Del 3
Andre saker
6 Likestilling og mangfald
Nedanfor kjem ei oversikt over stoda i arbeidet med likestilling og mangfald på Finansdepartementets område, jf. likestillingslova § 1 bokstav a. Som nemnt i pkt. 1.1 i del I omfattar denne proposisjonen av praktiske grunnar òg programkategori 00.30 Regjering, som Statsministerens kontor har ansvaret for. Difor er likestillingsstoda for denne programkategorien òg teken med.
Budsjettkapitla på området til Finansdepartementet gjeld for det aller meste administrasjon og statens gjeld og krav. Disponeringa av desse løyvingane har lite å seie for kjønns- og likestillingstilhøve. Departementet sitt arbeid med til dømes skatte-, avgifts- og pensjonsspørsmål har i nokre tilfelle følgjer for likestillinga. Det same gjeld personalpolitikken til departementet og dei underliggjande etatane.
6.1 Finansdepartementet
Kvinner utgjorde 45 pst. av dei tilsette ved utgangen av 2017. Blant leiarane var talet 43 pst. Av seniorsaksbehandlarane var 39 pst. kvinner, og av juniorsaksbehandlarane var 64 pst. kvinner. 49 pst. av juristane og 39 pst. av økonomane var kvinner.
Det følgjer av tilsettingspolitikken at Finansdepartementet skal leggje til rette for at tilsette med varig eller mellombels nedsett funksjonsevne kan bruke kompetansen sin og røynsla si.
Ved utgangen av 2017 hadde om lag 6 pst. av dei tilsette innvandrarbakgrunn. Talet på søkjarar med innvandrarbakgrunn var 10 pst. i 2017.
Sjukefråværet har vore lågt i mange år. Samla legemeldt sjukefråvær var 1,8 pst. – for kvinner 2,9 pst. og for menn 0,8 pst.
6.2 Etatane under Finansdepartementet
6.2.1 Likestilling
Tabellen under gjev ei oversikt over prosentdelen kvinner og prosentdelen kvinnelege leiarar per 1. oktober 2017 i verksemdene under Finansdepartementet. Tal i parentes er frå 2016.
Tabell 6.1 Likestilling mellom kjønna
Skatteetaten | Tolletaten | SSB | DFØ | Finanstilsynet | |
|---|---|---|---|---|---|
Tilsette | 6 650 (6 798) | 1 654 (1 648) | 854 (904) | 433 (423) | 268 (268) |
Prosentdelar: | |||||
Kvinner i etaten | 62 (62) | 46 (46) | 51 (52) | 62 (62) | 53 (52) |
Kvinnelege leiarar, heile etaten | 54 (53) | 41 (36) | 50 (48) | 58 (53) | 50 (52) |
Kvinnelege leiarar region, direktorat og avdeling nivå 2 | 39 (44) | 27 (15) | 29 (44) | 50 (40) | 60 (60) |
Kvinnelege leiarar nivå 3 | 54 (50) | 44 (38) | 54 (47) | 60 (58) | 50 (53) |
Kvinnelege leiarar nivå 4 | 57 (55) | 41 (40) |
Tabellen nedanfor syner tal for legemeldt sjukefråvær for 2017 for båe kjønn, kvinner og menn. Tal i parentes er frå 2016.
Tabell 6.2 Legemeldt sjukefråvær i pst. – båe kjønn, kvinner og menn
Skatteetaten | Tolletaten | SSB | DFØ | Finanstilsynet | |
|---|---|---|---|---|---|
Båe kjønn | 4,6 (4,4) | 4,2 (4,4) | 3,3 (3,4) | 4,2 (3,1) | 2,4 (2,6) |
Kvinner | 5,7 (5,5) | 5,4 (5,1) | 4,9 (4,6) | 5,4 (3,8) | 2,9 (2,9) |
Menn | 2,9 (2,7) | 3,3 (3,8) | 1,7 (2,1) | 2,1 (1,9) | 1,9 (2,3) |
Skatteetaten arbeider målretta og langsiktig for auka bevisstgjering og styrka innsats for ivaretaking av arbeidsmiljøet. I samband med omstillinga til ny organisering og oppgåveløysing frå og med 1. januar 2019 vart det hausten 2017 gjennomført ei overordna risikovurdering av Skatteetatens fysiske og psykososiale arbeidsmiljø.
Tolletaten har starta eit etatsovergripande prosjekt, Nærvær og sjukefråværsoppfølging, der måla er sjukefråvær under 3,5 prosent i direktoratet og under 4,5 prosent i regionane innan utgangen av 2018. Tiltaket starta i 2017 og er retta mot opplæring av leiarar, nærværsfaktorar og revidering av rutinar for sjukefråværsoppfølging for å nå desse måla. Det er utarbeidd tiltak for auka rørsle blant medarbeidarane (BiA – bevegelse i arbeidstida). Tiltaket opnar for inntil ein time med rørsle i arbeidstida, mot at medarbeidarane forpliktar seg til å røre på seg ein time på fritida i tillegg.
Finanstilsynet tilbyr mellom anna trening i arbeidstida og årleg helseundersøking hos bedriftshelsetenesta.
Alle etatane i departementsområdet er IA-verksemder og pliktar å leggje til rette for at tilsette med varig eller mellombels nedsett funksjonsevne kan vere i arbeid.
Nokre tiltak
I Skatteetaten har prosentdelen kvinnelege leiarar gått opp med 1 prosentpoeng sidan 2016. I Plan for likestilling og mangfald 2015–2018 har etaten som mål: «- likeverd, likestilling og mangfald skal vere ein del av etaten sin organisasjonskultur». Målet vert støtta av delmål for dei ulike diskrimineringsgrunnlaga og tiltak. Eit av måla er fleire kvinner i seniorstillingar.
I Tolletaten har prosentdelen kvinnelege leiarar gått opp med 5 prosentpoeng sidan 2016. Etaten utarbeidde i 2017 ein strategi for kjønnsbalansert leiing med hovudmål om at kvart kjønn innan 2021 skal vere representert med minst 40 pst. i toppleiargruppa og i dei andre leiarstillingane.
Alle verksemder skal leggje til rette for at ingen vert diskriminerte, jamfør òg krava i diskrimineringslovene. Kvar arbeidsplass skal òg leggje forholda til rette for eit godt arbeidsmiljø som inkluderer alle, uavhengig av seksuell orientering, kjønnsidentitet eller kjønnsuttrykk.
6.2.2 Etnisitet
Tabell 6.3 Tilsette med innvandrarbakgrunn
Prosentdeler | Skatteetaten | Tolletaten | SSB | DFØ | Finanstilsynet | Heile dep.omr. | Statleg tariffomr. |
|---|---|---|---|---|---|---|---|
I alt | 7,9 (8,0) | 5,9 (5,5) | 15,4 (15,6) | 12,9 (13,9) | 7,1 (7,4) | 8,4 (8,4) | 11.3 (10,7) |
| 2,9 (2,9) | 2,9 (2,5) | 5,7 (5,3) | 4,0 (4,1) | 3,2 (3,2) | 3,2 (3,1) | 5,8 (5,5) |
| 5,0 (5,1) | 3,0 (3,0) | 9,7 (10,3) | 8,9 (9,8) | 3,9 (4,2) | 5,2 (5,3) | 5,5 (5,2) |
1 EU/EFTA-land, Nord-Amerika, Australia og New Zealand
2 Resten av verda
Tabellen over syner prosentdelen tilsette med innvandrarbakgrunn i statleg tariffområde, departementsområdet og etatane. Tala er frå 2017, med 2016-tal i parentes.
