Dir. 2011:58

Stärkt krisberedskap i det centrala betalningssystemet

Kommittédirektiv

Stärkt krisberedskap i det centrala betalningssystemet

Beslut vid regeringssammanträde den 22 juni 2011

Sammanfattning av uppdraget

En särskild utredare ska – med utgångspunkt i rapporten En samlad reglering för stärkt krisberedskap mot allvarliga tekniska fel och störningar i det centrala betalningssystemet (Fi2010/1619) – vidareutveckla och ytterligare konkretisera de förslag som lämnas i rapporten avseende grundläggande säkerhetsnivåer och nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet. I uppdraget ingår att ta fram nödvändiga författningsförslag.

Uppdraget ska redovisas senast den 1 december 2011.

Bakgrund

Det svenska betalningssystemet omsätter cirka 1 300 miljarder kronor varje dag. De flesta betalningarna görs genom elektroniska överföringar. Dessa är starkt beroende av att den tekniska infrastrukturen (el, tele och it) fungerar väl. Det är därför viktigt att det finns en tydlig och effektiv ordning för hur allvarliga tekniska störningar och avbrott i det centrala betalningssystemet ska hanteras och förebyggas.

Under 2010 har det inom Regeringskansliet bedrivits ett särskilt utredningsarbete om hur statens förmåga att hantera allvarliga tekniska störningar och avbrott i betalningssystemet kan stärkas. Arbetet slutfördes i december 2010 och en rapport med förslag togs fram, ”En samlad reglering för stärkt

2

krisberedskap mot allvarliga tekniska fel och störningar i det centrala betalningssystemet” (Fi2010/1619).

Till grund för arbetet inom Regeringskansliet låg bl.a. Riksrevisionens rapport Krisberedskap i betalningssystemet (2007:28). I den rapporten framförs bl.a. att statens förmåga att hantera en allvarlig kris inom området är bristfällig samt att regeringen inte skaffat sig en samlad bild av hot och störningar i betalningssystemet och inte heller beslutat om vilken myndighet som ska ha det övergripande krisberedskapsansvaret. Vidare fanns som underlag rapporter som utarbetats av Finansinspektionen (Fi2008/2943), Riksgäldskontoret (Fi2008/3727) och Riksbanken (2007-829-STA) med anledning av Riksrevisionens granskning. Myndigheterna beskriver i dessa underlag hur de ser på sina respektive roller i betalningssystemet.

I samband med utredningsarbetet inom Regeringskansliet genomfördes samråd med bl.a. berörda myndigheter, samverkansforumen mellan offentliga och privata aktörer i den finansiella sektorn (FSPOS och SOES), vilket innebar att vunna erfarenheter togs till vara.

Förslagen i Regeringskansliets rapport (Fi2010/1619)

Grundläggande säkerhetskrav (avsnitt 6)

I Regeringskansliets rapport lämnas förslag om att de grundläggande säkerhetskraven (målen) för krisberedskapsarbetet inom de centrala delarna av betalningssystemet ska fastställas, med syftet att förbättra regeringens möjligheter till styrning och uppföljning. Det föreslås att de grundläggande säkerhetskraven i allt väsentligt bör vara av kvalitativ karaktär för att så långt som möjligt säkerställa att

  • de centrala delarna av betalningssystemet fungerar tillfredsställande även vid allvarliga tekniska störningar och avbrott,
  • samhällsviktiga betalningar kan genomföras inom rimlig tid även vid allvarliga tekniska störningar och avbrott, och

3

  • följderna av allvarliga tekniska störningar och avbrott i de centrala delarna av betalningssystemet så långt möjligt kan förebyggas och begränsas.

Det föreslås också att de grundläggande säkerhetskraven tas in i en ny lag.

Nationellt samordningsansvar (avsnitt 7)

I Regeringskansliets rapport föreslås vidare att ansvarsförhållandena klargörs genom att en myndighet, nämligen Riksbanken, ges ett nationellt samordningsansvar. I detta ansvar föreslås vissa övergripande förebyggande krisberedskapsåtgärder ingå, liksom vissa övergripande uppgifter vid akut kris.

I det nationella samordningsansvaret föreslås ingå att bl.a:

  • leda privat–offentlig samverkan,
  • leda och genomföra övningar,
  • ansvara för teknisk granskning av gränssnitt,
  • ansvara för att it- incidentrapporteringen samordnas,
  • ansvara för att det regelbundet upprättas en aggregerad risk- och sårbarhetsanalys,
  • ansvara för att det upprättas en årlig lägesrapport till regering och riksdag om krisberedskapen i de centrala delarna av betalningssystemet,
  • utöva övervakning av den krisberedskapsreglering som föreslås i utredningen, samt
  • planera för informations- och kommunikationssamordning vid kriser.

