Orientering om indsendelse af årlig samlet risikovurdering

Risikostyring

Lov om betalinger indeholder i § 126, stk. 2, en forpligtelse for udbydere af betalingstjenester og udstedere af elektroniske penge til en gang årligt at indsende en ajourført og samlet risikovurdering i henhold til stk. 1 og en beskrivelse af de forebyggende foranstaltninger, udbyderne har truffet for at begrænse disse risici, til Finanstilsynet. Her kan du læse mere om proceduren.

Orientering om indsendelse af årlig samlet risikovurdering

Lov om betalinger indeholder i § 126, stk. 2, en forpligtelse for udbydere af betalingstjenester og udstedere af elektroniske penge til en gang årligt at indsende en ajourført og samlet risikovurdering i henhold til stk. 1 og en beskrivelse af de forebyggende foranstaltninger, udbyderne har truffet for at begrænse disse risici, til Finanstilsynet. Bestemmelsen gennemfører 95, stk. 2, i PSD2.

Udbydere af betalingstjenester og udstedere af elektroniske penge omfatter:

  • Betalingsinstitutter

  • E-pengeinstitutter

  • Pengeinstitutter, idet omfang de udbyder betalingstjenester eller udsteder e-penge

  • Virksomheder med begrænset tilladelse til at udbyde betalingstjenester eller udstede elektroniske penge

  • Kontooplysningstjenesteudbydere

Hvad skal den årlige samlede risikovurdering indeholde

Risikovurderingen skal indeholde en konkret stillingtagen til alle de betalingstjenester, som virksomheden udbyder, ligesom der bør foretages en vurdering af virksomhedens overordnede operationelle it-risici.

Kravet om indsendelse af en årlig samlet risikovurdering ses i øvrigt i sammenhæng med § 126, stk. 1, nr. 1, i lov om betalinger, om fastlæggelse af forretningsgange, procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici. Udarbejdelsen af disse skal ske med afsæt i en konkret risikovurdering af de betalingstjenester, som virksomheden udbyder.

I overensstemmelse med  artikel 95, stk. 3, i PSD2, har den europæiske banktilsynsmyndighed (EBA) fastsat retningslinjer for sikkerhedsforanstaltninger for drifts- og sikkerhedsrisici ved betalingstjenester. Retningslinjerne finder anvendelse for alle udbydere af betalingstjenester og fastsætter krav til etablering, gennemførelse og overvågning af de sikkerhedsforanstaltninger, som betalingstjenesteudbydere bør tage for at styre drifts- og sikkerhedsrisici i forbindelse med de betalingstjenester, som de udbyder.  

EBA’s retningslinjer trådte i kraft den 13. januar 2018.

Hvornår skal den årlige samlede risikovurdering indsendes

Den årlige samlede risikovurdering skal indsendes første gang senest den 1. juli 2019, og dække perioden 1. januar - 31. december 2018. Fra og med 2020 skal den årlige samlede risikovurdering indsendes senest den 1. april hvert år og dække perioden 1. januar - 31. december i det forudgående år.

Finanstilsynet har tidligere i brev om genansøgning til betalingsinstitutter og e-pengeinstitutter givet udtryk for, at den årlige samlede risikovurdering skulle indsendes første gang den 1. april 2019. Finanstilsynet gør opmærksom på, at denne frist er ændret som anført i ovenstående.

Hvordan skal den årlige samlede risikovurdering indsendes

Indsendelse af den årlige samlede risikovurdering kan ske til Finanstilsynets hovedpostkasse finanstilsynet@ftnet.dk.

Vejledning til at sende krypteret e-mail findes på Finanstilsynets hjemmeside.

Senest opdateret 27-03-2019