Nokre tiltak
Alle etatane har innarbeidd statleg praksis om innkalling av minst ein kvalifisert søkjar med innvandrarbakgrunn til jobbintervju. Fleire av etatane deltek òg i mangfaldsnettverk.
Skatteetaten heldt hausten 2017 kurs i inkludering og mangfald for 400 rettleiarar i fyrste line skranke. Målet med kurset var å tryggje rettleiarane i deira rolle i møte med ei voksande fleirkulturell brukargruppe. Alle tilsette får tilbod om e-læringskurset Mangfaldskurset.
Tolletaten var i 2017 bidragsytar til FAFO-rapporten Profesjonell rekruttering er likestilt rekruttering, om rekrutteringspraksis i verksemder som er ein del av det statlege mangfaldsnettverket. Rapporten er eit kunnskapsgrunnlag for statlege verksemder for å arbeide vidare med at rekrutteringspraksisen skal støtte opp om og fremje mangfald og likestilling.
6.3 Programkategori 00.30 Regjering
Statsministerens kontor
Statsministerens kontor har som mål å fremje likestilling og mangfald gjennom personalpolitikken. Kontoret legg vekt på å gje kvinner og menn same moglegheit til utvikling i oppgåver og kompetanse, og dermed same høve til lønsutvikling.
Tilstandsrapport kjønn
Tala i tilstandsrapporten er per 1. oktober 2017.
Fordeling tilsette i % | Kvinner sin del av løna til menn i % | ||
|---|---|---|---|
Menn | Kvinner | ||
Alle tilsette | 61 | 39 | 109 |
Toppleiing | 40 | 60 | 106 |
Adm. leiargruppe | 83 | 17 | 125 |
Seniorrådgjevarar | 56 | 44 | 88 |
Andre saksbehandlarar o.a. | 33 | 67 | 93 |
Sjåførar | 88 | 12 | 98 |
Målet er ei jamn kjønnsfordeling blant dei tilsette ved kontoret. Kjønnsfordelinga kan verte betre i einskilde grupper, som sjåførgruppa og gruppa andre saksbehandlarar og støttefunksjonar. I sekretærgruppa var det 9 kvinner og ein mann, og i sjåførgruppa 23 menn og tre kvinner.
På leiarnivå har kvinner noko høgare gjennomsnittsløn enn menn. Gjennomsnittsløna for menn og kvinner i andre grupper varierer, avhengig av fagområde, kompetanse og arbeidsrøynsle.
I 2017 var samla sjukefråvær 3,1 pst – 2,4 pst. for menn og 4,1 pst. for kvinner.
Tiltak for å fremje likestilling og mangfald
Funksjonshemma og personar med innvandrarbakgrunn vert oppmoda om å søkje ledige stillingar ved kontoret. Dersom det finst kvalifiserte søkjarar med innvandrarbakgrunn eller nedsett funksjonsevne, vert minst ein søkjar kalla inn til intervju.
Statsministerens kontor er IA-verksemd. Kontoret legg vekt på å tilpasse den fysiske arbeidsplassen, utstyr, arbeidsoppgåver og arbeidstid for medarbeidarar med nedsett funksjonsevne eller for andre med behov for særskild tilrettelegging, til dømes på grunn av sjukdom, operasjonar, graviditet eller omsorgsoppgåver.
Kontoret ynskjer å leggje til rette for gode arbeidsvilkår for ulike fasar i livet. For tilsette over 60 år vert det i medarbeidarsamtalen utført ein seniorsamtale for å kartleggje eventuelle ynskjer om endra arbeidsoppgåver, tilrettelegging av arbeidssituasjonen og andre tiltak som kan styrkje moglegheita for å stå lenge i stillinga.
Regjeringsadvokaten
Regjeringsadvokaten har ein likestillingsplan med mål som skal hindre forskjellsbehandling på grunn av kjønn innanfor område som bemanning, leiing, faglege utfordringar, løn, tilrettelegging for omsorgsplikter m.m. Embetet legg vekt på å gje kvinner og menn same moglegheit for utvikling gjennom oppgåver og kompetansetiltak.
Tilstandsrapport kjønn
Alle tal i tilstandsrapporten er frå 1. oktober 2017. Tre av sju medlemmer i leiargruppa var kvinner. Kvinnene utgjorde 37 pst. av advokatane ved embetet og heile 87 pst. av dei administrativt tilsette. Alle advokatane, unnateke ein, arbeidde i 100 pst. stilling.
Gjennomsnittsløna for kvinnelege advokatar (inkludert leiarar og vikarar) utgjer 87,75 pst. av løna til menn. Differansen heng saman med alderssamansetjinga i kjønnsgruppene. Hos Regjeringsadvokaten får advokatane eit betydeleg lønshopp når dei får møterett for Høgsterett. Tildeling av prøvesaker for Høgsterett følgjer i stor grad ansienniteten og vil såleis alltid skje på kjønnsnøytrale premiss.
Det samla legemelde sjukefråveret i 2017 var 3,8 pst. for embetet. Sjukefråveret for menn var 2,3 pst. og 5,9 pst. for kvinner.
Tiltak for å fremje likestilling og mangfald
Ved utlysing av stillingar i grupper med skeiv kjønnsfordeling, vert det underrepresenterte kjønnet oppmoda til å søkje. Regjeringsadvokaten kallar som hovudregel inn minst ein søkjar, som regel fleire, med innvandrarbakgrunn til intervju. Tilsvarande gjeld dersom det er kvalifiserte søkjarar med nedsett funksjonsevne.
Regjeringsadvokaten legg vekt på å tilpasse den fysiske arbeidsplassen, utstyr og arbeidsoppgåver for medarbeidarane. Embetet tilbyr arbeidsplassvurdering til alle tilsette og gir moglegheit til trening.
For dei som har minimum fem år til fyrste moglege avgangstidspunkt, vert det lagt opp til ein seniorsamtale. Føremålet er å diskutere framtidsutsikter og kva moglegheiter arbeidsgjevar har til å foreslå utfordrande oppgåver og kompetansehevande tiltak som kan gjere det attraktivt å stå lenger i stillinga. For at dei eldre skal stå lenger i stillinga, har embetet innført betre ordningar for seniorar.
7 Omtale av klima- og miljørelevante saker
7.1 Finansdepartementet
Regjeringas klima- og miljøpolitikk byggjer på at alle sektorar i samfunnet har eit sjølvstendig ansvar for å leggje miljøomsyn til grunn for aktivitetane sine og for å medverke til at ein kan nå dei nasjonale klima- og miljøpolitiske måla. I Prop. 1 S (2018–2019) for Klima- og miljødepartementet finst ei samla omtale av klima- og miljørelevante saker for regjeringa.
