Incidentrapportering

Flera slag av finansiella företag ska rapportera vissa typer av händelser eller incidenter till Finansinspektionen. Den här sidan ger en övergripande vägledning till vad som gäller för företag som FI:s verksamhetsområde Bank har ansvar för tillsynen av.

Denna sida beskriver rapportering enligt följande föreskrifter eller allmänna råd:

  1. Finansinspektionens allmänna råd om rapportering av händelser av väsentlig betydelse (FFFS 2018:5)
  2. Finansinspektionens föreskrifter om verksamhet för betaltjänstleverantörer (FFFS 2018:4)
  3. Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster (MSBFS 2018:9).

Rapporter enligt MSB:s författning ska skickas till MSB. Vi redogör ändå för dessa bestämmelser eftersom FI är tillsynsmyndighet för leverantörer av samhällsviktiga tjänster inom det finansiella området. MSB skickar även incidentrapporterna vidare till FI och det finns likheter med rapporteringskraven i FFFS 2018:4.

Vägledningen omfattar följande verksamhetstyper:

  • bank- eller finansieringsrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse
  • betalningsinstitut och registrerade betaltjänstleverantörer enligt lagen (2010:751) om betaltjänster
  • institut för elektroniska pengar samt registrerade utgivare av elektroniska pengar enligt lagen (2011:755) om elektroniska pengar
  • verksamhet med konsumentkrediter enligt lagen (2014:275) om viss verksamhet med konsumentkrediter
  • verksamhet med bostadskrediter enligt lagen (2016:1024) om verksamhet med bostadskrediter.

Nedanstående tabell redogör för vilka slags företag som berörs av vilka författningar. 

Verksamhetstyp Rapportering av händelse av väsentlig betydelse (FFFS 2018:5) Rapportering av allvarliga operativa incidenter i
betaltjänst (FFFS 2018:4)
Rapportering av incident i samhällsviktig tjänst (MSBFS 2018:9)
Bank- eller finansieringsrörelse  Ja Ja Ja (gäller endast
leverantör av samhällsviktig
tjänst)
Betalningsinstitut  Nej Ja Nej
Registrerad betaltjänstleverantör  Nej Ja Nej
Institut för elektroniska pengar  Ja
(enligt FFFS 2011:49)
Ja Nej
Registrerade utgivare av elektroniska pengar  Nej Ja Nej
Verksamhet med konsumentkrediter Ja Nej Nej
Verksamhet med bostadskrediter Ja Nej Nej
Finansiella institut Nej Nej Nej
Inlåningsföretag Nej Nej Nej

Tabellen omfattar de kategorier av företag som FI:s verksamhetsområde Bank har ansvar för tillsynen av. Bestämmelserna om incidentrapportering berör som synes inte Finansiella institut enligt lagen (1996:1006) om valutaväxling och annan finansiell verksamhet och inte inlåningsföretag enligt lagen (2004:299) om inlåningsverksamhet. 

Observera att incidenter som sker hos en betaltjänstleverantör i dess betaltjänstverksamhet enligt lagen (2010:751) om betaltjänster och som omfattas av rapporteringskravet i FFFS 2018:4 inte samtidigt omfattas av FFFS 2018:5.

1. Finansinspektionens allmänna råd om rapportering av händelser av väsentlig betydelse (FFFS 2018:5)

Med Finansinspektionens allmänna råd om rapportering av händelser av väsentlig betydelse vill FI verka för att företag som står under myndighetens tillsyn rapporterar sådana händelser i verksamheten som kan äventyra företagens stabilitet eller skyddet av kundernas tillgångar.  

Företag som driver någon av följande verksamheter bör använda en särskild blankett (se länk nedan) för att rapportera händelser som omfattas av FI:s allmänna råd:

  • bank- eller finansieringsrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse
  • verksamhet med konsumentkrediter enligt lagen (2014:275) om viss verksamhet med konsumentkrediter
  • verksamhet med bostadskrediter enligt lagen (2016:1024) om verksamhet med bostadskrediter
  • institut för elektroniska pengar enligt lagen (2011:755) om elektroniska pengar.

Olika delar av blanketten ska fyllas i och lämnas in vid de olika tillfällen som anges i respektive del av blanketten, A–C.

