SOU 2011:78
Stärkt krisberedskap i det centrala betalningssystemet
Till statsrådet Peter Norman
Genom beslut den 22 juni 2011 fastställde regeringen direktiv för en utredning om stärkt krisberedskap i det centrala betalningssystemet (Fi 2011:09). En särskild utredare skulle utses för att med utgångspunkt i en tidigare rapport i Regeringskansliet (Fi 2010/1619), ansvarsprincipen och förordningen (2006:942) om krisberedskap och höjd beredskap genomföra utredningen.
Syftet var utarbeta förslag som kan ligga till grund för beslut av regering och riksdag avseende beredskap för och hantering av allvarliga avbrott och störningar i det centrala betalningssystemet. Inriktningen skulle enligt direktivet vara att utarbeta förslag till grundläggande säkerhetsnivåer för det centrala betalningssystemet. En ansvarig myndighet skulle föreslås som, utan att överta annans ansvar, får ett nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris i det centrala betalningssystemet.
I uppdraget ingick att utarbeta nödvändiga författningsförslag. Redovisning skulle ske senast den 1 december 2011.
Till särskild utredare förordnades Åke Pettersson med början den 18 juli 2011.
Till utredningen har Finansdepartementet den 30 augusti 2011 utsett en referensgrupp bestående av bitr. enhetschef Lars-Göran Emanuelson och senior advisor Fia Ewald, Myndigheten för samhällsskydd och beredskap (MSB), f.d. generaldirektör Johan Hellman, ämnesråd Liso Norrman, Finansdepartementet, dep.sekr. Ann-Christin Olldén, Försvarsdepartementet, enhetschef Malin Omberg, Finansinspektionen samt ekonom Tomas Öberg och krisberedskapssamordnare Urban Örtberg, Riksbanken. Referensgruppen har haft tre sammanträden, varav ett heldagsmöte.
Konsulten Ulf Wennerberg har biträtt utredningen som sekreterare från den 20 juli 2011. Huvudsekreterare har varit jur.kand. Rasmus Rodhe sedan den 5 september 2011.
En särskild bilaga ”Att arbeta med mål inom samhällets krisberedskap” har utarbetats av fil.dr Ulf Eliasson, MSB.
Utredningen har genomfört besök hos Svenska Bankföreningen och de största privata aktörerna inom det svenska betalningssystemet. Även Riksbanken, Riksgäldskontoret, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen har besökts. Samråd har skett med Finanskriskommittén (Fi 2011:02). Internationella dokument inom området har kartlagts och analyserats.
Utredningen föreslår bl.a. att Riksbanken ska ha det samordnande nationella ansvaret för krisberedskapen i det centrala betalningssystemet. Vidare föreslås en ny lag om krisberedskap i det centrala betalningssystemet och smärre förändringar i lagen (1988:1385) om Sveriges riksbank samt i offentlighets- och sekretesslagen (2009:400).
Utredningen överlämnar betänkandet (SOU 2011:78) Stärkt krisberedskap i det centrala betalningssystemet.
Utredningsuppdraget är härmed slutfört.
Stockholm den 1 december 2011
Åke Pettersson
/Rasmus Rodhe Ulf Wennerberg
Författningsförslag
1. Förslag till lag (2012:000) om krisberedskap i det centrala betalningssystemet
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § Denna lag innehåller bestämmelser om krisberedskap i det centrala betalningssystemet.
2 § Med det centrala betalningssystemet avses de funktioner i det nationella betalningssystemet som har en sådan betydelse att ett bortfall eller en allvarlig störning, direkt eller över tid, skulle innebära risk eller fara för samhällets funktionalitet eller samhällets grundläggande värden.
Syfte
3 § Denna lag syftar till
1. att förebygga uppkomsten av allvarliga störningar i det centrala betalningssystemet, och
2. att vid allvarliga störningar i det centrala betalningssystemet säkerställa en tillfredsställande funktion i det centrala betalningssystemet, att följderna av störningarna begränsas, samt att clearing och avveckling av alla transaktioner inom det centrala betalningssystemet kan ske inom utlovad tid.
Nationellt samordningsansvar
4 § Riksbanken ansvarar för nationell samordning av krisberedskap i det centrala betalningssystemet.
Tillämpningsområde
5 § Bestämmelserna i denna lag är tillämpliga på de myndigheter och företag vars verksamhet utgör del av det centrala betalningssystemet (centrala aktörer).
6 § Riksbanken får meddela föreskrifter om vilka verksamheter som ska anses ingå i det centrala betalningssystemet och vilka aktörer som ska omfattas av denna lag enligt 5 §.
Krav
7 § Centrala aktörer ska vidta tillräckliga åtgärder för att förebygga och förbereda sig för att kunna hantera allvarliga störningar i det centrala betalningssystemet.
8 § Centrala aktörer ska ha vidtagit sådana åtgärder att de kan förväntas fullgöra sina uppgifter i det centrala betalningssystemet även vid väsentlig påverkan på
1. den egna verksamheten,
2. centrala system som verksamheten är ansluten till, eller
3. teknisk infrastruktur som verksamheten är beroende av.
9 § Centrala aktörer är även skyldiga att i rimlig utsträckning bistå varandra när någon eller några av dem har drabbats av händelser som avses i 8 §.
10 § De tekniska lösningar och system som används av en central aktör ska vara utformade och användas på sådant sätt att betryggande säkerhet uppnås mot störningar i verksamheten till följd av sådana händelser som avses i 8 §.
Särskilt om clearing och avveckling
11 § Utgångspunkten för krisberedskapen i det centrala betalningssystemet är att clearing och avveckling av samtliga transaktioner alltid ska ske i enlighet med ingångna avtal och gällande lagstiftning.
Riksbanken får vid särskilda omständigheter i samband med en allvarlig störning i det centrala betalningssystemet besluta om avsteg från första stycket.
Förebyggande och förberedande åtgärder
12 § Riksbanken får meddela föreskrifter om krav på förebyggande och förberedande åtgärder. Med dessa avses särskilda åtgärder som behövs för att säkerställa det centrala betalningssystemets funktionsförmåga.
Riksbanken får besluta om att förebyggande och förberedande åtgärder ska vidtas av en central aktör. Beslutet får inte vara mer betungande än vad som kan anses vara skäligt med hänsyn till aktörens betydelse för det centrala betalningssystemet.
Riksbankens nationella samordningsansvar
13 § Varje central aktör, vars ansvarsområde berörs av allvarliga störningar i det centrala betalningssystemet, ska vidta de åtgärder som behövs för att hantera konsekvenserna av dessa.
Riksbanken ska vid sådana situationer omgående kunna upprätta en krisledningsfunktion avseende samordning och information.
14 § Riksbanken ska årligen analysera om det finns sådan sårbarhet eller sådana hot och risker inom det centrala betalningssystemet som synnerligen allvarligt kan försämra förmågan till verksamhet inom området.
Vid denna analys ska Riksbanken särskilt beakta
1. situationer som uppstår hastigt, oväntat och utan förvarning, eller en situation där det finns ett hot eller en risk att ett sådant läge kan komma att uppstå,
2. situationer som kräver brådskande beslut och samverkan med andra aktörer,
3. att de samhällsviktiga funktionerna i det centrala betalningssystemet kan upprätthållas, och
4. förmågan att hantera mycket allvarliga situationer inom det centrala betalningssystemet.
Riksbanken ska värdera och sammanställa resultatet av arbetet i en risk- och sårbarhetsanalys. Redovisningen ska innefatta vilka åtgärder som planeras och en bedömning av behovet av ytterligare åtgärder. Riksbanken ska lämna en redovisning baserad på analysen till Regeringskansliet, Finansinspektionen och Myndigheten för samhällsskydd och beredskap.
15 § Riksbanken ska ha ett särskilt ansvar för att planera och att förebygga sårbarheter och motstå hot och risker i det centrala betalningssystemet. Riksbanken ska särskilt
1. samverka med Finansinspektionen i dess roll som tillsynsmyndighet för privata aktörer i det centrala betalningssystemet,
2. samverka med berörda länsstyrelser i deras roll som områdesansvarig myndighet,
3. samverka med övriga statliga myndigheter, kommuner, landsting, sammanslutningar och näringsidkare som är berörda,
4. beakta det samarbete som sker inom Europeiska unionen och internationella forum i frågor som rör samhällets krisberedskap,
5. beakta behovet av forsknings- och utvecklingsinsatser och annan kunskapsinhämtning såsom erfarenhetsåterföring av inträffade händelser,
6. beakta behovet av säkerhet och kompatibilitet i de tekniska system som är nödvändiga för att det centrala betalningssystemet ska kunna upprätthålla sina samhällsviktiga funktioner,
7. informera Myndigheten för samhällsskydd och beredskap om sin övningsverksamhet för att den ska kunna samordnas med den övningsverksamhet som Myndigheten för samhällsskydd och beredskap planerar. Riksbanken ska vidare verka för att aktörerna i det centrala betalningssystemet deltar i den övningsverksamhet som berör deras ansvarsområden.
16 § Riksbanken ska, när allvarliga störningar i det centrala betalningssystemet uppstår, hålla regeringen informerad om händelseutvecklingen, tillståndet, den förväntade utvecklingen och tillgängliga resurser inom ansvarsområdet samt om vidtagna och planerade åtgärder.
17 § Riksbanken ska efter förfrågan från Regeringskansliet eller
Myndigheten för samhällsskydd och beredskap lämna information
rörande beredskapsläget och den information som behövs för samlade lägesbilder.
Samordningsavgift
18 § Riksbanken får ta ut avgifter av centrala aktörer för att finansiera verksamheten med samordningsansvaret i enlighet med denna lag.
Tystnadsplikt
19 § Den som på grund av bestämmelser i denna lag eller föreskrifter som meddelats med stöd av lagen har fått kännedom om en enskilds affärs- eller driftförhållanden får inte obehörigen röja eller utnyttja uppgifterna.
I det allmännas verksamhet gäller offentlighets- och sekretesslagen (2009:400).
Överklagande
20 § Riksbankens beslut enligt 12 § andra stycket får överklagas hos förvaltningsrätten. Prövningstillstånd krävs vid överklagande till kammarrätten.
Annat beslut än beslut om att ta ut avgift gäller omedelbart om inte annat bestäms i beslutet.
Denna lag träder i kraft 1 januari 2013.
2. Förslag till lag om ändring i lagen (1988:1385) om Sveriges riksbank
Härigenom föreskrivs att 1 kap. 2 § lagen (1988:1385) om Sveriges riksbank ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
2 §
Riksbanken har enligt 9 kap. 13 § regeringsformen ansvaret för penningpolitiken.
Målet för Riksbankens verksamhet skall vara att upprätthålla ett fast penningvärde.
Målet för Riksbankens verksamhet ska vara att upprätthålla ett fast penningvärde.
Riksbanken skall också främja ett säkert och effektivt betalningsväsende.
Riksbanken ska främja ett säkert och effektivt betalningsväsende.
Riksbanken har det nationella samordningsansvaret enligt lagen ( 2012:000 ) om krisberedskap i det centrala betalningssystemet.
Riksbanken får meddela föreskrifter inom ramen för sitt ansvar för penningpolitiken. Riksbanken får även meddela föreskrifter såvitt avser verksamhet med anknytning till Riksbankens betalningssystem eller kontantförsörjningsuppdrag.
3. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 30 kap. 6 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
30 kap.
6 §
Sekretess gäller i en statlig myndighets verksamhet som består i övervakning eller kontroll för sådan uppgift om en enskilds ekonomiska eller personliga förhållanden som på begäran har lämnats av någon som är skyldig att lämna uppgifter till myndigheten, om övervakningen eller kontrollen sker enligt
Sekretess gäller i en statlig myndighets verksamhet som består i övervakning eller kontroll för sådan uppgift om en enskilds ekonomiska eller personliga förhållanden som på begäran har lämnats av någon som är skyldig att lämna uppgifter till myndigheten, om övervakningen eller kontrollen sker enligt
1. lagen (1991:980) om handel med finansiella instrument,
2. lagen (1996:1006) om anmälningsplikt avseende viss finansiell verksamhet,
3. lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument,
4. lagen (2004:299) om inlåningsverksamhet,
5. lagen (2005:377) om straff för marknadsmissbruk vid handel med finansiella instrument, eller
6. lagen (2006:451) om offentliga uppköpserbjudanden på aktiemarknaden.
1. lagen (1991:980) om handel med finansiella instrument,
2. lagen (1996:1006) om anmälningsplikt avseende viss finansiell verksamhet,
3. lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument,
4. lagen (2004:299) om inlåningsverksamhet,
5. lagen (2005:377) om straff för marknadsmissbruk vid handel med finansiella instrument,
6. lagen (2006:451) om offentliga uppköpserbjudanden på aktiemarknaden, eller
7. lagen ( 2012:000 ) om krisberedskap i det centrala betalningssystemet.
Om en uppgift som avses i första stycket rör den uppgiftsskyldige, gäller sekretessen endast om denne kan antas lida skada eller men om uppgiften röjs och sekretessen inte motverkar syftet med uppgiftsskyldigheten.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
1. Sammanfattning
Utredningens uppdrag
Utredningens uppdrag är att med utgångspunkt i rapporten SKRIB (Fi 2010/1619) och avlämnade remissvar vidareutveckla och ytterligare konkretisera de förslag som där anges avseende grundläggande säkerhetsnivåer och nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet. Inriktningen på arbetet ska vara att ta fram förslag till grundläggande säkerhetsnivåer för det centrala betalningssystemet av mer kvantitativ karaktär. Vidare ska inriktningen vara att det föreslås en ansvarig myndighet som, utan att överta annans ansvar, ska ha ett nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris i det centrala betalningssystemet.
Bakgrund
I rapporten Krisberedskap i betalningssystemet (RiR 2007:28) konstaterade Riksrevisionen att det fanns ett antal avgörande brister i statens åtgärder för att förebygga och hantera allvarliga störningar i det centrala betalningssystemet.
Riksrevisionen konstaterade i rapporten att ett stort antal myndigheter hade ansvar för den finansiella sektorns krisberedskap och att en privat-offentlig samverkan bedrevs. Ingen myndighet ansåg sig emellertid ha ett övergripande och samlat ansvar för ledning, planering, samverkan och uppföljning av krisberedskapen inom betalningssystemet. Oklarheten i ansvarsförhållanden och uppgifter bidrog till att det saknades en samlad bild av hot, risker, sårbarheter och konsekvenser samt att myndigheterna inte hade samordnat sina förberedande åtgärder tillräckligt.
Riksrevisionen anförde i rapporten att regeringen borde fastställa vilka grundläggande säkerhetskrav som ska gälla för betalningssystemet och dess nödvändiga infrastruktur. Regeringen borde också fastställa hur uthålligt betalningssystemet måste vara.
Regeringen borde enligt Riksrevisionen även fastställa vilken myndighet som har det övergripande krisberedskapsansvaret för betalningssystemet och incidentbevakningen samt föreslå riksdagen i vilka avseenden Riksbanken eller Finansinspektionen ska ha ansvar för krisberedskapen.
Finansinspektionen och Riksgäldskontoret fick av regeringen i uppdrag att redovisa vilka initiativ som hade tagits eller var planerade med anledning av Riksrevisionens rapport. Även Riksbanken sammanställde en liknande redovisning.
Med anledning av Riksrevisionens rapport och de redovisningar som Finansinspektionen, Riksgäldskontoret och Riksbanken lämnade i frågan utarbetades inom Finansdepartementet under 2010 en rapport innehållande förslag på hur statens förmåga att hantera allvarliga kriser i betalningssystemet kunde stärkas, Fi 2010/1619.
I rapporten föreslogs bl.a. att ett nationellt samordningsansvar skulle införas och att Riksbanken var den myndighet som skulle ges detta ansvar. Vidare föreslogs att detta ansvar samt grundläggande säkerhetskrav (mål) skulle regleras genom en ny lag. Rapporten har remitterats.
Utredningens slutsatser
Det centrala betalningssystemet
Någon allmänt vedertagen definition av begreppet det centrala betalningssystemet finns inte. I utredningen definieras det centrala betalningssystemet som de funktioner i det nationella betalningssystemet som har en sådan betydelse att ett bortfall, direkt eller över tid, skulle innebära en risk eller fara för samhällets funktionalitet eller samhällets grundläggande värden.
Viktiga system inom det centrala betalningssystemet är RIX – systemet för stora betalningar, Bankgirocentralens betalningssystem för massbetalningar, Euroclear Swedens VPC-system där transaktioner från aktie- och räntemarknaden clearas och avvecklas samt Nasdaq OMX Derivatives Markets som är central motpart för standardiserade derivatkontrakt. Andra viktiga aktörer inom det
centrala betalningssystemet är Riksgäldskontoret samt de fyra storbankerna.
Den ovan redovisade beskrivningen utgör dock inget försök att exakt definiera det centrala betalningssystemet. I utredningen föreslås att det ska vara en uppgift för Riksbanken att definiera vilka aktörer och verksamheter som ska anses ingå i det centrala betalningssystemet. Det kan förutses att denna definition kommer att bli föremål för en fortlöpande översyn av Riksbanken med hänsyn till den dynamik som präglar utvecklingen inom den finansiella sektorn.
Riksbankens samordningsansvar
Utredningen föreslår att Riksbanken tilldelas det nationella samordningsansvaret för krisberedskap i det centrala betalningssystemet. Samordningsansvaret innefattar inte ett övertagande av ansvar från en annan aktör i det centrala betalningssystemet för det fall en kris uppstår. Däremot får Riksbanken ett ansvar att leda samordningen mellan aktörerna i en sådan situation.
Riksbankens samordningsansvar för krisberedskap ska avse det centrala betalningssystemet. Finansinspektionen ska fortsatt ha krisberedskapsansvaret för den finansiella sektorn i övrigt.
Finansinspektionens tillsynsansvar över de privata aktörerna i det centrala betalningssystemet kvarstår.
Grundläggande säkerhetsnivåer
Utgångspunkten för utredningens förslag till grundläggande säkerhetskrav på det centrala betalningssystemet är att målen bör ha en kvantitativ (mätbar) karaktär för att kunna värderas och vara föremål för revision.
De säkerhetskrav som bör ställas på det centrala betalningssystemet bör utformas som en kombination av funktionskrav på detta system och krav på de tekniska system – externa och interna – som det centrala betalningssystemet är beroende av.
Riksbanken får i den av utredningen föreslagna lagen uppgiften att genomföra en årlig risk- och sårbarhetsanalys i syfte att identifiera de kriser som kan drabba det centrala betalningssystemet. Beredskapsplaneringen bör syfta till att hantera alla de kriser som identifieras i risk- och sårbarhetsanalysen. Även osannolika händelser
med allvarliga konsekvenser bör värderas. Kritiska beroenden som finns mellan det centrala betalningssystemet och andra samhällsverksamheter ska identifieras. Risk- och sårbarhetsanalyser ska vara förankrade på ledningsnivå.
Utredningen formulerar också funktionskrav på det centrala betalningssystemet. Målet är att det centrala betalningssystemet även vid en allvarlig kris kan avveckla alla transaktioner i enlighet med ingångna avtal och gällande lagstiftning, i regel senast under pågående bankdag. Reservsystem och alternativa driftsmiljöer ska genom kontinuitetsplaner vara väl förberedda att klara målet.
Kontinuitetsplaner måste innefatta tider för återställande av system. Målet för tiden till återstart vid ett avbrott i centrala betalningssystemet bör vara högst två timmar. De krav eller mål som utredningen föreslår ansluter sig väl till de rekommendationer som formuleras inom ramen för Bank for International Settlements (BIS) och Internationella organisationen för värdepapperstillsyn (IOSCO).
Det går dock inte helt att bortse från att det kan uppstå situationer då högt ställda mål inte kan tillgodoses. Att utgå ifrån att det centrala betalningssystemet inte under några omständigheter kan drabbas av sådana händelser är knappast tillrådligt. Därför är det nödvändigt att i ett svårt krisläge ha förberett åtgärder som utgår ifrån att endast en del av transaktionerna i det centrala betalningssystemet kan hanteras eller att det kan ta längre tid än en bankdag att avveckla transaktionerna. I sådana lägen måste vissa typer av transaktioner ges företräde under den tid krisen varar. Det bör inte ske slumpmässigt och improviserat utan bör utgå från en uppsättning på förhand fastlagda prioriteringsprinciper.
Aktörerna inom det centrala betalningssystemet föreslås också bli skyldiga att i rimlig utsträckning bistå varandra när något eller några av dem drabbas av allvarliga tekniska störningar eller avbrott.
De grundläggande säkerhetskrav som bör ställas på det centrala betalningssystemet sammanfattas av utredningen på följande sätt:
1. Målet är att det centrala betalningssystemet även vid en allvarlig kris kan avveckla alla transaktioner i enlighet med ingångna avtal och gällande lagstiftning, i regel senast under pågående bankdag.
2. Vid en allvarlig störning eller avbrott i verksamheten hos en aktör i det centrala betalningssystemet ska återgång till ordinarie drift eller övergång till reservsystem ske senast inom två timmar.
3. Om detta inte är möjligt ska en alternativplanering finnas som gör det möjligt att vid en kris prioritera de viktigaste transaktionerna.
4. Principer och metoder för att identifiera och vid en kris prioritera de viktigaste transaktionerna ska utvecklas.
Privat-offentlig samverkan
Aktörerna i det centrala betalningssystemet utgörs av både myndigheter och privata företag. Ett samarbete mellan de berörda parterna avseende krisberedskapsåtgärder inom det centrala betalningssystemet är därför nödvändigt. Den privat-offentliga samverkan som behöver ske bör även i fortsättningen hanteras inom ramen för samarbetet inom den finansiella sektorns privat-offentliga samverkansorgan, FSPOS.
Samordning av krisberedskapsåtgärder
Behovet av att samordna de krisberedskapsåtgärder som vidtas beträffande det centrala betalningssystemet har ytterst att göra med att olika aktörer inom detta system är beroende av varandra och att de krisberedskapsåtgärder som vidtas av dessa aktörer måste ligga på en sådan nivå att de mål som sätts för systemets samlade prestationsförmåga vid en kris kan uppnås.
Behovet av att samordna såväl beredskapsåtgärder som operativa åtgärder under en kris är större inom det centrala betalningssystemet än inom många andra verksamheter. Anledningen är att systemet omfattar ett antal aktörer vars verksamheter är nödvändiga för att systemet ska fungera och där ett bortfall av en aktör kan få långtgående konsekvenser för systemet som helhet. Betydelsen av detta förstärks av att hela det finansiella systemet är beroende av att det centrala betalningssystemet fungerar. Brister i beredskapen hos en aktör kan därför få omfattande spridningseffekter inom hela den finansiella sektorn. Av dessa skäl måste höga krav ställas på samordningen av de krisberedskapsåtgärder som vidtas beträffande det centrala betalningssystemet.
För närvarande saknas ett system som är direkt inriktat mot samordning av de krisberedskapsåtgärder som vidtas beträffande det centrala betalningssystemet.
Vid kriser i det centrala betalningssystemet är det väsentligt att det finns en krisledningsfunktion med befogenhet att samordna de åtgärder som behöver vidtas för att minska skadeverkningarna och att återupprätta systemets funktion så snabbt som möjligt. Det bör även vara en uppgift i det nationella samordningsansvaret att utbilda och öva personal som ska ha uppgifter i krisledningsorganisationen.
Följande uppgifter bör därför ingå i det nationella samordningsansvaret för krisberedskapsåtgärder inom det centrala betalningssystemet:
1. Utforma föreskrifter avseende grundläggande säkerhetskrav på det centrala betalningssystemet vid en kris.
2. Ta fram en risk- och sårbarhetsanalys för det centrala betalningssystemet i enlighet med de anvisningar för risk- och sårbarhetsanalyser som gäller inom krisberedskapen.
3. Leda och samordna beredskapsplaneringen inom det centrala betalningssystemet med inriktning mot de krissituationer som identifieras i risk- och sårbarhetsanalysen.
4. Utbilda och öva personal inom det centrala betalningssystemet för de krisberedskapsuppgifter som behöver utföras.
5. Verka för att en effektiv privat-offentlig samverkan sker mellan det centrala betalningssystemets aktörer.
6. Lämna information om beredskapsläget vad gäller det centrala betalningssystemet efter förfrågan från Regeringskansliet eller Myndigheten för samhällsskydd och beredskap (MSB). Under en pågående kris bör det nationella samordningsansvaret för det centrala betalningssystemet omfatta följande uppgifter:
1. Leda och samordna de åtgärder som vidtas av det centrala betalningssystemets aktörer för att hantera krisen.
2. Löpande upprätta lägesrapporter som redovisas till riksdag och regering samt till MSB och andra myndigheter.
3. Samordna den information som riktas till allmänheten och media om krisens förlopp.
Behovet av lagreglering
I utredningen föreslås att Riksbanken ges det nationella samordningsansvaret för krisberedskapen i det centrala betalningssystemet.
Av Riksbankens konstitutionella ställning följer att den i utredningen föreslagna ordningen ska regleras i lag. Den föreslagna lagen
innehåller de grundläggande principerna för Riksbankens samordningsansvar samt principerna för de grundläggande krav som är rimliga att sätta upp för krisberedskapen i det centrala betalningssystemet. Förslaget innehåller även bemyndiganden för Riksbanken att meddela närmare föreskrifter för vissa delar av lagens tillämpning.
Den föreslagna ordningen innebär att ett nära samarbete mellan Riksbanken och Finansinspektionen kommer att krävas inom detta område. Redan idag finns ett väl utvecklat samarbete mellan dessa myndigheter i olika frågor. Vad avser finansiella kriser finns också en överenskommelse mellan myndigheterna från 2009 om bl.a. samråd, informationsutbyte och informationsinhämtning. I överenskommelsen anges att myndigheterna ska ha rutiner som möjliggör för den andra parten att på ett enkelt sätt få uppgift om vilken information som myndigheten besitter. Myndigheterna åtar sig att samarbeta för att samordna insamlandet av data av snarlikt innehåll.
Ett liknande samarbete torde kunna förutses även vid ickefinansiella kriser och den nya ordning som föreslås i denna utredning bedöms därför inte innebära något behov av ytterligare lagtiftning i detta avseende. Det ingår i Finansinspektionens tillsyn att följa upp efterlevnaden av de föreskrifter som Riksbanken meddelar.
Myndigheternas krisberedsarbete regleras i krisberedskapsförordningen. Förordningen är tillämplig på statliga myndigheter under regeringen och således inte på Riksbanken. För att undvika att den nu föreslagna ordningen medför en splittring av myndigheternas krisberedskapsarbete har vissa centrala delar av innehållet i krisberedskapsförordningen kommit till uttryck i författningsförslaget. Den föreslagna ordningen innebär inte att ansvaret för de myndigheter som omfattas av krisberedskapsförordningen påverkas.
Informationssäkerhet
Enligt MSB och Försvarets radioanstalt (FRA) har det under de senaste åren skett en markant ökning av antalet IT-angrepp gentemot alla nivåer och funktioner i samhället. Den finansiella sektorn är ett naturligt mål för olika typer av angrepp då verksamheten hanterar stora värden.
För att få ett ändamålsenligt skydd krävs inte bara robusthet definierat som tillgänglighet utan även skyddsåtgärder för konfidentialitet, riktighet och spårbarhet.
Krisberedskap förutsätter ett långsiktigt och systematiskt arbete med informationssäkerhet under normala förhållanden. Systematik ger möjlighet att hantera den dynamiska hotbilden och vidta rätt åtgärder vid olika typer av allvarliga störningar eller kriser.
I en kritisk situation för det centrala betalningssystemet krävs ett friktionsfritt samarbete mellan flera, ibland ett stort antal aktörer. Ur denna aspekt skulle gemensamma begrepp och metoder underlätta samordning om allvarliga störningar skulle uppstå. Utredningen bedömer det lämpligt att i föreskrift ange att ett systematiskt informationssäkerhetsarbete ska bedrivas av det centrala betalningssystemets aktörer enligt de nationella och internationella standarderna ISO/IEC 27001 och ISO/IEC 27002. Det innebär bl.a. ledningssystem hos varje aktör, i enlighet med ansvarsprincipen, med klart definierade ansvar och roller för informationssäkerhet, systematiskt arbete med riskanalyser och informationsklassning.
Utredningen föreslår att Riksbanken i egenskap av nationell samordnare bör ges rätten att meddela föreskrifter på området.
Det centrala betalningssystemet kan inte uteslutas som mål för t.ex. antagonistiska IT-angrepp. För att så långt möjligt skydda det centrala betalningssystemet från störningar bör kraven på administrativ och teknisk informationshantering därför ställas högt och IT-incidenter hanteras på ett systematiskt sätt.
Syftet med IT-incidenthantering är att i realtid eller nära realtid medverka till att attacker mot datasystem avstyrs och upphör. Incidentstödet ska ha överblick och kunskaper om IT-hot och informationssäkerhet i ett helhetsperspektiv samt förmåga att kunna skilja okvalificerade och osystematiska intrångsförsök från kvalificerade och systematiska angrepp. Kvalificerad rådgivning ska kunna lämnas.
Utredningen föreslår en förstärkning av den befintliga funktionen CERT-SE vid MSB med kompetens för incidenthantering rörande det centrala betalningssystemet.
I ett senare skede, om behov finns, bör det vara möjligt att inrätta en separat incidenthanteringsfunktion för det centrala betalningssystemet eller en större del av den finansiella sektorn. Eftersom MSB är en samordnande myndighet utan sektorsansvar för krisberedskap inom den finansiella sektorn, är det logiskt om en sådan funktion för den finansiella sektorn i så fall senare upprättas utanför MSB, exempelvis inom Finansinspektionen.
2. Utredningens uppdrag och uppläggning
2.1. Utredningens direktiv
Enligt utredningens direktiv i juni 2011 (dir. 2011:58), bilaga 1, ska utredningen med utgångspunkt i rapporten Fi 2010/1619 vidareutveckla och ytterligare konkretisera de förslag som lämnas i rapporten avseende grundläggande säkerhetsnivåer och nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet. I uppdraget ingår att ta fram nödvändiga författningsförslag.