Övrigt

I Regeringskansliets rapport lämnas också förslag om att stärka säkerheten i den statliga betalningsmodellen genom att öka Riksgäldskontorets mandat (avsnitt 8) och om fortsatt utredningsarbete inom området (avsnitt 9). Det senare avser

  • kontantförsörjningen och elberoendet,

4

  • ökad redundans (reservrutiner) för de viktiga telekommunikationerna,
  • elberoendet hos aktörerna utanför det centrala betalningssystemet, samt
  • alternativa utbetalningsvägar.

Behovet av fortsatta utredningsinsatser

Regeringskansliets rapport har remissbehandlats (Fi2010/5860).

Av remissvaren framgår att en majoritet tillstyrker förslagen eller har inga invändningar. Två remissinstanser avstyrker förslaget om reglering av grundläggande säkerhetskrav samt förslaget om en nationell samordnare.

I remissvaren framhålls att ett antal frågor kräver ytterligare analys och utredning. Det gäller bl.a. att

  • ansvaret mellan Finansinspektionen och Riksbanken bör klargöras,
  • kvantitativa mål bör övervägas i stället för kvalitativa,
  • formerna för it-incidentrapporteringen övervägs,
  • begreppen som används behöver definieras tydligare,
  • konkurrensfrågorna ses över,
  • ansvaret i förhållande till Myndigheten för samhällsskydd och beredskap (MSB) kan behöva klargöras ytterligare, och
  • en konsekvensutredning görs.

Inom ramen för regeringens inriktning att samla ansvaret för informationssäkerhetsfrågorna flyttades den 1 januari 2011 Sitic (Sveriges IT-incidentcentrum) från Post- och telestyrelsen till MSB. Sitic benämns nu CERT-SE. MSB har i uppgift att stödja samhället i arbetet med att förebygga och hantera it-incidenter. Detta har skett efter det att rapporten (Fi2010/1619) utarbetades.

5

Uppdraget

En särskild utredare ska – med utgångspunkt i Regeringskansliets rapport, ansvarsprincipen samt förordningen (2006:942) om krisberedskap och höjd beredskap – vidareutveckla och ytterligare konkretisera de förslag som lämnas i rapporten avseende de grundläggande säkerhetsnivåerna och avseende nationell samordnare (avsnitten 6 och 7).

I arbetet ska remissvaren på rapporten beaktas. De förslag som lämnas i avsnitten 8 och 9 i Regeringskansliets rapport hanteras för sig och ska således inte ingå i utredarens uppdrag.

Syftet med uppdraget är att ta fram ett utvecklat förslag avseende beredskap för och hantering av allvarliga avbrott och störningar i det centrala betalningssystemet, som kan ligga till grund för beslut av regering och riksdag.

Inriktningen på arbetet ska vara att ta fram förslag till grundläggande säkerhetsnivåer för det centrala betalningssystemet av mer kvantitativ karaktär. Vidare ska inriktningen vara att det föreslås en ansvarig myndighet som, utan att överta annans ansvar, ska ha ett nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet.

I uppdraget ingår att beakta kraven i säkerhetsskyddslagstiftningen (säkerhetsskyddslagen [1996:627] och lagen [2006:128] om säkerhetsskydd i riksdagen och dess myndigheter) men inte att lämna förslag till ändringar av dessa eller förslag som påverkar polisens, inklusive Säkerhetspolisens, brottsbekämpande uppgifter.

I uppdraget ingår att utarbeta nödvändiga författningsförslag. Internationella erfarenheter kan inhämtas om utredaren bedömer att detta kan bidra till att tydliggöra ställningstagandena. Vidare ska utredaren bedöma och redovisa förslagets effekter på statens budget och andra finansiella konsekvenser för staten. Utredaren ska även föreslå hur eventuella kostnader ska finansieras. Konsekvenserna för företagen som berörs ska också redovisas.

6

Samråd och redovisning av uppdraget

Utredaren ska hålla Riksbanken, Finansinspektionen, MSB, Post- och telestyrelsen, Säkerhetspolisen och FSPOS informerade om arbetet och ge dem tillfälle att lämna synpunkter. I den omfattning som utredaren finner lämpligt ska synpunkter även inhämtas från andra instanser som lämnat remissvar på Regeringskansliets rapport. Vidare ska utredaren hålla sig informerad om det arbete som pågår inom Finanskriskommittén (Fi 2011:02) och annat relevant utredningsarbete.

Uppdraget ska redovisas senast den 1 december 2011.

(Finansdepartementet)