  1. Inledande rapport – Lämnas inom fyra timmar efter det att incidenten upptäckts (A-rapport – Inledande rapport).
  2. Mellanliggande rapport – Lämnas när det finns uppdaterad information och senast inom tre dagar från det att den inledande rapporten lämnades in (B-rapport – Mellanliggande rapport).
  3. Slutrapport – Lämnas senast två veckor efter det att verksamheten fungerar normalt igen (C-rapport – Slutrapport).

Blanketten ska skickas in med krypterat mejl till: incidentrapportering@fi.se.

För att mejla krypterat till incidentrapportering@fi.se behöver du hämta FI:s nyckel: incidentrapportering.zip. Mer information om kryptering av mejl finns på sidan Så mejlar du krypterat.

Undvik att ta med personuppgifter i blanketten.

Ange endast sådana uppgifter som är nödvändiga för att beskriva händelsen. Rapporten ska inte innehålla information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information.

2. Rapporteringskrav för allvarliga operativa incidenter och säkerhetsincidenter i betaltjänstverksamhet (FFFS 2018:4)

Betaltjänstleverantörer ska rapportera allvarliga operativa incidenter och säkerhetsincidenter i sin betaltjänstverksamhet till FI. Av de nio verksamhetstyperna som anges i tabellen ovan omfattas följande av FFFS 2018:4:

  1. bank- eller finansieringsrörelse
  2. betalningsinstitut 
  3. registrerad betaltjänstleverantör
  4. institut för elektroniska pengar
  5. registrerade utgivare av elektroniska pengar.

Dessa verksamhetstyper ska rapportera allvarliga operativa incidenter och säkerhetsincidenter i sin betaltjänstverksamhet genom en särskilt blankett. Händelsen ska rapporteras i de tre skeden som redogörs för i blanketten.

Rapporten ska skickas till FI krypterat till en särskilt angiven mejladress. Mer information om vilka incidenter som omfattas samt på vilket sätt allvarliga operativa incidenter och säkerhetsincidenter i betaltjänstverksamhet ska rapporteras finns under rubriken Allvarliga operativa incidenter och säkerhetsincidenter på sidan Rapportering enligt andra betaltjänstdirektivet (PSD 2).

3. Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av incidenter för leverantörer av samhällsviktiga tjänster (MSBFS 2018:9)

Av de nio verksamhetstyper som anges i tabellen ovan omfattas endast företag inom verksamhetstypen bank- eller finansieringsrörelse – och som har identifierat och anmält sig som en leverantör av en samhällsviktig tjänst – av rapporteringskraven i MSBFS 2018:9.

Definition av leverantör och samhällsviktig tjänst

MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2018:7) redogör för vad som avses med leverantör och samhällsviktig tjänst:

"Med samhällsviktiga tjänster rörande bankverksamhet där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses betaltjänster enligt 1 kap. 2 § 1–6 p. lagen (2010:751) om betaltjänster som tillhandahålls av:

  1. kreditinstitut enligt 1 kap. 5 § 10 p. lagen (2004:297) om bank- och finansieringsrörelse som enligt Finansinspektionens årliga tillsynskategorisering tillhör kategori 1 eller 2, eller
  2. utländska kreditinstitut som driver finansieringsrörelse i Sverige genom en filial med en balansomslutning om minst 500 miljarder kronor."

De betaltjänster som avses enligt 1 kap. 2 § 1–6 p. lagen (2010:751) om betaltjänster är:

  1. tjänster som gör det möjligt att sätta in kontanter på ett betalkonto samt de åtgärder som krävs för förvaltning av kontot,
  2. tjänster som gör det möjligt att ta ut kontanter från ett betalkonto samt de åtgärder som krävs för förvaltning av kontot,
  3. genomförande av betalningstransaktioner, inklusive överföring av medel på ett betalkonto, genom
    1. autogiro,
    2. kontokort eller andra betalningsinstrument, eller
    3. kontobaserade betalningar,
  4. genomförande av betalningstransaktioner, när medlen täcks av ett kreditutrymme, genom
    1. autogiro,
    2. kontokort eller andra betalningsinstrument, eller
    3. kontobaserade betalningar,
  5. utgivning av betalningsinstrument eller inlösen av transaktionsbelopp där ett betalningsinstrument har använts,
  6. penningöverföring,

Rapporteringspliktiga incidenter

Rapporteringspliktiga incidenter redogörs för i 5. kap MSBFS 2018:9 1 §:

"Leverantörer inom bankverksamhet ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som

  1. innebär att transaktioner inte kan eller sannolikt inte kommer att kunna initieras eller behandlas för
    1. minst 25 % av leverantörens normala antal transaktioner, eller
    2. minst 25 % av leverantörens användare, eller
  2. pågår sammanlagt minst tre timmar under en 24-timmars period."