Inriktningen på arbetet ska vara att ta fram förslag till grundläggande säkerhetsnivåer för det centrala betalningssystemet av mer kvantitativ karaktär. Vidare ska inriktningen vara att det föreslås en ansvarig myndighet som, utan att överta annans ansvar, ska ha ett nationellt samordningsansvar för krisberedskapen i det centrala betalningssystemet.
2.2. Utredningens uppläggning
Utredningen har bestått av den särskilde utredaren, en huvudsekreterare samt en konsult. En referensgrupp bestående av representanter från Finansdepartementet, Försvarsdepartementet, Finansinspektionen, Myndigheten för samhällsskydd och beredskap (MSB) samt Riksbanken har biträtt utredningens arbete. Möten med referensgruppen har hållits vid tre tillfällen.
En utgångspunkt för utredningens arbete har varit dels Riksrevisionens rapport Krisberedskap i betalningssystemet (RiR 2007:28) samt dels Finansdepartementets rapport Fi 2010/1619. Den senare har remissbehandlats och remissvaren har utgjort ett värdefullt material för utredningen.
Utredningen har analyserat tidigare och pågående arbeten med att formulera mål och utveckla krisberedskap också inom andra samhällsområden bl.a. inom ramen för MSB:s och tidigare Krisberedskapsmyndighetens verksamhet. En särskild bilaga 2 redovisar i sammanfattning detta arbete.
Utredningsarbetet har omfattat besök hos Svenska Bankföreningen och de största privata aktörerna inom det svenska betalningssystemet. Utredningen har även besökt Riksbanken, Post- och telestyrelsen, MSB samt Riksgäldskontoret. Vidare har utredningen haft samråd med Finanskriskommittén (Fi 2011:02).
Internationella dokument inom området har kartlagts och analyserats. De utvärderingar av aktörerna inom det centrala betalningssystemet som har gjorts av Riksbanken samt Riksbanken och Finansinspektionen gemensamt har analyserats. Utredningen har definierat begrepp som används i samband med krishantering.
Utredningsförslaget innehåller dels en kortfattad beskrivning av det centrala betalningssystemet, dels en relativt omfattande del som beskriver hur grundläggande säkerhetsnivåer eller mål kan utformas och anges. Ett kortare avsnitt beskriver värdet av det privat-offentliga samarbete som finns inom det centrala betalningssystemet. Därefter behandlas behovet av samordning av krisberedskapsåtgärder för att förebygga och förbereda krisberedskapen inom området.
Riksbanken utpekas av utredningen som den myndighet som tilldelas ett sammanhållande ansvar för samordning av krisberedskapen i det centrala betalningssystemet. Ansvarsfördelningen mellan Riksbanken och Finansinspektionen klargörs.
Därefter redovisas behovet av lagreglering inom området. Förslag till en ny lag om krisberedskap i det centrala betalningssystemet med författningskommentarer redovisas, jämte förslag om smärre ändringar i lagen (1988:1385) om Sveriges riksbank och i offentlighets- och sekretesslagen (2009:400).
Ett särskilt avsnitt om informationssäkerhet kompletterar utredningens betänkande, där behovet av tillämpning av standarder för informationssäkerhet och tillgång till incidenthantering utvecklas.
En konsekvensanalys har genomförts enligt direktiven och redovisas i betänkandet.
3. Bakgrund
3.1. Riksrevisionens rapport
I rapporten Krisberedskap i betalningssystemet konstaterade Riksrevisionen att det fanns ett antal avgörande brister i statens åtgärder för att förebygga och hantera allvarliga störningar i det centrala betalningssystemet.1 Riksrevisionen bedömde att såväl förmågan att förebygga som att hantera sådana störningar var bristfällig.
Riksrevisionen fann brister i både regeringens givna förutsättningar och i myndigheternas genomförande av krishanteringen.
Brister i regeringens givna förutsättningar
Riksrevisionen noterade att regeringen inte hade fastställt krav på grundläggande säkerhet och uthållighet i betalningssystemet. Till följd av detta var målen otydliga, vilket försvårade möjligheterna för myndigheterna att kunna förbereda och inrikta beredskapsåtgärder på ett effektivt sätt.
Riksrevisionen konstaterade att ett stort antal myndigheter hade ansvar för den finansiella sektorns krisberedskap och att den privatoffentliga samverkan hade breddats och intensifierats. Ingen myndighet ansåg sig emellertid ha ett övergripande och samlat ansvar för ledning, planering, samverkan och uppföljning av krisberedskapen inom betalningssystemet. Dessutom påpekade Riksrevisionen bl.a. att sekretessproblem försvårade samverkan mellan myndigheter och näringsliv. Oklarheten i ansvarsförhållanden och uppgifter bidrog till att det saknades en samlad bild av hot, risker, sårbarheter och konsekvenser samt att myndigheterna inte hade samordnat sina förberedande åtgärder tillräckligt.
1 RiR 2007:28.
Uppföljningen inom området var omfattande men alltför uppsplittrad. En genomarbetad strategi för hur uppföljningen skulle ske saknades, och vad och hur myndigheterna följde upp varierade därför. Vidare var resultatet av tillsynen inte integrerad i myndigheternas övergripande rapportering om risker och sårbarheter. I Regeringskansliet fanns ingen tydlig samordning av informationshanteringen, vilket försvårade för regering och riksdag att få en heltäckande bild av beredskapen i det centrala betalningssystemet.
Myndigheternas genomförande av krishanteringen
En samlad bild av hot, risker och sårbarheter inom det centrala betalningssystemet i enlighet med krisberedskapsförordningens2 krav saknades enligt Riksrevisionen. Viss analys av karaktären samlad riskbedömning hade ställts samman av Finansinspektionen. Denna analys saknade dock fördjupade analysresultat från el-, tele-, och IT-området och resultat från de fördjupade analyser som Riksbanken hade gjort. Flera typer av hot hade inte analyserats och analyser av åtgärder var ofullständiga. Bristerna i analyserna kunde förklaras av bl.a. myndigheternas uppfattning att sekretesslagstiftningen var otillräcklig för att förhindra att grundläggande information om sårbarheter inom myndighetens egna ansvarsområde lämnades ut samt att betalningssystemet upplevdes som ett svårt område att analysera. De bristande risk- och sårbarhetsanalyserna ledde enligt Riksrevisionen till att det inte var säkerställt att de förebyggande åtgärder som vidtagits av ansvariga myndigheter och institut var tillräckliga för att kunna förhindra omfattande skadeverkningar för medborgare, företag och samhälle.
Riksrevisionen bedömde att det inte var säkerställt att berörda aktörers krisledningar fungerade väl tillsammans om en kris skulle inträffa, eftersom övningar inte hade genomförts i tillräcklig omfattning.
Tillsynen och övervakningen av tekniska risker inom betalningssystemet var enligt Riksrevisionen svag. Varken Finansinspektionen, Riksbanken eller Post- och telestyrelsen verifierade bankernas och teleoperatörernas riskbedömningar under de år som närmast föregick rapporten. Föreskrifter om skyddsåtgärder mot tekniska hot och risker saknades, på grund av att myndigheterna inte ansåg sig ha tillräckligt lagstöd för att avkräva instituten en viss föreskriven säkerhet.
2 Förordningen (2006:942) om krisberedskap och höjd beredskap.
Riksrevisionens rekommendationer
Riksrevisionen anförde i rapporten att regeringen borde fastställa vilka grundläggande säkerhetskrav som ska gälla för betalningssystemet och dess nödvändiga infrastruktur. Regeringen borde också fastställa hur uthålligt betalningssystemet måste vara.
Regeringen borde enligt Riksrevisionen även fastställa vilken myndighet som har det övergripande krisberedskapsansvaret för betalningssystemet och incidentbevakningen samt föreslå riksdagen i vilka avseenden Riksbanken ska ha ansvar för krisberedskapen. Regeringen borde även precisera samverkansområdenas arbete och sammansättning.
Riksrevisionen anförde vidare att regeringen borde se över hur uppföljningen av krisberedskapen inom betalningssystemet följs upp.
Riksrevisionen rekommenderade att regeringen säkerställde att analyser av risker och sårbarheter i det centrala betalningssystemet gjordes och att analyserna uppfyllde krisberedskapsförordningens krav. Regeringen borde också se över hanteringen av sekretessbelagda uppgifter och överväga att ge en myndighet föreskriftsrätt över hur risk- och sårbarhetsanalyserna ska utformas och följas upp.
Vidare borde regeringen se över hur myndigheter och institut förbereder sig för en akut allvarlig störning i betalningssystemet. En långsiktig strategi för gemensamma övningar borde utarbetas och funktionen ”Tjänsteman i beredskap” etableras inom den finansiella sektorn.3 Ledningsansvaret för krisförberedelserna och behovet av en förberedd gemensam ledningsorganisation och en central ledningsplats inom sektorn borde ses över. Myndigheternas krisplaner borde kompletteras med åtgärder som behövs för att samverkan ska kunna ske med andra aktörer som kan bidra till att höja beredskapen i betalningssystemet.
Riksrevisionen anförde även att Riksbanken, Finansinspektionen och Post- och telestyrelsen via inspektioner på plats borde faktiskt kontrollera att instituten hade infört de skyddsåtgärder man uppgav sig ha infört och att kontrollsystemet fungerade som det var tänkt. Riksrevisionen ansåg också att Finansinspektionen borde använda sin föreskriftsrätt och sina sanktionsmöjligheter.
3 En ”Tjänsteman i beredskap” har enligt 12 § krisberedskapsförordningen i uppgift att initiera och samordna det inledande arbetet för att upptäcka, verifiera, larma och informera vid allvarliga kriser.
3.2. Myndigheternas redovisningar med anledning av Riksrevisionens rapport
Finansinspektionen och Riksgäldskontoret fick av regeringen i uppdrag att redovisa vilka initiativ som hade tagits eller var planerade med anledning av Riksrevisionens rapport.4 Även Riksbanken sammanställde en liknande redovisning.5
Finansinspektionen
Finansinspektionen konstaterade att myndigheten inte hade ett tillsynsansvar över betalningssystemet utan endast över vissa av de företag som ingår i det. Det fanns inte heller något krav från lagstiftaren på att dessa företag skulle hålla en viss lägsta driftsäkerhet för betaltjänster.
Mot denna bakgrund arbetade därför Finansinspektionen huvudsakligen tillsammans med företagen och andra myndigheter i frivillig samverkan för att identifiera riskerna, öka motståndskraften och stärka krishanteringsförmågan.
Finansinspektionen konstaterade att regering och riksdag, i syfte att ytterligare höja ambitionsnivån i arbetet med att säkerställa en hög säkerhet i betalningssystemet, hade möjlighet att fastställa i lag en miniminivå för betalningssystemets drift samt utse en myndighet som ansvarig för analysen och eventuellt tillsynen eller övervakningen av riskerna i hela betalningssystemet.
Riksgäldskontoret
Riksgäldskontoret redovisade i sin rapport en kartläggning över risker och sårbarheter i den statliga betalningsmodellen. Det svenska betalningssystemet bedömdes av Riksgäldskontoret som säkert och stabilt, men risker och sårbarheter konstaterades inom fyra områden: de statliga betalningarnas mängd och storlek, den statliga betalningsmodellens komplexitet, myndigheternas interna kontroll och finansiella risker i de statliga betalningarna.
Riksgäldskontoret föreslog i rapporten ett antal åtgärder, varav de mest centrala var att myndigheterna borde fortsätta att se över,
4 Finansinspektionen: Ansvaret för betalningssystemet, 2008:10, Riksgäldskontoret: Risker och sårbarheter i den statliga betalningsmodellen, 2008/198. 5 PM Krisberedskap i betalningssystemet, 2007-829-STA.
identifiera och dokumentera sina reservrutiner för interna system för att försäkra sig om att reservrutiner fanns att tillgå i ett nödläge, att Riksgäldskontoret borde tydliggöra vilka regler som gäller för myndigheterna för att utse behöriga personer att förfoga över myndighetens medel på bankkonton samt att regeringen borde skapa tydligare ansvarsgränser mellan Riksgäldskontoret och Ekonomistyrningsverket så att Riksgäldskontoret kunde fortsätta att effektivisera den statliga likviditetsstyrningen.
Riksgäldskontoret avsåg att komplettera föreskrifterna till betalningsförordningen6 med krav på att myndigheter som hanterar omfattande eller kritiska samhällsbetalningar ska identifiera, avropa och dokumentera vilka tillgängliga reservrutiner som används för varje typ av affärssystem eller internt system som producerar betalningsuppdrag, för varje typ av kommunikation med banken och för varje betalningstjänst som myndigheten använder i banken.
Riksbanken
Riksbanken ansåg att Riksrevisionen pekade på ett antal faktiska brister i krisberedskap och krisförberedelser avseende betalningssystemet och de företag som ingår. Riksbanken ansåg även att flera av Riksrevisionens förslag var lämpliga att genomföra men att lösningar i första hand borde sökas i samförstånd med marknadsparterna snarare än genom lagstiftning.
Inriktningen och avgränsningen av Riksbankens arbete utgick ifrån den tolkning Riksbanken gjorde av dess mandat att främja ett säkert och effektivt betalningsväsende.
Riksbankens arbete var till övervägande del inriktat på att säkra bankernas och infrastrukturens finansiella stabilitet. Vad gäller konventionella7 kriser inriktades Riksbankens förberedelser i första hand på att säkerställa att Riksbankens egna funktioner kunde upprätthållas. Riksbanken uppgav att myndigheten även utförde löpande översyn av den för betalningssystemets funktion kritiska infrastrukturen. I det arbetet genomfördes utvärderingar gentemot internationellt utarbetade standarder.
Riksbanken ansåg det vara rimligt att grundläggande säkerhetskrav fastställdes och att lagstiftning kunde behöva tillämpas när det gällde den grundläggande infrastruktur som hela samhället är beroende
6 Förordningen (2006:1097) om statliga myndigheters betalningar och medelsförvaltning. 7 Riksbanken betecknade vid denna tid operativa kriser som konventionella kriser.
av. Riksbanken ansåg det vara lämpligt att en myndighet utsågs till att ha det övergripande krisberedskapsansvaret för betalningssystemet, men hade ingen synpunkt på vilken myndighet som skulle ges uppdraget. Riksbanken ansåg vidare det rimligt att utse en central samordnare som samlade in och analyserade information om myndigheternas krisberedskap. Riksbanken såg dock problem med en ansvarig myndighet i detta avseende i förhållande till det väl fungerande samarbetet inom SOES och FSPOS.8
Riksbanken konstaterade att omfattande störningar i el- eller teleförsörjningen som är längre än ett par timmar var ett samhällsproblem av större betydelse än enbart för betalningssystemet. En ekonomisk analys borde därför utföras avseende vad som borde göras inom de enskilda företagen respektive vad som borde göras av samhället generellt för att minska sårbarheten i el- och telesystemen.
3.3. Krisberedskapsmyndighetens beroende– och konsekvensanalys
Dåvarande Krisberedskapsmyndigheten fick av regeringen i uppdrag att genomföra en analys av beroenden mellan samhällsviktiga verksamheter. Inom ramen för uppdraget författades år 2007 en rapport innehållande en kartläggning och analys av kritiska beroenden för sektorn finansiella tjänster.9
Rapporten var avgränsad till konsekvenser av konventionella kriser, men Krisberedskapsmyndigheten poängterade även det starka sambandet mellan finansiella och konventionella kriser. I rapporten konstaterades även att internationella beroenden ökar.
Elberoendet var visserligen mycket stort inom den finansiella sektorn, men reservlösningar i de centrala delarna av det finansiella systemet fanns. De systemcentrala aktörerna var väl medvetna om elberoendet och hade i de flesta fall vidtagit åtgärder i form av dubbel matning och installerad reservkraft. Tillgången till reservkraft i det finansiella systemet avtog utanför systemets centrum, vilket kunde leda till att ett i och för sig fungerande betalningssystem inte kunde användas till följd av elbortfall i utkanten av systemet.
8 Samverkansområdet för ekonomisk säkerhet (SOES) samt Finansiella sektorns privatoffentliga samverkansprojekt, sedermera samverkansgrupp (FSPOS). 9 Beroende- och konsekvensanalys, finansiella tjänster. Offentligt arbetsmaterial från Krisberedskapsmyndighetens projekt Samhällskritiska beroenden, dnr 0021/2007.
Även avseende elektronisk kommunikation hade de systemcentrala aktörerna vidtagit åtgärder för att skapa redundans, t.ex. i form av dubbla leverantörer och reservrutiner. Redundansen inom den elektroniska kommunikationen var dock svårare att fastställa än på elsidan eftersom alternativa elektroniska kommunikationsvägar ofta låg utom aktörernas egna kontroll, medan el kunde produceras i egna lokala reservaggregat.
Den finansiella sektorn som helhet bedömdes vara mindre beroende av personal, med kontanthantering och kundtjänst som undantag. Detta eftersom de vitala processerna inom det finansiella systemet inte är personalintensiva.
I rapporten slogs fast att förtroende och tillit inom den finansiella sektorn var av fundamental betydelse.
Krisberedskapsmyndigheten konstaterade i rapporten att det enligt en allmänt spridd uppfattning var den finansiella marknaden som hade det primära ansvaret för att hantera stora operativa avbrott. I rapporten poängterades behovet av att närmare tydliggöra gränsen mellan de finansiella tjänsteleverantörernas ansvar å ena sidan och el- och telefonileverantörernas ansvar å andra sidan.
3.4. SAMÖ 2008
År 2008 genomfördes i dåvarande Krisberedskapsmyndighetens regi en samverkansövning med ett tjugotal myndigheter och organisationer som övade aktörer. Övningsscenariot omfattade en organiserad IT-attack mot de finansiella systemen i samhället, med risk för förtroendekris som följd. Det övergripande målet för övningen var att övade aktörer skulle utveckla sin förmåga att i samverkan upprätthålla förtroendet för samhällets institutioner vid en samhällskris.
Krisberedskapsmyndighetens utvärdering av övningen visade att aktörerna inte i någon större omfattning samverkade utanför befintliga nätverk och att övningsdeltagarna inte upplevde att det skapades någon gemensam lägesuppfattning.10 Av ansvarsprincipen följer myndigheternas ansvar när det gäller det egna ansvarsområdet, men även varje aktörs ansvar att samverka med andra. Samverkan förutsätter att aktörerna ser en nytta i och har ett behov av att samverka. För att öka viljan och förmågan till samverkan borde berörda aktörer ha bättre kunskap om krisberedskapssystemets ramverk, en ökad förståelse för betydelsen av samverkan i en
10 Utvärdering av Samverkansövning 2008, KBM dnr 1470/2007.
krissituation, en ökad kunskap om andra aktörers ansvar och mandat i en kris samt en ökad kunskap om andra aktörers behov av information.
Vidare konstaterade Krisberedskapsmyndigheten i utvärderingen bl.a. att rutiner och former för att skapa samlade lägesuppfattningar borde klargöras. Samlade lägesuppfattningar ges av regeringen stor vikt i prop. 2007/08:92 Stärkt krisberedskap – för säkerhets skull. För att detta skulle kunna förverkligas behövdes tydliga former och rutiner för hur lägesuppfattningar skulle skapas och användas.
Därutöver kunde bl.a. konstateras att det vid övningens telefonkonferenser fanns inslag av bristande mötesdisciplin och säkerhet. Även behovet av en aktör på nationell nivå med ett utpekat ansvar för information till allmänheten tydliggjordes.
3.5. SKRIB-rapporten
Med anledning av Riksrevisionens rapport och de redovisningar som Finansinspektionen, Riksgäldskontoret och Riksbanken lämnade i frågan genomfördes det s.k. SKRIB-projektet inom Finansdepartementet under 2010.11 I den rapport som togs fram i projektet lämnades förslag på hur statens förmåga att hantera allvarliga kriser i betalningssystemet kunde stärkas.12
I syfte att förbättra regeringens möjligheter till styrning och uppföljning föreslogs i rapporten att grundläggande säkerhetskrav (mål) för krisberedskapen inom de centrala betalningssystemet skulle formuleras. Målen föreslogs i allt väsentligt vara av kvalitativ karaktär.
Därutöver föreslogs att ett nationellt samordningsansvar skulle införas. I det nationella samordningsansvaret föreslogs ingå att leda privat-offentlig samverkan, leda och genomföra övningsverksamheten, ansvara för teknisk granskning av gränssnitt, ansvara för att ITincidentrapporteringen samordnas, ansvara för att det regelbundet upprättas en aggregerad risk- och sårbarhetsanalys, ansvara för att det upprättas årlig lägesrapportering till regering och riksdag, utöka övervakning och tillsyn av en ny krisberedskapsreglering på det aktuella området samt planera för informations- och kommunikationssamordning vid kriser. Det nationella samordningsansvaret föreslogs ges till Riksbanken.
11 Stärkt krisberedskap i betalningssystemet. 12 Fi 2010/1619.
De grundläggande säkerhetskraven (målen) och det nationella samordningsansvaret föreslogs regleras genom en ny lag.
Rapporten har remitterats. Av remissvaren framgår att en majoritet tillstyrkte förslaget om reglering av grundläggande säkerhetskrav samt förslaget om en nationell samordnare. Svenska Bankföreningen avstyrkte förslaget med hänvisning till att tillsynsansvaret kunde anses väl reglerat. Även Euroclear Sweden AB ifrågasatte förslaget på liknande grunder. Regelrådet avstyrkte förslaget med hänsyn till att konsekvensutredningen var bristfällig.
Riksbanken ansåg att arbetet med den nya regleringen var angelägen och framhöll att osäkerheten bland inblandade aktörer om vad som gäller framöver kunde leda till ineffektivitet.
Såväl Riksbanken som Finansinspektionen efterlyste ett klart uttalande om att ansvarsprincipen fortsatt skulle gälla.
Riksgäldskontoret ville se kvantitativa mål även för samhällsviktiga betalningar och inte bara för centrala betalningar i RIXsystemet.
Statskontoret uppgav att kraven ska vara uppföljningsbara och att uttryck såsom ”inom rimlig tid”, ”tillräckliga åtgärder” och ”rimlig utsträckning” därför borde omformuleras.
Myndigheten för samhällsskydd och beredskap anförde att terminologin och metoder i det kommande arbetet borde hämtas från informationssäkerhetsområdet. Även stöd från internationella standarder borde inhämtas.
Post- och telestyrelsen ansåg det angeläget att redundans i systemen skapades genom krav och upphandling och inte genom upprättandet av parallella infrastrukturer i offentlig regi.
Försäkringskassan efterlyste tydligare definitioner av begreppen ”det centrala betalningssystemet” samt ”samhällsviktiga betalningar”.
4. Kort beskrivning av centrala betalningssystemet
4.1. Inledning
I detta kapitel beskrivs de viktigaste aktörerna i det centrala betalningssystemet, i syfte att ge en översiktlig bild över hur betalningssystemet är uppbyggt. Därtill återges utfallet av de utvärderingar av verksamheten hos några av dessa aktörer som Riksbanken tillsammans med Finansinspektionen genomförde under 2010.1 Utvärderingarna genomförs gemensamt av myndigheterna inom ramen för den överenskommelse om samarbete rörande finansiell stabilitet som har träffats dem emellan.2 Dessa utvärderingar innehåller bl.a. en genomgång av de operativa riskerna i verksamheterna.
En allmänt vedertagen definition av begreppet det centrala betalningssystemet saknas. I Riksrevisionens rapport definieras det centrala betalningssystemet som de tekniska och administrativa system som gör det möjligt att betala för varor och tjänster i samhället.3
I SKRIB-rapporten avses med det centrala betalningssystemet den del av betalningssystemet som måste fungera för att de grundläggande finansiella tjänsterna i samhället ska kunna fungera. Med de grundläggande finansiella tjänsterna avses i rapporten – i enlighet med Riksbankens indelning – betalningsförmedling, riskhantering och sparande/investeringar.4
Som framgår av denna utrednings författningsförslag definieras här det centrala betalningssystemet som de funktioner i det nationella betalningssystemet som har en sådan betydelse att ett bortfall,
1 Utvärderingen av RIX-systemet har utförts av Riksbanken. 2 Överenskommelse mellan Regeringskansliet (Finansdepartementet), Sveriges riksbank, Finansinspektionen och Riksgäldskontoret för samarbete om finansiell stabilitet och krishantering, del II Särskilt om samarbete och informationsutbyte mellan Finansinspektionen och Riksbanken, maj 2009. 3 Krisberedskap i betalningssystemet, RiR 2007:28, s. 18. 4 Fi 2010/1619, s. 13.
direkt eller över tid, skulle innebära en risk eller fara för samhällets funktionalitet eller samhällets grundläggande värden.
4.2. Beskrivning av centrala betalningssystemet
Viktiga system inom det centrala betalningssystemet är RIX – systemet för stora betalningar, BGC:s betalningssystem för massbetalningar, Euroclear Swedens VPC-system där transaktioner från aktie- och räntemarknaden clearas och avvecklas samt Nasdaq OMX Derivatives Markets som är central motpart för standardiserade derivatkontrakt. Andra viktiga aktörer inom det centrala betalningssystemet är Riksgäldskontoret samt de fyra storbankerna.
4.2.1. RIX
Figur 4.1 Schematisk bild över RIX-systemet
Källa: Riksbanken.
RIX-systemet som utgör Riksbankens betalningssystem för stora betalningar, är den centrala knutpunkten i det svenska betalnings-
systemet. Deltagare i RIX är förutom Riksbanken, ett antal banker, clearingorganisationer samt Riksgäldskontoret. För närvarande har systemet dryga tjugotalet deltagare.5 Deltagandet i RIX regleras genom avtal mellan Riksbanken och respektive deltagare. I avtalen ställs bl.a. krav på teknisk utrustning och kommunikation.6
Samtliga transaktioner som sker mellan deltagarna slussas slutligen genom RIX. Varje dag omsattes i RIX år 2010 i genomsnitt 545 miljarder kronor. Antalet transaktioner per dag var i genomsnitt 11 800.
RIX är ett till Europeiska kommissionen anmält avvecklingssystem enligt lagen (1999:1309) om system för avveckling av förpliktelser på finansmarknaden (lagen om avvecklingssystem).
Avvecklingen av betalningar i RIX-systemet sker enligt principen om bruttoavveckling i realtid, vilket innebär att betalningar avvecklas omedelbart, en och en, under förutsättning att betalaren har tillräckligt med likvida medel. Om likviditeten inte är tillräcklig hos betalaren läggs betalningen i kö till dess att tillräcklig likviditet har uppnåtts. Deltagande banker kan skapa sig likviditet i RIX genom att pantsätta värdepapper eller valutatillgodohavanden till Riksbanken.
Utvärdering av RIX
Inom ramen för Bank for International Settlements (BIS) har Committee on Payment and Settlement Systems (CPSS) tagit fram den internationella standarden ”Core Principles for Systemically Important Payment Systems”. Riksbanken har utvärderat RIXsystemet utifrån dessa principer, som är allmänt accepterade vid utvärderingar av denna typ av betalningssystem.7
Det finns tekniska reservrutiner för att hantera olika typer av driftsavbrott i systemet. Det finns rutiner för deltagarna att manuellt registrera transaktionerna i systemet. Deltagarna kan även använda reservterminaler på Riksbanken för att registrera sina transaktioner. Vid andra typer av avbrott kan Riksbanken besluta att flytta driften av systemet till en reservanläggning och där fortsätta driften. Det ordinarie och det alternativa driftstället använder samma gemensamma nätverk, vilket innebär att en överflyttning kan ske på ett
5 Deltagare i RIX är enligt www.riksbank.se för närvarande: BGC, Citibank, CLS Bank, Crédit Agricole, Danske Bank, DnB NOR Bank, EMCF, Euroclear Sweden, Fortis Bank SA/NV, Kommuninvest, Landshypotek AB, Länsförsäkringar Bank, Nasdaq OMX, Nordea Bank, Nordnet Bank, Riksbanken, Riksgäldskontoret, Royal Bank of Scotland, SBAB, SEB, Skandiabanken, Svenska Handelsbanken, Swedbank AB och Ålandsbanken Sverige AB. 6 Villkor för RIX och penningpolitiska instrument, augusti 2011 webbversion, www.riksbank.se. 7 Dnr. 2011-6-AFS.
enkelt sätt. En övergång till det alternativa driftstället ska kunna ske inom två timmar efter ett beslut av systemägaren. Vid större avbrott i systemet och när en flytt till reservanläggningen inte är effektiv finns en separat PC-baserad reservlösning, som ska kunna användas för att hantera ett begränsat antal, men stora, transaktioner.
Reservlösningarna har testats tillsammans med RIX-deltagarna och resultatet visade att reservlösningarna fungerar, vilket enligt utvärderingen tyder på att det finns förutsättningar att kunna hantera ett avbrott i systemet åtminstone under en kortare tidsperiod. Riksbanken bedömer sammanfattningsvis att principen avseende krav på hantering av operativa risker i RIX-systemet är uppfylld.
4.2.2. Bankgirocentralen
Bankgirocentralen BGC AB (BGC) ägs av ett antal svenska banker och är den centrala aktören vid förmedling av massbetalningar mellan banker i Sverige. BGC äger och driver ett generellt betalsystem, Bankgirot, där för närvarande 20 banker är deltagare. Omkring 70 % av de svenska företagen använder Bankgirots betalningstjänster. År 2008 tecknade BGC ett avtal med det brittiska företaget VocaLink om drift och utveckling av Bankgirot. Produkterna Autogirot och Emittent har överförts till VocaLink. Överföring av det nya Autogirot påbörjades samma år och överföring av kunder påbörjades under andra halvåret 2011. Under 2010 förmedlades i Bankgirot 751 miljoner betalningar, till ett värde av 7 532 miljarder kronor.
Utöver Bankgirot tillhandahåller även BGC en clearing- och avvecklingstjänst. Clearing- och avvecklingstjänsten hanterar inkommande betalningar och skapar underlag till RIX, där den slutliga avvecklingen sker. I BGC:s system avvecklades i genomsnitt drygt 40 miljarder kronor per dag under år 2010.