Berekraftig utvikling
Finansdepartementet har eit sektorovergripande ansvar for å leggje grunnlaget for effektiv forvalting av dei økonomiske ressursane. I arbeidet med den økonomiske politikken skal Finansdepartementet medverke til at den økonomiske utviklinga skjer på eit miljømessig forsvarleg grunnlag.
Sektorovergripande klima- og miljøverkemiddel
Finansdepartementet har det overordna ansvaret for innretting av avgifter i miljøpolitikken. Rett utforma miljøavgifter gjev tildriv til å minke utsleppa og sikrar òg at forureinarane betaler.
7.2 Statistisk sentralbyrå
Statistikk over utslepp til luft er eit prioritert område. Statistikken over utsleppa av klimagassar er mellom anna knytt til oppfølginga av Noregs klimamål slik dei mellom anna kjem fram i Kyoto-protokollen og i Paris-avtala, til ei ny forordning om miljørekneskapar i Eurostat, samt rapportering som følgjer av ny klimalov. I tillegg til dei krava som Kyoto-protokollen set, vert det no teke med tal for utslepp frå internasjonal luft- og sjøfart og opptak av CO2 i skog. Norsk klimapolitikk er nært knytt til EU. Regjeringa arbeider for at Noreg og EU frå 2021 skal samarbeide om å nå måla for 2030. Dette vil auke behovet for å skilje mellom utslepp frå kvotepliktig sektor og ikkje-kvotepliktig sektor. Eit slikt samarbeid set også krav til rapportering av utslepp. Statistikken over langtransportert forureining er mest knytt til oppfølginga av Gøteborg-protokollen. SSB har bygd ei produksjonsløysning for energirekneskapen og energibalansen. Ho vart teken i bruk i statistikkproduksjonen i 2017 og vil gje meir robust og effektiv produksjon av desse rekneskapane. Samstundes med omlegginga av produksjonsløysninga, er metodane gjennomgått. Dette òg vil betre grunnlaget for berekningane av utslepp til luft. Tal frå det nye systemet for heile perioden 1990–2017 vart publisert i juni 2018. Utviklinga av statistikk over verkemiddelbruk, m.a. avgifter og utsleppskvotar, skal halde fram. Fram mot 2020 skal han utvidast med tal for miljøsubsidiar. Statistikk over avfall og attvinning skal dekkje både rapporteringskrav frå EU som følgjer av statistikkforordninga, og nasjonale behov. Statistikken over reinsing og utslepp av kommunalt avløpsvatn vert utvikla vidare. SSB følgjer òg opp statistikkforordninga om materialrekneskapar; Sirkulær økonomi (materialstraumar og attvinning). Ein skal finne målepunkt som er tilpassa nytt direktiv, tilpasse innhentinga av data og avklare korleis statistikken skal kunne ta vare på nasjonale og internasjonale behov. Vidare har SSB nyleg, i samarbeid med Miljødirektoratet og andre aktørar, starta utvikling av statistikk om matsvinn i verdikjeda frå produsent til konsument. Statistikk om matsvinn og matavfall skal dekkje både rapporteringskrav frå EU og nasjonale behov. SSB skal oppdatere og publisere arealstatistikken for Noreg (arealbruk og arealressursar) og andre meir analyseprega temastatistikkar om areal. Statistikk og analysar er publisert som planlagd.
Etterspurnaden etter miljøstatistikk til internasjonale publikasjonar og indikatorsystem, særleg i EU og OECD, er aukande.
Frå 2017 gav ei EU-forordning rapporteringsplikt på områda rekneskap for miljøvernutgifter (EPEA), statistikk for produksjon, bruttoprodukt, sysselsetting og eksport av miljørelaterte varer og tenester (EGSS) og næringsfordelt energibruk. Alle desse områda vert utarbeidd etter den internasjonale standarden SEEA (System for Environmental and Economic Accounting) og i tråd med prinsipp i nasjonalrekneskapen.
Innanfor forskingsverksemda i SSB på miljø- og klimafeltet er det fleire analyseprosjekt i gang, knytt til energimarknadstrendar, klimapolitisk utvikling og bruk av naturressursar. I desse nyttar ein økonomiske analysemodellar av norsk, europeisk og global økonomi. Modellar av norsk økonomi (SNOW) vert òg leverte til Finansdepartementet for bruk der. Forskingsprosjekta nyttar norske data, i hovudsak frå SSB, og medverkar til statistikkarbeid på energi-, utslepps- og miljøfeltet. Prosjekta omfattar mellom anna omstilling av norsk økonomi og studiar av Noregs klimapolitiske mål og verkemiddel, løysingar for låge utslepp i transport, energi og industri, samt verdsetjing av naturressursar og tenester frå økosystema. Forskarane arrangerer og deltar i aktivitetar overfor norske brukarar i forvaltninga, nærings- og organisasjonslivet, allmenta, samt nasjonale og internasjonale samarbeidspartnarar, mellom anna gjennom det samfunnsfaglege senteret for energiforsking, CREE, som miljø- og energiforskarane i SSB er ein del av.
7.3 Avsetning til tapsfond for miljølåneordninga i Den nordiske investeringsbanken
Sida 1997 har Finansdepartementet hatt fullmakt til å gje garanti for miljølåneordninga i Den nordiske investeringsbanken. I åra 1998–2004 vart det gjennom løyvingar på statsbudsjettet bygt opp eit tapsfond på 45 mill. kroner til dekking av eventuelle tap. Fondet vart i 2014 belasta med vel 33,1 mill. kroner og i 2016 med vel 27,6 mill. kroner Som følgje av tapet i 2014 og varsla, ytterlegare tap, vart det for 2015, 2016 og 2017 løyvd 20 mill. kroner til tapsfondet årleg, og i 2018 vart det løyvd 10 mill. kroner. Målet var å auke tapsfondet slik at det igjen kjem opp til omkring 10 pst. av Noregs garantiansvar. Med eurokursen per 1. juni 2018 utgjorde fondet då 9,94 pst. av ansvaret. For 2019 vert det difor ikkje gjort framlegg om ytterlegare oppbygging av fondet.
8 Finansielle tenester som samfunnskritisk funksjon – vurdering av status og tilstand
8.1 Innleiing
I Meld. St. 10 (2016–2017) Risiko i et trygt samfunn og Innst. 326 S (2016–2017) og i Justis- og beredskapsdepartementets Prop. 1 S (2016–2017) er 14 tverrsektorielle samfunnsfunksjonar som er kritiske for samfunnstryggleiken, presenterte. Det er samfunnsfunksjonar der fleire departement kan ha eit ansvar, der det kan vere gjensidige avhengnader mellom samfunnsfunksjonar, og der departementa må samarbeide for å ta vare på samfunnstryggleiken. For kvar av dei 14 samfunnsfunksjonane er det utpeika eit hovudansvarleg departement, som skal sikre naudsynt koordinering og samordning.