Incidentrapporten ska skickas till myndigheten för samhällsskydd och beredskap. Rapporten blir sedan vidarebefordrar till FI. 

Mer information om hur incidenter i samhällsviktiga tjänster ska rapporteras finns på MSB:s webbplats, se Incidentrapportering för NIS-leverantörer (MSB).

Observera att allvarliga operativa incidenter i betaltjänster som avses enligt 1 kap. 2 § 1–6 p även omfattas av rapporteringskrav enligt FFFS 2018:4. Om företaget har bedömt att en incident i en betaltjänst föranleder en rapport till MSB enligt MSBFS 2018:9 ska samma incident alltså också rapporteras direkt till FI i enlighet med rapporteringskraven i FFFS 2018:4.

4. G-Rapport

För vissa typer av särskilt allvarliga händelser bör kreditinstitut under tillsynskategori 1 och 2 genast meddela Finansinspektionen genom ett telefonsamtal. En sådan initial rapport kallas G-Rapport. Telefonsamtalet görs till Finansinspektionens särskilda funktion för allvarliga incidenter. De berörda företagen har fått tillgång till detta telefonnummer. Funktionen har jourberedskap dygnet runt hela året.

Det går även att rapportera särskilt allvarliga händelser till FI:s tjänsteman i beredskap (TiB) genom att ringa SOS Alarm. Be då att bli kopplad till Finansinspektionens Tjänsteman i Beredskap.

G-rapporter bör göras enbart för sådana ärenden som uppfyller samtliga tre nedanstående kriterier:

  1. Företaget tillhör tillsynskategori 1 samt 2 enligt Finansinspektionens vid var tid gällande tillsynskategorisering för kreditinstitut.
  2. Företaget anser att händelsen är särskilt allvarlig (se exempel enligt nedan).
  3. Företaget anser att det finns en tidskritisk komponent som föranleder att Finansinspektionen skyndsamt får information om händelsen.

Följande exempel kan fungera som vägledning för att bedöma om en händelse ska betraktas som särskilt allvarlig.

  • Händelsen medför en betydande störning av en samhällsviktig tjänst och/eller påverkar fler marknader än den svenska.
  • Företagets aktiekurs kan komma att påverkas.
  • Allmänhetens förtroende för företaget eller den finansiella sektorn kan påverkas.
  • Händelsen är av sådan natur att den kan leda till fokus i media eller frågor från media till FI.
  • Händelsen kan få en akut effekt på företagets finansiella stabilitet.
  • Händelsen har lett till att banken aktiverat sitt krishanteringsteam.

Följande exempel kan användas som vägledning för att bedöma om det finns en tidskritisk komponent.

  • Händelsen är av sådan karaktär att det kan antas finnas skäl för FI att inom den egna myndigheten skyndsamt informera om och hantera händelsen eller skyndsamt informera andra myndigheter om händelsen.
  • Händelsen är av sådan karaktär att den kan antas få stort medialt intresse och det kan antas att FI kan komma att bemöta frågor från media med relativt kort varsel.

Vid ett samtal till FI:s jourtelefon för incidentrapportering ska inte information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information lämnas.

Observera att även om en G-Rapport har gjorts bör A/B/C-Rapporter skickas in i enlighet med den ordinarie rapporteringsblanketten.

Frågor och svar

Hur ska rapporterna krypteras när de skickas via mejl?

Rapporterna ska skickas krypterat. Företaget har möjlighet att använda både TLS och PGP. För mer information om hur man mejlar krypterat till oss, se sidan Så mejlar du krypterat.

Vilken språkversion av rapporteringsblanketten för FFFS 2018:5 bör användas?

Rapporteringsblanketten för händelser av väsentlig betydelse finns både i svensk och engelsk version. Rapportören får själv välja om den svenska eller engelska versionen ska användas men FI rekommenderar att den svenska versionen används i de fall det är möjligt.