BGC har tillstånd att bedriva clearingverksamhet enligt lagen (2007:528) om värdepappersmarknaden och står därmed under Finansinspektionens tillsyn. BGC:s avvecklingssystem har godkänts av Finansinspektionen och är anmält till Europeiska kommissionen i enlighet med lagen om avvecklingssystem.
Dataclearingen, som ägs av Svenska Bankföreningen och vars drift hanteras av BGC, är ett masstransaktionssystem för betalningsförmedling från konto till konto för transaktioner mellan banker
eller kreditmarknadsbolag. Under 2011 beräknas omkring 125 miljoner transaktioner utföras i systemet.
Deltagande i Dataclearingen sker genom avtal med Bankföreningen och förutsätter att institutet deltar, direkt eller indirekt, i RIX-systemet. Vidare förutsätter deltagande att institutet är anslutet till det s.k. avvecklingsavtalet mellan de i RIX deltagande instituten.
Utvärdering av Bankgirocentralen
Riksbanken och Finansinspektionen har utvärderat Bankgirocentralens verksamhet utifrån samma principer som vid utvärderingen av RIXsystemet.8
För Bankgirocentralens del konstaterar Riksbanken och Finansinspektionen att principen avseende operativa risker till stor del är uppfylld. BGC har rutiner för att säkerställa redundanta system och upprättade kontinuitetslösningar. De operativa risker som identifieras i BGC:s verksamhet har sin grund i överflyttningen av drift, förvaltning och utveckling av produkterna Autogiro och Emittent från BGC till det externa bolaget VocaLinks systemplattform. Överflyttningen har försenats, vilket enligt myndigheterna har medfört operativa risker för BGC:s befintliga verksamhet.
4.2.3. Euroclear Sweden
Euroclear Sweden AB (tidigare VPC) är Sveriges centrala värdepappersförvarare och Sveriges hittills enda inhemska system för värdepappersavveckling. Företaget har fått tillstånd att bedriva clearingverksamhet enligt lagen om värdepappersmarknaden och står under Finansinspektionens tillsyn. Euroclear Swedens avvecklingssystem har godkänts av Finansinspektionen och är anmält till Europeiska kommissionen i enlighet med lagen om avvecklingssystem. Euroclear Sweden har även av Finansinspektionen fått auktorisation som central värdepappersförvarare i enlighet med lagen (1998:1479) om kontoföring av finansiella instrument. Euroclearkoncernen, med säte i Bryssel, är ett användarägt infrastrukturföretag med cirka tvåhundra ägare, däribland SEB, Nordea och Svenska Handelsbanken.
8 Utvärdering av Bankgirocentralen BGC AB:s betalningssystem 2010, Finansinspektionen och Riksbanken.
Euroclear Sweden för register över de flesta aktier och räntebärande värdepapper som handlas på de svenska finansiella marknaderna. Förutom att föra register är det Euroclear Sweden som utför clearing och avveckling av transaktioner med svenska aktier och räntebärande värdepapper. Bolaget tillhandahåller också tjänster till stöd för emissioner och kontohållning i enlighet med sin auktorisation som central värdepappersförvarare.
Clearingen och avvecklingen i Euroclear Swedens avvecklingssystem för värdepapper (VPC-systemet) är uppdelad i en aktie- och en penningmarknad. Aktiemarknadsdelen hanterar huvudsakligen aktiemarknadsinstrument och räntebärande instrument som riktar sig till privatpersoner, såsom obligationer och premieobligationer. Penningmarknadsdelen hanterar räntebärande instrument för den institutionella marknaden, såsom statsskuldsväxlar, företags- och bostadscertifikat samt företags-, bostads- och statsobligationer. Per december 2010 deltog 51 institut i VPC-systemet.
Den slutliga avvecklingen av värdepapperstransaktioner sker i VPC-systemet. För att underlätta denna process har Riksbanken gett Euroclear Sweden rätt att i VPC-systemet föra speciella konton med centralbankspengar att användas för avvecklingen. Deltagarna i RIX kan under dagen föra över likviditet mellan sina vanliga konton i RIX och de betalningskonton som Euroclear Sweden administrerar.
Euroclear Sweden tillhandahåller avvecklingstjänster via ett egenutvecklat avvecklingssystem. Bolaget upprätthåller sin drift via dubblerade datacentraler och samarbetar sedan 2010 med ett större outsourcingföretag för att driva och utveckla IT-verksamheten.
Under 2010 avvecklade Euroclear Sweden i genomsnitt cirka 1 200 penningmarknadstransaktioner och 43 000 aktiemarknadstransaktioner per dag, där varje transaktion resulterar i två instruktioner i avvecklingssystemet. Instruktioner kommer till Euroclear Sweden dels direkt från deltagarna i systemet och dels via centrala motparter. För närvarande utgör European Multilateral Clearing Facility N.V. (EMCF) med bas i Nederländerna den enda centrala motparten för denna handel, men ytterligare europeiska aktörer förväntas etableras.
Avvecklingsprocessen inleds genom att mottagna instruktioner i VPC-systemet matchas. Efter att matchning har skett kan ingen part ensidigt återkalla dem. De matchade instruktionerna genomgår därefter en täckningskontroll, där leveranskapaciteten hos värdepapperna kontrolleras och därefter betalningskapaciteten. Därefter klarmarkeras instruktionerna för avveckling och slutlig avveckling
sker. I avvecklingen byter likvid ägare enligt principen leverans mot betalning.
Det dagliga bruttovärdet av dessa transaktioner motsvarade under 2010 cirka 336 miljarder kronor för penningmarknadsinstrument och 27 miljarder kronor för aktiemarknadsinstrument.
Utvärdering av Euroclear Sweden
Riksbanken och Finansinspektionen har gemensamt utvärderat värdepappersavvecklingen i Sverige år 2010.9 Utvärderingen gjordes mot de rekommendationer och metoder som utarbetats av European System of Central Banks (ESCB) i samarbete med Committee of European Securities Regulators (CESR).
Myndigheterna konstaterar bl.a. att Euroclear Swedens tekniska system svarar för en stor del av de identifierade operativa riskerna. Euroclear Sweden använder ISO 27002-standarden som en referensram och anser sig uppfylla de standarder som är relevanta för verksamheten. Företaget är dock inte certifierat enligt denna standard.
Rutiner innefattande beredskapsplaner och lämpliga backupsystem är etablerade. Ett alternativt driftställe med fristående infrastruktur är inrättad. Både beredskapsplaner och anläggningar testas regelbundet. Enligt planen ska driften kunna återställas inom två timmar vid en katastrof och inom en timme vid enklare avbrott. Myndigheterna bedömer sammanfattningsvis att rekommendationen avseende operativa risker är uppfylld.
4.2.4. Nasdaq OMX
Nasdaq OMX Nordiska Börs Stockholm AB (Nasdaq OMX) är den centrala marknadsplatsen för handel med bl.a. aktier, premieobligationer, konvertibler, warranter, obligationer och börshandlade fonder i Sverige. Även handel med derivat tillhandahålls. Nasdaq OMX har auktorisation som börs enligt lagen om värdepappersmarknaden.
Under 2010 genomfördes i Stockholm dagligen i genomsnitt cirka 165 000 aktietransaktioner till en omsättning av cirka 13 miljarder kronor. Transaktioner i aktier och räntebärande värdepapper avvecklas i Euroclear Swedens system för värdepappersavveckling.
9 Finansinspektionen dnr. 10-6491, Riksbanken dnr. 2010-562-AFS.
EMCF går in som central motpart i vissa värdepappersaffärer på bl.a. Nasdaq OMX Nordiska börser. Tjänsten är obligatorisk för de svenska aktier som tillhör listan Large Cap. Genom att EMCF går in som central motpart, förs säljarens och köparens motpartsrisk över till EMCF.
För derivattransaktioner sker handel och avveckling i bifirman Nasdaq OMX Derivatives Market (Nasdaq OMX DM). Nasdaq OMX DM är central motpart i clearingen av standardiserade derivatinstrument. Under år 2010 handlades totalt knappt 99 miljoner standardiserade derivatkontrakt på Nasdaq OMX DM, motsvarande ett värde av 3 400 miljarder kronor. I egenskap av central motpart minskar Nasdaq OMX DM marknadens motpartsrisker i derivathandeln och är i denna egenskap viktig för stabiliteten i det finansiella systemet. Nasdaq OMX DM har tillstånd att bedriva clearingverksamhet enligt lagen om värdepappersmarknaden och dess avvecklingssystem är godkänt enligt lagen om avvecklingssystem.
Vidare äger Nasdaq OMX det fibernätverk, Stockholm Financial Network, som används av banker och fondkommissionärer för kommunikationen med Nasdaq OMX för handel och clearing. Nätverket kan också användas av marknadens aktörer för kommunikation med RIX-systemet.
Utvärdering av Nasdaq OMX DM
Riksbanken och Finansinspektionen har utvärderat Nasdaq OMX DM i dess roll som central motpart för finansiella derivat utifrån European System of Central Banks (ESCB) och Committee of European Securities Regulators (CESR) Recommendations for Central Counterparties In The European Union May 2009.10
Myndigheterna konstaterar i sin utvärdering att Nasdaq OMX DM har etablerade rutiner för analys av operativa risker enligt en koncerngemensam standard. Det konstateras att kontrollprocedurer är framtagna och följs upp av ledningen samt är föremål för internrevision. Kontinuitetsplaner finns och dessa testas regelbundet med deltagarna i systemet. Ett alternativt driftställe finns alltid tillgängligt och kan tas i bruk inom 45–75 minuter. Myndigheterna bedömer att rekommendationen avseende operativ riskhantering är uppfyllda.
10 Riksbanken dnr 2010-617-AFS, Finansinspektionen dnr 10-7724.
4.2.5. Riksgäldskontoret
Riksgäldskontoret ansvarar för statens finansförvaltning, vilket innebär att myndigheten är internbank åt svenska staten, förvaltar statsskulden samt ger statliga garantier och lån. De svenska myndigheternas in- och utbetalningar görs via bankkonton i de banker som Riksgäldskontoret har tecknat ramavtal med. Bankkontona är kopplade till Riksgäldskontorets toppkonton i varje ramavtalsbank. I toppkontona nettas myndigheternas inbetalningar mot utbetalningar. Täckning eller tömning nollställer myndigheternas saldo på kontot varje dag så att det inte finns likviditet på myndighetens konto över natten.
Beroende på om det blir ett över- eller underskott på toppkontot, så placeras eller finansieras det centralt av Riksgäldskontoret så att det slutliga saldot varje dag är noll. Flera gånger om dagen överförs likviditet mellan toppkontona och Statens Centralkonto i Riksbanken. Utöver att ansvara för Statens Centralkonto och likviditetshanteringen mellan staten och ramavtalsbankerna, ger Riksgäldskontoret även lån till myndigheter för investeringar. Myndigheterna placerar även tillfälliga likviditetsöverskott på konton hos Riksgäldskontoret.
Riksgäldskontoret förvaltar statsskulden genom att ta upp lån både i Sverige och utomlands. Riksgäldskontoret lånar främst av stora institutioner, men även av företag och privatpersoner, t.ex. via statspapper och premieobligationer. Auktioner av obligationer och statspapper sker via Nasdaq OMX och värdepapperen registreras under löptiden hos Euroclear Sweden. Därutöver bedriver Riksgäldskontoret en omfattande derivathandel. Genom de stora volymerna har Riksgäldskontoret en viktig funktion i att förse systemet med likvider tidigt på morgonen varje bankdag.
Riksgäldskontorets verksamhet genomgår revision i enlighet med vad som gäller för myndigheter under regeringen.
4.2.6. Storbankerna
De fyra största bankerna i Sverige, Nordea, SEB, Svenska Handelsbanken och Swedbank har tillsammans en marknadsandel på cirka 80 % av inlåningen från de svenska privat- och företagskunderna. De fungerar som finansiella intermediärer och förmedlar finansiella tjänster såsom in- och utlåning, betalningar, kontantförsörjning samt placeringar åt företag och privatpersoner. Bankerna deltar i RIX-
systemet, Euroclear Swedens system för clearing och avveckling av värdepapper, Nasdaq OMX:s system för clearing och avveckling av derivat, BGC:s system för betalningsförmedling inbegripet clearing och avveckling samt i CLS för clearing och avveckling av valutatransaktioner.
CLS, Continous Linked Settlement, är ett globalt system för clearing och avveckling av valutatransaktioner. Medlemmar i systemet utgörs av banker, som i systemet kan göra betalningar som uppstått till följd av valutatransaktioner. Betalningarna sker i separata konton för varje valuta och nettot av respektive medlems transaktioner betalas in eller ut från CLS via respektive lands centralbank. För närvarande ingår 17 valutor i CLS, däribland svenska kronor.
Finansinspektionen utövar tillsyn över de individuella bankerna medan Riksbanken övervakar bankerna inom ramen för sin löpande analys över den finansiella stabiliteten i Sverige.
4.3. Definitionen av det centrala betalningssystemet
Den beskrivning av det centrala betalningssystemet som gjorts i detta kapitel syftar till att redogöra för några av dess viktigaste aktörer. Beskrivningen utgör dock inget försök att exakt definiera det centrala betalningssystemet. Som framgår av författningsförslaget, föreslår utredningen att det ska vara en uppgift för Riksbanken att definiera vilka aktörer och verksamheter som ska anses ingå i det centrala betalningssystemet. Det kan förutses att denna definition kommer att bli föremål för en fortlöpande översyn av Riksbanken med hänsyn till den dynamik som präglar utvecklingen inom den finansiella sektorn.
5. Grundläggande säkerhetskrav
5.1. Bakgrund
I detta kapitel redovisas utredningens förslag till grundläggande säkerhetskrav på det centrala betalningssystemet. Utgångspunkten för de förslag som redovisas är de resonemang som förs i direktiven om att de mål som formuleras bör ha en mer kvantitativ karaktär än de mål som redovisades i rapporten Fi 2010/1619 (SKRIB-rapporten).
Ett underlag för detta kapitel är rapporten Fi 2010/1619 samt remissvaren. Härutöver har Riksrevisionens granskningsrapport (2007:28) om krisberedskapen i betalningssystemet genomgåtts. Internationella dokument inom området har kartlagts och analyserats. Övrigt underlag utgörs av det omfattande material om mål för olika delar av krisberedskapen som har tagits fram av Krisberedskapsmyndigheten (KBM) och Myndigheten för samhällsskydd och beredskap (MSB) sedan mitten av 00-talet. Arbete med grundläggande säkerhetsnivåer och andra typer av säkerhetskrav har också genomförts inom ramen för FSPOS och SOES.1
5.2. Begrepp och definitioner
Begreppen grundläggande säkerhetsnivåer, grundläggande säkerhetskrav och mål används i det följande synonymt och avser krav som bör ställas på en verksamhet i en krissituation.
Med kris avses i utredningen ett tillstånd som drabbar många människor, stora delar av samhället samt hotar grundläggande värden och funktioner. Kris är ett tillstånd som inte kan hanteras med normala resurser och organisation. Att lösa krisen kräver skyndsamma, samordnade åtgärder från flera aktörer.
1 Den Finansiella Sektorns Privat-Offentliga Samverkansgrupp respektive SamverkansOmrådet Ekonomisk Säkerhet.
Med kritiska beroenden avses en relation där den beroende verksamheten snabbt och varaktigt drabbas av en kraftig funktionsnedsättning vid ett bortfall av eller en svår störning i den levererande verksamheten.
Med det centrala betalningssystemet avses de delar av det nationella betalningssystemet som har en samhällsfunktion av sådan betydelse att ett bortfall eller en allvarlig störning i funktionen, direkt eller över tid, skulle innebära risk eller fara för samhällets funktionalitet eller samhällets grundläggande värden.
Utredningen använder i det följande begreppen grundläggande säkerhetsnivåer, grundläggande säkerhetskrav och mål synonymt. Dessa begrepp står alla för krav som bör ställas på en verksamhet i en krissituation. Som framgår av avsnitt 5.4 har begreppet grundläggande säkerhetskrav eller säkerhetsnivåer använts i många sammanhang sedan mitten av 00-talet. Begreppet definieras nu av MSB som en i förväg bestämd miniminivå för förmågan hos en samhällsviktig verksamhet vid en extraordinär händelse eller en kris.
Med en kris avses, enligt den nationella definition som gäller för samhällets krisberedskap, en händelse som drabbar eller berör många människor och stora delar av samhället samt hotar grundläggande värden och funktioner. Händelsen avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser. För att samhället ska kunna hantera en allvarlig händelse eller kris krävs att förberedande och förebyggande åtgärder genomförs, t.ex. i syfte att öka robustheten och därmed motståndskraften för funktioner och system i samhällsviktig verksamhet. Arbetet med att utveckla samhällets krisberedskap omfattar också att funktionaliteten i samhällsviktig verksamhet så snabbt som möjligt efter en störning återgår till det normala. Arbetet med att utveckla samhällets krisberedskap sker fortlöpande och omfattar således åtgärder före, under och efter en allvarlig händelse eller kris.
Krisens karaktär, längd och svårighetsgrad är dimensionerande för de åtgärder som måste vidtas för att trygga den berörda verksamhetens funktion under dessa förhållanden. Av dessa skäl är det nödvändigt att precisera vilken typ av krissituation som målen bör relateras till.
Målen kan bl.a. tillgodoses genom krav på funktionsförmåga. Funktionskrav av detta slag bör kompletteras med en analys av de
förutsättningar i form av kritiska beroenden som måste tillgodoses för att verksamheten ska fungera i en krissituation. Med kritiska beroenden avser utredningen en relation där den beroende verksamheten snabbt och varaktigt drabbas av en kraftig funktionsnedsättning vid ett bortfall av eller en svår störning i den levererande verksamheten. En vanlig form av kritiska beroenden genereras av nödvändigheten av att använda olika typer av infrastruktursystem för att en verksamhet ska fungera. Som exempel kan nämnas att flertalet verksamheter är beroende av att ha tillgång till el samt tele- och datakommunikationer.
Utredningen avser med det centrala betalningssystemet de delar av det nationella betalningssystemet som har en samhällsfunktion av sådan betydelse att ett bortfall eller en allvarlig störning i funktionen, direkt eller över tid, skulle innebära risk eller fara för samhällets funktionalitet eller samhällets grundläggande värden. Viktiga system inom det centrala betalningssystemet är RIX – systemet för stora betalningar, BGC:s betalningssystem för massbetalningar, Euroclear Swedens VPC-system där transaktioner från aktie- och räntemarknaden clearas och avvecklas och kontohållning sker av värdepapper samt Nasdaq OMX Derivatives Markets som är central motpart för standardiserade derivatkontrakt. Andra viktiga aktörer inom det centrala betalningssystemet är Riksgäldskontoret samt de fyra storbankerna.
Det finansiella systemets aktörer arbetar främst med att bygga upp krisberedskapen genom kontinuitetsplanering. Det innebär att planeringen utgår ifrån upprätthållande av funktionsförmåga vid bortfall av kritiska resurser som system, personal, lokaler och infrastruktur.
5.3. Förslag till grundläggande säkerhetskrav i rapporten Fi 2010/1619
Förslagen till grundläggande säkerhetskrav för det centrala betalningssystemet redovisas i kapitel 6 i rapporten Fi 2010/1619. Rapportens förslag går i korthet ut på att grundläggande säkerhetskrav bör fastställas för det centrala betalningssystemet och att syftet med att göra detta bör vara att förbättra regeringens möjligheter till styrning och uppföljning av den verksamhet som bedrivs inom ramen för systemet. Vidare föreslås att de grundläggande säkerhetskraven i allt väsentligt bör vara kvalitativa. Kvantitativa
krav avstyrks med hänvisning till att underlag saknas för att fastställa sådana krav och att det är svårt att få fram rätt nivå för kvantitativa krav då sådana krav saknas inom andra samhällssektorer. Man hänvisar också till att krav av detta slag inte har införts i Storbritannien eller Nederländerna. Ytterligare ett förslag som finns i rapporten är att de grundläggande säkerhetskrav som fastställs bör ges lagstöd.
De grundläggande säkerhetskrav som föreslås är att man så långt som möjligt ska säkerställa att de centrala delarna av betalningssystemet ska fungera tillfredsställande också vid allvarliga tekniska störningar och avbrott, att samhällsviktiga betalningar kan utföras inom rimlig tid även i sådana situationer och att aktörerna i det centrala betalningssystemet ska vidta tillräckliga åtgärder för att förebygga allvarliga störningar och avbrott. Företagen föreslås också bli skyldiga att i rimlig utsträckning bistå varandra när något eller några av dem drabbas av allvarliga tekniska störningar eller avbrott.
5.4. Tidigare arbete med olika typer av målformuleringar och säkerhetskrav
Olika insatser i syfte att formulera mål för krisberedskapen har genomförts av KBM och senare MSB samt av myndigheterna i samverkanssystemet sedan början av 2000-talet. I det följande redogörs kortfattat för dessa insatser.
KBM:s underlag för 2004 års försvarsbeslut och 2005 års krisberedskapsproposition
I mitten av 00-talet redovisade KBM på regeringens uppdrag några rapporter som underlag för 2004 års försvarsbeslut och 2005 års krisberedskapsproposition. Det var i dessa rapporter som begreppet grundläggande säkerhetskrav på samhällsviktig verksamhet först lanserades. Inför en av rapporterna genomförde KBM dessutom ett omfattande arbete med att formulera långsiktiga mål och etappmål för olika samhällsverksamheter. Ett stort antal myndigheter engagerades i detta arbete.
KBM:s och MSB:s arbete med risk- och sårbarhetsanalyser och förmågebedömningar
Risk- och sårbarhetsanalyser har genomförts sedan början av 00talet. Metodiken för arbetet med risk- och sårbarhetsanalyser och förmågebedömningar har därefter utvecklats av KBM och senare MSB. Förmågebedömningarna kan betraktas som en form av målformuleringar för krisberedskapen. De innehåller dessutom myndigheternas självskattningar av i vilken utsträckning de aktuella förmågorna har uppnåtts.
Det fortsatta arbetet med grundläggande säkerhetsnivåer
KBM och därefter MSB har vidareutvecklat konceptet grundläggande säkerhetsnivåer och tagit fram exempel på hur sådana nivåer skulle kunna formuleras för ett antal samhällsverksamheter. Man har också arbetat vidare med att precisera vilka verksamheter som bör betraktas som samhällsviktiga i ett krisberedskapsperspektiv. MSB har nyligen redovisat en strategi för skydd av samhällsviktig verksamhet inom krisberedskapen.2
Resultatmål inom krisberedskapen
MSB har nyligen till regeringen redovisat resultatet av ett arbete beträffande resultatmål inom krisberedskapen.3 Sådana mål har redovisats för försörjningen med dricksvatten, livsmedel och värme. Dessutom redovisas ett förslag till fortsatt arbete. De mål som hittills har föreslagits är individorienterade. I arbetet har stor vikt lagts vid att redovisa mål som är konkreta och uppföljningsbara. I bilaga 2 beskrivs de metoder som har tillämpats i detta arbete närmare.
KBM genomförde under mitten av 00-talet ett omfattande arbete med att kartlägga kritiska beroenden mellan olika samhällsverksamheter. Med kritiska beroenden avses att en annan verksamhet måste fungera på en viss nivå för att primärverksamheten ska fungera. Inom ramen för KBM:s beroendeprojekt genomfördes
2 Ett fungerande samhälle i en föränderlig värld – nationell strategi för skydd av samhällsviktig verksamhet, www.msb.se. 3 Förslag till resultatmål för samhällets krisberedskap för försörjningen av dricksvatten, livsmedel och värme, dnr 2010-4539.
en särskild kartläggningsstudie avseende beroenden inom den finansiella sektorn.
Insatser med särskild inriktning mot den finansiella sektorn
Många av de generella insatser som har nämnts ovan har även berört den finansiella sektorn. Härutöver har arbete med särskild inriktning mot den finansiella sektorn genomförts av FSPOS och inom SOES. FSPOS har bl.a. en arbetsgrupp som föreslagit en strategi för att ta fram grundläggande säkerhetsnivåer inom den finansiella sektorn. Arbetet vad gäller dessa frågor omfattar bl.a. identifiering av prioriterade tjänster samt acceptabla servicenivåer och avbrottstider för dessa. Inom SOES har bl.a. arbete vad gäller alternativa utbetalningsvägar bedrivits.
5.5. Risk- och sårbarhetsanalys
En årlig risk- och sårbarhetsanalys bör genomföras i syfte att identifiera de kriser som kan drabba det centrala betalningssystemet. Planeringen bör syfta till att skapa förmåga att hantera alla de kriser som identifieras i risk- och sårbarhetsanalysen.
I rapporten Fi 2010/1619 anges tre s.k. typkriser som det centrala betalningssystemet kan komma att utsättas för (infrastrukturkris, kärnkris och utbetalningskris). Varaktigheten av dessa kriser anges till 2–3 dygn i de båda förstnämnda fallen och cirka en vecka i det sistnämnda fallet. Med hänsyn till denna utrednings direktiv är det främst de s.k. infrastruktur- och kärnkriserna som är av intresse i detta sammanhang. Infrastrukturkrisen avser en situation med kraftiga störningar i elförsörjningen, tele- och datakommunikationerna samt Internet under en tid av 2–3 dygn. Kärnkrisen avser en situation där en av aktörerna alternativt ett väsentligt delsystem inom det centrala betalningssystemet faller bort under samma tid. Tyngdpunkten i rapporten har lagts på kriser som medför allvarliga tekniska fel och störningar men som inte har haft vad som i rapporten benämns katastrofala konsekvenser.
MSB har i sitt remissvar på rapporten ifrågasatt denna begränsning och efterlyst en beskrivning av vad som händer om krisen eskalerar till en mycket allvarlig kris, dvs. en kris med "katastrofala följder".
Myndigheten understryker också att även andra typer av kriser än tekniska fel i de system som betjänar det centrala betalningssystemet bör analyseras. Också Statskontoret anser att de krisbegrepp som har valts i rapporten är alltför snävt avgränsade. Länsstyrelsen i Stockholms län anser att en komplettering bör göras med förhållanden som avser höjd beredskap. Flera remissinstanser – bl.a. Svenska Bankföreningen – efterlyser också en tydligare definition av vad som menas med allvarliga tekniska störningar och avbrott.
Det centrala betalningssystemet är en mycket viktig samhällsfunktion. Långvariga och omfattande störningar i detta system får följdeffekter på hela det finansiella systemet och därmed på samhället i stort. Återkommande störningar i systemet kan medföra att förtroendet för betalningssystemet och viktiga aktörer i detta går förlorat. Psykologiska effekter av detta slag kan allvarligt försvåra en kris. Av dessa skäl finns det anledning att ha en hög ambitionsnivå då det gäller hanteringen av allvarliga kriser inom detta område. Detta innebär att det bör finnas en planering också för osannolika händelser med långtgående eller katastrofala konsekvenser även beträffande det centrala betalningssystemet. Att utgå från att sådana händelser inte drabbar det centrala betalningssystemet kan medföra att skadeverkningarna blir värre än nödvändigt om det osannolika faktiskt skulle inträffa.
Störningar och påfrestningar som kan drabba det centrala betalningssystemet omfattar dels händelser av det slag som beskrivs i de typkriser som anges i rapporten Fi 2010/1619 men också allvarligare händelser, t.ex. olika former av cyberattacker. I samverkansövningen SAMÖ-08 omfattade det övade scenariot en organiserad IT-attack mot det finansiella systemet. Scenariot utgick från ett omvärldsexempel som KBM hade tagit fram på regeringens uppdrag med stöd av Säkerhetspolisen, Försvarets radioanstalt och Finansinspektionen.
För att få en samlad bild av de hot, risker och sårbarheter som kan ge upphov till kriser inom det centrala betalningssystemet är det nödvändigt att genomföra en risk- och sårbarhetsanalys som är direkt inriktad mot detta system. Denna risk- och sårbarhetsanalys bör genomföras i enlighet med de anvisningar som MSB har utfärdat för risk- och sårbarhetsanalyser. Anvisningarna bygger på 9 § förordningen (2006:942) om krisberedskap och höjd beredskap. Om arbetet utförs på detta sätt kan resultatet lättare jämföras med de risk- och sårbarhetsanalyser som genomförs inom andra delar av krisberedskapen.
En fördel med risk- och sårbarhetsanalyser är att de ger en väl underbyggd grund för att identifiera och värdera hot, risker och sårbarhet som finns i verksamheten. Även osannolika händelser med allvarliga konsekvenser bör värderas. Det ger helhetsperspektiv på riskprofilen och på nödvändiga åtgärder. Arbetet med risk- och sårbarhetsanalyser måste förankras på ledningsnivå. Det är en uppgift för verkställande ledning att ta slutlig ställning till risk- och sårbarhetsanalyser.
Den beredskapsplanering som avser det centrala betalningssystemet bör syfta till att skapa förmåga att hantera alla de kriser som identifieras i risk- och sårbarhetsanalysen. Man bör således inte göra undantag för någon viss typ av kriser eller begränsa planeringen till att omfatta kriser med kort varaktighet eller kriser som anses vara mindre allvarliga. Det är också väsentligt att de satsningar som genomförs inom det centrala betalningssystemet ligger på en nivå som är jämförbar med satsningar som görs inom andra delar av det finansiella systemet eller inom andra delar av krisberedskapen. Om satsningarna inom det centrala betalningssystemet läggs på en alltför låg nivå riskerar man att detta system blir en flaskhals inom det finansiella systemet. Om nivån läggs alltför högt riskerar man istället att den robusthet som skapas inte kan utnyttjas och blir onödigt kostsam. Exakt vilka avvägningar som blir följden av detta resonemang kan inte anges i denna text utan måste klaras ut efter en dialog mellan de aktörer som är ansvariga för krisberedskapsåtgärder inom det centrala betalningssystemet.
5.6. Funktionskrav på det centrala betalningssystemet i en krissituation
Målet är att det centrala betalningssystemet även vid en allvarlig kris kan avveckla alla transaktioner i enlighet med ingångna avtal och gällande lagstiftning, i regel senast under pågående bankdag.