Inndelinga i 14 kritiske samfunnsfunksjonar og plassering av ansvar hos eit hovudansvarleg departement er eit sentralt verkemiddel for å styrkje den tverrsektorielle samordninga i arbeidet med samfunnstryggleik. Det er gjennom ny samfunnstryggleiksinstruks1 etablert eit system for å utarbeide status- og tilstandsvurderingar for dei 14 samfunnskritiske funksjonane. Føremålet er å vurdere kva for evne samfunnet har til å halde funksjonane ved like dersom dei vert utsette for ulike påkjenningar. Dei hovudansvarlege departementa er ansvarlege for at vurderingane vert gjorde, og skal presentere desse i sine respektive budsjettproposisjonar. I 2018 er det utarbeidd status- og tilstandsvurderingar for dei tre samfunnskritiske funksjonane elektroniske kommunikasjonsnett og -tenester (Samferdselsdepartementet), redningsteneste (Justis- og beredskapsdepartementet) og finansielle tenester. Finansdepartementet er ansvarleg departement for funksjonen finansielle tenester og har difor laga ei tilstandsvurdering av denne funksjonen.
Den samfunnskritiske funksjonen finansielle tenester omfattar dei systema og det tilbodet av tenester som er naudsynt å oppretthalde for å ta vare på samfunnet sitt behov for sikker formidling av kapital til og frå utlandet, gjennomføring av finansielle transaksjonar på ein sikker måte og tilgang til naudsynte betalingsmidlar, jf. Direktoratet for sikkerhet og beredskap (DSB) sin rapport Samfunnets kritiske funksjoner (2016). Finansdepartementet har valt å konsentrere denne tilstandsvurderinga om den finansielle infrastrukturen, det vil seie betalingssystema og andre system som er naudsynte for at økonomiske transaksjonar skal kunne gjennomførast. Svikt i den finansielle infrastrukturen vil raskt ramme tilbodet av finansielle tenester, og kan òg påverke andre samfunnskritiske funksjonar.
Systema i den finansielle infrastrukturen vert i hovudsak eigd og drifta av bankar og andre private føretak. Bankane og andre finansføretak med løyve frå styresmaktene til å tilby finansielle tenester, er ansvarleg for drifta, uavhengig av om denne er utkontraktert til underleverandørar. Regelverket krev at finansføretaka legg ressursar i å identifisere og avgrense risiko for å sikre forsvarleg drift og god beredskap i føretaka. Finansdepartementet vurderer den finansielle infrastrukturen i Noreg som i hovudsak robust, men det er nokre utviklingstrekk som kan gjere tilbodet av finansielle tenester meir utsett framover. Dette gjeld særleg den aukande avhengigheita av komplekse IKT-system i sektoren, vekst i utkontraktering av driftsoppgåver og endringar i tilbodet av kunderetta tenester. Denne tilstandsvurderinga gjev ei oversikt over korleis desse trekka kan bidra til auka sårbarheit, og kva myndigheitene gjer for å sikre evna til å oppretthalde samfunnet sitt behov for finansielle tenester. I tillegg vert kontantar si rolle som del av beredskapen i betalingssystemet trekt fram.
Ein annan føresetnad for å ivareta befolkninga sitt behov for finansielle tenester, er finansiell og økonomisk stabilitet. Arbeidet med å overvake den økonomiske situasjonen, både nasjonalt og internasjonalt, gjennomføring av soliditets- og likviditetsregelverk som aukar robustheita til finansføretaka, og tilsynsverksemd som sikrar at dette regelverket vert følgt, er ikkje del av denne tilstandsvurderinga, men er tema i jamlege rapportar og analysar. Finansdepartementet, Noregs Bank og Finanstilsynet publiserer kvart år ei rekkje rapportar og analysar om dei økonomiske tilhøva i den norske finanssektoren, sjå boks 8.1.
Boks 8.1 Publikasjonar om finansiell stabilitet og finansiell infrastruktur
Finansdepartementet, Noregs Bank og Finanstilsynet publiserer jamleg rapportar og analysar om ulike sider ved finanssektoren og tilbodet av finansielle tenester. Departementet legg kvar vår fram stortingsmeldinga Finansmarkedsmeldingen, der departementet mellom anna går gjennom hovudlinjer i finansmarknadspolitikken og utsiktene for stabilitet i finanssystemet. Den finansielle infrastrukturen er del av vurderingane i finansmarknadsmeldingane, sjå til dømes avsnitt 2.6 og 3.6 i Meld. St. 14 (2017–2018) Finansmarkedsmeldingen 2018. Utsiktene for økonomisk stabilitet i finanssystemet vert òg vurdert av departementet i Nasjonalbudsjettet kvart år.
Noregs Bank kjem årleg ut med rapporten Finansiell stabilitet. I denne legg Noregs Bank vekt på utsiktene for bankane si inntening og soliditet og kva økonomiske risikofaktorar dei står overfor, og gjev ei brei vurdering av strukturen og sårbarheita i det norske finanssystemet. Noregs Bank legg fire gongar i året fram Pengepolitisk rapport med vurdering av finansiell stabilitet, som mellom anna inkluderer ein meir laupande gjennomgang av dei økonomiske risikofaktorane i finanssystemet.
Finanstilsynet publiserer kvar vår og haust rapporten Finansielt utsyn. Her gjev tilsynet sin analyse og vurdering av risikoen for finansielle stabilitetsproblem i den norske finansmarknaden på bakgrunn av utviklinga i norsk og internasjonal realøkonomi og marknadar. Rapporten omtalar òg inntening, soliditet og likviditet i finansføretaka.
Noregs Bank og Finanstilsynet publiserer årleg kvar sin rapport om den finansielle infrastrukturen. I rapporten Finansiell infrastruktur identifiserer Noregs Bank utfordringar og drøftar utviklinga i kunderetta betalingsformidling og i interbanksystema. I rapporten Risiko- og sårbarhetsanalyse ser Finanstilsynet på bruken av informasjons- og kommunikasjonsteknologi i finanssektoren og skildrar risiko og sårbarheiter for finansiell stabilitet, det einskilde føretak og den einskilde forbrukar.
8.2 Fordeling av ansvar og oppgåver
Ansvaret for systema i den finansielle infrastrukturen ligg i hovudsak hos bankar og andre finansføretak. Den som har løyve til å yte betalingstenester eller drifta interbanksystem eller verdipapiroppgjerssystem, er ansvarleg for tenestene og systema. Ein stor del av dei driftsmessige og tekniske leveransane til systema er i dag sett bort til underleverandørar, men dette endrar ikkje på ansvarstilhøva.
Dei viktigaste oppgåvene til styresmaktene er å fastsetje eit godt regelverk for innretninga og drifta av den finansielle infrastrukturen, sjå til at finansføretaka følgjer regelverket og overvake risikoen i systema. Finansdepartementet forvaltar lov- og forskriftsverket for finanssektoren og har det overordna ansvaret for å fremje finansiell stabilitet og medverke til forsvarleg drift i den finansielle infrastrukturen. I tråd med krav i samfunnstryggleiksinstruksen gjennomfører departementet jamlege risiko- og sårbarheitsanalysar (ROS-analysar) av både interne tilhøve og av tilhøve i sektoren, seinast i 2017, i tillegg til det laupande arbeidet med å vedlikehalde og oppdatere regelverket.
