Incidentrapportering

Med Finansinspektionens allmänna råd om rapportering av händelser av väsentlig betydelse vill FI verka för att företag som står under myndighetens tillsyn rapporterar sådana händelser i verksamheten som kan äventyra företagens stabilitet eller skyddet av kundernas tillgångar.  

Företaget bör rapportera sådana händelser som kan medföra att dess ekonomiska förutsättningar ändras, så att det inte kan uppfylla sina åtaganden mot kunder.

Företaget bör rapportera händelser som kan medföra

• att ett större antal kunder orsakas betydande ekonomisk skada, eller
• en väsentlig ryktesförlust för företaget.

De händelser som avses är till exempel att

• information som lämnas vid kundtransaktioner är felaktig eller bristfällig,
• kundtransaktioner hanteras på ett felaktigt eller bristfälligt sätt,
• fel uppstår i tekniska system, eller
• interna eller externa regler överträds.

Om en revisor vidtar åtgärder enligt 9 kap. 43 och 44 §§ aktiebolagslagen
(2005:551), bör företaget genast informera Finansinspektionen om detta.

Företagets regelansvariga funktion bör lämna rapporten som bör innehålla följande uppgifter i enlighet med bilagan i det allmänna rådet FFFS 2021:2;

1. Ange företagets namn och adress.
2. Ange företagets kontaktperson med namn och telefonnummer.
3. Beskriv händelsen och omständigheterna kring hur händelsen upptäcktes.
4. Beskriv vilka åtgärder som företaget vidtar med anledning av händelsen.
5. Om det är möjligt, ange om rapporteringen avser en sådan händelse som
6. beskrivs i det allmänna rådet FFFS 2021:2 och i så fall vilken.
7. Ange datum och underteckna dokumentet med uppgifterna (vid elektronisk försändelse kan underskrift utelämnas och ersättas med namn på uppgiftslämnaren).

Uppgifterna kan skickas in med krypterat mejl till: incidentrapportering@fi.se.

För att mejla krypterat till incidentrapportering@fi.se behöver du hämta FI:s nyckel: incidentrapportering.zip. Mer information om kryptering av mejl finns på sidan Så mejlar du krypterat.

Undvik att ta med personuppgifter i rapporten.

Ange endast sådana uppgifter som är nödvändiga för att beskriva händelsen. Rapporten ska inte innehålla information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information.

Betaltjänstleverantörer ska rapportera allvarliga operativa incidenter och säkerhetsincidenter i sin betaltjänstverksamhet till FI. Av de nio verksamhetstyperna som anges i tabellen ovan omfattas följande av FFFS 2018:4:

1. bank- eller finansieringsrörelse
2. betalningsinstitut 
3. registrerad betaltjänstleverantör
4. institut för elektroniska pengar
5. registrerade utgivare av elektroniska pengar.

Dessa verksamhetstyper ska rapportera allvarliga operativa incidenter och säkerhetsincidenter i sin betaltjänstverksamhet genom att rapportera i FI:s rapporteringssystem Fidac. Händelsen ska rapporteras i de tre skeden enligt vad som anges i 6 kap. 4 § FFFS 2018:4.

Mer information om vilka incidenter som omfattas samt på vilket sätt allvarliga operativa incidenter och säkerhetsincidenter i betaltjänstverksamhet ska rapporteras finns under rubriken Allvarliga operativa incidenter och säkerhetsincidenter på sidan Rapportering enligt andra betaltjänstdirektivet (PSD 2).

Av de nio verksamhetstyper som anges i tabellen ovan omfattas endast företag inom verksamhetstypen bank- eller finansieringsrörelse – och som har identifierat och anmält sig som en leverantör av en samhällsviktig tjänst – av rapporteringskraven i MSBFS 2018:9.