Reservsystem och alternativa driftsmiljöer ska vara väl förberedda att klara målet.
Med funktionskrav avses i det följande krav på det centrala betalningssystemets prestationsförmåga i en krissituation. Funktionskrav kan uttryckas på olika sätt. De kan avse den betalningsvolym som
systemet minst ska ha förmåga att avveckla under ett dygn. De kan också uttryckas som den maximala tid som det får ta att avveckla en transaktion. Funktionskraven kan också formuleras i uthållighetstermer, dvs. att det centrala betalningssystemet ska ha förmåga att klara en viss minsta betalningsvolym och en viss maximal avvecklingstid oavsett störningar under en viss tid.
Om funktionskraven uttrycks på detta sätt är det möjligt att kvantifiera dem. Detta har också skett beträffande RIX-systemet. Kravet på RIX-systemet är att merparten av alla betalningar i detta system ska kunna avvecklas under en bankdag, också om systemet utsätts för störningar.
Sverige omfattas som medlem i Europeiska unionen av dess regler. Från januari 2011 finns en ny struktur för tillsyn över EU:s finansiella marknader, Europeiska systemet för finansiella marknader (EFSF). Där ingår Europeiska systemrisknämnden (ESRB) och tre tillsynsmyndigheter. Dessa är Europeiska bankmyndigheten (EBA), Europeiska försäkrings- och tjänstepensionsmyndigheten (EIOPA) och Europeiska värdepappers- och marknadsmyndigheten (ESMA). Dessa europeiska myndigheters uppgifter är att harmonisera regler och att samordna tillsynen inom EU och avge förslag till tekniska standarder. Finansinspektionen deltar i de tre myndigheternas arbete i olika arbetsgrupper. Riksbanken deltar med rösträtt i ESRB.
På global nivå verkar flera organisationer för att skapa en gemensam, internationell regel- och tillsynsstandard på finansmarknaderna. Samarbetet i dessa organisationer bygger på internationella avtal. Bland organisationerna finns Baselkommittén inom ramen för Bank for International Settlements (BIS), och Internationella organisationen för värdepapperstillsyn (IOSCO).
Baselkommittén tar fram standarder, riktlinjer och rekommendationer som är normgivande för de flesta tillsynsmyndigheter. Inom IOSCO samarbetar över hundra tillsynsmyndigheter kring gemensamma regler för värdepappersmarknadens aktörer. IOSCO ger rekommendationer till medlemmarna om hur de bör behandla olika tillsynsfrågor.
Baselkommittén har en arbetsgrupp ”Committee on Payment and Settlement Systems” (CPSS) som har tagit fram huvudprinciper för systemviktiga betalsystem.4 CPSS har också tillsammans
4 Core Principles for Systemically Important Payment Systems, 2001.
med IOSCO utarbetat rekommendationer för värdepapperssystem och rekommendationer för centrala aktörer.5
CPSS och IOSCO befinner sig för närvarande i slutfasen av det gemensamma arbetet med nya rekommendationer om principer för finansmarknadens infrastruktur.6 De nya CPSS/IOSCO-rekommendationerna planeras ersätta bl.a. de ovan nämnda befintliga dokumenten.
Gemensamt för de internationella organen är att de i sitt arbete med standarder och rekommendationer utgår ifrån kontinuitetsmål, dvs. den systemviktiga verksamheten ska målsättas, planeras och drivas så att den kan bedrivas fullt ut även vid svåra störningar. Det innebär särskilda krav på tillgänglighet, väl övad reservkapacitet och även tillgång till alternativa driftsställen. Funktionella mål formuleras bl.a. som krav på längsta acceptabla avbrottstid, innan reservlösningar ska vara i drift. Normalt för all kontinuitetsplanering är att alla betalningar eller transaktioner minst ska vara avvecklade under en bankdag. Längsta acceptabla avbrottstid medan reservsystem eller alternativa driftsmiljöer uppstartas rör sig om maximalt ett par timmar, även vid allvarliga störningar.
Alla betalsystem möter operativa risker, dvs. risker i driftsmiljön. Orsaker kan härröra både från interna och externa källor. Det kan vara brister i informationssystem eller i interna processer, mänskliga fel, ledningsmisstag eller störningar i externa system som kan begränsa, försämra eller skapa avbrott i verksamheten. Ibland kan det vara svårt att identifiera eller att förstå risker och att utöva de kontroller och processer som är nödvändiga för att begränsa och hantera dessa. Externa risker kan bl.a. vara naturkatastrofer, terrorism eller pandemier. Det kan leda till följdeffekter, förseningar, förluster, likviditetsproblem och systemrisker men också till begränsningar i information om transaktionsdata. Operativa risker inom det centrala betalningssystemet innefattar t.ex. även risker för fel eller förseningar i datakapacitet, oegentligheter och informationsläckor. Konsekvenserna av allvarliga störningar kan snabbt bli betydande även i andra delar av betalningssystemet.
5 Recommendations for securities settlement systems, Committee on Payment and Settlement Systems Technical Committee of the International Organization of Securities Commissions, november 2001 och Recommendations for central counterparties, Committee on Payment and Settlement Systems Technical Committee of the International Organization of Securities Commissions, mars 2004. 6 Principles for Financial Market Infrastructures, Final Draft of the Consultative Report, 14 februari 2011.
Målen för driftssäkerheten måste därför ställas mycket högt. Avveckling av transaktioner dvs. clearing och avveckling av betalningar och värdepappershandel bör senast vara klar vid bankdagens slut. Ibland måste målen ställas högre då avveckling sker kontinuerligt under bankdagen eller omedelbart som vid realtidsbetalningar, vilka sannolikt blir allt vanligare under kommande år.
Kontinuitetsplaner måste innefatta tider för återställande av system. Det bör utöver normala backup- och reservsystem även innefatta tillgång till en andra driftsmiljö, fysiskt skild från den ordinarie anläggningen. Utredningen föreslår att målet för tiden till återstart vid ett avbrott i det centrala betalningssystemet bör vara högst två timmar. Med tanke på det centrala betalningssystemets betydelse för samhällets funktionsförmåga bör man inte utesluta att det i framtiden t.ex. kan komma att ställas krav på även en tredje alternativ driftsmiljö. Kontinuitetsplaner bör även innehålla väl förberedda åtgärdsplaner för krishantering, innefattande även förberedelse för informationsgivning till övriga aktörer inom det centrala betalningssystemet, till media och till allmänheten.
En aktör inom centrala betalningssystemet som genom avtal driver verksamhet genom en annan aktör i det centrala betalningssystemet eller genom att en tredje part, exempelvis dataföretag, driver verksamheten genom outsourcing, måste självfallet säkerställa att verksamheten svarar upp mot samma mål och krav som när aktören själv bedriver verksamheten.
Fördelen med att kvantifiera funktionskraven är att de då kan fungera effektivt som styrinstrument och att det är lätt att i efterhand följa upp om de krav som ställs på systemet har tillgodosetts. Nackdelen är att det kan vara svårt att lägga kvantifieringarna på rätt nivå och att alltför ambitiösa krav kan medföra höga kostnader för olika typer av säkerhetsåtgärder.
Det går dock inte helt att bortse från att det kan uppstå situationer då högt ställda mål inte kan tillgodoses. Inom krisberedskapen finns från andra samhällssektorer många exempel på händelser, som inte har förutsetts och som har fått katastrofala följder. Att utgå från att det centrala betalningssystemet inte under några omständligheter kan drabbas av sådana händelser är knappast tillrådligt. Av dessa skäl är det nödvändigt att i ett allvarligt krisläge ha tillgång till en alternativ planering som innebär att man har förberett åtgärder som utgår från att endast en del av de begärda transaktionerna i det centrala betalningssystemet kan hanteras eller att det kan ta betydligt längre tid än en bankdag att avveckla transaktionerna.
Konkret innebär detta att man i sådana lägen måste ge vissa typer av transaktioner företräde under den tid som krisen varar. Detta bör inte ske slumpmässigt och improviserat utan bör utgå från en uppsättning på förhand fastlagda prioriteringsprinciper. Prioriteringar kan göras på flera sätt. En möjlighet är att prioritera vissa aktörer i det centrala betalningssystemet eller vissa tjänster i detta system. Resultatet kan då bli att vissa funktioner i systemet kan falla bort. I sammanhanget kan nämnas att börshandeln ibland stängs ned för kortare perioder i syfte att undvika panikreaktioner och alltför stora kursfall.
Vid långvariga kriser som drabbar det centrala betalningssystemet måste andra prioriteringsprinciper tillämpas. En möjlighet är att då prioritera samhällsviktiga transaktioner, även om det inte alltid går att förutse vad som bör prioriteras vid varje givet tillfälle. Med samhällsviktiga transaktioner kan t.ex. avses sådant som är nödvändigt för att tillgodose individens grundläggande behov. Detta gäller utbetalningar av löner, pensioner och sjukersättningar samt betalningstransaktioner som är nödvändiga för att hyresbetalningar, arbetsresor och dagligvaruinköp ska fungera.
Inom FSPOS har ett arbete påbörjats med att formulera grundläggande säkerhetsnivåer för olika typer av finansiella tjänster. Detta arbete kommer dock inte att vara klart då denna utredning ska redovisa sitt resultat. Inom ramen för detta arbete kommer man att behöva ta fram kriterier för hur prioriteringar i det enskilda fallet ska göras.
5.7. Kritiska beroenden mellan det centrala betalningssystemet och andra samhällsverksamheter
De kritiska beroenden som finns mellan det centrala betalningssystemet och andra samhällsverksamheter ska identifieras. Dessutom ska omfattningen och karaktären av dessa beroenden analyseras ingående och effekterna av en viss störning i en beroenderelation så långt som möjligt kvantifieras. Beträffande grundläggande tekniska system som el, tele och data ska funktionen säkras genom dubblering av anslutningar och genom olika typer av reservförfaranden. Dessutom ska en eller flera reserv-
uppehållsplatser finnas för viktiga funktioner inom det centrala betalningssystemet.
Begreppet kritiska beroenden definierades i avsnitt 5.2. Beroenden kan vara både ingående och utåtgående och verka i flera led. I det följande behandlas endast de beroenden som är en direkt förutsättning för att det centrala betalningssystemet ska fungera (ingående beroenden). Det rör sig om infrastruktursystem som el, tele och data (slutna nätverk och Internet). Hit kan också räknas de reservsystem och övriga säkerhetsanordningar som aktörerna i det centrala betalningssystemet har byggt upp för egen del (reservkraft, dubblerade och geografiskt åtskilda verksamhetsställen, kvalificerat skalskydd m.m.).
Som framgått ovan är nästan all samhällsverksamhet direkt eller indirekt beroende av att det centrala betalningssystemet fungerar (utåtgående beroenden). Det ingår inte i denna utrednings uppdrag att analysera dessa beroenden. I detta sammanhang kan det dock finnas anledning att konstatera att de starka beroenden som finns mellan det centrala betalningssystemet och övriga delar av det finansiella systemet medför att man måste göra en helhetsbedömning då man tar ställning till vilka krav som bör ställas på det centrala betalningssystemet. Risken är annars stor att de lösningar som föreslås medför suboptimeringar.
I rapporten Fi 2010/1619 redovisas en genomgång av beredskapsläget i det centrala betalningssystemet. De s.k. infrastruktur- och kärnkriserna drabbar i stor utsträckning de kritiska beroenden som finns inom det centrala betalningssystemet. De slutsatser som dras i rapporten är att beredskapsläget vad gäller denna typ av kriser är tillfredsställande hos aktörerna inom detta system. Samtliga aktörer uppges ha reservkraft med en uthållighet om 3–4 dagar utan extra tillförsel av drivmedel, dubblerade kommunikationslinjer till externa samarbetspartners, redundans vad gäller ITsystem samt driftsmiljöer som ligger fysiskt åtskilda från det primära verksamhetsstället.
Funktionskrav av den typ som behandlades i avsnitt 5.6 bör kompletteras med krav på de tekniska system som det centrala betalningssystemet är beroende av för att kunna fungera. Det är därför viktigt att identifiera de kritiska beroenden som måste vara tillgodosedda för att det centrala betalningssystemet ska fungera. De viktigaste av dessa beroenden hänför sig till infrastruktur-
tjänster som el, tele- och datakommunikation samt reservsystem av den typ som nämndes ovan. Det är nödvändigt att man preciserar kraven på dessa system. I det följande ges några exempel på hur detta kan ske.
Ett nästan självklart krav är att alla aktörer i det centrala betalningssystemet ska ha tillgång till reservkraft och dubbla ingångar för strömmatning. Det är dock väsentligt att kapaciteten hos reservkraftsystemen är tillräcklig för att hålla igång alla de funktioner hos den berörda aktören som är nödvändiga för att det centrala betalningssystemet ska fungera på den nivå som är fastställd. Det är också nödvändigt att reservkraften har tillräcklig uthållighet. En uthållighet om 3–4 dagar är inte tillräcklig, såvida inte aktörerna har avtal om säker tillförsel av drivmedel. Uthålligheten bör anges i veckor snarare än i dagar med innebörden att även drivmedelsavtal med prioritet är nödvändiga för att uppnå en tillräcklig uthållighet. Dessutom är det nödvändigt att reservkraften prövas ofta och att personalen har tillräcklig utbildning för att få systemet att fungera. Det finns många exempel på reservkraftsystem från olika samhällsområden som inte har gått igång som planerat vid ett strömavbrott.
Störningståliga tele- och datakommunikationer med andra viktiga aktörer i det centrala betalningssystemet har också en avgörande betydelse för att betalningssystemet ska fungera i en krissituation. De möjligheter som står till buds för en enskild aktör i systemet är att ha tillgång till alternativa kommunikationsvägar. Detta krav verkar vara tillgodosett i stor utsträckning hos aktörerna i det centrala betalningssystemet. Det finns dock anledning att följa de råd som lämnas i den vägledning för användare vid anskaffning av robust elektronisk kommunikation som har utarbetats av Post- och telestyrelsen.7 Ytterligare ett krav i detta sammanhang är att varje aktör bör ha en tydlig policy för vilken typ av information som kan förmedlas via Internet och vilken information som måste förmedlas via slutna nätverk. I detta ligger också att känsliga system måste vara så skyddade att de inte kan nås via Internet ens vid kvalificerade intrångsförsök.
Vad gäller de interna IT-systemen finns det anledning att ha en hög ambitionsnivå beträffande informationssäkerheten. Den betydelse som det centrala betalningssystemet har för samhället ökar i sig risken för att de deltagande aktörernas IT-system ska utsättas för cyberattacker och andra typer av intrångsförsök. Den redovisning
7 Robust elektronisk kommunikation – vägledning för användare vid anskaffning. PTS-ER-2011:16. Juni 2011.
av nuläget som ges i rapporten Fi 2010/1619 gör det inte möjligt att bedöma på vilken nivå som informationssäkerhetsarbetet i dag befinner sig hos de aktörer som bär upp det centrala betalningssystemet.
MSB har i sitt remissvar på rapporten Fi 2010/1619 framhållit att det informationssäkerhetsarbete som bedrivs vad gäller det centrala betalningssystemet bör kopplas till det generella arbete som bedrivs på nationell nivå beträffande informationssäkerhetsfrågor och till den nationella hanterandeplan för allvarliga ITincidenter som MSB har tagit fram. MSB riktar också kritik mot rapporten för att den inte har analyserat konsekvenserna av tillräckligt allvarliga kriser inom informationssäkerhetsområdet. Myndigheten föreslår också att informationssäkerhetsarbetet inom det centrala betalningssystemet ska bedrivas enligt de nationella och internationella standarderna ISO/IEC 27001 och 27002. Dessa krav bör beaktas i det informationssäkerhetsarbete som bedrivs vad gäller det centrala betalningssystemet. Dessutom bör de krav som ställs i de s.k. CPSS/IOSCO-rekommendationerna om att reservsystem ska kunna startas inom två timmar iakttas. Utredningen finner detta mål rimligt och konstaterar att det i dag tillämpas av flera aktörer som kan förväntas komma att ingå i det centrala betalningssystemet. Utredningen återkommer till informationssäkerhetsfrågorna i kapitel 9.
I utredningens direktiv framhålls att utredningen ska beakta de krav som ställs i säkerhetsskyddslagstiftningen. En striktare tillämpning av dessa krav kan t.ex. medföra att personalkontroll genom Säkerhetspolisens försorg genomförs för alla nyckelbefattningar inom det centrala betalningssystemet (också hos privata aktörer). Ytterligare ett exempel på säkerhetsåtgärder som bör övervägas är nivån på skalskyddet för lokaler som används för verksamhet som är väsentlig för det centrala betalningssystemet. För viktiga delar av det centrala betalningssystemet bör dessutom en eller två alternativa driftsplatser finnas. Också personalförsörjningen i krissituationer bör beaktas. En pandemi kan under olyckliga omständigheter slå hårt mot nyckelpersoner i det centrala betalningssystemet.
Genomgången visar att det finns ett antal åtgärder som bör vidtas för att skydda de tekniska system – externa och interna – som det centrala betalningssystemet är beroende av. Den redovisning som har gjorts i rapporten Fi 2010/1619 visar att en del har gjorts. Det är väsentligt att de åtgärder som ytterligare behöver vidtas samordnas mellan de olika aktörerna i det centrala betalningssystemet. Utan en gemensam syn på vilka skyddsåtgärder som
behöver vidtas är risken stor att det uppstår svaga punkter i systemet som under olyckliga omständigheter kan ge upphov till störningar och haverier alternativt utnyttjas av sabotörer eller terrorister.
5.8. Förslag till grundläggande säkerhetskrav på det centrala betalningssystemet i en krissituation
Utredningen konstaterar att risk- och sårbarhetsanalyser och kontinuitetsplanering båda bör användas av aktörerna i det centrala betalningssystemet. Dessa metoder kompletterar varandra på ett värdefullt sätt.
Av avsnitten 5.6 och 5.7 har framgått att de säkerhetskrav som bör ställas på det centrala betalningssystemet bör utformas som en kombination av funktionskrav på detta system och krav på de tekniska system – externa och interna – som det centrala betalningssystemet är beroende av. Av avsnitt 5.5 har dessutom framgått att det centrala betalningssystemet bör ha förmåga att hantera alla de kriser som identifieras i den risk- och sårbarhetsanalys som bör utarbetas för systemet. Risk- och sårbarhetsanalysen bör utföras i enlighet med de föreskrifter som finns för sådana analyser inom krisberedskapen.
Mot denna bakgrund kan de grundläggande säkerhetskraven på det centrala betalningssystemet i en krissituation formuleras som följer:
1. Målet är att det centrala betalningssystemet även vid en allvarlig kris kan avveckla alla transaktioner i enlighet med ingångna avtal och gällande lagstiftning, i regel senast under pågående bankdag.
2. Vid en allvarlig störning eller avbrott i verksamheten hos en aktör i det centrala betalningssystemet ska återgång till ordinarie drift eller övergång till reservsystem ske senast inom två timmar.
3. Om detta inte är möjligt ska en alternativplanering finnas som gör det möjligt att i ett krisläge prioritera de viktigaste transaktionerna.
4. Principer och metoder för att identifiera och i ett krisläge prioritera de viktigaste transaktionerna ska utvecklas.
Ovanstående funktionskrav bör kombineras med krav på de tekniska system och de skyddsanordningar som det centrala betalningssystemet är beroende av för att fungera. I avsnitt 5.7 redovisades ett antal exempel på hur sådana krav kan utformas. I lagstiftningen finns det anledning att uttrycka sig mer generellt vid utformningen av dessa krav. Man bör begränsa sig till att ange att det bör finnas reservförfaranden för viktiga system som gör det möjligt att uthålligt upprätthålla funktionen hos det centrala betalningssystemet. Samtidigt bör man i lagstiftningen peka ut en myndighet som ges befogenhet att utfärda föreskrifter om vilka krav som bör ställas på de reservförfaranden som bör tillämpas av det centrala betalningssystemets aktörer. Som framgår av kapitel 7 anser utredningen att Riksbanken bör tilldelas detta ansvar. I dessa föreskrifter finns det anledning att vara konkret och så långt som möjligt kvantifiera de krav som ställs på de reservförfaranden som ska användas.
Vid genomförandet av de säkerhetskrav som ställs på det centrala betalningssystemet bör ansvarsprincipen tillämpas. Det innebär att varje aktör i systemet ska svara för att den egna verksamheten bedrivs i enlighet med de övergripande krav som ställs. Berörda aktörer behöver därför ha en kvalificerad och väl utbyggd kontinuitetsplanering. Finansinspektionen har utgett en vägledning för kontinuitetsplanering inom den finansiella sektorn, som fortlöpande bör revideras.8 Finansinspektionens vägledning ger en god bild av vilka åtgärder som bör genomföras i kontinuitetsplaneringen. Samtidigt är det väsentligt att den myndighet som utfärdar föreskrifterna bedriver sitt arbete i nära samverkan med de viktigaste aktörerna inom det centrala betalningssystemet och med berörda myndigheter. Detta kan bl.a. ske inom ramen för FSPOS och i de samverkansområden som finns inom krisberedskapen.
5.9. Sammanfattande kommentar
De grundläggande säkerhetskrav som bör ställas på det centrala betalningssystemet i en krissituation kan sammanfattas som följer:
1. Det centrala betalningssystemet ska i alla de krissituationer som identifieras i en risk- och sårbarhetsanalys som genomförs enligt de
8 Vägledning vid kontinuitetsplanering – processen och planen. Finansinspektionen 2005 (dnr 05-1250-040).
metoder som tillämpas inom krisberedskapen ha förmåga att avveckla alla transaktioner i enlighet med ingångna avtal och gällande lagstiftning, i regel senast under pågående bankdag.
2. Vid en allvarlig störning eller avbrott i verksamheten hos en aktör i det centrala betalningssystemet ska återgång till ordinarie drift eller övergång till reservsystem ske senast inom två timmar.
3. Om detta inte är möjligt ska en alternativplanering finnas förberedd som gör det möjligt att i ett krisläge prioritera de viktigaste transaktionerna. Principer och metoder för att identifiera och prioritera dessa transaktioner ska finnas tillgängliga.
4. En myndighet – Riksbanken – ska ges befogenhet att utfärda föreskrifter för de reservförfaranden och säkerhetsanordningar som ska tillämpas av det centrala betalningssystemets aktörer i syfte att tillse att de krav som anges i punkterna 1-3 kan tillgodoses också vid omfattande och långvariga störningar i den tekniska infrastruktur som det centrala betalningssystemet är beroende av.
6. Privat-offentlig samverkan
Den privat-offentliga samverkan som behöver ske vad gäller krisberedskapsåtgärder inom det centrala betalningssystemet bör även i fortsättningen hanteras inom ramen för samarbetet inom FSPOS.
Utan de privata aktörerna i det centrala betalningssystemet skulle detta system inte fungera. En väl utvecklad privat-offentlig samverkan är därför angelägen och nödvändig för det centrala betalningssystemets funktion både under normala förhållanden och under kriser. Ansvarsprincipen bör vara utgångspunkten för den privatoffentliga samverkan som sker inom det centrala betalningssystemet. Detta innebär att varje aktör ska behålla ansvaret för den egna verksamheten i en krissituation och genomföra de krisberedskapsåtgärder som är nödvändiga för att upprätthålla verksamheten i en sådan situation.
Privat-offentlig samverkan med inriktning på krisberedskapsåtgärder inom den finansiella sektorn sker sedan länge inom ramen för den finansiella sektorns privat-offentliga samverkansorgan, FSPOS. Det gäller också den samverkan som avser det centrala betalningssystemet. Samarbetet inom FSPOS anses generellt fungera väl. FSPOS framhålls ofta som ett gott exempel på en väl fungerande privat-offentlig samverkan inom krisberedskapen. Numera finns det också en etablerad ansvarsfördelning mellan FSPOS och samverkansområdet SOES. I SOES ingår myndigheter som har krisberedskapsuppgifter med inriktning på ekonomisk säkerhet. Dessa verksamheter kompletterar därför varandra på ett bra sätt.
Av dessa skäl bör man undvika att skapa nya former för privatoffentlig samverkan vid sidan av FSPOS vad gäller krisberedskapsåtgärder inom det centrala betalningssystemet. Den privat-offentliga samverkan som behöver ske vad gäller krisberedskapsåtgärder beträffande detta system bör även i fortsättningen hanteras inom ramen
för FSPOS. Att koncentrera det privat-offentliga samarbetet till ett samverkansorgan gör det dessutom lättare att hantera de beroendeförhållanden som finns mellan det centrala betalningssystemet och övriga delar av den finansiella verksamheten.
FSPOS leds av en styrelse. I april 2010 bestod styrelsen av representanter för Svenska Bankföreningen, Bankgirocentralen, Euroclear Sweden, Finansinspektionen, Fondhandlarföreningen, Försäkringskassan, MSB, Nasdaq OMX, Nordea, Riksbanken, Riksgäldskontoret, Sparbankernas Riksförbund och Svensk Försäkring. Styrelsens ordförande har hämtats från Riksbanken.
Det praktiska arbetet inom FSPOS bedrivs i ett antal arbetsgrupper. År 2010 fanns arbetsgrupper för betalningsförmedling, information (i kriser), kritisk infrastruktur, grundläggande säkerhetsnivåer samt övning. MSB tillhandahåller en kanslifunktion för FSPOS. MSB bidrar också för närvarande till verksamheten i arbetsgrupperna med medel från krisberedskapsanslaget. FSPOS bedrevs från början i projektform men permanentades år 2009.
Parallellt med utredningens arbete har FSPOS utarbetat en strategi för forumets långsiktiga krisberedskapsarbete som sträcker sig till och med år 2017. Arbetet kommer att drivas inom de befintliga arbetsgrupperna. Dessutom avser FSPOS att ha ett mer uttalat fokus på omvärldsbevakning och internationella erfarenheter, risk- och sårbarhetsanalyser, informationssäkerhet samt utarbetande av en särskild övningsstrategi. Denna utökning kan komma att innebära att nya arbetsgrupper utses inom FSPOS.
Sammanfattningsvis finns en väl utbyggd privat-offentlig samverkan i krisberedskapsfrågor inom den finansiella sektorn. Denna samverkan omfattar de viktigaste aktörerna inom sektorn och utövas framförallt via FSPOS. Det finns därför anledning att slå vakt om samarbetet inom FSPOS och att inte skapa konkurrerande samverkansstrukturer vid sidan av FSPOS. Den privat-offentliga samverkan som krävs vad gäller krisberedskapsåtgärder inom det centrala betalningssystemet bör därför även i fortsättningen bedrivas inom ramen för FSPOS.
7. Samordning av krisberedskapsåtgärder
7.1. Bakgrund
I rapporten Fi 2010/1619 föreslås att statsmakterna beslutar att införa ett nationellt samordningsansvar för krisberedskapsåtgärder inom det centrala betalningssystemet och att detta ansvar läggs på Riksbanken. Det nationella samordningsansvaret föreslås omfatta följande uppgifter vad gäller det förebyggande arbetet:
- leda privat-offentlig samverkan,
- leda och genomföra övningar,
- ansvara för teknisk granskning av gränssnitt,
- ansvara för att IT-incidentrapporteringen samordnas,
- ansvara för att det löpande upprättas en aggregerad risk- och sårbarhetsanalys,
- ansvara för att det upprättas en årlig lägesrapport till regering/riksdag om krisberedskapen i de centrala delarna av betalningssystemet,
- planera för informations- och kommunikationssamordning vid kriser samt
- övervaka den föreslagna regleringen.
Dessutom föreslås den samordningsansvariga myndigheten få vissa övergripande uppgifter vid en akut kris. Dessa uppgifter definieras dock inte närmare. I rapporten uttalas endast att utgångspunkten bör vara att ansvarsprincipen gäller. Detta anses innebära att den samordningsansvariga myndigheten vid en akut kris ska övervaka
situationen, ge stöd och vara rådgivande, samla in uppgifter samt rapportera till MSB och regeringen.
I detta kapitel behandlas behovet av samordning vad gäller krisberedskapsåtgärder inom det centrala betalningssystemet, nuvarande system för samordning av sådana åtgärder samt olika sätt att organisera en förstärkt samordning av de krisberedskapsåtgärder som avser det centrala betalningssystemet.
7.2. Behov av samordning av krisberedskapsåtgärder
Behovet av att samordna de krisberedskapsåtgärder som vidtas beträffande det centrala betalningssystemet har ytterst att göra med att olika aktörer inom detta system är beroende av varandra och att de krisberedskapsåtgärder som vidtas av dessa aktörer måste ligga på en sådan nivå att de mål som sätts för systemets samlade prestationsförmåga i ett krisläge kan uppnås. Brister i samordningen kan medföra att åtgärder som är nödvändiga för att det centrala betalningssystemet ska fungera i ett krisläge inte vidtas eller att nivån på genomförda åtgärder är ojämn. I det senare fallet skapas svagheter i beredskapssatsningarna som kan påverka betalningssystemets samlade prestationsförmåga i ett krisläge. Behov av samordning finns också beträffande de operativa åtgärder som vidtas under en pågående kris. I detta fall är dock tidsperspektiven betydligt kortare och möjligheterna att kompensera för eventuella brister i vidtagna beredskapsåtgärder begränsade eller obefintliga.
Behovet av att samordna såväl beredskapsåtgärder som operativa åtgärder under en kris är större inom det centrala betalningssystemet än inom många andra verksamheter. Anledningen är att systemet omfattar ett antal aktörer vars verksamheter är nödvändiga för att systemet ska fungera och där ett bortfall av en aktör kan få långtgående konsekvenser för systemet som helhet. Betydelsen av detta förstärks av att hela det finansiella systemet är beroende av att det centrala betalningssystemet fungerar. Brister i beredskapen hos en aktör kan därför få omfattande spridningseffekter inom hela den finansiella sektorn. Av dessa skäl måste höga krav ställas på samordningen av de krisberedskapsåtgärder som vidtas beträffande det centrala betalningssystemet.