Finanstilsynet og Noregs Bank overvaker finansføretaka, verdipapirmarknadane og betalingssystema for å avdekkje tilhøve som kan true stabiliteten. Finanstilsynet har etter finanstilsynslova ansvar for tilsyn med all løyvepliktig verksemd i finanssektoren, men deler tilsynsansvaret for betalingssystema med Noregs Bank. Etter betalingssystemlova har Finanstilsynet ansvar for tilsynet med dei kunderetta betalingssystema og system for verdipapiroppgjer, medan Noregs Bank har ansvar for tilsynet med interbanksystema, det vil seie dei sentrale delane av betalingssystemet. Noregs Banks eiga oppgjerssystem (NBO) er det øvste nivået i det norske betalingssystemet, der betalingar mellom bankar, staten og Noregs Bank vert gjorde opp med endeleg verknad. Noregs Bank overvaker betalingssystemet og dei ulike delane av det, med heimel i betalingssystemlova og sentralbanklova. NBO er friteke frå tilsyn, men vert overvaka av ei anna eining i Noregs Bank enn eininga som driv systemet.
Fordi ansvarsområda innanfor den finansielle infrastrukturen i stor grad er overlappande, er det eit tett samarbeid mellom Noregs Bank og Finanstilsynet. Til dømes omfattar systema for verdipapiroppgjer, som høyrer inn under ansvarsområdet til Finanstilsynet, både overføring av verdipapir og overføring av pengar. Noregs Bank har ansvaret for pengeelementet, fordi oppgjeret skjer hos NBO.
Gjennom beredskapsutvalet for finansiell infrastruktur (BFI), som vert leia av Finanstilsynet, vert tiltak koordinert dersom det oppstår situasjonar som inneber fare for store forstyrringar i den finansielle infrastrukturen. Medlemmane i BFI representerer dei mest sentrale aktørane i den norske finansielle infrastrukturen.
8.3 Svakheiter i IKT-systema
Produksjonen og bruken av finansielle tenester har over mange år vorte meir og meir digital, noko som mellom anna har medverka til auka effektivitet og lågare kostnadar. Den finansielle infrastrukturen er i dag bygd opp av tunge IKT-system, som gjennom komplekse verdikjedar er avhengige av innsatsfaktorar på tvers av og frå andre sektorar. Den omfattar fysiske komponentar, operativsystem, applikasjonar, nettverk, standardar, organisering og avtalar i tillegg til system for overvaking, oppfølging, dokumentasjon og kontroll. Bankar, avreknings- og oppgjerssentralar, IT-leverandørar og teleselskap driftar ulike delar av infrastrukturen. Samstundes som det er mange fordelar med digitaliseringa, kan denne utviklinga òg gjere tenestetilbodet meir sårbart for tekniske feil og andre uønskte hendingar.
Som alle store og komplekse IKT-system er òg den finansielle infrastrukturen avhengig av at straum og tele- og datakommunikasjon fungerer. Sviktar leveransen av desse grunnleggjande innsatsfaktorane, vil det straks slå ut i eit redusert tenestetilbod til kundane og gjere det vanskelegare for finansføretaka å handle saman internt og med andre aktørar. Ein må òg rekne med at det vil oppstå feil med ulik frekvens og alvorsgrad i den finansielle infrastrukturen, slik som i alle større datanettverk. I betalingssystema kan feil dessutan vere særleg merkbare, ettersom systema forventast å vere tilgjengeleg for mange kundar nærmast til ei kvar tid.
Sjølv om det ikkje er til å unngå at det frå tid til annan oppstår feil, skal systema etter regelverket rettast inn slik at sannsynet for uynskte hendingar er låg. Dette inneber mellom anna at bankane bør etablere dupliserte driftsløysingar, og at dei hyppig må ta sikkerheitskopiar av alle data, oppretthalde alternative driftsstader og ha omfattande reserve- og beredskapsløysingar som skal sørgje for at drifta raskt kan takast opp att ved avbrot i dei ordinære løysingane. Det er òg krav om at bankane sin beredskap er samordna med beredskapen hos leverandørar som har betyding for banken si verksemd, og at det vert gjennomført heilskapelege øvingar. Krava er nedfelte mellom anna i betalingssystemlova og i IKT-forskrifta.
Den såkalla kjerneløysinga i kvar einskild bank held orden på den samla økonomiske omgangen banken har med kvar kunde og med andre bankar. Dei fleste norske bankane nyttar her gamle løysingar som til dels er vidareutvikla og i somme høve moderniserte (dataprogramma er skrivne om) over fleire år. Bruken av gamle system utgjer i seg sjølv ein risiko, men stabiliteten i kjerneløysingane har vore god. Det kan henge saman med at nye funksjonar som har kome opp gjennom åra, ofte er lagde på utsida av den gamle kjerneløysinga, framfor å verte integrert i eksisterande system. Når nye funksjonar og tenester vert kopla saman i lange, integrerte og automatiske transaksjonskjeder, kan dei i større mon driftast kvar for seg, men systemet som heilskap vert sårbart for svikt fleire stader. I tillegg vil ei grunnleggjande fornying av kjerneløysingane, som før eller seinare må gjennomførast, vera utfordrande og kostnadskrevjande.
Ettersom svikt i betalingssystema, òg kortvarig, kan få store konsekvensar for samfunnet, er det ei særs viktig oppgåve i eit samfunnstryggleiksperspektiv å bidra til å førebyggje problem gjennom å stille strenge krav til tryggleik og kontroll i føretaka, samt å oppretthalde god kriseberedskap. Myndigheitene har få moglegheiter for å medverke til å rette opp problem i infrastrukturen etter at dei har oppstått. For å sikre at føretaka arbeider med IKT-tryggleik på ein hensiktsmessig måte, er føretaka pålagde å rapportere vesentlege IKT-hendingar til Finanstilsynet. I sin oppfølging av vesentlege hendingar legg Finanstilsynet både vekt på korleis det einskilde føretaket har handtera hendinga, og på at det vert gjennomført relevante, førebyggjande tiltak. Rapporteringa av hendingar skal samstundes bidra i overvakinga av risikonivået i finanssektoren generelt. IKT-forskrifta stiller mellom anna krav til at føretaka skal ha beredskapsplanar som skal setjast i verk dersom IKT-drifta ikkje kan oppretthaldast som følgje av ei krise. Krava gjeld òg når heile eller delar av IKT-verksemda er utkontraktert. Finanstilsynet gjennomfører stadleg tilsyn der etterleving av forskrifta vert vurdert. Boks 8.2 gjev eit utdrag av sentrale paragrafar i IKT-forskrifta.
Boks 8.2 Utdrag frå IKT-forskrifta
Norske myndigheiter stiller omfattande krav til finansføretaka og andre med løyve på finansmarknadsområdet. Regelverket skal redusere sannsynet for uønskte hendingar, og minske konsekvensane av hendingar som likevel oppstår. Forskrifta om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskrifta) er ein sentral del av regelverket, og nedanfor vert nokre av dei mest sentrale paragrafane knytt til sikring av tilbodet av finansielle tenester summera opp.
Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften)
§ 1. Virkeområde
Forskriften gjelder [alle finansforetak og annen konsesjonspliktig virksomhet i den norske finanssektoren] (…).
Forskriften omfatter IKT-systemer som er av betydning for foretakets virksomhet. For eksterne brukere av foretakets IKT-systemer skal det foreligge avtaler som sikrer at forskriftens krav til sikkerhet og dokumentasjon ivaretas.
§ 2. Planlegging og organisering
Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. (…)
§ 3. Risikoanalyse
Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene.
Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen.
Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres
§ 7. Systemvedlikehold
Foretaket skal sikre at IKT-systemene vedlikeholdes og forvaltes på en måte som gir en stabil, planlagt og forutsigbar drift. Det skal foreligge dokumenterte prosedyrer for systemvedlikeholdet.
§ 8. Drift
Drift av IKT-virksomheten skal være basert på dokumenterte prosedyrer, som sikrer fullstendig, rettidig og korrekt behandling og oppbevaring av data.
IKT-systemer skal ha dokumenterte driftsløsninger som sikrer en tilgjengelighet i tråd med foretakets dokumenterte krav. Det skal gjennomføres regelmessige analyser og tiltak for å motvirke avvik i IKT-systemene eller deres omgivelser, som påvirker oppnåelse av foretakets dokumenterte krav.
Foretaket skal teste og dokumentere at driften fungerer i henhold til foretakets dokumenterte krav.
§ 9. Avviks- og endringshåndtering
Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges.
Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering.
Avvik som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data skal rapporteres til Finanstilsynet. (…)
Prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift.
§ 11. Driftsavbrudd og kriseberedskap
Foretaket skal ha en dokumentert kriseplan som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av en krise. (…)
§ 12. Utkontraktering
Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å kontrollere, herunder revidere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon.
Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket.
Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen
§ 13. Dokumentasjon
Det skal foreligge en samlet oppdatert oversikt over organisasjon, utstyr, IKT-systemer og vesentlige forhold i IKT-virksomheten. Det skal foreligge oppdatert dokumentasjon av det enkelte IKT-system som er av betydning for foretakets virksomhet og som dokumenterer at forskriftens krav er oppfylt til enhver tid.
Finanstilsynet orienterer rutinemessig Finansdepartementet om alvorlege IKT-hendingar i systema til finansføretaka, til dømes nå det er brot i tilgangen til bankane sine løysingar for betalingskort, nettbank o.l. Finanstilsynet og Noregs Bank utvekslar laupande relevant informasjon. Dei fleste IKT-hendingar som vert rapporterte til Finanstilsynet, er av operasjonell karakter, som typisk vil seie at årsaka til hendinga er tekniske feil ein eller annan stad i verdikjeda. Tryggleikshendingar i IKT-systema, det vil seie tilsikta, vondsinna hendingar, vert omtala i avsnitt 8.4.
Så langt har det ikkje vore hendingar med konsekvensar for finansiell stabilitet, og tilliten mellom aktørane er høg. Samstundes viser Finanstilsynets Risiko- og sårbarhetsanalyse 2017 at talet på rapporterte hendingar auka i 2017, sjå figur 8.1. Finanstilsynet har identifisert sårbarheiter som utgjer risiko for at alvorlege hendingar kan inntreffe. Det meiner mellom anna at finansføretaka bør styrkje arbeidet med å etablere tilstrekkeleg robuste IKT-løysingar, og opplyser at det i 2018 vil følgje nøye med på utviklinga i hendingar og vurdere behov for tiltak. Tilsynet opplyser at det vil leggje særleg vekt på at årsaker vert avdekte og tiltak sette i verk for å hindre gjentaking.
Figur 8.1 Rapporterte IKT-hendingar 2013–2017
Kjelde: Finanstilsynet
For fyrste halvår 2018 var det rundt 90 rapporterte, operasjonelle hendingar, det vil seie om lag på nivå med same periode året før.
8.4 Digital kriminalitet, sabotasje og andre åtak
Finanssektoren er eit attraktivt mål for vinningskriminelle aktørar, og åtak på denne sektoren kan òg vere effektivt dersom ein ynskjer å skape ustabilitet i samfunnet og økonomien i stort. Den finansielle infrastrukturen sin sentraliserte struktur og avhengnad av IKT gjer sektoren sårbar for tryggleikshendingar i IKT-systema. Eit vellukka cyberåtak på den finansielle infrastrukturen kan leie til at kundar ikkje får gjennomført sine betalingar, og at store verdiar går tapt. Det kan òg svekke tilliten til finansføretak og det finansielle systemet.
Boks 8.3 Ulike formar for cyberåtak
Angrep retta mot finansiell infrastruktur kan gjere systema utilgjengelig i periodar eller ramme konfidensialiteten og integriteten til informasjonen i systema, gjennom uautorisert uthenting eller manipulering av informasjon, eller uautorisert gjennomføring av betalingstransaksjonar.
DDoS (Distributed denial of service)
DDoS-åtak er Internett-åtak som inneber å overbelaste ein server med så mykje datatrafikk at normal tilgang for vanlege brukarar vert hindra. Siktemålet er å ramme tilgang til systema.
Phishing og sosial manipulering
Phishing inneber at kriminelle utgjer seg for å vere nokon andre for å hente ut sensitiv informasjon. Kriminelle nyttar i aukande grad phishing og sosial manipulering for å kome seg inn i systema til finansføretak. Siktemålet kan vere både å hente ut sensitiv informasjon og å manipulere betalingsoppdrag.
Vatnhol-åtak
Vatnhol er ein type åtak kor virus vert planta på nettsider som det er naturleg at tilsette i finanssektoren besøker (vatnhol). Viruset følgjer med over til datasystema på den tilsette sin arbeidsplass. Der opnar det ein inngang som kan nyttast av kriminelle. Siktemålet kan vere rein innhenting av informasjon eller innhenting av informasjon som grunnlag for å gjere uautoriserte transaksjonar. I februar 2017 vart 20 bankar i Polen infisert med skadevare som vart distribuert via det polske finanstilsynet sin webserver.
Kjelde: Noregs Bank, Finansiell Infrastruktur 2018
Internasjonalt er finanssektoren den sektoren som oftast vert utsett for digitale åtak, og åtaka vert fleire og har større rekkjevidde enn tidligare. Talet på rapporterte tryggleikshendingar i norske finansføretak er likevel nokså lågt og har gått noko ned dei siste åra, sjå figur 8.1. Finanstilsynet har peika på at noko av forklaringa kan vere at den norske finanssektoren er betre verna og har lengre røynsle i å sikre seg mot åtak. Samstundes viser Finanstilsynet i Risiko- og sårbarhetsanalyse 2017 til at finansføretaka har observert ei vesentleg auke i uynskt aktivitet. Berre ein liten del av den uynskte aktiviteten resulterer i tryggleikshendingar som skal rapporterast til Finanstilsynet.
Endringar i bank- og betalingssystemet som opnar for nye aktørar, kan gjere føretak i sektoren endå meir attraktive for cyberåtak og auke angrepsflata, sjå omtale av PSD 2 under avsnitt 8.6.
