Finansinspektionens föreskrifter om rapportering av incidenter och informationsregister enligt EU:s förordning om digital operativ motståndskraft för finanssektorn
Föreningen noterar att det av föreskrifternas 4 § 2 föreslås att ”rapporteringen enligt 4 § ska lämnas första gången senast den 28 februari 2025. Rapporteringen ska, med avvikelse för vad som sägs i 4 §, då avse förhållandena vid utgången av januari 2025.” Detta innebär att för den första rapporteringen får finansiella entiteter mindre än en månad på sig att rapportera registret. För kommande rapporteringar ges finansiella entiteter två månader på sig i enlighet med 4 § i samma föreskrifter. Föreningen anser det något bakvänt att ge finansiella entiteter kortare tid för rapportering när detta ska göras för första gången. Rapporteringen innebär att berörda finansiella entiteter behöver genomföra teknisk utveckling med tillhörande validering av rapporternas innehåll, ett arbete som måste kunna planeras i god tid. Till detta kommer att det ännu inte är känt hur rapporteringen ska gå till – det anges i 2 § samma föreskrifter att rapporteringen ska ske ”på det sätt som anges på Finansinspektionens webbplats”. Det kan vidare noteras att EU-kommissionen ännu inte har antagit de tekniska standarderna för mallarna avseende det register över uppgifter som avses i artikel 28.3 i Dora-förordningen, och det finns alltjämt en risk för ändringar i rapporteringsformat och innehåll.
Med anledning av den oklarhet som råder om hur rapporteringen ska utföras anser föreningen att det enda rimliga är att finansiella entiteter vid det första rapporteringstillfället ges mer tid för rapportering. Den första rapporteringen av informationsregistret bör därför flyttas fram.
Finansinspektionens allmänna råd om rapportering av händelser av väsentlig betydelse
Den incidentrapportering som ska ske enligt Dora-förordningen ska inte omfattas av Finansinspektionens allmänna råd om rapportering av händelser av väsentlig betydelse. Därför lämnas nya allmänna råd om rapportering av händelser av väsentlig betydelse vars tillämpningsområde inte omfattar incidentrapportering enligt Dora-förordningen.
Av de föreslagna allmänna råden, som gäller för förvaltare av alternativa investeringsfonder, framgår att företag genast bör rapportera till Finansinspektionen när sådana händelser inträffar som anges i de allmänna råden. Företaget bör rapportera händelser som kan medföra att ett större antal kunder orsakas betydande ekonomisk skada, eller en väsentlig ryktesförlust för företaget. De händelser som avses är till exempel att ”fel uppstår i tekniska system”. De kriterier som räknas upp för att kvalificera för anmälan enligt de allmänna råden är sådana som ingår i den bedömning som företagen ska göra när de avgör om en IKT-tjänst är kritisk eller viktig (dvs. väsentlig), och som då ska anmälas enligt Dora-förordningen. Föreningen menar att det måste tydliggöras vad det är för tekniska system som inspektionen avser ska anmälas enligt de allmänna råden.
Föreskrifter om ändring i Finansinspektionens föreskrifter (FFFS 2013:9) om värdepappersfonder
Finansinspektionen föreslår vidare ett nytt andra stycke i 14 kap. 1 § som anger att kapitlet inte gäller för sådana uppdragsavtal som omfattas av kapitel V i Dora-förordningen. Kapitel V i Dora-förordningen reglerar hantering av IKT-tredjepartsrisker. Bestämmelsen i artikel 28.3 sista stycket i Dora-förordningen anger att finansiella entiteter ”i god tid” ska informera den behöriga myndigheten om eventuella planerade kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner samt när en funktion har blivit kritisk eller viktig. Föreningen anser att det behövs vägledning om vad inspektionen anser utgöra ”i god tid” enligt Dora-förordningen.
Vidare torde enligt föreningens tolkning av regelverket IKT-avtal kunna avse såväl delegerad verksamhet som faller under 4 kap. 7 § lagen (2004:46) om värdepappersfonder (LVF) - och som då ska lämnas in till inspektionen i enlighet med 3 kap. 1 § i FFFS 2013:9 (fondföreskrifterna) - såväl som verksamhet som faller under Dora-förordningens artikel 28.3. Föreningen anser att det bör klargöras om de finansiella entiteterna för dessa avtal ska tillämpa 1-månadersregeln enligt fondföreskrifterna eller bestämmelsen om ”i god tid” enligt Dora-förordningen.
Fondbolagens förening
Madeleine Dubois Orvelius
Senior jurist