7.3. Nuvarande system för samordning av krisberedskapsåtgärder
För närvarande saknas ett system som är direkt inriktat mot samordning av de krisberedskapsåtgärder som vidtas beträffande det centrala betalningssystemet. Myndigheter som har krisberedskapsuppgifter med inriktning mot den finansiella sektorn och som omfattas av krisberedskapsförordningen samordnar dock sitt arbete inom ramen för SOES.1 Riksbanken ingår dock inte i SOES. Flera av de privata aktörer som har uppgifter inom det centrala betalningssystemet är direkt eller indirekt företrädda i FSPOS.2 Arbetet inom FSPOS avser privat-offentlig samverkan vad gäller krisberedskapsfrågor som omfattar hela den finansiella sektorn. FSPOS har inga operativa ledningsuppgifter vare sig i ett normalläge eller i en krissituation. Riksbanken deltar i arbetet inom FSPOS.
År 2008 genomförde Krisberedskapsmyndigheten (KBM) en samverkansövning som avsåg en kris i det finansiella systemet (SAMÖ-08). Det scenario som låg till grund för SAMÖ-08 omfattade en organiserad IT-attack mot de finansiella systemen i samhället. I övningen deltog flertalet myndigheter inom SOES och ett antal privata aktörer från den finansiella sektorn. SAMÖ-08 visade att det fanns ett antal brister i samverkan mellan de deltagande aktörerna.3Bl.a. prioriterade dessa inte samverkan utanför befintliga nätverk. De hade inte heller tillräckliga kunskaper om varandras mandat. Dessutom kunde man inte skapa en gemensam lägesuppfattning och oklarhet rådde om KBM:s roll och ansvar vid en finansiell kris.
I rapporten Fi 2010/1619 redovisas vissa störningar som har inträffat i det centrala betalningssystemet under senare år. Dessa har dock tack vare väl fungerande reservförfaranden kunnat begränsas till systemet som sådant och har därför inte fått några samhällseffekter.
1 SamverkansOmrådet Ekonomisk Säkerhet. 2 Den Finansiella Sektorns Privat-Offentliga Samverkansgrupp. 3 Utvärdering av Samverkansövning 2008. KBM dnr 1470/2007.
7.4. Innehållet i ett förstärkt samordningsansvar för krisberedskapsåtgärder
Inledningsvis kan konstateras att det finns många typer av samordningsansvar inom statsförvaltningen och att dessa ansvar i många fall också får konsekvenser för en myndighets krisberedskapsansvar. Ett exempel är det s.k. sektorsansvaret. Det finns ingen enhetlig definition av vad som avses med ett sektorsansvar och de sektorsansvar som förekommer inom statsförvaltningen har också ett mycket varierande innehåll. Däremot utarbetar de myndigheter som uppfattas ha någon typ av sektorsansvar i regel en risk- och sårbarhetsanalys som både omfattar den egna myndighetens och den berörda sektorns verksamhet. Ett exempel på detta är Energimyndigheten vars risk- och sårbarhetsanalys är uppdelad i en del som avser myndighetens egen verksamhet och en del som avser verksamheten inom energisektorn.
Så kallat nationellt samordningsansvar för krisberedskapsåtgärder har införts för Livsmedelsverket som har ett sådant ansvar för livsmedels- och dricksvattensförsörjningen. I detta ansvar ingår bl.a. att identifiera centrala aktörer inom området, bilda nätverk för samråd, analys och planering, övervaka arbetet med risk- och sårbarhetsanalyser avseende livsmedel och dricksvatten samt att bedöma behovet av en formaliserad samverkan med privata aktörer.
Fram till år 2001 hade ett antal myndigheter s.k. funktionsansvar för de funktioner som fanns inom det civila försvaret. Bl.a. hade Riksbanken fram till mitten av 1990-talet funktionsansvar för funktionen Betalningsväsende. Detta ansvar övertogs därefter av Finansinspektionen. Riksbanken skulle ha kvar beredskapsansvaret för sin egen verksamhet. I funktionsansvaret ingick bl.a. att samordna planeringen av beredskapsförberedelserna inom funktionen, svara för utbildnings- och övningsverksamhet inom funktionen samt att redovisa beredskapsläget inom funktionen.
De samverkansområden som ersatte det civila försvarets funktioner fr.o.m. år 2001 har inte någon fast ansvarig myndighet även om MSB stödjer verksamheten genom att tillhandahålla en kanslifunktion. Samverkansområdet är inte heller någon organisation i sig utan bygger på det samarbete som sker mellan fristående myndigheter med eget ansvar.
Det nationella samordningsansvar som föreslogs i rapporten Fi 2010/1619 beträffande det centrala betalningssystemet har till stor
del utgått från det nationella samordningsansvar som gäller för livsmedel och dricksvatten. Innehållet i det samordningsansvar som föreslogs beträffande det centrala betalningssystemet beskrevs inledningsvis i detta kapitel.
Beträffande det förebyggande arbetet kan konstateras att det i detta arbete också bör ingå att formulera och följa upp grundläggande säkerhetskrav på det centrala betalningssystemet. Utan en sådan uppföljning kan det vara svårt att upprätta den årliga lägesrapport till riksdagen och regeringen som nämns bland de uppgifter som avses ingå i det nationella samordningsansvaret.
Det kan också vara rimligt att utarbeta en särskild risk- och sårbarhetsanalys för det centrala betalningssystemet. Det är dock väsentligt att detta arbete samordnas med motsvarande arbete på Finansinspektionen. Den risk- och sårbarhetsanalys som hittills har utarbetats av Finansinspektionen omfattar idag hela den finansiella sektorn. En uppdelning av ansvaret måste därför ske om det nationella samordningsansvaret för det centrala betalningssystemet läggs på Riksbanken.
Beträffande IT-incidentrapporteringen är det väsentligt att man följer de principer som har lagts fast av MSB. Detta motsäger inte att det är väsentligt att samordna detta arbete inom det centrala betalningssystemet i syfte att skapa en god överblick över de ITincidenter som förekommer. Detta gäller inte minst med hänsyn till att det centrala betalningssystemet kan uppfattas som ett kvalificerat mål också för mycket allvarliga och långtgående cyberattacker.
Vid allvarliga kriser i det centrala betalningssystemet är det väsentligt att det finns en krisledningsfunktion med befogenhet att samordna de åtgärder som behöver vidtas för att minska skadeverkningarna och att återupprätta systemets funktion så snabbt som möjligt. I detta sammanhang kan konstateras att det även bör vara en uppgift i det nationella samordningsansvaret att utbilda och öva personal som ska ha uppgifter i krisledningsorganisationen.
Sammanfattningsvis bör följande uppgifter ingå i det nationella samordningsansvaret för krisberedskapsåtgärder inom det centrala betalningssystemet:
1. Utforma och följa upp föreskrifter avseende grundläggande säkerhetskrav på det centrala betalningssystemet i en krissituation.
2. Ta fram en risk- och sårbarhetsanalys för det centrala betalningssystemet i enlighet med de anvisningar för risk- och sårbarhetsanalyser som gäller inom krisberedskapen.
3. Leda och samordna beredskapsplaneringen inom det centrala betalningssystemet med inriktning mot de krissituationer som identifieras i risk- och sårbarhetsanalysen.
4. Utbilda och öva personal inom det centrala betalningssystemet för de krisberedskapsuppgifter som behöver utföras.
5. Verka för att en effektiv privat-offentlig samverkan sker mellan det centrala betalningssystemets aktörer.
6. Lämna information om beredskapsläget vad gäller det centrala betalningssystemet efter förfrågan från Regeringskansliet eller MSB.
Under en pågående kris bör det nationella samordningsansvaret för det centrala betalningssystemet omfatta följande uppgifter:
1. Leda och samordna de åtgärder som vidtas av det centrala betalningssystemets aktörer för att hantera krisen.
2. Löpande upprätta lägesrapporter som redovisas till riksdag och regering samt till MSB och andra myndigheter.
3. Samordna den information som riktas till allmänheten och media om krisens förlopp.
7.5. Valet av samordningsansvarig myndighet för krisberedskapsåtgärder
Riksbanken bör tilldelas det nationella samordningsansvaret för krisberedskapsåtgärder avseende det centrala betalningssystemet. Detta ansvar ska inte omfatta uppgifter som ingår i Finansinspektionens tillsynsansvar.
Enligt utredningens direktiv ska det nationella samordningsansvaret avse det centrala betalningssystemet. I SKRIB-rapporten gjordes
bedömningen att det nationella samordningsansvaret borde ligga på en befintlig myndighet vars huvudsakliga ansvarsområde ligger nära det nu aktuella ansvarsområdet. I valet mellan Finansinspektionen och Riksbanken konstaterades i rapporten att båda myndigheterna har som delvis likalydande mål att främja det finansiella systemets stabilitet och effektivitet. Finansinspektionen har till uppgift att utöva tillsyn över aktörerna i det finansiella systemet, medan Riksbanken har tolkat sitt uppdrag i detta avseende som att övervaka de stora bankerna och infrastrukturföretagen. I rapporten anges att Riksbankens uppdrag är ett övergripande ansvar för en av det finansiella systemets funktioner, nämligen betalningsförmedlingen. Finansinspektionens ansvar anges vara att övervaka de finansiella företagen och hela deras verksamhet, där betalningsförmedling endast är en av flera verksamheter. Vid en samlad bedömning angavs Riksbanken som lämpligast att ges det nationella samordningsansvaret.4
SKRIB-rapporten har remissbehandlats och en tydlig majoritet av remissinstanserna ställde sig bakom förslaget i denna del. Utredningen instämmer i bedömningen och föreslår ingen ändring i detta avseende.
Det kan konstateras att valet av Riksbanken som ansvarig för den nationella samordningen av krisberedskapsåtgärder för det centrala betalningssystemet innebär att ansvaret inte kommer att ligga på en myndighet under regeringen. Regeringen har följaktligen inte möjlighet att styra arbetet i myndigheten, vilket skulle kunna innebära en att samordningsproblem i förhållande till det övriga krisberedskapsarbetet i samhället, vilket också berörs i SKRIBrapporten.
I utredningens författningsförslag får dock Riksbanken en skyldighet att hålla regeringen informerad vid allvarliga störningar i det centrala betalningssystemet och att förse de närmast berörda myndigheterna under regeringen med information. Dessa skyldigheter för Riksbanken syftar till att skapa förutsättningar för att en tillfredställande samordning ska kunna ske.
Det faktum att det nationella samordningsansvaret läggs på Riksbanken bör dock inte rubba det krisberedskapsansvar som Finansinspektionen har för övriga delar av den finansiella sektorn. Det bör inte heller förändra det tillsynsansvar som Finansinspektionen har för aktörerna i det finansiella systemet.
4 Fi 2010/1619, s. 67 ff.
Om man lägger det nationella samordningsansvaret för det centrala betalningssystemet på Riksbanken delas krisberedskapsansvaret för den finansiella sektorn mellan två myndigheter. Detta kan ge upphov till oklarheter i ansvarsfördelningen mellan myndigheterna både vad gäller krisberedskapsuppgifterna och i förhållande till Finansinspektionens tillsynsuppgifter. Ett exempel på detta är risk- och sårbarhetsanalyserna. Inrättandet av ett nationellt samordningsansvar för det centrala betalningssystemet medför att två risk- och sårbarhetsanalyser måste upprättas för den finansiella sektorn. Detta medför risk för dubbelarbete. Det är därför angeläget att myndigheterna – Riksbanken och Finansinspektionen – har ett nära samarbete och noga samordnar sitt arbete.
Allmänt kan konstateras att det stora antalet privata aktörer inom den finansiella sektorn medför att det är särskilt angeläget att precisera gränssnitten mellan myndigheterna om krisberedskapsansvaret delas mellan Riksbanken och Finansinspektionen på det sätt som har föreslagits ovan. Oklarheter i gränsdragningen mellan myndigheterna kan medföra att de privata aktörernas engagemang i krisberedskapsfrågorna minskar. Samma effekt kan uppstå om berörda myndigheter inte förmår att i tillräcklig utsträckning samordna sin uppgiftsinhämtning från den privata sektorn.
Utredningen är medveten om de starka beroenden som finns mellan olika delar av den finansiella verksamheten. Om det skulle visa sig att den föreslagna ansvarsfördelningen medför dubbelarbete och kompetenstvister mellan myndigheterna eller om det blir svårt att klargöra ansvarsfördelningen mellan myndigheterna för sektorns privata aktörer får principen prövas på nytt. Utredningens bedömning är ändå att dubbelarbete och kompetenstvister ska kunna undvikas genom den föreslagna ansvarsfördelningen mellan Riksbanken och Finansinspektionen.
En väsentlig förutsättning för att ansvarsfördelningen mellan Riksbanken och Finansinspektionen i krisberedskapsfrågor ska kunna klargöras är att Riksbankens ansvar strikt begränsas till att avse det centrala betalningssystemet och att en tydlig definition för vad som avses med detta system tas fram. Hur en sådan definition bör utformas framgår av utredningens författningsförslag. Finansinspektionen ska fortsatt ha krisberedskapsansvaret för den finansiella sektorn i övrigt.
Sammanfattningsvis bör följande principer gälla för ansvarsfördelningen mellan Riksbanken och Finansinspektionen om den
förra myndigheten tilldelas ett nationellt samordningsansvar avseende krisberedskapsåtgärder inom det centrala betalningssystemet:
1. Riksbankens samordningsansvar för krisberedskap ska avse det centrala betalningssystemet.
2. Finansinspektionen ska fortsatt ha krisberedskapsansvar för den finansiella sektorn i övrigt.
3. Riksbankens nationella samordningsansvar för det centrala betalningssystemet ska inte omfatta uppgifter som ingår i Finansinspektionens tillsynsansvar.
8. Behovet av lagreglering
I kapitel 5 klargörs att grundläggande säkerhetskrav (mål) för krisberedskapen i det centrala betalningssystemet bör upprättas, och i kapitel 7 anges att det nationella samordningsansvaret för krisberedskapen bör läggas på Riksbanken. I detta kapitel redogörs för i vilken form de grundläggande kraven och samordningsansvaret bör läggas fast.
8.1. Val av regleringsform
Grundläggande säkerhetskrav
Inledningsvis kan konstateras att de privata aktörer som för närvarande kan förväntas komma att ingå i det centrala betalningssystemet redan genom befintlig lagstiftning är skyldiga att säkerställa en god riskhantering i den egna verksamheten. En clearingorganisation ska t.ex. tillgodose de säkerhetskrav som är förenade med verksamheten och en deltagare i en clearingorganisation ska ha nödvändiga riskhanteringsrutiner och säkra tekniska system.1 För banker finns ett övergripande krav på att identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med.2 Detta innebär att en bank bl.a. ska säkerställa att de operativa riskerna inte medför att bankens förmåga att fullgöra sina förpliktelser äventyras.3 I vissa fall ställs krav på bankerna att upprätta kontinuitetsplaner.4
Dessa regler bedöms inte vara tillräckligt enhetliga och tydliga för att en effektiv styrning och uppföljning av krisberedskapen i det centrala betalningssystemet ska kunna ske. En uttrycklig reglering
120 kap. 1 § samt 21 kap. 1 § lagen (2007:528) om värdepappersmarknaden. 26 kap. 2 § första stycket lagen (2004:297) om bank- och finansieringsrörelse. 36 kap. 2 § andra stycket lagen (2004:297) om bank- och finansieringsrörelse. 4 30 kap. 2 § 3 Finansinspektionens föreskrifter och allmänna råd om kapitaltäckning och stora exponeringar (FFFS 2007:1).
av de grundläggande säkerhetskraven som är tillämplig på samtliga aktörer i det centrala betalningssystemet bedöms därför motiverad.
I kapitel 5 anges att de grundläggande säkerhetskrav som ska gälla bör formuleras som en kombination av funktionskrav på det centrala betalningssystemet och krav på de tekniska system som det centrala betalningssystemet är beroende av. Ett syfte med att formulera funktionskrav är att dessa är kvantifierbara, vilket skapar förutsättningar för en förbättrad möjlighet till uppföljning och styrning.
Riksrevisionen pekade i sin revisionsrapport på bristen på möjlighet till uppföljning och styrning av aktörerna i det centrala betalningssystemet som en brist i den nuvarande ordningen. För att i praktiken förbättra denna uppföljning och styrning och därmed uppnå en förhöjd krisberedskap på området är det nödvändigt att regleringen sker genom föreskrifter. Att förlita sig på att en förstärkt krisberedskap uppnås genom civilrättsliga avtal mellan det centrala betalningssystemets aktörer är inte lämpligt.
För det fall inga åtgärder vidtas på området skulle dagens otydliga ansvarsfördelning bestå och statens förmåga att hantera en allvarlig kris i det centrala betalningssystemet riskera att vara otillfredsställande. I händelse av en sådan allvarlig kris skulle en otillfredsställande krisberedskap kunna medföra stora samhällsekonomiska kostnader.
Det nationella samordningsansvaret
I kapitel 7 görs bedömningen att det nationella samordningsansvaret för krisberedskap inom det centrala betalningssystemet bör ligga på Riksbanken. Mot bakgrund av att Riksbanken är en myndighet direkt under riksdagen saknas möjlighet för regeringen att genom förordning reglera det nya ansvar som föreslås läggas på Riksbanken. Av 9 kap. 13 § fjärde stycket regeringsformen följer att bestämmelser om Riksbankens verksamhet meddelas i lag.
Av Riksbankens konstitutionella ställning samt vad som ovan redovisats avseende syftet med de grundläggande säkerhetskraven följer således att den i utredningen föreslagna ordningen bör regleras i lag.
8.2. Författningsförslagets struktur
Tillägg till riksbankslagen
Med hänsyn till slutsatsen att det nya samordningsansvaret bör regleras i lag, blir en första fråga att ta ställning till i vilken utsträckning en sådan ordning skulle kunna inrymmas inom den befintliga lagstiftning som i dag reglerar Riksbankens uppgifter.
Av lagen (1988:1385) om Sveriges riksbank (”riksbankslagen”) följer att Riksbanken har ansvar för penningpolitiken och att målet för Riksbankens verksamhet ska vara att upprätthålla ett fast penningvärde. Riksbanken ska också främja ett säkert och effektivt betalningsväsende.5
Den närmare innebörden av begreppet betalningsväsende är inte beskriven i lagtexten. Klart är dock att Riksbanken har ett ansvar för kontantförsörjningen.6 Riksbanken får även tillhandahålla ett system för avveckling av betalningar och på annat sätt medverka i betalningsavveckling.7
Riksbanken har givit uttrycket främja ett säkert och effektivt betalningsväsende en vid innebörd och anser att Riksbanken härigenom har fått ett ansvar för att främja stabiliteten i det finansiella systemet.8
Ett samordningsansvar för krisberedskapen inom det centrala betalningssystemet kan mot bakgrund av denna tolkning anses rymmas inom Riksbankens befintliga uppdrag enligt riksbankslagen. Riksbankens arbete är dock i praktiken till stor del inriktat på att säkra bankernas och infrastrukturens finansiella stabilitet. Ett tillägg i riksbankslagen, med syfte att uttryckligen ange att ansvaret för den nationella samordningen av krisberedskapen för det centrala betalningssystemet tillkommer Riksbanken, bör därför göras.
Ny fristående lag
Utöver det ovan föreslagna tillägget i riksbankslagen avseende Riksbankens nya uppgift, finns ett behov av att mer utförligt reglera innehållet i den föreslagna ordningen. Denna reglering skulle kunna göras i anslutning till befintlig lagstiftning, t.ex. i form av ett nytt
5 1 kap. 2 § riksbankslagen. 69 kap. 14 § regeringsformen och 5 kap. 3 § riksbankslagen. 7 6 kap. 7 § riksbankslagen. 8 Se t.ex. Riksbanken och finansiell stabilitet 2010, s. 3.
kapitel i riksbankslagen. Med hänsyn bl.a. till att regleringen i stora delar riktar sig till samtliga aktörer i det centrala betalningssystemet och inte uteslutande till Riksbanken föreslås dock att den nya regleringen anges i en ny, fristående lag.
Den föreslagna lagen bör innehålla de grundläggande principerna för Riksbankens samordningsansvar samt principerna för de grundläggande krav som är rimliga att sätta upp för krisberedskapen i det centrala betalningssystemet. Lagen bör även innehålla bemyndiganden för Riksbanken att meddela närmare föreskrifter för vissa delar av lagens tillämpning.
8.3. Närmare om innehållet i författningsförslaget
8.3.1. Definitionen av det centrala betalningssystemet
I SKRIB-rapporten definierades det centrala betalningssystemet som den del av betalningssystemet som måste fungera för att de grundläggande finansiella tjänsterna i samhället ska kunna tillhandahållas. SKRIB-rapportens författningsförslag innehöll dock ingen definition av begreppet, vilket kritiserades av ett antal remissinstanser.
Av genomgången i kapitel 4 följer att det centrala betalningssystemet kan beskrivas som ett antal delsystem. För respektive delsystem finns alltid en huvudman, som således blir den aktör som omfattas av den här föreslagna lagens tillämpningsområde. Att i lagen ange vilka dessa aktörer är bedöms inte lämpligt mot bakgrund av att dessa kan förväntas förändras över tid.
Avgörande för gränserna för det centrala betalningssystemet är den funktion det centrala betalningssystemet har att fullgöra. I utredningens författningsförslag har därför införts en definition av begreppet som tar sikte på det centrala betalningssystemets samhällsviktighet. Denna definition syftar till att förtydliga vilka kriterier som ska gälla vid Riksbankens bedömning av vilka aktörer som ska anses ingå i det centrala betalningssystemet. Avgörande för bedömningen är således den funktion i ett samhällsperspektiv i det nationella betalningssystemet som den aktuella verksamheten kan anses ha.
Inom den finansiella krishanteringen är kriteriet systemviktig ett vanligt förekommande begrepp, dvs. en aktör vars verksamhet riskerar att allvarligt påverka funktionen i hela det finansiella
systemet.9 På liknande sätt kan en störning i verksamheten hos en aktör i det centrala betalningssystemet förväntas leda till att systemet i dess helhet påverkas.
Den föreslagna definitionen av det centrala betalningssystemet knyter an till det förslag till definition av samhällsviktig verksamhet som tagits fram av Myndigheten för samhällsskydd och beredskap.10Den bedöms mot denna bakgrund vara väl förenlig med krisberedskapsarbetet i samhället i övrigt.
Svenska Bankföreningen har i sitt remissyttrande över SKRIBrapporten kritiserat avsaknaden av en legal definition av begreppet det centrala betalningssystemet och föreslagit att det bör övervägas om det i lagtext i andra sammanhang tidigare använda begreppet generellt betalsystem skulle kunna tjäna som utgångspunkt i detta sammanhang.
Avgörande för hur begreppet det centrala betalningssystemet ska definieras är i denna utredning den samhällsfunktion som respektive aktör fyller. Det befintliga begreppet generellt betalsystem, som har preciserats genom tolkning av Finansinspektionen, har en delvis annan betydelse och bedöms inte vara lämpligt att använda som utgångspunkt för en definition i denna utrednings författningsförslag.
8.3.2. Lagens syfte
Den föreslagna lagen syftar i första hand till att förebygga uppkomsten av allvarliga fel, störningar eller avbrott i det centrala betalningssystemet. Vad som avses med allvarliga fel, störningar eller avbrott definieras inte i lagen, utan är ett begrepp vars närmare innehåll får tolkas av Riksbanken i dess roll som samordnande myndighet och Finansinspektionen i sin tillsyn över aktörerna.
För det fall en krissituation trots förebyggande åtgärder ändå uppstår syftar lagen i andra hand till att en tillfredsställande funktion i det centrala betalningssystemet ska kunna upprätthållas och att följderna av den uppkomna situationen elimineras eller begränsas. Lagtexten innehåller även en precisering vad gäller clearing och avveckling av transaktionerna i det centrala betalningssystemet, i
9 Se t.ex. prop. 2008/09:61, s. 48. 10 Ett fungerande samhälle i en föränderlig värld – Nationell strategi för skydd av samhällsviktig verksamhet, från www.msb.se.
syfte att särskilt betona kärnfunktionen i det centrala betalningssystemet.
8.3.3. Lagens krav på aktörerna i det centrala betalningssystemet
I lagen anges att aktörerna i det centrala betalningssystemet ska vidta tillräckliga åtgärder för att förebygga och hantera allvarliga störningar. Detta grundläggande krav förtydligas sedan i lagen till att omfatta ett krav på förmåga att kunna fullgöra uppgifterna i det centrala betalningssystemet även vid väsentlig påverkan på externa faktorer som t.ex. elförsörjning, elektronisk kommunikation och annan teknisk infrastruktur. Härigenom säkerställs att det i princip inte råder någon möjlighet för aktörerna i det centrala betalningssystemet att undvika ansvar genom att peka på brister i någon annans verksamhet. En särskild roll här utgörs av Society for Worldwide Interbank Financial Telecommunications (SWIFT) som är ett system som finansiella institut använder för att skicka betalningsmeddelanden mellan varandra och till och från betalningssystemets infrastruktur.
Vidare innehåller lagen ett krav på att samtliga aktörer i det centrala betalningssystemet ska bistå varandra när en kris uppstår hos någon av dem. Ett sådant ansvar att samarbeta följer för myndigheterna redan bl.a. av förvaltningslagens bestämmelser, men för de privata aktörer som omfattas av lagen är bestämmelsen nödvändig.11
För att uttryckligen betona betydelsen av tekniska lösningar och system har en särskild bestämmelse med krav på utformning och handhavande tagits in i lagen. Krisberedskapen hos den enskilde aktören kan i praktiken i mycket hög utsträckning förväntas vara avhängig t.ex. fungerande IT-infrastruktur.
Utöver bemyndigandet för Riksbanken att meddela föreskrifter om vilka aktörer som ska anses ingå i det centrala betalningssystemet har i lagen även införts ett bemyndigande för Riksbanken att meddela föreskrifter om vilka förebyggande och förberedande åtgärder som ska vidtas av aktörerna i det centrala betalningssystemet. Riksbanken ges därtill en möjlighet att besluta i enskilda fall om att sådana åtgärder ska vidtas av en enskild aktör i det centrala
116 § förvaltningslagen (1986:223).
betalningssystemet. Sådana beslut förväntas dock endast meddelas undantagsvis, när andra åtgärder bedöms otillräckliga.
Ett antal olika åtgärder kan komma att bli aktuella för att åstadkomma en hög säkerhet inom det centrala betalningssystemet. Det är dock mindre lämpligt att i lagstiftningen närmare precisera vilka förberedande och förebyggande åtgärder som ska vidtas. Behoven kan förändras över tiden och det är en uppgift för Riksbanken att genom föreskrifter precisera vilka förberedande och förebyggande åtgärder som bedöms nödvändiga.
8.3.4. Förhållandet mellan Riksbanken och Finansinspektionen
I avsnitt 7.5 anges att det nya ansvar som föreslås placeras på Riksbanken inte ska påverka Finansinspektionens tillsynsansvar över de företag som myndigheten i dag utövar tillsyn över. I och med att Riksbanken föreslås ges ett bemyndigande att utfärda föreskrifter, vars efterlevnad blir en fråga för Finansinspektionen att hantera i tillsynsarbetet kommer dock inspektionen indirekt att påverkas av den föreslagna ordningen.12
Inte heller Finansinspektionens ansvar för krisberedskapen i det finansiella systemet påverkas direkt av Riksbankens föreslagna krisberedskapsansvar för det centrala betalningssystemet. Som anges i kapitel 5 kommer den föreslagna ordningen emellertid medföra ett behov av ett nära samarbete mellan Finansinspektionen och Riksbanken.
Redan i dag finns ett väl utvecklat samarbete mellan dessa myndigheter i olika frågor. Vad avser finansiella kriser finns också en överenskommelse mellan myndigheterna från 2009 om bl.a. samråd, informationsutbyte och informationsinhämtning.13 I överenskommelsen anges att myndigheterna ska ha rutiner som möjliggör för den andra parten att på ett enkelt sätt få uppgift om vilken information som myndigheten besitter. Myndigheterna åtar sig att samarbeta för att samordna insamlandet av data av snarlikt innehåll. Ett liknande samarbete torde kunna förutses även vid ickefinansiella kriser och den nya ordning som föreslås i denna
12 Finansinspektionens tillsynsansvar följer av 13 kap. 2 § lagen (2004:297) om bank- och finansieringsrörelse samt 23 kap. 1 § lagen (2007:528) om värdepappersmarknaden. 13 Överenskommelse mellan Regeringskansliet (Finansdepartementet), Sveriges riksbank, Finansinspektionen och Riksgäldskontoret för samarbete om finansiell stabilitet och krishantering, del II Särskilt om samarbete och informationsutbyte mellan Finansinspektionen och Riksbanken, maj 2009.
utredning bedöms därför inte innebära något behov av ytterligare lagstiftning i detta avseende.
Det kan i detta sammanhang pekas på att riksbankslagen redan i dag ger Riksbanken en rätt att från de företag som står under Finansinspektionens tillsyn begära in uppgifter som Riksbanken anser nödvändiga för att bl.a. övervaka betalningssystemets stabilitet.14
I utredningen föreslås att Riksbanken inom ramen för sitt samordningsansvar ska upprätta en risk- och sårbarhetsanalys för krisberedskapen i det centrala betalningssystemet. Som påtalas i kapitel 5 kommer detta innebära att två risk- och sårbarhetsanalyser kommer att upprättas för olika delar av det finansiella systemet. Finansinspektionens kommer även fortsättningsvis, med utgångspunkt i tillsynen över de individuella aktörerna, täcka in hela det finansiella systemets krisberedskap medan Riksbankens enbart tar sikte på krisberedskapen i det centrala betalningssystemet.
Myndigheternas krisberedskapsorganisation regleras i krisberedskapsförordningen. Förordningen gäller, med vissa undantag, för statliga myndigheter under regeringen och således inte Riksbanken. Ett utpekat krisberedskapsansvar för Riksbanken avseende det centrala betalningssystemet skulle därmed riskera att krisberedskapen inom detta område skulle komma att regleras på ett sätt som avviker från övriga delar av samhällets krisberedskap. En sådan ordning skulle riskera att leda till att krisberedskapsorganisationen i samhället blir splittrad.