Det er omfattande sikring av systema i Noreg, både gjennom den generelle reguleringa av IKT-bruken i finanssektoren, særskilte tiltak retta mot tryggleikshendingar og ein betydeleg eigeninnsats og samarbeid hos finansføretaka sjølve. Mellom anna etablerte Finans Norge i 2013 FinansCERT for å hjelpe næringa i handteringa av digitale åtak. CERT står for «Computer Emergency Response Team». FinansCERT har bidrege til betre samhandling og koordinering mellom finansføretaka. Såleis har sårbarheita i næringa vorte redusert, og forsvarsverka samla sett vorte styrka. I 2017 etablerte delar av den nordiske finansnæringa Nordic Financial CERT med utspring i norske FinansCERT. Nordic Financial CERT er til liks med forgjengaren FinansCERT eit kompetansesenter for handtering av cybertruslar, og har som mål å identifisere og motverke angrep retta mot nordiske finansføretak og kundane deira. Opprettinga av Nordic Financial CERT er mellom anna eit resultat av dei positive røynslene føretaka som opererer i Noreg, har hatt med FinansCERT. Hovudkontoret er lagt til det eksisterande kompetansemiljøet i Oslo, som vart bygd opp gjennom FinansCERT.
Det går òg føre seg fleire arbeid retta mot å sikre den nasjonale IKT-tryggleiken. Dette er arbeid som vil ha relevans òg for finanssektoren. Mellom anna har Nasjonal sikkerhetsmyndighet (NSM), som ei oppfølging av Justis- og beredskapsdepartementets Meld. St. 38 (2016–2017) IKT-sikkerhet – Et felles ansvar, fastsett eit rammeverk for handtering av IKT-tryggleikshendingar. Rammeverket har mellom anna krav om planlegging og førebuing, oppdaging og vurdering av hendingar, varsling av relevante partar, iverksetting av prosessar og tiltak for å handtere hendinga, situasjonsrapportering og læring av hendinga. Rammeverket skal medverke til å skape god situasjonsoversikt gjennom å samle og koordinere informasjon om IKT-tryggleikshendingar, og effektiv handtering av alvorlige hendingar frå verksemdsnivå til politisk nivå gjennom god utnytting av dei samla ressursane i samfunnet. I finanssektoren vil mellom anna Finanstilsynet få nye oppgåver i samsvar med krava i rammeverket.
Sikkerhetslova stiller mellom anna krav om særlege tiltak for å beskytte skjermingsverdige objekt. I finanssektoren er det etter sikkerhetslova utpeika to slike objekt, båe i Noregs Bank. I februar 2018 vedtok Stortinget ein ny sikkerhetslov, som skal gjelde frå komande årsskifte. Den nye lova tydeleggjer at kvart departement har ansvaret for sin sektor, samstundes som sikkerhetsmyndighetens heilskaplege ansvar vert styrka. Den nye lova legg til rette for auka samhandling mellom offentlege myndigheiter og mellom offentleg og privat verksemd. Lova har fått eit noko utvida virkeområde for å vere tilpassa ei samfunnsutvikling med stadig større gjensidige avhengigheiter mellom ulike samfunnssektorar. For å avgjere kva som konkret skal underleggast lova, skal departementa identifisere såkalla grunnleggande nasjonale funksjonar.
8.5 Konsentrasjonsrisiko og underleveransar
Eit trekk ved utviklinga i den finansielle infrastrukturen er at det dei siste åra har vorte meir vanleg å utkontraktere drifta av IKT-tenester til relativt få, sentrale tenesteleverandørar. Utkontraktering er når føretaket vel å nytte seg av ein ekstern leverandør i staden for å sjølv drifte, utvikle og forvalte IKT-tenester. Ein større del av IKT-drifta og driftsoperasjonane til norske bankar og norske filialar av utanlandske bankar er i dag flytta ut av Noreg. Også på verdipapirområdet skjer mykje av IKT-verksemda i utlandet. Utflytting av IKT-oppgåver må skje på ein forsvarleg måte, både av omsyn til det einskilde finansføretak og til finanssystemet som heilskap.
Utkontraktering kan gjere drifta meir profesjonalisert og effektiv. Samstundes kan det vere utfordrande for finansføretaka å sikre at dei sjølve har nok kompetanse og ressursar til å ha den naudsynte styringa og kontrollen med leveransane. IKT-tenester som understøttar finansføretaket si verksemd, er underlagde IKT-forskrifta. Det inneber at finansføretaka har eit sjølvstendig ansvar for å sjå til og kontrollere at leverandørane etterlever krava i forskrifta. Manglande kompetanse og ressursar i finansføretaka til sjølv å følgje opp IKT-verksemda, kan utgjere ein risiko for den finansielle infrastrukturen.
Dei siste åra har det vore fleire fusjonar og konsolideringar i IKT-bransjen. Desse leier til at nokre få føretak no står for leveransen av særs viktige tenester til store delar av finanssektoren, teleselskapa og andre sentrale infrastrukturar. Samstundes er det ein trend at fleire IKT-leverandørar plasserer maskinene sine på same stad. Dette gjev stordriftsfordelar, men utgjer òg ein geografisk konsentrasjonsrisiko.
Ved utkontraktering av verksemd skal finansføretaka melde frå til Finanstilsynet minst 60 dagar før avtalen vert sett i verk. Meldeplikta er naudsynt for at tilsynsmyndigheitene skal ha tilstrekkeleg oversikt over den finansielle infrastrukturen. Finanstilsynet legg i tilsyn og oppfølging vekt på at føretaka skal gjere grundige risikoanalysar og vurderingar ved ny eller endra utkontraktering. Ei lovendring i 2014 gav strengare reglar om kva slags oppgåver finansføretaka kan utkontraktere. Etter finansføretakslova § 13-4 kan utkontrakteringa omfatte «deler av virksomheten som ikke er kjerneoppgaver», med mindre dette skjer i et omfang eller på en måte som ikke kan anses som forsvarlig eller som gjør at tilsynet med den utkontrakterte virksomhet eller foretakets samlede virksomhet blir vanskeliggjort».
Finanstilsynet har heimel til å kontrollere utkontrakteringa og setje i verk tiltak overfor uforsvarleg utkontraktering. Dersom driftstenester av vesentleg betyding for betalingsformidling eller anna finansiell infrastruktur vert utkontrakterte til utanlandske aktørar, kan Finanstilsynet stille særskilde krav til etablering av beredskapsløysingar. Ved utkontraktering av IKT-tenester ut av Noreg, ser Finanstilsynet mellom anna til at finansføretaka tek tilstrekkeleg omsyn til landrisikoen i det aktuelle landet. Dersom Finanstilsynet vurderer at restrisiko etter eventuelle avhjelpande tiltak ikkje er tilfredsstillande, kan føretaket verte pålagt å gjennomføre ytterlegare tiltak i samsvar med kor viktig utkontrakteringa er for det finansielle systemet i stort.
Finanstilsynet vurderer i kvart einskild tilfelle av utkontraktering om avtalen oppfyller regelverket. I Risiko- og sårbarhetsanalyse 2016 skriv tilsynet at det fann manglar i ei rekkje avtalar knytt til større multinasjonale selskap som tradisjonelt ikkje har hatt utvikling eller driftstenester til finansnæringa i sin tenesteportefølje. Men etter påtrykk frå myndigheiter og finansnæringa sjølv, har desse tenesteleverandørane tilpassa kontraktane som vert tilbydd finansnæringa, slik at dei no oppfyller krava.