Definition av leverantör och samhällsviktig tjänst

MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:7) redogör för vad som avses med leverantör och samhällsviktig tjänst:

"Med samhällsviktiga tjänster rörande bankverksamhet där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses betaltjänster enligt 1 kap. 2 § 1–6 p. lagen (2010:751) om betaltjänster som tillhandahålls av:

1. kreditinstitut enligt 1 kap. 5 § 10 p. lagen (2004:297) om bank- och finansieringsrörelse som enligt Finansinspektionens årliga tillsynskategorisering tillhör kategori 1 eller 2, eller
2. utländska kreditinstitut som driver finansieringsrörelse i Sverige genom en filial med en balansomslutning om minst 500 miljarder kronor."

De betaltjänster som avses enligt 1 kap. 2 § 1–6 p. lagen (2010:751) om betaltjänster är:

1. tjänster som gör det möjligt att sätta in kontanter på ett betalkonto samt de åtgärder som krävs för förvaltning av kontot,
2. tjänster som gör det möjligt att ta ut kontanter från ett betalkonto samt de åtgärder som krävs för förvaltning av kontot,
3. genomförande av betalningstransaktioner, inklusive överföring av medel på ett betalkonto, genom
   1. autogiro,
   2. kontokort eller andra betalningsinstrument, eller
   3. kontobaserade betalningar,
4. genomförande av betalningstransaktioner, när medlen täcks av ett kreditutrymme, genom
   1. autogiro,
   2. kontokort eller andra betalningsinstrument, eller
   3. kontobaserade betalningar,
5. utgivning av betalningsinstrument eller inlösen av transaktionsbelopp där ett betalningsinstrument har använts,
6. penningöverföring,

Rapporteringspliktiga incidenter

Rapporteringspliktiga incidenter redogörs för i 5. kap MSBFS 2018:9 1 §:

"Leverantörer inom bankverksamhet ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som

1. innebär att transaktioner inte kan eller sannolikt inte kommer att kunna initieras eller behandlas för
1. minst 25 % av leverantörens normala antal transaktioner, eller
2. minst 25 % av leverantörens användare, eller
2. pågår sammanlagt minst tre timmar under en 24-timmars period."

Incidentrapporten ska skickas till myndigheten för samhällsskydd och beredskap. Rapporten blir sedan vidarebefordrar till FI. 

Mer information om hur incidenter i samhällsviktiga tjänster ska rapporteras finns på MSB:s webbplats, se Incidentrapportering för NIS-leverantörer (MSB).

Observera att allvarliga operativa incidenter i betaltjänster som avses enligt 1 kap. 2 § 1–6 p även omfattas av rapporteringskrav enligt FFFS 2018:4. Om företaget har bedömt att en incident i en betaltjänst föranleder en rapport till MSB enligt MSBFS 2018:9 ska samma incident alltså också rapporteras direkt till FI i enlighet med rapporteringskraven i FFFS 2018:4.

För vissa typer av särskilt allvarliga händelser bör kreditinstitut under tillsynskategori 1 och 2 genast meddela Finansinspektionen genom ett telefonsamtal. En sådan initial rapport kallas G-Rapport. Telefonsamtalet görs till Finansinspektionens särskilda funktion för allvarliga incidenter. De berörda företagen har fått tillgång till detta telefonnummer. Funktionen har jourberedskap dygnet runt hela året.

Det går även att rapportera särskilt allvarliga händelser till FI:s tjänsteman i beredskap (TiB) genom att ringa SOS Alarm. Be då att bli kopplad till Finansinspektionens Tjänsteman i Beredskap.

G-rapporter bör göras enbart för sådana ärenden som uppfyller samtliga tre nedanstående kriterier:

1. Företaget tillhör tillsynskategori 1 samt 2 enligt Finansinspektionens vid var tid gällande tillsynskategorisering för kreditinstitut.
2. Företaget anser att händelsen är särskilt allvarlig (se exempel enligt nedan).
3. Företaget anser att det finns en tidskritisk komponent som föranleder att Finansinspektionen skyndsamt får information om händelsen.

Följande exempel kan fungera som vägledning för att bedöma om en händelse ska betraktas som särskilt allvarlig.