I syfte att motverka en sådan splittring och istället integrera Riksbankens krisberedskapsansvar i det övriga krisberedskapsarbetets struktur gör utredningen bedömningen att vissa centrala delar av innehållet i krisberedskapsförordningen ska komma till uttryck i författningsförslaget. Den föreslagna ordningen innebär inte att ansvaret för de myndigheter som omfattas av krisberedskapsförordningen påverkas.
Det kan i detta sammanhang noteras att Riksgäldskontoret är en myndighet under regeringen som kan förväntas komma att ingå i det centrala betalningssystemet. Tillsynen över Riksgäldskontorets verksamhet sker i enlighet med vad som gäller för myndigheter under regeringen. Myndighetens efterlevnad av Riksbankens föreskrifter som kan komma att meddelas med stöd av utredningens
14 6 kap. 9 § första stycket riksbankslagen.
författningsförslag kommer därför inte bli föremål för Finansinspektionens tillsyn.
Enligt förslaget ska således Riksbanken, med beaktande av ansvarsprincipens tillämpning hos de berörda aktörerna, omedelbart kunna upprätta en krisledningsfunktion avseende samordning och information. Riksbankens krisledning ska således inte innefatta ett övertagande av ansvar från en annan aktör i det centrala betalningssystemet för det fall en krissituation uppstår. Däremot får Riksbanken ett ansvar att leda samordningen mellan aktörerna i en sådan situation. I avsnitt 7.4 förtydligas innehållet i denna krisledningsfunktion ytterligare.
Riksbanken föreslås i lagen även ges ett särskilt ansvar för krisberedskapen i princip i enlighet med 11 § i krisberedskapsförordningen. Denna ordning syftar till att säkerställa att Riksbanken får ett heltäckande ansvar för krisberedskapen, inklusive t.ex. krav på samverkan med berörda intressenter och beaktande av samarbete inom Europeiska unionen och övriga internationella forum på området.
Vidare har från krisberedskapsförordningen utelämnats uttryckliga krav på genomförande av utbildning och övning av personal samt funktionen med tjänsteman i beredskap. Riksbanken genomför redan i dag övningar av egen personal och i samverkan med övriga berörda aktörer inom det centrala betalningssystemet. Att Riksbanken ska ha en funktion motsvarande tjänsteman i beredskap för det aktuella ansvarsområdet samt bedriva utbildning och övningsverksamhet är naturligt med hänsyn till de höga säkerhetskrav som gäller för området. En sådan organisation finns också redan i dag på plats. Att i författningsförslaget föra in dessa bestämmelser med tämligen hög detaljeringsgrad har inte bedömts motiverat, även om det finns goda skäl för Riksbanken att tillse att man även fortsättningsvis lever upp till dessa krav.
8.3.5. Sanktioner
Det författningsförslag som presenteras inom denna utredning innehåller inte några bestämmelser om påföljder för de aktörer som inte rättar sig efter de föreskrifter eller beslut på området som Riksbanken bemyndigas att meddela. Statskontoret påtalade i sitt remissyttrande över SKRIB-rapporten att sådana bestämmelser borde övervägas.
Eftersom samtliga aktörer som kan komma att bli aktuella att pekas ut av Riksbanken att omfattas av lagen, med undantag av Riksbanken och Riksgäldskontoret, redan i dag har ett generellt krav på lagenlighet i den befintliga rörelseregleringen har det inte bedömts motiverat att i författningsförslaget ta in uttryckliga bestämmelser rörande sanktioner.15 Ett sådant alternativ skulle vara att ge Riksbanken möjlighet att utfärda t.ex. förelägganden i kombination med vite, som riksbankslagen i och för sig ger utrymme för.16 Eventuella brister i de privata aktörernas efterlevnad av lagens bestämmelser eller de föreskrifter som Riksbanken meddelar med stöd härav kan på ett tillfredsställande sätt omhändertas genom Finansinspektionens tillsyn och sanktionsmöjligheter. Som tidigare angivits kommer den föreslagna ordningen förutsätta ett nära samarbete mellan Riksbanken och Finansinspektionen.
Ansvaret för de statliga myndigheter som kan förväntas ingå i det centrala betalningssystemet regleras i annan ordning.
8.3.6. Samordningsavgift
För att finansiera det samordningsansvar som beskrivits i utredningen föreslås Riksbanken ges möjlighet att avgiftsbelägga aktörerna i det centrala betalningssystemet. Riksbanken har i sitt remissyttrande över SKRIB-rapporten angivit att banken normalt finansierar verksamheten genom de vinster den egna verksamheten genererar, men att det bör finnas en möjlighet att avgiftsfinansiera arbetet som nationell samordnare av krisberedskapen. Uttag av avgifter i någon större skala bedöms som mindre sannolikt.
8.3.7. Överklagande av Riksbankens beslut
För överklagande av beslut av Riksbanken gäller, om inte annat särskilt reglerats, vad som följer av lagen (1989:186) om överklagande av administrativa beslut av Riksdagsförvaltningen och riksdagens myndigheter. Lagen saknar bestämmelser som skulle ge rätt att överklaga för den som blivit föremål för ett beslut av Riksbanken enligt det författningsförslag som utredningen presenterar.
1525 kap. 1 § lagen (2007:528) om värdepappersmarknaden och 15 kap. 1 § lagen (2004:297) om bank- och finansieringsrörelse. 16 11 kap. 2 a § riksbankslagen.
Med hänsyn till att de beslut i enskilda fall som kan komma att bli aktuella inte kan anses obetydligt ingripande talar rättsäkerhetsskäl för att dessa beslut ska kunna bli föremål för överprövning. Författningsförslaget innehåller därför en möjlighet att överklaga Riksbankens beslut om förebyggande och förberedande åtgärder till förvaltningsrätten.
Eftersom det kan vara avgörande ur krisberedskapsperspektiv att besluten kan verkställas omgående ska Riksbankens beslut som huvudregel gälla omedelbart, dvs. oavsett om de överklagas eller ej.
8.3.8. Sekretessfrågor
Den kan förväntas att aktörerna i det centrala betalningssystemet kan komma att behöva lämna information om sina ekonomiska förhållanden till såväl Finansinspektionen som Riksbanken med anledning av den föreslagna lagen. För att dessa uppgifter ska kunna omfattas av sekretess i myndigheternas verksamhet krävs att ett tillägg görs i 30 kap. 6 § offentlighets- och sekretesslagen (2009:400).
Det nära samarbetet mellan Riksbanken och Finansinspektionen som kommer att krävas för att det nya ansvaret för Riksbanken ska kunna få effekt i praktiken är redan i dag till stora delar uppfyllt. Det finns för Riksbanken en uppgiftsskyldighet gentemot Finansinspektionen för uppgifter i viktigare frågor som har samband med betalningssystemets stabilitet eller berör Finansinspektionens tillsynsverksamhet.17 Ett förtydligande i denna del med anledning av den ordning som föreslås i utredningen bedöms inte nödvändig. För Finansinspektionens del regleras motsvarande gentemot Riksbanken i Finansinspektionens instruktion.18 Ett effektivt utbyte av uppgifter bedöms kunna uppnås med stöd av den befintliga regleringen i detta avseende. Vidare ger författningsförslaget Riksbanken en skyldighet att förse Myndigheten för samhällsskydd och beredskap samt Regeringskansliet med den information som behövs för att beskriva beredskapsläget och möjliggöra samlade lägesbilder. Dessa uppgifter kan förväntas vara känsliga och som beskrivits ovan möjliggörs genom ändringen i offentlighets- och sekretesslagen att uppgifterna kan omfattas av sekretess i Riksbanken. Uppgifterna måste även kunna ges ett erforderligt skydd hos MSB och Regeringskansliet.
17 4 kap. 3 § riksbankslagen. 187 § förordningen (2009:93) med instruktion för Finansinspektionen.
Enligt 18 kap. 13 § offentlighets- och sekretesslagen gäller sekretess för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana situationer, om det kan antas att det allmännas möjlighet att förebygga och hantera fredstida kriser motverkas om uppgiften röjs. Sekretess gäller således endast om det allmänna intresset av krishantering kan antas påverkas. Något skydd för enskildas intressen uppnås inte genom denna bestämmelse. Mot bakgrund av att Riksbanken endast kan förutses lämna information av tämligen övergripande karaktär bedöms den aktuella bestämmelsen dock ge ett tillräckligt skydd.
9. Informationssäkerhet
9.1. Bakgrund
Med begreppet informationssäkerhet avses vanligen säkerhet beträffande informationstillgångar med avseende på förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet samt spårbarhet. Informationssäkerhet handlar om att säkra informationstillgångar, nätverk och dess information, i syfte att skydda olika värden såsom nationell och internationell säkerhet, ekonomisk tillväxt och personlig integritet.
Begreppet innefattar både organisatorisk styrning med stöd av bl.a. riskanalyser och informationsklassning samt de tekniska skyddsåtgärder som vidtas utifrån de behov som identifierats. De risker i informationssäkerhet som finns i det centrala betalningssystemet beror dels på förekomsten av sårbarhet i systemen, dels på förekomsten av antagonistiska eller andra hot mot systemen. Hoten kan vara av såväl intern som extern karaktär.
Enligt MSB och Försvarets radioanstalt (FRA) har det under de senaste åren skett en markant ökning av antalet IT-angrepp gentemot alla nivåer och funktioner i samhället.1 Exempel på tillvägagångssätt är dataintrång, bedrägerier och spridning av skadlig kod. Alltfler IT-angrepp kommer från resursstarka och kunniga aktörer som har uttalade mål och syften med sina angrepp. Dessa blir alltmer sofistikerade och riktade och samhällets sårbarheter utnyttjas på ett systematiskt sätt av antagonistiska aktörer. Bakomliggande aktörer kan utgöras av enskilda individer, men också av organiserad brottslighet, terrorister och statsmakter. Den finansiella sektorn är ett naturligt mål för olika typer av angrepp då verksamheten hanterar stora värden.
De delsystem som utgör det centrala betalningssystemet är komplexa och i stor utsträckning integrerade med varandra. Det ömsesidiga beroendet är stort. Det medför att det är svårt att vara
1 Se t.ex. Utformning av ett tekniskt detekterings- och varningssystem för samhällsviktig verksamhet och kritisk infrastruktur, FRA 03200:3419/10:11, s. 3.
helt oberoende i arbetet med informationssäkerhet. Alla är beroende av leverantörer, program, kommunikationer och av övriga aktörer i respektive system, till följd av verksamhetens karaktär. Vissa funktioner utförs i andra länder. Det påverkar i hög grad förutsättningarna för arbetet med informationssäkerhet. Olika aktörer måste samverka för att uppnå en tillfredsställande säkerhetsnivå.
Ofta framhålls också att informationssäkerhet inte enbart handlar om att hantera risker och hot. En god informationssäkerhet skapar också bättre förutsättningar för förtroende och möjliggör ett bättre utnyttjande av informationsteknikens potential. Det bidrar till god etik genom att förhindra otillbörlig åtkomst av information och värden.
Post- och telestyrelsen (PTS) har under 2011 publicerat en vägledning för användare vid anskaffning av robust elektronisk kommunikation.2 Med robusthet menas i detta sammanhang förmågan att motstå störningar och avbrott samt förmågan att minimera konsekvenserna om de ändå inträffar. Syftet är att ge stöd till myndigheter, företag och andra som anskaffar elektroniska kommunikationstjänster. Vägledningen ger råd för att vid upphandling kunna ställa relevanta krav på tillgänglighet i avtal med berörda leverantörer.
Förutom avtal om krav på tillgänglighet och åtgärdstid, bör enligt PTS avtalen även omfatta krav på information från operatörer vid bl.a. störningar. PTS betonar också att vid användning av molntjänster är det viktigt att klargöra såväl prestanda och tillgänglighet som hur konfidentiell och hemlig information skyddas. Rapporten är med kontinuerlig uppdatering ett värdefullt verktyg vid anskaffning av tjänster för elektronisk kommunikation.
Det har inte varit en uppgift för utredningen att utföra en djupare värdering av informationssäkerheten. Den redovisning av nuläget som ges i rapporten Fi 2010/1619 gör det inte möjligt att bedöma på vilken nivå som informationssäkerhetsarbetet i dag befinner sig på hos aktörerna i det centrala betalningssystemet. Mot bakgrund av sårbarheten och de hot som finns mot säkerheten i centrala betalningssystemet vill utredningen lyfta fram två typer av åtgärder som bedöms angelägna för att såväl internt som externt möjliggöra en kontinuerligt hög säkerhetsnivå och en ökad förmåga att snabbt reagera på incidenter och störningar av olika slag som kan utgöra hot mot verksamheten.
2 Robust elektronisk kommunikation – vägledning för användare vid anskaffning, PTS-ER-2011:16.
9.2. Systematiskt säkerhetsarbete med stöd av ISO 27000
Riksbanken som ansvarig nationell samordnare bör föreskriva att aktörerna i det centrala betalningssystemet ska bedriva ett systematiskt informationssäkerhetsarbete utformat efter de senast gällande nationella och internationella standarderna ISO/IEC 27001 och 27002.
Den enskilt mest vitala faktorn för att upprätthålla funktionerna i det centrala betalningssystemet är det utbyte av information som sker inom och mellan de deltagande aktörerna. Skyddet av informationen och de tekniska lösningar som används för att hantera informationen måste därför utformas så att det både förebygger att allvarliga störningar uppstår och att väsentliga funktioner kan upprätthållas även då en krissituation uppstått.
Informationssäkerheten måste också utformas så att den är tilllämplig i förhållande till olika typer av risker och hotbilder. Uppenbara hot kan vara avbrott i tillgängligheten, orsakad av exempelvis större avbrott i den nationella kraftförsörjningen, avbrott i det elektroniska kommunikationsnätet eller i andra infrastrukturella faktorer.
En lika relevant hotbild kan vara en tillitskris, t.ex. om det centrala betalningssystemet och dess avnämare förlorar förtroendet hos kunder och andra aktörer. En sådan situation kan uppstå om informationen i det centrala betalningssystemet inte längre kan förutsättas vara korrekt eller om den blivit tillgänglig för obehöriga.
För att få ett ändamålsenligt skydd krävs alltså inte bara robusthet definierat som tillgänglighet utan även skyddsåtgärder för konfidentialitet, riktighet och spårbarhet.
Krisberedskap förutsätter ett långsiktigt och systematiskt arbete med informationssäkerhet under normala förhållanden. Systematik ger möjlighet att hantera den dynamiska hotbilden och vidta rätt åtgärder vid olika typer av allvarliga störningar eller kriser.
Stödet för att genomföra ett systematiskt informationssäkerhetsarbete har för allt fler organisationer i världen blivit den internationella standardfamiljen för informationssäkerhet ISO 27000. I Sverige har MSB utfärdat en föreskrift där det stadgas att statliga myndigheter ska tillämpa ett ledningssystem för informationssäkerhet vilket bl.a. innebär att varje myndighet ska upprätta en policy
och andra styrande dokument för informationssäkerhet.3 Dessutom innebär föreskriften att myndigheternas arbete med informationssäkerhet ska bedrivas i former som följer ISO/IEC 27001 och 27002.
Riksbanken som ansvarig nationell samordnare bör enligt utredningen föreskriva att aktörerna i det centrala betalningssystemet ska bedriva ett systematiskt informationssäkerhetsarbete utformat efter de senast gällande nationella och internationella standarderna ISO/IES 27001 och 27002. Utredningen förutsätter att föreskriftsarbetet i denna del sker efter samråd med MSB.
ISO 27000-serien ger ett välstrukturerat arbetssätt vad gäller den interna kontrollen över informationssäkerheten. Standarderna är utvecklade under 2000-talet på internationell nivå. De bedöms som kostnadseffektiva.
Effekten av föreskriften har ännu ej utvärderats på ett mer genomgripande sätt. Intrycket är dock att föreskriften inneburit ett stöd för en förbättrad informationssäkerhet inom myndighetssfären. Även om föreskriften enbart gäller statliga myndigheter har synsättet en motsvarighet inom andra samhällsområden. Inom exempelvis vård och omsorg har Socialstyrelsen utfärdat föreskrifter med liknande innehåll.4 Inom den finansiella sektorn har Finansinspektionen gett ut ett allmänt råd om intern kontroll i finansiella institut.5
I en kritisk situation för det centrala betalningssystemet krävs ett friktionsfritt samarbete mellan flera, ibland ett stort antal aktörer. Ur denna aspekt skulle gemensamma begrepp och metoder underlätta samordning om allvarliga störningar skulle uppstå. Utredningen bedömer det lämpligt att i föreskrift ange att ett systematiskt informationssäkerhetsarbete ska bedrivas av det centrala betalningssystemets aktörer enligt de nationella och internationella standarderna ISO/IEC 27001 och 27002. Det innebär bl.a. ledningssystem hos varje aktör, i enlighet med ansvarsprincipen, med klart definierade ansvar och roller för informationssäkerhet, systematiskt arbete med riskanalyser och informationsklassning.
Eftersom grundtanken i ISO/IEC 27001 och 27002 är att ledningssystemet ska anpassas efter organisationens interna och externa krav på informationssäkerhet bedöms inte konsekvenser i form av
3 MSBFS 2009:10. 4 SOSFS 2008:14, Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården. 5 FFFS 2005:1, Allmänna råd om styrning och kontroll av finansiella företag.
krav på resurser bli stora för de berörda aktörerna. Denna bedömning stärks av att ett flertal av de krav som ställs ur ett informationssäkerhetsperspektiv redan formulerats i andra externa kravställningar inom bank- och finanssektorn, som exempelvis BIS- och IOSCO-rekommendationerna och förslaget till CPSS/IOSCOrekommendation.6 Andra krav eller rekommendationer kan komma att utfärdas inom ramen för EU-medlemskapet. Det ankommer på Riksbanken att följa utvecklingen inom dessa organisationer.
9.3. Incidentrapportering till CERT-funktion
Utredningen föreslår en förstärkning av CERT-SE vid Myndigheten för samhällsskydd och beredskap med kompetens för incidenthantering rörande det centrala betalningssystemet.
I ett inledningsskede av ett säkerhetsintrång kan det generellt vara svårt att bedöma karaktären, syftet, omfattningen och ursprunget till det som sker. Det kan röra sig om virus eller trojaner av mera trivialt slag men också utgöra inslag i mera omfattande och allvarlig kriminell aktivitet, t.ex. ekonomisk brottslighet.
Erfarenheter från andra länder visar också att terrorism eller säkerhetspolitisk antagonism kan syfta till att lamslå ett samhälles funktionsförmåga genom IT-relaterade störningar eller angrepp.
Inga incidenter har inträffat som tyder på att en angripare med samordnade medel söker påverka svenska samhällskritiska system på bred front. Det behöver dock inte betyda att hotbilden inte existerar vare sig nu eller i framtiden. Centrala betalningssystemet kan inte uteslutas som mål för sådana angrepp.
Samhällsviktiga funktioner som centrala betalningssystemet ska så långt möjligt skyddas från störningar. Varje avbrott bör vara begränsat, sällan förekommande, hanterbart, isolerat och i så liten utsträckning som möjligt skadligt. Kraven på administrativ och teknisk informationssäkerhet måste därför ställas högt.
Syftet med IT-incidenthantering är att i realtid eller nära realtid medverka till att attacker mot datasystem avstyrs och upphör. Inci-
6 Core Principles for Systemically Important Payment Systems, Bank for Internationela Settlements, januari 2001, High-level principles for business continuity, Bank for International Settlements, augusti 2006 samt Principles for Financial Market Infrastructures, Final draft of the Consultative Report, Steering Group of the CPSS-IOSCO Review of Standards for Financial Market Infrastructures, 14 februari 2011.
dentstödet ska ha överblick och kunskaper om IT-hot och informationssäkerhet i ett helhetsperspektiv samt förmåga att kunna skilja okvalificerade och osystematiska intrångsförsök från kvalificerade och systematiska angrepp. Kvalificerad rådgivning ska kunna lämnas.
Det förutsätter att incidenthanteringsfunktionen skapar och upprätthåller kontakter på många områden, såväl nationellt som transnationellt. Medlemskap bör eftersträvas i de internationella nätverk som finns för incidenthantering och som sprider information och varningar om risker och sårbarheter, såsom FIRST (Forum of Incident Response and Security Teams) och TF-CSIRT (Task Force – Collaboration of Security Incident Response Teams). Incidenthantering måste bygga på snabb reaktion och tidskritisk rådgivning.
Incidenthanteringsfunktionen CERT-SE vid MSB var fram till år 2011 placerad vid Post- och telestyrelsen med namnet Sitic (Sveriges IT-incidentcentrum). Den har det övergripande ansvaret för att hantera och mildra effekter av IT-incidenter av alla slag i Sverige.
CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga IT-incidenter. Verksamheten är konkurrensneutral och riktar sig till såväl näringsliv som offentlig sektor. Bland de uppgifter incidenthanteringen bidrar med kan nämnas insamling och analys av data, rekommendationer kring återställande av system, rådgivning vid genomgång av rutiner och policyer, metodikstöd samt länkar till mer information.
CERT-SE är som stats-CSIRT medlem i FIRST och TF-CSIRT. Härav följer ett mandat att vara Sveriges nationella kontaktpunkt för CSIRT-ärenden. Många incidenter är transnationella till sin natur. Enligt instruktionen för Myndigheten för samhällsskydd och beredskap framgår att myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet och svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera IT-incidenter.7 I detta arbete ska MSB:
1. agera skyndsamt vid inträffade IT-incidenter genom att sprida
information samt vid behov arbeta med samordning av åtgärder
711 a § förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap.
och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade,
2. samverka med myndigheter med särskilda uppgifter inom infor-
mationssäkerhetsområdet, och
3. vara Sveriges kontaktpunkt gentemot motsvarande funktioner i
andra länder samt utveckla samarbetet och informationsutbytet med dessa.
MSB har tagit fram en nationell hanterandeplan för allvarliga incidenter. Av denna framgår att med allvarlig IT-incident avses en ITrelaterad händelse som avviker från det normala och
1. innebär en allvarlig störning i samhällsviktig verksamhet samt
2. kräver skyndsamma och samordnande insatser på nationell nivå.
Den nationella hanterandeplanen är interimistisk och ska utvecklas under 2012 innan den fastställs. Två av de centrala processerna i planen är att skapa en lägesbild över allvarliga IT-incidenter samt att arbeta med en nationell operativ samverkansfunktion (NOS) för att öka samarbetet mellan olika aktörer i händelse av en allvarlig IT-incident i samhället. NOS bygger på ansvarsprincipen, vilket innebär att ingen aktör som är involverad i NOS tar över en annan aktörs ansvar för att hantera en IT-incident. En viktig bas i den nationella operativa samverkansfunktionen är CERT-SE.
CERT-SE har utvecklat sin kompetens under snart ett decennium och har förmåga inom metod och de tekniker som finns i kärnan av en IT-incident. Det finns beredskap dygnet runt, alla dagar i veckan, 24/7/365. Bland de anställda finns tekniker med kompetens för rådgivning och för att lösa problem i samband med IT-incidenter.
Antalet anställda är ett drygt tiotal. Funktionen har inte djupkunskaper inom alla de verksamhetsområden som kan drabbas, utan fokuserar på de tekniker som orsakar problem eller används för att skapa hot.
Under en pågående IT-incident arbetar CERT-SE:s experter med den drabbade organisationens personal för att hantera situationen. De drabbade bistår själva med expertkunskap inom sitt verksamhetsområde. Vid behov tas kontakt med andra nationers CSIRT med djupare kunskaper inom ett givet verksamhetsområde.
I SKRIB-rapporten (Fi 2010/1619) föreslogs att Riksbanken som en följd av det föreslagna nationella samordningsansvaret även skulle få ansvar för att samordna IT-incidentrapporteringen inom det centrala betalningssystemet. Förslaget har i denna del avstyrkts av i stort sett alla remissinstanser, även av Riksbanken. Flera har påpekat att CERT-SE vore den mest naturliga basen för en förstärkt och samordnad incidenthantering för det centrala betalningssystemets aktörer.
I perspektivet av att det behövs ytterligare kapacitet för IT-incidenthantering inom ett område, finns det flera olika sätt att gå tillväga. En är att bredda en central CSIRT:s kunskaper inom området, en annan att inrätta en speciell CSIRT för området. Båda metoderna har för- och nackdelar, som kan exemplifieras med CERT-SE som den centrala CSIRT:en.
Att utöka CERT-SE:s kapacitet inom ett område som den finansiella sektorn innebär att utöka personalen med individer som har expertkunskaper om sektorn. Personerna bör ha goda kontaktnätverk inom området och helst ha arbetat inom flera olika verksamheter inom sektorn. CERT-SE:s kunskaper och kontakter kan förväntas öka direkt och effekterna är sannolikt omedelbara. På sikt blir dock personerna en del av CERT-SE och den kontinuerliga uppdateringen av kontakter och kunskaper om det centrala betalningssystemet kan rimligen komma att mattas en del.
Alla CSIRT med nationellt ansvar är vana vid att arbeta både som experter och som koordinatorer. CERT-SE skulle med förstärkta resurser kunna arbeta i båda rollerna även mot den finansiella sektorn.
Att inrätta en speciell CSIRT inom finansområdet kan vara ett sätt att bibehålla den mycket nära kontakten med sektorn. En sådan CSIRT kommer av naturliga skäl att vara mera specialiserad på de specifika system och problem som kan finnas inom det centrala betalningssystemet. Den kan dessutom få ett anpassat mandat för att bättre kunna följa övriga bestämmelser inom området. Det är faktorer som kan främja en öppen och förtroendeskapande kommunikation på ett positivt sätt. På den negativa sidan av en sådan konstruktion kan räknas in det betydande arbetet och kostnaderna för att etablera en ny CSIRT. En nackdel kan också bli att vissa incidenter kanske inte längre kommer till CERT-SE:s kännedom, dvs. bidrar inte till den övergripande lägesbilden.
Vilket av alternativen som föredras beror på behovet av en särskild funktion för det centrala betalningssystemet och vilka resurser man är beredd att avsätta för ändamålet.
En tänkbar utvecklingslinje för en CSIRT för det centrala betalningssystemet och möjligen också en större del av den finansiella sektorn skulle enligt utredningen kunna vara att initialt utöka CERT-SE med personal och kunskaper från det centrala betalningssystemet och samtidigt kunna utnyttja den tekniska kompetens som finns inom CERT-SE. I ett senare skede, om behov finns, bör det vara möjligt att inrätta en separat CSIRT för det centrala betalningssystemet eller en större del av den finansiella sektorn. Eftersom MSB är en samordnande myndighet utan sektorsansvar för krisberedskap, är det logiskt om en sektors-CSIRT för den finansiella sektorn senare upprättas utanför MSB, exempelvis inom Finansinspektionen.
En lösning med resursförstärkning inom ramen för CERT-SE skulle ge denna funktion möjligheter att öka sina kunskaper och kompetens inom det finansiella området och samtidigt bidra med värdefullt stöd till det centrala betalningssystemets aktörer. CERT-SE bör i så fall ha uppdraget att översiktligt rapportera till Riksbanken, Finansinspektionen och övriga aktörer inom det centrala betalningssystemet. I ett senare skede får bedömas behovet av att inrätta en särskild CSIRT för det centrala betalningssystemet eller en större del av den finansiella sektorn. En sådan bedömning kan exempelvis ske inom ramen för samarbetet i FSPOS.
Utredningen föreslår därför att den befintliga CERT-SE vid MSB initialt förstärks med tjänster som främst avdelas och rekryteras för att möjliggöra ett fördjupat engagemang i incidenthanteringen och rapporteringen inom det finansiella området. Omfattningen av och kostnaderna för en förstärkning bör värderas inom ramen för det ordinarie budgetarbetet.
SKRIB-rapportens förslag vad gäller IT-incidenthantering berörs i direktiven till denna utredning. Det konstateras att remissvaren ger vid handen att formerna för IT-incidenthanteringen bör övervägas. Mot bakgrund av att ett syfte med uppdraget till denna utredning är ”att ta fram ett utvecklat förslag avseende beredskap för och hantering av allvarliga avbrott och störningar i det centrala betalningssystemet, som kan ligga till grund för beslut av regering och riksdag” har utredningen valt att redovisa förslag i frågan.
10. Konsekvensanalys
10.1. Ekonomiska konsekvenser för staten
I rapporten Fi 2010/1619 bedömdes att de initiala kostnaderna för att bygga upp en funktion för det nationella samordningsansvaret skulle uppgå till cirka 2 miljoner kronor, samt att de löpande årliga kostnaderna skulle uppgå till cirka 5–10 miljoner kronor. Utredningen gör ingen annan bedömning av dessa förväntade kostnader.
Kostnaderna bedöms kunna finansieras inom ramen för de vinster som Riksbankens verksamhet genererar. Riksbanken ges dock en möjlighet att ta ut avgifter från de berörda aktörerna för att finansiera verksamheten med samordningsansvaret enligt utredningens förslag.
Med den föreslagna regleringen följer vidare en marginellt utökad omfattning av Finansinspektionens tillsynsarbete, som bedöms kunna hanteras inom befintliga anslag.
Möjligheten att överklaga vissa av Riksbankens beslut skulle kunna leda till ökade kostnader för domstolarna. Antalet överklagade beslut kan dock förväntas bli mycket begränsat med hänsyn till antalet aktörer som kommer att omfattas av regleringen.
Mot de ovan redovisade kostnaderna ska ställas effekten av ett stärkt ansvar för krisberedskapen inom det centrala betalningssystemet. I händelse av en allvarlig kris i detta system skulle mycket stora samhällsekonomiska kostnader riskera att uppstå.
10.2. Närmare om konsekvenserna av utredningens förslag
Betänkandet innehåller, i linje med kommittédirektiven, förslag till nya regler. Mot bakgrund av detta ska, enligt 15 a § kommittéförordningen (1998:1474), förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet.