Noregs Bank peikar i rapporten Finansiell Infrastruktur 2018 på konsentrasjonsrisikoen som kjem med utkontraktering frå finansføretaka og andre til nokre få IKT-leverandørar. Noregs Bank skriv at dersom sentrale IKT-leverandørar til betalingssystemet feilar, anten som følgje av operasjonell svikt eller åtak, kan viktige delar av betalingssystemet stoppe opp. Banken meiner at ein bør greie ut korleis IKT-leverandørar og datasenter som er kritiske for betalingssystemet og andre sentrale samfunnsfunksjonar, best kan underleggjast tilsyn. Ei slik vurdering bør ifølgje Noregs Bank avgrensast mot utredninga som IKT-tryggleiksutvalet skal leggje fram innan utgangen av 2018.
8.6 Endringar i tilbodet av kunderetta tenester
Finansnæringa er prega av rask innovasjonstakt, som dei siste åra særleg har vore synleg innanfor tilbodet av betalingstenester. Viktige drivarar er auka digitalisering og ny teknologi, auka internasjonalisering og ny regulering. Utviklinga skjer dels innanfor den eksisterande finansielle infrastrukturen, der bankar og andre etablerte aktørar byggjer vidare på velprøvde system og løysingar. Eit døme på dette er marknaden for mobile betalingstenester.
EUs reviderte betalingstenestedirektiv (PSD2) krev at bankane opnar opp systema sine slik at tredjepartsaktørar kan få tilby tenester knytt til betaling og kontoinformasjon. Eit framlegg om gjennomføring av direktivet i norsk rett er no til behandling i Stortinget. PSD2 kan føre til auka konkurranse og fleire aktørar som tilbyr slike tenester.
Nye aktørar i betalingsmarknaden gir større spreiing av betalingsinformasjon, meir komplekse system og auka angrepsflate for cyberåtak. I Finansiell infrastruktur 2018 skriv Noregs Bank at sårbarheiter knytt til tilgang, behandling og oppbevaring av informasjon kan ha betyding for tilliten til betalingssystemet og finansiell stabilitet. Samstundes kan utviklinga òg gjere tilbodet av finansielle tenester meir spreidd, slik at ein ikkje er like sårbar for problem hjå einskilde føretak. Det nye regelverket for betalingstenester (PSD2-reglane) stiller dessutan strenge og likelydande krav både til nye og eksisterande aktørar om korleis dei skal følgje opp og handtere operasjonell og tryggleiksmessig risiko. Finanstilsynet er konsesjonsgivar og tilsynsmyndighet for tredjepartsaktørar under PSD2, og stiller krav både til bankane og til tredjepartsaktørane sin IKT-tryggleik. Nye aktørar må gjennom ein omfattande prosess der det vert stilt strenge krav til rutinar og prosessar, før dei får løyve til å tilby betalingstenester. I Risiko- og sårbarhetsanalyse 2017 skriv Finanstilsynet at dette gjer at det ikkje antek at den samla operasjonelle risikoen innan betalingsområdet vil auke som følgje av gjennomføringa av PSD2 i norsk rett, ut over at fleire aktørar og lengre verdikjeder i seg sjølv medfører auka risiko.
Betalingssystemlova stiller krav om at det «utan unødig opphald» skal gjevast melding til Finanstilsynet om etablering og drift av betalingstenester. I tråd med ansvarsprinsippet er det føretaka sjølve som skal sørge for at informasjon og system er godt nok sikra, og som skal setje i verk naudsynte tiltak.
Utviklinga skjer òg utanfor den eksisterande infrastrukturen, der ein større flora av aktørar tilbyr heilt nye løysingar, ofte frikopla frå etablerte kanalar for betalingsformidling og anna finansiell tenesteyting. Det veks fram nye kanalar og tenesteslag som myndigheitene og næringa ikkje har erfaringar med. Døme på dette er bruk av desentralisert teknologi til betaling og verdioppbevaring. Desentralisert teknologi kan òg gjere det mogleg å utvikle løysingar som ikkje er basera på den vanlege finansielle infrastrukturen. Dette kan bidra til den vidare digitaliseringa og effektiviseringa av prosessar i finanssektoren. Det er vanskeleg å seie kva effekt utviklinga kan ha for den eksisterande finansielle infrastrukturen no, men departementet og tilsynsmyndigheitene følgjer utviklinga nøye.
8.7 Nye krav til kontantar og beredskap i betalingssystemet
Effektive elektroniske beredskapsløysingar er avgjerande for at betalingssystemet raskt kan gjenopprettast ved avbrot. Dei fleste betalingar i Noreg skjer i dag med elektroniske løysingar som betalingskort, mobilbetaling og nettbank. Bruk av kontantar er redusert, og har liten betyding når det gjeld finansielle transaksjonar mellom næringslivsaktørar. Kontantar er likevel ein del av den samla beredskapsløysinga ved ei eventuell svikt i dei elektroniske beredskapsløysingane.
Ettersom dei fleste i dag hovudsakleg nyttar elektroniske betalingsmiddel, har bankane bygd ned sin infrastruktur for kontanthandtering. Dette inneber at moglegheitene til å møte auka etterspørsel etter kontantar, til dømes som følgje av svikt i dei elektroniske betalingssystema, er vorte redusert. Finanstilsynet og Noregs Bank konkluderte etter eit tilsyn hos bankane i 2013 med at kontantar framleis er den mest aktuelle betalingsmåten ved svikt i dei ordinære systema, og at bankane sin kontantberedskap ikkje har vore tilfredsstillande. Finanstilsynet og Noregs Bank sendte difor i 2016 eit framlegg til Finansdepartementet om nærare regulering av bankane si plikt til å gjere kontantar tilgjengeleg i slike tilfelle. Etter høyring av framlegget fastsette departementet 17. april 2018 forskriftsreglar om dette med heimel i finansføretakslova § 16-4.
Dei nye reglane inneber at bankane må tilpasse sine beredskapsløysingar til dokumenterte og talfesta vurderingar av risiko for auka etterspurnad etter kontantar, og angi desse i ein plan som vert følgt opp av Finanstilsynet. Bankane kan ta omsyn til elektronisk beredskap i dimensjoneringa av kontantløysingane, slik at dei får moglegheit for å redusere eit potensielt kostbart kontantkrav ved å byggje opp den elektroniske beredskapen. Departementet har lagt vekt på at kontantar har ei viktig beredskapsrolle, og at dei nye reglane vil bidra til å setje ein standard for den samla kapasiteten og beredskapen i det norske betalingssystemet. Fristen for å oppfylle krava er 1. januar 2019, slik at bankane får noko tid til å etablere nye løysningar og planar. I kva grad reglane vil innebere auka kontantbehaldningar, vil avhenge av kvaliteten på dagens elektroniske system, og om bankane vel å satse på nye elektroniske løysningar i staden for kontantar.
Sjølv om dei fleste i hovudsak nyttar elektroniske betalingsmiddel, er kontantar framleis ein betydelig betalingsmåte for mange. Tilbodet av kontantar er i hovudsak tilfredsstillande, men noko sårbart, sjå avsnitt 4.5 i Finansmarkedsmeldingen 2018. Som nemnt i meldinga vil Finansdepartementet følgje opp spørsmål knytt til kontantplikta, i finansmarknadsmeldinga for 2019.
Fotnotar
Instruks for departementenes arbeid med samfunnssikkerhet, fastsett av Justis- og beredskapsdepartementet 1. september 2017.