FFFS 2018:1

Finansinspektionens författningssamling

Utgivare: Finansinspektionen, Sverige, www.fi.se

ISSN 1102-7460

1

Föreskrifter

om ändring i Finansinspektionens föreskrifter och allmänna

råd (FFFS 2014:4) om hantering av operativa risker;

beslutade den 23 januari 2018.

Finansinspektionen föreskriver med stöd av 5 kap. 2 § 5 förordningen (2004:329)

om bank- och finansieringsrörelse och 6 kap. 1 § 10–12 och 54 förordningen

(2007:572) om värdepappersmarknaden att 1 kap. 2, 3 och 5 §§ och 5 kap. 16 och

23 §§ Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:4) om

hantering av operativa risker ska ha följande lydelse.

1 kap.

2 § Föreskrifterna gäller för

1. bankaktiebolag,

2. sparbanker,

3. medlemsbanker,

4. kreditmarknadsbolag,

5. kreditmarknadsföreningar,

6. värdepappersbolag, och

7. företag som har tillstånd att driva clearingverksamhet enligt 19 kap. lagen

(2007:528) om värdepappersmarknaden.

Föreskrifterna ska, i enlighet med 3 kap. 4 § lagen (2014:968) om särskild tillsyn

över kreditinstitut och värdepappersbolag, tillämpas på grupp- eller undergrupps-

nivå.

För ett företag som avses i första stycket 7 gäller föreskrifterna endast för

företagets organisation, processer och personal för att hantera it-system (it-

verksamhet).

3 § För värdepappersbolag gäller inte 5 kap. 15–23 §§ och 6 kap. 4 § 1.

För företag som har tillstånd att driva clearingverksamhet enligt 19 kap. lagen

(2007:528) om värdepappersmarknaden gäller endast 5 kap. 15–23 §§.

5 § I dessa föreskrifter och allmänna råd används samma definitioner som i 1 kap.

3 § Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:1) om styrning,

riskhantering och kontroll i kreditinstitut och Finansinspektionens föreskrifter

(FFFS 2017:2) om värdepappersrörelse, om inget annat anges.

Därutöver betyder

1. beredskapsplan: en plan som beskriver de åtgärder som ett företag ska vidta för

att hantera allvarliga och omfattande avbrott, störningar eller kriser,

FFFS 2018:1

Utkom från trycket

den 29 januari 2018

FFFS 2018:1

2

2. incident: en händelse som har eller riskerar att få negativ påverkan på företagets

verksamhet, tillgångar eller förtroende,

3. kontinuitetsplan: en plan som beskriver hur en verksamhet ska upprätthållas i

händelse av ett avbrott eller en större verksamhetsstörning,

4. operativ risk: detsamma som i artikel 4.1 52 i Europaparlamentets och rådets

förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut

och värdepappersföretag och om ändring av förordning (EU) nr 648/2012,

5. process: en kedja av sammanhängande aktiviteter som utifrån en viss resurs-

insats producerar ett resultat, och

6. återställningsplan: en plan som beskriver enligt vilka prioriteringar och rutiner

ett företag ska återgå till normal verksamhet efter ett avbrott eller en större verk-

samhetsstörning.

5 kap.

16 § Ett företag ska för varje process enligt 5 kap. 1 § fastställa den längst tillåtna

tiden för avbrott.

Ett företag som har tillstånd att driva clearingverksamhet enligt 19 kap. lagen

(2007:528) om värdepappersmarknaden ska, i stället för vad som anges i första

stycket, fastställa den längst tillåtna tiden för avbrott för sina processer av väsentlig

betydelse.

23 § Ett företag ska i de interna reglerna om kontinuitetshantering enligt 15 § fast-

ställa

1. vilka typer av tester det ska utföra enligt 22 §, och

2. hur ofta testerna ska utföras.

Beredskapsplaner, kontinuitetsplaner och återställningsplaner för processer enligt

5 kap. 1 § och de it-system som stödjer dessa processer ska testas minst årligen.

Ett företag som har tillstånd att driva clearingverksamhet enligt 19 kap. lagen

(2007:528) om värdepappersmarknaden ska, i stället för vad som anges i andra

stycket, minst årligen testa beredskapsplaner, kontinuitetsplaner och återställnings-

planer för sina processer av väsentlig betydelse.

_______________

Dessa föreskrifter träder i kraft den 1 mars 2018.

ERIK THEDÉEN

Thomas

Holmestål