Bakgrund
Som framgår av redovisningen i kapitel 3 utgör Riksrevisionens rapport Krisberedskap i betalningssystemet en viktig utgångspunkt för denna utredning. I rapporten konstaterades att statens förmåga att hantera en allvarlig kris i betalningssystemet är bristfällig samt att regeringen inte har skaffat sig en samlad bild av hot och störningar inom området. Vidare konstaterades i rapporten att ett utpekat övergripande ansvar för krisberedskapsansvaret inom området saknades. Under år 2010 bedrevs inom Regeringskansliet ett arbete som resulterade i en rapport (Fi 2010/1619) som har remitterats. Utredningens uppdrag är att vidareutveckla och ytterligare konkretisera de förslag som lämnas i rapporten avseende grundläggande säkerhetsnivåer och nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet. I uppdraget ingår att ta fram nödvändiga författningsförslag.
Den i utredningen föreslagna ordningen innebär i första hand att ansvarsfördelningen på området tydliggörs samt att förutsättningar för styrning och uppföljning skapas genom att funktionskrav för de berörda aktörerna föreslås införas. Dessa krav redogörs för i kapitel 5.
Alternativa lösningar
De brister i den nuvarande ordningen som beskrivits i Riksrevisionens rapport kan åtgärdas på olika sätt. Ett tänkbart alternativ är att genom informationsinsatser förtydliga samtliga berörda aktörers ansvar för krisberedskapen på området. Härigenom skulle en ökad medvetenhet uppnås till en mycket begränsad kostnad. Ett annat tänkbart alternativ är att genom ett frivilligt samarbete grundat på civilrättsliga avtal mellan samtliga berörda aktörer förtydliga ansvarsfördelningen. Gemensamt för båda dessa alternativ är att staten inte får någon tydlig möjlighet att styra aktörernas arbete med krisberedskapen på området. Ett tredje alternativ är att författningsreglera vilken myndighet som ska ha det övergripande krisberedskapsansvaret och samtidigt ange inriktningen för hur krisberedskapen bland de berörda aktörerna bör vara utformad. Härigenom uppnås en önskad tydlighet i ansvarsfördelningen samt ges möjlighet till styrning och uppföljning av aktörernas verksamhet. En sådan
reglering innebär dock en risk för ett mindre flexibelt samarbete på området och riskerar dessutom medföra ökade administrativa kostnader för den myndighet som ges det nationella samordningsansvaret samt för övriga berörda aktörer.
Nolläge
För det fall inga åtgärder vidtas på området skulle dagens otydliga ansvarsfördelning bestå och statens förmåga att hantera en allvarlig kris i det centrala betalningssystemet riskera att vara otillfredsställande. I händelse av en sådan allvarlig kris skulle en otillfredsställande krisberedskap kunna medföra stora samhällsekonomiska kostnader.
Berörda aktörer
De aktörer som omfattas av den föreslagna regleringen är ett mycket begränsat antal, såväl myndigheter som företag. Regleringen kommer endast att bli tillämplig på aktörerna i det centrala betalningssystemet i landet, dvs. ett fåtal större aktörer.
Ansvaret att definiera vilka aktörer som ska ingå i det centrala betalningssystemet föreslås vila på myndigheten med det nationella samordningsansvaret på området. Det går därför inte att med exakthet ange hur många aktörer som lagen kan komma att bli tillämplig på, men det förefaller mycket osannolikt att antalet privata aktörer som skulle omfattas av lagen i dagsläget överstiger ett tiotal. Privata aktörer som bör komma att ingå i det centrala betalningssystemet är t.ex. de fyra största bankerna i Sverige samt huvudmännen för clearing- och avvecklingssystemen för betalningar, värdepapperstransaktioner och derivat.
Jämförelse av konsekvenserna för de övervägda alternativen
Som framgår ovan skulle en tänkbar lösning vara att genom civilrättliga avtal med samtliga aktörer i det centrala betalningssystemet fördela krisberedskapsansvaret för systemet samt att i avtal reglera vilken förmåga att motstå störningar som är rimlig. Med hänsyn till bl.a. de stora ekonomiska konsekvenserna för samhället som en allvarlig kris i det centrala betalningssystemet skulle kunna leda till framstår
det dock som motiverat att krisberedskapsansvaret på området är tydligt författningsreglerat.
Det författningsförslag som tagits fram i utredningen anger på vilket sätt krisberedskapsansvaret på området ska samordnas. I utredningen föreslås att Riksbanken ska ha det nationella samordningsansvaret. Riksbanken bemyndigas att meddela föreskrifter som kommer att bli tillämpliga på aktörerna i det centrala betalningssystemet. Genom den föreslagna lösningen skapas möjligheter för ett mer flexibelt regelverk än om t.ex. säkerhetskraven skulle anges i lag. Som framgår av kapitel 6 är en fungerande privat-offentlig samverkan på området nödvändig för att det centrala betalningssystemet ska fungera. Den nuvarande ordningen för sådan samverkan föreslås inte ändras. Det befintliga samarbetet bedöms utgöra en god grund för att de föreskrifter som Riksbanken meddelar kommer att vara väl förankrade bland aktörerna i det centrala betalningssystemet.
Förhållandet till Sveriges medlemskap i Europeiska unionen
Fördelningen av ansvaret för krisberedskapen i det centrala betalningssystemet i medlemsstaterna är inte reglerat inom EU-rätten. Regleringen står därför inte i konflikt med Sveriges medlemskap i Europeiska unionen. Utredningens förslag bedöms vara väl förenligt med det arbete som pågår i andra internationella forum, såsom Bank for International Settlements och Internationella organisationen för värdepapperstillsyn, vars arbete på området beskrivs i avsnitt 5.6.
Tidpunkt för ikraftträdande och speciella informationsinsatser
Utredningen har angivit den föreslagna tidpunkten för ikraftträdande med hänsyn till behovet av tid för förberedelser för den nya lagen. De aktörer som lagen kommer att omfatta har en god kännedom om utredningens arbete. Eventuella bedömningar kring ikraftträdande kan istället komma behöva göras av Riksbanken vid meddelande av föreskrifter på området. Några särskilda informationsinsatser bedöms inte vara motiverade med hänsyn till den mycket begränsade grupp av aktörer som kommer att omfattas av lagens bestämmelser.
Antalet företag som berörs
Som beskrivits ovan kommer ett mycket begränsat antal företag att beröras av den föreslagna regleringen. Antalet överstiger för närvarande sannolikt inte ett tiotal, och någon dramatisk förändring i framtiden kan inte förutses i dag. I kapitel 4 redogörs för några av de viktigaste aktörerna i det centrala betalningssystemet. Det blir dock en uppgift för Riksbanken att definiera vilka aktörer som ska anses ingå i det centrala betalningssystemet. De företag som kommer att omfattas av regleringen är samtliga verksamma i den finansiella sektorn. De står samtliga redan i dag under tillsyn av Finansinspektionen och ingår i det finansiella system som övervakas av Riksbanken.
Tidsåtgång och administrativa kostnader
En uppskattning av tidsåtgången är självklart mycket vansklig att göra, men en kvalificerad gissning är att den föreslagna regleringen i sig inte kommer att medföra någon extra tidsåtgång för de berörda företagen. Genom regleringen skapas dock möjligheter för Riksbanken att meddela föreskrifter som dessa företag måste anpassa sin verksamhet efter. I detta sammanhang ska noteras att det redan i dag finns en krisberedskap på området som har byggts upp inom ramen för en fortlöpande dialog mellan berörda myndigheter och privata aktörer.
De exakta formerna för Riksbankens fortsatta arbete på området går inte att med exakthet bedöma i detta läge, men det hittills fruktsamma privat-offentliga samarbetet kommer även fortsättningsvis utgöra en central del i arbetet, men med en tydligare ansvarsfördelning i grunden. Även ett nära samarbete mellan Riksbanken och Finansinspektionen kommer att krävas, vilket beskrivs i avsnitt 7.5. Detta för att undvika att de berörda företagen drabbas av onödiga kostnader för att upprätta, lagra eller överföra information eller uppgifter som föranletts av Riksbankens föreskrifter. Denna information kan förväntas lämnas till Finansinspektionen i dess egenskap av tillsynsansvarig myndighet.
Den föreslagna regleringen bedöms inte i sig orsaka några andra kostnader för berörda företag i form av krav på t.ex. investeringskostnader eller utökning av personalresurser, eftersom aktörerna redan i dag bedöms upprätthålla en hög beredskapsnivå. Författnings-
förslaget innehåller en möjlighet för Riksbanken att genom avgifter från de berörda aktörerna finansiera verksamheten med samordningsansvaret. Som anges i kapitel 11 under den aktuella bestämmelsen finansierar Riksbanken dock normalt sin verksamhet genom de vinster den egna verksamheten genererar.
Konkurrensförhållanden
De privata aktörer som sannolikt kommer att omfattas av den föreslagna regleringen står redan i dag under tillsyn av Finansinspektionen och deras verksamhet har utvärderats av Finansinspektionen och Riksbanken gemensamt, vilket redogörs för i kapitel 4.
Som tidigare angivits syftar den föreslagna regleringen i första hand till att förtydliga ansvarsfördelningen för krisberedskapen på området. I betänkandet anges vidare funktionskrav som föreslås ska gälla för de berörda aktörerna, dvs. krav på funktionsförmåga i en krissituation. Dessa innehåller kvantitativa mål som är i linje med pågående internationellt regleringsarbete, och som redogörs för i avsnitt 5.6. Varken den föreslagna ansvarsfördelningen eller de föreslagna funktionskraven bedöms påverka de svenska aktörerna i förhållande till motsvarande utländska aktörer. Som ovan angivits saknas en uttrycklig EU-rättslig reglering på området. Med hänsyn till det utvecklade internationella regelverket bedöms de nu föreslagna reglerna dock inte påverka de svenska aktörernas konkurrensförhållanden jämfört med motsvarande aktörer inom den Europeiska unionen.
Hänsyn till små företag
Den föreslagna regleringen kommer med mycket stor sannolikhet inte att bli tillämplig på små företag, eftersom dessa inte bör kunna få en sådan betydelse för betalningssystemet i landet att de av Riksbanken bedöms utgöra en del av det centrala betalningssystemet. Med små företag avses här företag med färre än 50 anställda. Definitionen av det centrala betalningssystemet följer av författningsförslaget och är beskriven i avsnitt 8.3.1. Definitionen är av en sådan karaktär att den aktör som ska uppfylla de krav som uppställs måste bedriva en verksamhet som skiljer sig betydligt från den som bedrivs i små företag. Det kan också noteras att de företag som
berörs av den föreslagna regleringen samtliga omsätter mycket stora värden.
Övriga konsekvenser
Den föreslagna regleringen bedöms inte ha betydelse för den kommunala självstyrelsen, för sysselsättning och offentlig service i olika delar av landet, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Betänkandets förslag avseende krav på informationssäkerhet är redovisade i kapitel 9. Förslagen i denna del kan förväntas ha en preventiv verkan på ekonomisk och annan allvarlig brottslighet.
11. Författningskommentar
11.1. Förslaget till lag (2012:000) om krisberedskap i det centrala betalningssystemet
1 § Med begreppet krisberedskap avses den betydelse som angivits i 4 § förordningen (2006:942) om krisberedskap och höjd beredskap (krisberedskapsförordningen), dvs. förmågan att genom utbildning, övning och andra åtgärder samt genom den organisation och de strukturer som skapas före, under och efter en kris förebygga, motstå och hantera krissituationer.
2 § Definitionen av det centrala betalningssystemet utgår från den gängse definitionen av samhällsviktig verksamhet. Med det nationella betalningssystemet avses samtliga de system för clearing och avveckling av pengar eller värdepapper som tillhandahålls och används av myndigheter såsom Riksbanken och Riksgäldskontoret samt tillståndspliktiga institut i Sverige såsom banker och clearingorganisationer.
Av 6 § följer att det är Riksbankens uppgift att närmare ange vilka aktörer som ska anses ingå i det centrala betalningssystemet och omfattas av bestämmelserna i lagen.
3 § Ett första syfte med lagen är att undvika att allvarliga störningar i det centrala betalningssystemet över huvud taget uppstår. Med allvarlig störning avses samtliga allvarliga fel, störningar eller avbrott som påverkar funktionaliteten i det centrala betalningssystemet.
Det centrala betalningssystemet består av aktörer vars verksamhet utöver sådana operativa risker, även är exponerade för risker som kan leda till finansiella kriser. De finansiella kriser som riskerar att uppstå inom det centrala betalningssystemet omfattas inte av denna lag, så länge inte den finansiella krisen orsakar en allvarlig
störning i funktionaliteten i systemet. En sådan koppling är dock inte osannolik. Omvänt riskerar en allvarlig operativ störning i det centrala betalningssystemet att omgående leda till en finansiell kris hos någon av aktörerna i det centrala betalningssystemet.
För det fall allvarliga fel, störningar eller avbrott trots allt uppstår i det centrala betalningssystemet eller en krissituation i samhället i övrigt uppstår ska det centrala betalningssystemets funktion ändå vara tillfredsställande, t.ex. genom i förväg etablerade reservsystem och alternativa driftsformer. Den närmare innebörden av vilka åtgärder som krävs för att säkerställa en tillfredsställande nivå av funktionalitet blir en fråga för Riksbanken att ange enligt 11– 12 §§. Dessutom ska följderna av allvarliga fel, störningar eller avbrott begränsas.
Att clearing och avveckling av transaktioner ska kunna ske inom utlovad tid omfattas visserligen av kravet på upprätthållande av tillfredsställande funktion i det centrala betalningssystemet. Genom att särskilt lyfta fram kravet förmåga till clearing och avveckling av transaktioner inom utlovad tid betonas dock kärnfunktionen i det centrala betalningssystemet. I 11 § anges närmare hur fullgörandet av clearing och avveckling av transaktioner ska ske. Att clearing och avveckling sker inom utlovad tid innebär att verksamheten sker i enlighet med de skyldigheter som gäller i det specifika systemet. Skyldigheterna följer av avtal eller författning.
En stark koppling finns mellan värdepapperstransaktionerna och betalningssystemet, eftersom de stora betalningsflöden som genereras i handeln med finansiella instrument svarar för en betydande del av det samlade flödet av betalningar i det centrala betalningssystemet. Med hänsyn till denna starka koppling har begreppet transaktion använts för att beskriva den verksamhet som genomförs i det centrala betalningssystemet. Med transaktion avses i denna lag överföring av betalningar och värdepapper.
4 § Av Riksbankens nationella samordningsansvar följer att myndigheten, utan att avsteg görs från ansvarsprincipen, ska samordna och koordinera arbetet enligt denna lag. Riksbankens ansvar utvecklas närmare i 13–17 §§.
5 § I bestämmelsen anges lagens tillämpningsområde. Såväl myndigheter som privata aktörer kan av Riksbanken komma att anses ingå i det centrala betalningssystemet. I den fortsatta lagtexten används begreppet central aktör gemensamt för samtliga de aktö-
rer, myndigheter och företag, vars verksamhet av Riksbanken anses utgöra del av det centrala betalningssystemet i landet.
Riksbanken kan förutses komma att ingå i det centrala betalningssystemet i dess egenskap av huvudman för RIX-systemet.
6 § Riksbanken bemyndigas i denna bestämmelse att meddela föreskrifter om vilka verksamheter som ska ingå i det centrala betalningssystemet och vilka aktörer som ska omfattas av lagen. Till ledning för Riksbankens bedömning finns den definition som anges i 2 §.
Av 8 kap. 13 § första stycket regeringsformen följer att riksdagen genom lag kan uppdra åt Riksbanken att meddela föreskrifter inom dess ansvarsområde enligt 9 kap. och i fråga om dess uppgift att främja ett säkert och effektivt betalningsväsende. Det aktuella bemyndigandet att meddela föreskrifter bedöms rymmas inom Riksbankens uppgift att främja ett säkert och effektivt betalningsväsende.
7 § I denna bestämmelse anges de grundläggande krav som ska gälla för de aktörer som av Riksbanken angivits som centrala aktörer enligt lagens terminologi.
Med uttrycket förebygga allvarliga störningar avses det arbete som går ut på att undvika att störningarna överhuvudtaget uppstår. Förberedelser för att kunna hantera en allvarlig störning innebär att konsekvenserna för det fall en allvarlig störning uppstår ska begränsas så långt möjligt.
8 § Bestämmelsen syftar till att närmare ange inom vilka områden aktörerna inom det centrala betalningssystemet ska ha förmåga att hantera påfrestningar. Med denna bestämmelse tydliggörs att en aktör i det centrala betalningssystemet inte annat än i rena undantagsfall ska kunna undgå ansvar för sin oförmåga att fullgöra sina uppgifter i det centrala betalningssystemet med hänvisning till externa faktorer. Med undantagsfall avses här synnerligen allvarliga störningar, såsom naturkatastrofer och dylikt.
Punkten 1 avser t.ex. pandemier och andra tillstånd som orsakar ett kraftigt bortfall av personal hos en central aktör.
Med centrala system som verksamheten är ansluten till enligt punkten 2 avses t.ex. SWIFT och andra system som vanligen används av aktörerna i det finansiella systemet.
Med teknisk infrastruktur som verksamheten är beroende av enligt punkten 3 avses grundläggande infrastruktur som t.ex. elförsörjning och telekommunikation.
9 § Samverkansskyldigheten mellan myndigheter följer av förvaltningslagen (1986:223) och krisberedskapsförordningen. Aktuell bestämmelse syftar till att även de privata aktörer som kan komma att omfattas av lagen ska ha skyldighet att samverka vid störningar, i syfte att uppnå en högre krisberedskap på systemnivå.
10 § I bestämmelsen uttrycks ett särskilt krav på aktörernas tekniska lösningar och system. Med detta begrepp avses t.ex. de ITsystem som är helt centrala för aktörernas förmåga att fullgöra sina uppgifter i det centrala betalningssystemet. Informationssäkerhet, såväl utformningen av de tekniska lösningarna och systemen som handhavandet av dessa, omfattas av kravet. Detta innebär att det finns möjlighet att ställa krav på t.ex. informationssäkerhetsstandard, incidentrapportering, säkerhetsklassning av tjänster och utbildning av personal hos de aktörer som omfattas av lagens bestämmelser.
11 § I första stycket anges den huvudregel som ska gälla för krisberedskapen avseende clearing och avveckling av transaktioner inom det centrala betalningssystemet. Med clearing avses avräkning av förpliktelser och sammanställning av instruktion för transaktioner.
Med avveckling avses det slutliga fullgörandet av förpliktelsen att betala eller leverera värdepapper som sker genom överförandet av betalningsmedel eller värdepapper. I praktiken torde det uppställda kravet i regel innebära att clearing och avveckling alltid ska ske under innevarande dag.
Riksbanken ges i andra stycket en rätt att i enskilda fall besluta om avsteg från huvudregeln i första stycket. Ett sådant beslut kan vara motiverat med hänsyn till att det trots vidtagna krisberedskapsåtgärder i vissa fall kan uppstå mycket allvarliga störningar i det centrala betalningssystemet. Riksbankens beslut i ett sådant läge syftar till att klargöra för den berörda aktören, samt Finansinspektionen i dess tillsynsarbete, vilken nivå på krisberedskapsarbetet som är rimlig att kräva i den uppkomna situationen.
12 § I första stycket ges Riksbanken rätt att meddela föreskrifter om vilka krav på förebyggande och förberedande åtgärder som ska gälla för aktörerna i det centrala betalningssystemet. Bestämmelsen ger
således Riksbanken möjlighet att meddela föreskrifter avseende de krav på åtgärder som de centrala aktörerna åläggs i 7–10 §§.
Utöver möjligheten att meddela föreskrifter har Riksbanken enligt andra stycket även rätt att fatta beslut i det enskilda fallet om konkreta åtgärder som ska vidtas av en central aktör. Bestämmelsen motiveras av att Riksbanken bör ha möjlighet att i undantagsfall kunna få en enskild aktör att vidta de åtgärder som bedöms nödvändiga för att upprätthålla krisberedskapen i det centrala betalningssystemet.
Rätten att överklaga ett beslut enligt andra stycket följer av 20 §. Beträffande möjligheten att bemyndiga Riksbanken att meddela föreskrifter i detta avseende, se 6 §.
13 § Det ansvar som samordnande myndighet för krisberedskapen inom det centrala betalningssystemet vilket Riksbanken ges i lagen bör inte nämnvärt avvika ifrån hur ansvaret för krisberedskapen i samhället i övrigt är utformad. Med denna utgångspunkt har i lagen införts ett antal grundläggande principer för krisberedskapen, delvis sammanfallande med krisberedskapsförordningen.
I första stycket klargörs uttryckligen att ansvarsprincipen ska gälla, dvs. att den myndighet som har ansvar för en verksamhet också har ansvaret för att verksamheten ska fungera vid en kris. Riksbanken ska således inte ta över annan myndighets eller privat aktörs ansvar för viss verksamhet, utan samordna och koordinera beslutsfattandet. Bestämmelsen motsvarar 5 § första stycket i krisberedskapsförordningen.
I andra stycket anges att Riksbanken ska kunna upprätta en krisledningsfunktion när en kris uppstår. Bestämmelsen motsvarar delvis 13 § krisberedskapsförordningen. Krisledningen innebär således inte att Riksbanken ska överta annan aktörs ansvar när en kris uppstår. Med krisledningsfunktion avseende samordning och information avses här leda och samordna de åtgärder som vidtas av det centrala aktörerna för att hantera krisen, löpande upprätta lägesrapporter samt samordna den information som riktas till allmänheten och media om krisens förlopp.
14 § Riksbanken ska enligt första stycket årligen upprätta en risk- och sårbarhetsanalys för det centrala betalningssystemet. Bestämmelsen motsvarar i princip 9 § krisberedskapsförordningen och syftar till att säkerställa att analysen utformas i enlighet med krisberedskapsarbetet i övrigt i samhället. En redovisning baserad på analy-
sen ska utöver att lämnas till Regeringskansliet och MSB även lämnas till Finansinspektionen.
15 § Bestämmelsen ansluter sig till det särskilda ansvar som anges i 11 § krisberedskapsförordningen och syftar till att närmare ange vilka skyldigheter Riksbanken får genom det nationella samordningsansvaret.
16 § Genom denna bestämmelse åläggs Riksbanken en skyldighet att hålla regeringen informerad vid allvarliga fel, störningar eller avbrott i det centrala betalningssystemet. Bestämmelsen motsvarar i huvudsak 14 § krisberedskapsförordningen.
17 § Bestämmelsen ger Riksbanken en skyldighet att efter förfrågan lämna information till Regeringskansliet och MSB om beredskapsläget inom det centrala betalningssystemet samt sådan information som krävs för samlade lägesbilder.
Med information rörande beredskapsläget avses sådan information som är nödvändig för Regeringskansliet eller MSB att ta del av för att kunna få en bild över beredskapsläget inom det centrala betalningssystemet.
Begreppet lägesbild anges i prop. 2007/08:92 som en sammanställning av uppgifter för att skapa en bild över vad som har hänt, händer eller kommer att hända.
Skyldigheten för Riksbanken att enligt denna bestämmelse förse myndigheterna med information förutsätter inte att en allvarlig störning i det centrala betalningssystemet bedöms föreligga. Skyldigheten gäller dock enbart sådan information som har en koppling till Riksbankens samordningsansvar för krisberedskapen i det centrala betalningssystemet.
Regeringskansliet stödjer regeringen i dess roll som ansvarig för krishanteringen på nationell nivå. Riksbanken ska därför ha en skyldighet att lämna uppgifter till Regeringskansliet samt den myndighet under regeringen, Myndigheten för samhällsskydd och beredskap, som ansvarar för utveckla och stödja samhällets förmåga att hantera olyckor och kriser. Skyldigheten att hålla regeringen informerad vid en allvarlig störning framgår av 16 §.
Bestämmelsen motsvarar huvudsakligen 15 § krisberedskapsförordningen.
18 § Bestämmelsen syftar till att ge Riksbanken möjlighet att genom uttag av avgifter från aktörerna i det centrala betalningssystemet finansiera det samordningsansvar som åläggs myndigheten genom denna lag. Riksbanken finansierar dock normalt sin verksamhet genom de vinster den egna verksamheten genererar.
19 § I första stycket anges att tystnadsplikt gäller för den som fått kännedom om enskilds affärs- eller driftförhållanden. Bestämmelsen får betydelse för personer som är eller har varit verksamma inom de företag som utgör del av det centrala betalningssystemet.
Endast den som obehörigen för en uppgift vidare bryter mot tystnadsplikten.
Bestämmelsen är motiverad av att det inte är uteslutet att aktörerna i det centrala betalningssystemet inom ramen för den dialog som kan förväntas ske dem emellan får del av känslig information.
Som framgår av andra stycket gäller offentlighets- och sekretesslagens bestämmelser i det allmännas verksamhet. Bestämmelser om straff för den som bryter mot tystnadsplikten i denna paragraf finns i 20 kap. 3 § brottsbalken.
20 § I första stycket regleras rätten att överklaga beslut som har meddelats av Riksbanken med stöd av denna lag. Rätten att överklaga motiveras av att Riksbanken genom lagen ges möjlighet att fatta beslut som kan innebära myndighetsutövning gentemot enskild.
I andra stycket anges att Riksbankens beslut som huvudregel ska gälla omedelbart. Undantag gäller för beslut om påförande av avgift. Det är i beredskapshänseende angeläget att besluten kan verkställas omedelbart utan hinder av att de överklagas. Riksbanken kan förordna annat om myndigheten anser att så kan ske utan fara för beredskapen i det centrala betalningssystemet.
11.2. Förslaget till lag om ändring i lagen (1988:1385) om Sveriges riksbank
1 kap. 2 §
11.3. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
30 kap. 6 §
Av denna bestämmelse följer att en uppgift om en enskilds ekonomiska eller personliga förhållanden omfattas av sekretess i en statlig myndighets verksamhet som består i övervakning eller kontroll om uppgiften som har lämnats av någon som är skyldig att lämna uppgiften till myndigheten enligt vissa i bestämmelsen uppräknade lagar. En ny sjunde punkt läggs till uppräkningen i syfte att möjliggöra att erforderligt skydd för de uppgifter som de centrala aktörerna lämnar till Riksbanken.
Av 6 kap. 9 § första stycket lagen (1988:1385) om Sveriges riksbank följer att ett finansinstitut eller annat företag som står under tillsyn av Finansinspektionen ska till Riksbanken lämna de uppgifter som Riksbanken anser nödvändiga för bl.a. att övervaka betalningssystemets stabilitet. Det ansvar för krisberedskapen i det centrala betalningssystemet som föreslås ges till Riksbanken bedöms rymmas inom detta begrepp, och de aktörer som i dag är föremål för Finansinspektionens tillsyn och omfattas av den föreslagna lagen är således skyldiga att lämna uppgifter till Riksbanken.
Kommittédirektiv
Stärkt krisberedskap i det centrala betalningssystemet
Dir. 2011:58
Beslut vid regeringssammanträde den 22 juni 2011
Sammanfattning av uppdraget
En särskild utredare ska - med utgångspunkt i rapporten En samlad reglering för stärkt krisberedskap mot allvarliga tekniska fel och störningar i det centrala betalningssystemet (Fi2010/1619) – vidareutveckla och ytterligare konkretisera de förslag som lämnas i rapporten avseende grundläggande säkerhetsnivåer och nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet. I uppdraget ingår att ta fram nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 1 december 2011.
Bakgrund
Det svenska betalningssystemet omsätter cirka 1 300 miljarder kronor varje dag. De flesta betalningarna görs genom elektroniska överföringar. Dessa är starkt beroende av att den tekniska infrastrukturen (el, tele och it) fungerar väl. Det är därför viktigt att det finns en tydlig och effektiv ordning för hur allvarliga tekniska störningar och avbrott i det centrala betalningssystemet ska hanteras och förebyggas.
Under 2010 har det inom Regeringskansliet bedrivits ett särskilt utredningsarbete om hur statens förmåga att hantera allvarliga tekniska störningar och avbrott i betalningssystemet kan stärkas. Arbetet slutfördes i december 2010 och en rapport med förslag togs fram, "En samlad reglering för stärkt krisberedskap mot allvarliga tekniska fel och störningar i det centrala betalningssystemet" (Fi2010/1619).
Till grund för arbetet inom Regeringskansliet låg bl.a. Riksrevisionens rapport Krisberedskap i betalningssystemet (2007:28). I den rapporten framförs bl.a. att statens förmåga att hantera en allvarlig kris inom området är bristfällig samt att regeringen inte skaffat sig en samlad bild av hot och störningar i betalningssystemet och inte heller beslutat om vilken myndighet som ska ha det övergripande krisberedskapsansvaret. Vidare fanns som underlag rapporter som utarbetats av Finansinspektionen (Fi2008/2943), Riksgäldskontoret (Fi2008/3727) och Riksbanken (2007-829-STA) med anledning av Riksrevisionens granskning. Myndigheterna beskriver i dessa underlag hur de ser på sina respektive roller i betalningssystemet.
I samband med utredningsarbetet inom Regeringskansliet genomfördes samråd med bl.a. berörda myndigheter, samverkansforumen mellan offentliga och privata aktörer i den finansiella sektorn (FSPOS och SOES), vilket innebar att vunna erfarenheter togs till vara.
Förslagen i Regeringskansliets rapport (Fi2010/1619)
Grundläggande säkerhetskrav (avsnitt 6)
I Regeringskansliets rapport lämnas förslag om att de grundläggande säkerhetskraven (målen) för krisberedskapsarbetet inom de centrala delarna av betalningssystemet ska fastställas, med syftet att förbättra regeringens möjligheter till styrning och uppföljning. Det föreslås att de grundläggande säkerhetskraven i allt väsentligt bör vara av kvalitativ karaktär för att så långt som möjligt säkerställa att
- de centrala delarna av betalningssystemet fungerar tillfredsställande även vid allvarliga tekniska störningar och avbrott,
- samhällsviktiga betalningar kan genomföras inom rimlig tid även vid allvarliga tekniska störningar och avbrott, och
- följderna av allvarliga tekniska störningar och avbrott i de centrala delarna av betalningssystemet så långt möjligt kan förebyggas och begränsas.