• Händelsen medför en betydande störning av en samhällsviktig tjänst och/eller påverkar fler marknader än den svenska.
• Företagets aktiekurs kan komma att påverkas.
• Allmänhetens förtroende för företaget eller den finansiella sektorn kan påverkas.
• Händelsen är av sådan natur att den kan leda till fokus i media eller frågor från media till FI.
• Händelsen kan få en akut effekt på företagets finansiella stabilitet.
• Händelsen har lett till att banken aktiverat sitt krishanteringsteam.

Följande exempel kan användas som vägledning för att bedöma om det finns en tidskritisk komponent.

• Händelsen är av sådan karaktär att det kan antas finnas skäl för FI att inom den egna myndigheten skyndsamt informera om och hantera händelsen eller skyndsamt informera andra myndigheter om händelsen.
• Händelsen är av sådan karaktär att den kan antas få stort medialt intresse och det kan antas att FI kan komma att bemöta frågor från media med relativt kort varsel.

Vid ett samtal till FI:s jourtelefon för incidentrapportering ska inte information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information lämnas.

Hur ska rapporterna krypteras när de skickas via mejl?

Rapporterna ska skickas krypterat. Företaget har möjlighet att använda både TLS och PGP. För mer information om hur man mejlar krypterat till oss, se sidan Så mejlar du krypterat.

Finns FI:s föreskrifter i engelsk översättning?

Ja, det finns engelska översättningar av till exempel FFFS 2018:4 och FFFS 2021:2. Det finns två vägar att hitta dem:

1. Söka på den engelska delen av FI:s webbplats (Search FFFS).
2. Gå till föreskriften på den svenska delen av webbplatsen och sen klicka på ordet "English" i toppen på sidan.

• FFFS 2018:4
• FFFS 2021:2

Behöver en händelse som utlöser rapporteringskraven i FFFS 2018:4 även rapporteras enligt FFFS 2021:2 om händelsen också påverkar företaget i andra delar än dess betaltjänstverksamhet?

Nej. Om en händelse har skett som påverkar både betaltjänster och annan verksamhet räcker det med att FI tar del av en rapport om allvarlig incident i betaltjänst (FFFS 2018:4). I dessa fall bör rapporten innehålla information även om den del av händelsen som inte är kopplad till betaltjänstverksamheten.

Notera att för allvarliga incidenter i betaltjänstverksamhet (FFFS 2018:4) måste FI vidaresända rapporten i sin helhet till Europeiska bankmyndigheten, EBA. 

Kan FI ge ytterligare vägledning om vilka händelser som bör betraktas vara av väsentlig betydelse?

Det allmänna rådet ger ett antal exempel på händelser som bör betraktas vara av väsentlig betydelse. FI har bedömt det vara svårt att lämna en så uttömmande vägledning att den täcker upp för alla slags händelser och för alla slags företag. Därför är det företaget själv som behöver göra en egen bedömning av om händelsen är av väsentlig betydelse eller inte.

Får det rapporterande företagen en kvittens på den inskickade rapporten?

Ja, vi kvitterar mottagandet av samtliga inskickade mejl. Meddela oss via incidentrapportering@fi.se om ni inte fått någon kvittens.

Har FI något önskemål om hur rapporterna ska namnges?

FI är tacksam för om rapporterna namnges enligt följade:

• TYP_Skede_Företag_ÅÅMMDD_ID.xls
• TYP=VHR för en 2021:2 rapport
• TYP=ÖVR för övrigt
• Skede=A, B eller C för respektive skede
• Företag=Rapporterande företag
• ÅÅMMDD=Datum (6 siffror)
• ID= Händelsens av företaget angivna incidentnummer
  
  

Bör de företag som omfattas av G-rapportering ringa och meddela FI om den särskilt allvarliga händelsen även om det gått flera timmar sedan händelsen inträffade och A-rapporten är redo att skickas in?

Ja. Även om det gått en tid sedan den särskilt allvarliga händelsen inträffade och det rapporterande företaget avser att skicka en A-rapport inom kort bör händelsen också genast ringas in till jourfunktionen. Detta gäller enbart sådana särskilt allvarliga händelser som företaget bedömer även har en tidskritisk faktor. Se mer information under vägledningsavsnittet för "G-rapportering".