringshåndtering

Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges.

Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering.

Avvik som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data skal rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk. Foretak som nevnt i § 1 første ledd nr. 12 (Eiendomsmeglerforetak) omfattes ikke av kravet til hendelsesrapportering.

Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift.

0Endret ved forskrifter 23 sep 2009 nr. 1284 (i kraft 1 des 2009), 18 des 2009 nr. 1726 (i kraft 21 des 2009), 17 des 2015 nr. 1732.
§ 10.(Opphevet)
0Opphevet ved forskrift 17 des 2015 nr. 1732.
§ 11.Driftsavbrudd og kriseberedskap

Foretaket skal ha en dokumentert kriseplan som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av en krise. Med krise menes hendelser som forårsaker driftsavbrudd slik at foretakets IKT-drift ikke kan fortsette med normalt tilgjengelige ressurser.

Kriseplanen skal minst omfatte

-oversikt over IKT-systemer som inngår i planen
-beskrivelse av kriseløsningen
-klare kriterier for oppstart av kriseløsningen
-akseptabel lengde på et driftsavbrudd før kriseløsningen iverksettes
-prosedyrer som inneholder de nødvendige aktiviteter for å gjenopprette IKT-driften
-oversikt over ansvarsforhold og prosedyrer ved oppstart av kriseløsningen
-informasjon til berørte ansatte, leverandører, kunder, offentlige myndigheter og media.

Det skal minst en gang årlig gjennomføres opplæring, øvelse og testing av at kriseløsningen virker som forutsatt. Resultatet av testen skal dokumenteres.

0Endret ved forskrift 17 des 2015 nr. 1732.
§ 12.Utkontraktering

Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å kontrollere, herunder revidere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon.

Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket.

Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen.

0Endret ved forskrifter 18 des 2009 nr. 1726 (i kraft 21 des 2009), 17 des 2015 nr. 1732.
§ 13.Dokumentasjon

Det skal foreligge en samlet oppdatert oversikt over organisasjon, utstyr, IKT-systemer og vesentlige forhold i IKT-virksomheten. Det skal foreligge oppdatert dokumentasjon av det enkelte IKT-system som er av betydning for foretakets virksomhet og som dokumenterer at forskriftens krav er oppfylt til enhver tid.

§ 14.Dispensasjon

Finanstilsynet kan gi dispensasjon fra forskriften eller deler av denne.

0Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).
§ 15.Ikrafttredelse

Forskriften trer i kraft 1. august 2003. Samtidig oppheves forskrift av 16. desember 1992 nr. 1157 om bruk av informasjonsteknologi (IT). Finanstilsynet kan gi utsettelse med å oppfylle krav i forskriften.

0Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).