Det föreslås också att de grundläggande säkerhetskraven tas in i en ny lag.
Nationellt samordningsansvar (avsnitt 7)
I Regeringskansliets rapport föreslås vidare att ansvarsförhållandena klargörs genom att en myndighet, nämligen Riksbanken, ges ett nationellt samordningsansvar. I detta ansvar föreslås vissa övergripande förebyggande krisberedskapsåtgärder ingå, liksom vissa övergripande uppgifter vid akut kris.
I det nationella samordningsansvaret föreslås ingå att bl.a.:
- leda privat-offentlig samverkan,
- leda och genomföra övningar,
- ansvara för teknisk granskning av gränssnitt,
- ansvara för att it- incidentrapporteringen samordnas,
- ansvara för att det regelbundet upprättas en aggregerad risk- och sårbarhetsanalys,
- ansvara för att det upprättas en årlig lägesrapport till regering och riksdag om krisberedskapen i de centrala delarna av betalningssystemet,
- utöva övervakning av den krisberedskapsreglering som föreslås i utredningen, samt
- planera för informations- och kommunikationssamordning vid kriser.
Övrigt
I Regeringskansliets rapport lämnas också förslag om att stärka säkerheten i den statliga betalningsmodellen genom att öka Riksgäldskontorets mandat (avsnitt 8) och om fortsatt utredningsarbete inom området (avsnitt 9). Det senare avser
- kontantförsörjningen och elberoendet,
- ökad redundans (reservrutiner) för de viktiga telekommunikationerna,
- elberoendet hos aktörerna utanför det centrala betalningssystemet, samt
- alternativa utbetalningsvägar.
Behovet av fortsatta utredningsinsatser
Regeringskansliets rapport har remissbehandlats (Fi2010/5860).
Av remissvaren framgår att en majoritet tillstyrker förslagen eller har inga invändningar. Två remissinstanser avstyrker förslaget om reglering av grundläggande säkerhetskrav samt förslaget om en nationell samordnare.
I remissvaren framhålls att ett antal frågor kräver ytterligare analys och utredning. Det gäller bl.a. att
- ansvaret mellan Finansinspektionen och Riksbanken bör klargöras,
- kvantitativa mål bör övervägas i stället för kvalitativa,
- formerna för it-incidentrapporteringen övervägs,
- begreppen som används behöver definieras tydligare,
- konkurrensfrågorna ses över,
- ansvaret i förhållande till Myndigheten för samhällsskydd och beredskap (MSB) kan behöva klargöras ytterligare, och
- en konsekvensutredning görs.
Inom ramen för regeringens inriktning att samla ansvaret för informationssäkerhetsfrågorna flyttades den 1 januari 2011 Sitic (Sveriges IT-incidentcentrum) från Post- och telestyrelsen till MSB. Sitic benämns nu CERT-SE. MSB har i uppgift att stödja samhället i
arbetet med att förebygga och hantera it-incidenter. Detta har skett efter det att rapporten (Fi2010/1619) utarbetades.
Uppdraget
En särskild utredare ska - med utgångspunkt i Regeringskansliets rapport, ansvarsprincipen samt förordningen (2006:942) om krisberedskap och höjd beredskap - vidareutveckla och ytterligare konkretisera de förslag som lämnas i rapporten avseende de grundläggande säkerhetsnivåerna och avseende nationell samordnare (avsnitten 6 och 7).
I arbetet ska remissvaren på rapporten beaktas. De förslag som lämnas i avsnitten 8 och 9 i Regeringskansliets rapport hanteras för sig och ska således inte ingå i utredarens uppdrag.
Syftet med uppdraget är att ta fram ett utvecklat förslag avseende beredskap för och hantering av allvarliga avbrott och störningar i det centrala betalningssystemet, som kan ligga till grund för beslut av regering och riksdag.
Inriktningen på arbetet ska vara att ta fram förslag till grundläggande säkerhetsnivåer för det centrala betalningssystemet av mer kvantitativ karaktär. Vidare ska inriktningen vara att det föreslås en ansvarig myndighet som, utan att överta annans ansvar, ska ha ett nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet.
I uppdraget ingår att beakta kraven i säkerhetsskyddslagstiftningen (säkerhetsskyddslagen [1996:627] och lagen [2006:128] om säkerhetsskydd i riksdagen och dess myndigheter) men inte att lämna förslag till ändringar av dessa eller förslag som påverkar polisens, inklusive Säkerhetspolisens, brottsbekämpande uppgifter.
I uppdraget ingår att utarbeta nödvändiga författningsförslag. Internationella erfarenheter kan inhämtas om utredaren bedömer att detta kan bidra till att tydliggöra ställningstagandena. Vidare ska utredaren bedöma och redovisa förslagets effekter på statens budget och andra finansiella konsekvenser för staten. Utredaren ska även föreslå hur eventuella kostnader ska finansieras. Konsekvenserna för företagen som berörs ska också redovisas.
Samråd och redovisning av uppdraget
Utredaren ska hålla Riksbanken, Finansinspektionen, MSB, Post- och telestyrelsen, Säkerhetspolisen och FSPOS informerade om arbetet och ge dem tillfälle att lämna synpunkter. I den omfattning som utredaren finner lämpligt ska synpunkter även inhämtas från andra instanser som lämnat remissvar på Regeringskansliets rapport. Vidare ska utredaren hålla sig informerad om det arbete som pågår inom Finanskriskommittén (Fi 2011:02) och annat relevant utredningsarbete.
Uppdraget ska redovisas senast den 1 december 2011.
(Finansdepartementet)
Att arbeta med resultatmål inom samhällets krisberedskap – teoretiska och metodiska avvägningar
Ulf Eliasson (fil.dr, analytiker på Myndigheten för samhällsskydd och beredskap) 2011-09-27
Inledning
Enligt kommittédirektivet Stärkt krisberedskap i det centrala betalningssystemet (Dir. 2011:58) ska en särskild utredare vidareutveckla och ytterligare konkretisera de förslag som lämnas i Regeringskansliets rapport En särskild reglering för stärkt krisberedskap mot allvarliga tekniska fel och störningar i det centrala betalningssystemet (Fi2010/1619). Inriktningen på arbetet ska vara att ta fram förslag till grundläggande säkerhetsnivåer för det centrala betalningssystemet av mer kvantitativ karaktär och att föreslå en ansvarig myndighet som, utan att överta någon annans ansvar, ska ha ett nationellt samordningsansvar för såväl förebyggande krisberedskapsåtgärder som åtgärder vid en akut kris inom det centrala betalningssystemet.
Uppdraget att utveckla och ge förslag på åtgärder avseende Stärkt krisberedskap i det centrala betalningssystemet har likheter med andra genomförda arbeten. Det finns t.ex. paralleller till dåvarande Krisberedskapsmyndighetens arbete 2004–2005 som handlade om att formulera mål för de samverkansområden som då angavs i förordningen (2002:472) om åtgärder för fredstida krishantering och höjd beredskap.1
En annan – mer aktuell – parallell kan dras med regeringens uppdrag till Myndigheten för samhällsskydd och beredskap (MSB) att ta
1 Krisberedskapsmyndigheten: En utvecklad krisberedskap. KBM:s underlag inför 2005 års
proposition om krisberedskap (KBM:s dnr 2004-0931).
fram resultatmål för samhällets krisberedskap som presenterades i rapporten Förslag till resultatmål för samhällets krisberedskap för försörjningen av dricksvatten, livsmedel och värme. Redovisning av regeringsuppdrag Fö2010/697/SSK (MSB:s dnr 2010-4539). Såväl regeringens uppdrag till MSB att föreslå resultatmål för samhällets krisberedskap som utredningsuppdraget om stärkt krisberedskap i det centrala betalningssystemet handlar om att dels identifiera och föreslå kvantitativa mål eller nivåer för vissa samhällsviktiga funktioner, dels ge förslag på samordningsansvarig myndighet både för det förebyggande krisberedskapsarbetet och för åtgärderna i ett krisläge. Utöver dessa likheter har det i båda uppdragen också angetts att förslagen ska utgå ifrån ansvarsprincipen. I resultatmålsuppdraget angav regeringen att ansvarsprincipen bl.a. inkluderar den enskilda individens ansvar vid allvarliga händelser och kriser.
I denna bilaga beskrivs lärdomarna och erfarenheterna från MSB:s arbete med resultatmål för samhällets krisberedskap avseende dricksvatten-, livsmedels- och värmeförsörjningen. Syftet är att denna erfarenhetsåterföring ska komma till nytta i arbetet med att stärka krisberedskapen i det centrala betalningssystemet. De beskrivna erfarenheterna handlar både om praktiska frågor och om vilka metodiska och teoretiska avvägningar som gjordes för att få fram mål och nivåer för samhällsviktiga funktioner ur ett krisberedskapsperspektiv.
De övergripande målen
Arbetet för att stärka krisberedskapen styrs på en övergripande nivå av målen för samhällets säkerhet. Dessa mål är att värna befolkningens liv och hälsa, att värna samhällets funktionalitet samt att värna vår förmåga att upprätthålla våra grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter.2
Regeringen har också formulerat mål för samhällets krisberedskap, dvs. för samhällets samlade förmåga att genom utbildning, övning och andra åtgärder samt genom den organisation och de strukturer som skapas före, under och efter en kris förebygga, motstå och
2 De är också styrande både för Försvarsmaktens förmåga och för målet för det militära försvaret att enskilt och tillsammans med andra, inom och utom landet försvara Sverige och främja vår säkerhet genom att hävda Sveriges suveränitet, värna suveräna rättigheter och nationella intressen, förebygga och hantera konflikter och krig samt skydda samhället och dess funktionalitet i form av stöd till civila myndigheter (prop. 2008/09:140, bet 2008/09:FöU10, rskr 2008/09:292).
hantera krissituationer.3 Dessa mål är 1. att minska risken för och konsekvenserna av allvarliga störningar, kriser och olyckor, 2. att trygga hälsan och den personliga säkerheten för barn, kvinnor och män samt 3. att hindra eller begränsa skador på egendom och miljö. Vidare anges att arbetet med samhällets krisberedskap bör bidra till att minska lidande och skadeverkningar av allvarliga olyckor och katastrofer i andra länder. Det är dessa mål för samhällets krisberedskap som regeringen har uppdragit till MSB att bryta ned till resultatmål. Utgångspunkterna för resultatmålen är dels behovet att upprätthålla samhällsviktiga funktioner i ett krisläge, dels individens grundläggande behov i ett krisläge.
SMART-kriterierna
För att bryta ned de övergripande målen i resultatmål har det i MSB:s arbete med att föreslå resultatmål för samhällets krisberedskap ställts upp ett antal frågor som ska beaktas i resultatmålen. Dessa frågor handlar om vilka nivåbestämningar som kan aktualiseras för samhällets förmåga före, under och efter en kris; vad som bör tillhandahållas för att individens grundläggande behov och behovet att upprätthålla samhällsviktiga samhällsfunktioner ska tillgodoses i ett krisläge; hur stora kvantiteter som bör tillhandahållas och till vilken kvalitet samt inom vilken tidsram det bör tillhandahållas.
Dessa frågor syftar till att vägleda arbetet på ett sådant sätt att resultatmålen ska motsvara de krav som ställs i arbetet för en förbättrad mål- och resultatstyrningen i staten. Enligt Ekonomistyrningsverket (ESV) bör sådana mål så långt som möjligt vara specifika, mätbara, accepterade, realistiska samt tidssatta.4 Det är med utgångspunkt från dessa s.k. SMART-kriterier som erfarenheterna från MSB:s arbete med att ta fram resultatmål för samhällets krisberedskap ska beskrivas.
3Samhällets krisberedskap – stärkt samverkan för ökad säkerhet (skr. 2009/10:124). Se även regeringens definition av samhällets krisberedskap i Stärkt krisberedskap – för säkerhets skull (prop. 2007/08:92), Bilaga 3 (s. 78). 4 Ekonomistyrningsverket: (Måluppfyllelseanalys. Hur måluppfyllelse, effekter och effektivitet
kan undersökas och rapporteras (ESV. Utvärdering 2006:7), s. 12.
Specifika mål
Arbetet med att bryta ned de övergripande målen för samhällets krisberedskap i resultatmål kan inriktas på åtminstone två olika sätt. Antingen kan arbetet ta sin utgångspunkt i vart och ett av de tre övergripande målen där varje mål bildar sin egen målhierarki. Eller också kan arbetet ta sin utgångspunkt i samtliga mål för samhället krisberedskap utan att skilja dem åt. De tre målen hanteras då gemensamt som en övergripande helhet.
I det förstnämnda alternativet kan det skapas tre målhierarkier med resultatmål inom ett antal olika områden. En sådan nedbrytning kräver att de övergripande målen är specifika dvs. tydligt formulerade och väl avgränsade från varandra. Målen får dock inte vara motstridiga.
I en så pass komplex verksamhet som samhällets krisberedskap kan det vara svårt att formulera avgränsade mål som varken överlappar varandra eller kan över- och underordnas varandra i en hierarki. Det finns också en risk att ju fler mål som ska brytas ned, desto större blir svårigheterna att skilja målen från varandra. Om det för olika samverkande myndigheter finns mål som överlappar varandra kan det uppstå problem med budgetplaneringen och det finns risk för att det uppstår dubbla kostnader. Därför finns det skäl att begränsa antalet mål.
Avseende målen för samhällets krisberedskap kan det konstateras att det första målet (att minska risken för och konsekvenserna av allvarliga störningar, kriser och olyckor) är mer övergripande än de två övriga målen. De övriga målen (att trygga hälsan och den personliga säkerheten för barn, kvinnor och män och att hindra eller begränsa skador på egendom och miljö) bryter ned och konkretiserar hur det övergripande målet ska nås, dvs. hur risken för allvarliga störningar, kriser och olyckor ska minska.
Målen för samhällets krisberedskap överlappar varandra och låter sig inte separeras i nedbrytningar i olika resultatmål. Därför har det i arbetet med att bryta ned målen för samhällets krisberedskap inte ansetts vara ändamålsenligt att skilja på målen och bryta ned dessa var för sig. I resultatmålsarbetet har de tre målen istället betraktats som en helhet med utgångspunkt i den samlade inriktning som har formulerats gemensamt i de tre målen. Det är denna helhet som måste tolkas, operationaliseras och specificeras för att den ska kunna användas i styrningen av berörda aktörer.
MSB:s förslag till nedbrytning av målen för samhällets krisberedskap till resultatmål tar för det första sin utgångspunkt i indelningen av samhällets krisberedskap i olika arbetsmoment (förebyggande, förberedande, hanterande och lärande). Samtliga dessa olika arbetsmoment återspeglas i resultatmålen. För det andra används sektorsindelningen av samhällsviktig verksamhet som utgångspunkt i nedbrytningen av målen för samhällets krisberedskap. I rapporten till regeringen har de redovisade resultatmålen avsett de samhällsviktiga funktioner som har betydelse för att försörjningen av vatten, livsmedel och värme ska fungera. Ett fortsatt arbete med resultatmål kan inriktas mot hälso- och sjukvården, vården och omsorgen samt områdena skydd och säkerhet samt information.
Den första punkten i resultatmålen för försörjningen av dricksvatten, livsmedel och värme anger att berörda aktörer inom respektive försörjningsområde ”med utgångspunkt i risk- och sårbarhetsanalyser, förmågebedömningar och annan beredskapsplanering vidtar åtgärder som minskar risken för allvarliga störningar”.
Den andra punkten i resultatmålen inriktar det arbete som bör genomföras för att upprätthålla samhällsviktiga funktioner i ett krisläge. För livsmedels- och dricksvattenförsörjningen anges att uppkomna störningar i respektive försörjningsområde inte ska påverka samhällsviktig verksamhet i sådan omfattning att det uppstår allvarliga konsekvenser för samhället. Som exempel på samhällsviktig verksamhet nämns hälso- och sjukvård samt vård och omsorg. När det gäller resultatmålet för värmeförsörjningen anges att samhällsviktiga system för värmeförsörjningen efter en störning ska kunna återställas inom en sådan tid och på en sådan nivå att byggnader och infrastruktur skyddas mot frysskador.
I den tredje punkten i resultatmålen för värme, dricksvatten och livsmedel anges att ska finnas en planering som ska motsvara befolkningens behov i ett krisläge. I enlighet med regeringens uppdragsbeskrivning anges vilka behov som finns på individnivå inom respektive område. I denna punkt anges vilka kvantiteter (antal kcal och liter) och inom vilken tid (antal dygn) som enskilda individer behöver få tillgång till livsmedel och dricksvatten. När det gäller värmeförsörjningen anges att det ska finnas en planering med inriktningen att varje individ vid en allvarlig störning i värmeförsörjningen i ett krisläge har tillgång till ett uppvärmt utrymme inom en sådan tid att det inte uppstår hälsorisker. Några tidsförhållanden eller temperaturnivåer finns inte angivna i värmemålet.
Mätbara mål
Varken den första punkten i resultatmålen (där det anges att det ska vidtas åtgärder som minskar risken för allvarliga störningar) eller den andra punkten (som handlar om att värna och återställa samhällsviktiga funktioner i ett krisläge) har kvantifierats eller siffersatts på ett sådant sätt att dessa är exakt mätbara. Skälet till att det inte har fastställts några mätbara nivåer för dessa mål är att det inte har ansetts ändamålsenligt att detaljstyra vad som ska göras för att nå målen. Exakt angivna återställningstider av samhällsviktiga funktioner kan t.ex. inte bestämmas generellt utan måste få avgöras från fall till fall och med hänsyn till lokala förhållanden och situationsspecifika omständigheter. Behoven kan t.ex. se olika ut i glesbygdskommuner i jämförelse med tätortskommuner. Hur kravet på den samhällsviktiga värmeförsörjningen ska nivåbestämmas för att infrastruktur och byggnader ska skyddas beror både på hustyp och på utomhustemperatur. Sådana särskilda förutsättningar måste dock beaktas i uppföljningen av resultatmålen (t.ex. i risk- och sårbarhetsanalyserna).
I detta avseende kan det konstateras att arbetet med att formulera mål för krisberedskapen skiljer sig från ett arbete som handlar om att sätta mål för annan verksamhet genom att krisberedskapsmålen avser situationer som förutsätts inträffa mycket sällan. Det saknas såväl statistik som erfarenheter som inom andra sammanhang vanligen kan användas som stöd vid utvärdering och uppföljning av om målen för en verksamhet har uppnåtts. Det är t.ex. lättare att konstatera om tågtrafiken har kunnat hålla tidtabellen under en viss tidsperiod eller att årligen ställa olika mätdata mot angivna nivåer i miljökvalitetsmålen än att följa upp mål inom krisberedskapen som avser effekten av förebyggande krisberedskapsåtgärder eller samhällets förmåga i en tänkt krissituation.5
I arbetet med resultatmål för dricksvattenförsörjningen diskuterades eventuella möjligheter att ange generella riktlinjer för tillgänglighet av dricksvatten, t.ex. för maximiavstånd till hämtningsställen vid störningar i dricksvattenförsörjningen eller för antal hämtningsställen i relation till antalet hushåll. Sådana formuleringar bedömdes dock på ett alltför detaljerat sätt utgöra en styrning av de åtgärder
5 En liknande problematik avseende svårigheten att utvärdera förebyggande verksamhet har belysts i en ESO-rapport som argumenterar för att det är olämpligt att ange mål med exakta tal för brottsförebyggande åtgärder. Sarnecki, Jerzy: Polisens prestationer – en ESO-rapport
om resultatstyrning och effektivitet (Rapport till Expertgruppen för studier i offentlig
ekonomi 2010:3, Finansdepartementet), s. 37.
som de ansvariga aktörerna förväntas vidta vid en störning. Skälet till detta var att det skulle kunna inträffa krislägen då en åtgärd som är utpekad i ett alltför detaljerat resultatmål kanske inte skulle vara den mest ändamålsenliga åtgärden.
Accepterade mål
För att mål- och resultatstyrning ska fungera är det, enligt SMARTkriterierna, viktigt att de mål som tas fram är accepterade av de aktörer som berörs av målen. För att få acceptans för förslagen till resultatmål var det angeläget att dessa togs fram i samverkan med berörda myndigheter. I arbetet med resultatmålen för livsmedels- och dricksvattenförsörjningen samverkade MSB med Livsmedelsverket och Jordbruksverket och i arbetet med resultatmålet för värmeförsörjningen samverkade MSB med Energimyndigheten. För att få acceptans hos privata aktörer samverkade Energimyndigheten i sin tur med branschorganisationen Svensk Fjärrvärme. Också Socialstyrelsen var en viktig samverkanspartner i arbetet.
Resultatmålens grundläggande principer måste också accepteras i en bredare krets av aktörer. Särskilt viktiga i detta avseende är de myndigheter som anges som särskilt ansvariga för krisberedskapen i enlighet med förordningen (2006:942) om krisberedskap och höjd beredskap och som i förordningen anges som deltagare i samverkansområdena samt andra aktörer som deltar i samverkansområdenas möten. Arbetet med resultatmålen presenterades därför löpande för samverkansområdena. Genom dessa presentationer kunde MSB konstatera att det hos deltagande myndigheter, landsting och kommuner fanns både intresse och engagemang för resultatmålen. Innehållet i myndigheternas remissyttranden till MSB i början av februari 2011 förstärkte detta intryck.
Vikten av att få en bredare acceptans för arbetet med resultatmål för samhällets krisberedskap har bl.a. sin bakgrund i de beroendeförhållanden som finns mellan olika samhällssektorer. Sådana beroendeförhållanden kan t.ex. handla om att vissa samhällsfunktioner som elförsörjning, transporter samt IT och elektroniska kommunikationer eller betalningssystemet utgör stödfunktioner till livsmedels-, dricksvatten- och värmeförsörjningen. Om det inträffar störningar i någon eller några av dessa stödfunktioner – som också sinsemellan är beroende av varandra – kan störningarna
spridas vidare och få allvarliga konsekvenser för dessa tre försörjningsområden.
Detta behöver dock inte betyda att dessa beroendeförhållanden i alla lägen är avgörande för att lägstabehovet av dricksvatten, livsmedel och värme ska kunna tillgodoses. I krislägen kan det uppstå situationer där dessa tre försörjningsområden kan upprätthållas på en miniminivå och med hjälp av alternativa lösningar. I sådana extrema situationer kan vissa ”normala” beroendeförhållanden vara av mindre relevans. Beredskapsåtgärder som avser att tillgodose individens närings- och energibehov via soppkök eller dricksvattenbehovet via hämtning från vattentankar är t.ex. inte nödvändigtvis beroende av fungerande elektroniska kommunikationer eller kortbetalningsförmedling.6
För att få acceptans för arbetet med resultatmålen måste också hänsyn tas till befintliga målarbeten inom respektive sektor. I det inledande arbetet genomfördes därför en kartläggning av livsmedels-, dricksvatten- och värmeförsörjningen. Kartläggningen inriktades mot förekomsten av formella avtal, författningar, rekommendationer eller riktlinjer i handböcker som skulle beaktas i arbetet. Syftet med denna genomgång var att undersöka i vilken utsträckning det redan fanns målformuleringar som skulle kunna användas inom det aktuella området. Även annat referensmaterial användes i arbetet avseende t.ex. utländska exempel samt tidigare utredningar och analyser. Som referensmaterial användes också rapporter från tidigare arbeten från KBM avseende grundläggande säkerhetsnivåer samt kritiska beroenden. Dessa arbeten byggde i sin tur till stor del på rapporter och resultat från ansvariga sektorsmyndigheter.
Slutligen ska nämnas att resultatmålen, enligt ansvarsprincipen, ska ta hänsyn till den enskilde individens ansvar vid allvarliga händelser och kriser. Därför bör resultatmålen också accepteras av allmänheten. I utredningen konstateras att allmänheten bör informeras om innehållet i de föreslagna resultatmålen, så att den enskilda individen, framförallt i ett initialt skede av en kris och utifrån sina förutsättningar, ska kunna agera för att lindra konsekvenser och möta sina behov. Informationen kan avse praktiska råd rörande hur den enskilde ska agera för att kunna ta ansvar för sin egen säkerhet inom de områden där det formulerats resultatmål.
6 Erfarenheter av sådana alternativa lösningar som har använts för att tillgodose livsmedelsbehovet hos befolkningen har gjorts avseende elavbrottet i Kista 2001 och finns beskrivna i Livsmedelsverkets rapport Livsmedelsförsörjning i ett krisperspektiv (Livsmedelsverket 2011), s. 53–55.
Realistiska mål
Det fjärde SMART-kriteriet handlar om att målen ska vara realistiska. För att bedöma huruvida resultatmålen kan anses realistiska krävs en löpande dialog med de ansvariga myndigheterna. En huvudfråga i sammanhanget handlar om det finns realistiska möjligheter att kunna genomföra de åtgärder som krävs för att motsvara hjälpbehovet i ett krisläge.
En metod som kan användas för att bedöma om målen är realistiska är att undersöka vad som finns reglerat i författningar och förarbeten. Att myndigheter ska upprätta risk- och sårbarhetsanalyser regleras t.ex. i förordningen (2006:942) om krisberedskap och höjd beredskap. I förordningen anges vad som särskilt ska beaktas i risk- och sårbarhetsanalyserna och att planerade åtgärder ska redovisas. Vikten av att dessa åtgärder också genomförs har poängterats i den första punkten i resultatmålen.
För att hitta realistiska nivåer och kvantiteter för de olika funktionerna genomfördes undersökningar om hanteringen av tidigare krissituationer och vad som rekommenderas i handböcker avseende krisberedskapen. För dricksvattenförsörjningen anger Livsmedelsverket t.ex. i en handbok om dricksvattenberedskapen att det ”inom några timmar” uppstår ett behov av nödvattenleveranser till befolkningen. Av detta skäl ansågs det realistiskt att ställa krav på ganska snäva tidsramar för krisberedskapen för dricksvattenförsörjningen. Frågan om målen var realistiska kunde också prövas mot erfarenheter från tidigare händelser. Erfarenheter från hanteringen av en vattenläcka som drabbade 25 000 abonnenter i Kalmar i december 2010 visade t.ex. att kommunen inom mindre än 24 timmar kunde ställa upp tankvagnar på 24 tappställen. Det konstaterades därför att det var realistiskt att förvänta sig att nödvattenförsörjningen skulle fungera inom ett dygn från den tidpunkt då störningen inträffat. I samråd med Livsmedelsverket konstaterades också att sådana krav inte bara kunde ställas på tätortskommuner utan också på glesbygdskommuner. Mot denna bakgrund antogs att om det uppstår ett krisläge med avbrott i dricksvattenförsörjningen, så är det rimligt att det inom 1 dygn ska kunna tillhandahållas dricksvatten för befolkningen. Detta angavs därför också i resultatmålet.
På motsvarande sätt användes i arbetet med resultatmål för värmeförsörjningen exempel från en handbok från Energimyndigheten. I handboken konstateras t.ex. att Trollhättan har en planering
som omfattar värmeförsörjning i ett krisläge för samtliga kommuninvånare.7 Med utgångspunkt i detta exempel formulerades ett generellt resultatmål om tillgången till uppvärmt utrymme vid avbrott i värmeförsörjningen.
När det gäller kravet att målen ska vara realistiska bör det samtidigt sägas att resultatmålen inte kan anses vara realiserbara i alla krislägen. Det finns alltid en risk för att det uppstår situationer som samhället inte har resurser att klara av.
Tidssatta mål
De resultatmål som har föreslagits av MSB är inte tidssatta på ett sådant sätt att de anger när ett mål ska vara uppfyllt. Det främsta skälet till detta är att resultatmålen ska omfatta alla typer av krislägen. Oavsett vilken typ av krissituation som inträffar så ska de nivåer som anges i resultatmålen kunna upprätthållas. I praktiken är det naturligtvis omöjligt att garantera detta, oavsett hur resultatmålen ser ut. Risken för att det uppstår situationer som är så pass omfattande och allvarliga att det inte går att nå resultatmålen kan reduceras men går inte att ta bort. Eftersom det alltid kommer att finnas tänkta scenarier som resultatmålen kan prövas emot och där målen är svåra eller omöjliga att nå, så är det inte ändamålsenligt att tidssätta resultatmålen. Istället bör resultatmålen användas återkommande för att pröva var gränsen går för vad samhället kan klara av i ett krisläge.
Sammanfattning
Lärdomarna från arbetet med att ta fram resultatmål har i denna bilaga samlats under ett antal kriterier som avser vilka krav som ställs på uppföljningsbara mål i mål- och resultatstyrningen i staten. Dessa krav handlar om att målen ska vara specifika mätbara, accepterade, realistiska och tidssatta.
De slutsatser som kan dras avseende möjligheterna att tillgodose dessa krav i arbetet med resultatmålen handlar om vikten av:
7Värmestugor – vägledning. Information till kommunala beredskapssamordnare (http://213.115.22.116/System/ViewResource.aspx?p=Energimyndigheten&rl=default:/Re sources/Permanent/Static/5f2c97048e0f4bccb3bd2315ae2816b6/ET2007_44w.pdf. Internet 2011-09-10), s. 11.
- att begränsa antalet mål och tydligt avgränsa dessa från varandra
(specifika mål),
- att noggrant pröva och analysera frågan om i vilken utsträckning det är möjligt att ta fram observerbara och siffersatta mål för samhällets krisberedskap avseende alla typer av krislägen (mätbara mål),
- att tillvarata och använda erfarenheter från tidigare arbeten och andra jämförbara länder (realistiska och accepterade mål),
- att använda befintliga samverkansstrukturer för att identifiera direkt berörda aktörer och för att informera om arbetet (accepterade mål)
- att det finns skäl att rikta särskilda informationsinsatser om resultatmålen till allmänheten (accepterade mål) samt
- att noggrant pröva och analysera frågan om i vilken utsträckning som det går att tidssätta mål för samhällets krisberedskap (tidssatta mål).