Finns FI:s föreskrifter i engelsk översättning?

Ja, det finns engelska översättningar av till exempel FFFS 2018:4 och FFFS 2018:5. Det finns två vägar att hitta dem:

  1. Söka på den engelska delen av FI:s webbplats (Search FFFS).
  2. Gå till föreskriften på den svenska delen av webbplatsen och sen klicka på ordet "English" i toppen på sidan.

Innebär den förändrade processen att företagets huvudsakliga kontaktperson hos FI inte längre kan informeras om händelser av väsentlig betydelse?

Den framtagna rapporteringsblanketten bör användas och mejlas till incidentrapportering@fi.se. Det innebär inte att företaget förlorar möjligheten att även kontakta sin ordinarie kontaktperson hos FI.

Behöver en händelse som utlöser rapporteringskraven i FFFS 2018:4 även rapporteras enligt FFFS 2018:5 om händelsen också påverkar företaget i andra delar än dess betaltjänstverksamhet?

Nej. Om en händelse har skett som påverkar både betaltjänster och annan verksamhet räcker det med att FI tar del av en rapport om allvarlig incident i betaltjänst (FFFS 2018:4). I dessa fall bör rapporten innehålla information även om den del av händelsen som inte är kopplad till betaltjänstverksamheten.

Notera att för allvarliga incidenter i betaltjänstverksamhet (FFFS 2018:4) måste FI vidaresända rapporten i sin helhet till Europeiska bankbyrån, EBA. Därför kan det rapporterande företaget behöva göra en bedömning från fall till fall om företaget ska skicka endast 2018:4-rapporten eller om sådan information om händelsen som inte är kopplat till betaltjänsten bör skickas i en 2018:5-blankett istället.

Vid eventuell dubbelrapportering räcker det med att i 2018:5-blanketten komplettera med sådan information som inte redan lämnats i 2018:4-blanketten.

Kan FI ge ytterligare vägledning om vilka händelser som bör betraktas vara av väsentlig betydelse?

Det allmänna rådet ger ett antal exempel på händelser som bör betraktas vara av väsentlig betydelse. FI har bedömt det vara svårt att lämna en så uttömmande vägledning att den täcker upp för alla slags händelser och för alla slags företag. Därför är det företaget själv som behöver göra en egen bedömning av om händelsen är av väsentlig betydelse eller inte.

Får det rapporterande företagen en kvittens på den inskickade rapporten?

Ja, vi kvitterar mottagandet av samtliga inskickade mejl. Meddela oss via incidentrapportering@fi.se om ni inte fått någon kvittens.

Har FI något önskemål om hur rapporterna ska namnges?

FI är tacksam för om rapporterna namnges enligt följade:

  • TYP_Skede_Företag_ÅÅMMDD_ID.xls
  • TYP=PSD för en 2018:4 rapport
  • TYP=VHR för en 2018:5 rapport
  • TYP=ÖVR för övrigt
  • Skede=A, B eller C för respektive skede
  • Företag=Rapporterande företag
  • ÅÅMMDD=Datum (6 siffror)
  • ID= Händelsens av företaget angivna incidentnummer

Bör de företag som omfattas av G-rapportering ringa och meddela FI om den särskilt allvarliga händelsen även om det gått flera timmar sedan händelsen inträffade och A-rapporten är redo att skickas in?

Ja. Även om det gått en tid sedan den särskilt allvarliga händelsen inträffade och det rapporterande företaget avser att skicka en A-rapport inom kort bör händelsen också genast ringas in till jourfunktionen. Detta gäller enbart sådana särskilt allvarliga händelser som företaget bedömer även har en tidskritisk faktor. Se mer information under vägledningsavsnittet för "G-rapportering".

Om en händelse bedöms vara av väsentlig betydelse först i ett sent skede - kan det rapporterande företaget då rapportera flera skeden (A/B/C) i samma rapport?

Ja. Om företaget gör bedömningen att händelsen var av väsentlig betydelse först i ett senare skede kan den inskickade rapporten innehålla information för de skeden som företaget har information om när rapporten sammanställs (A+B, eller A+B+C). Om det rapporterande företaget bedömer att det vid tidpunkten för inrapportering av skede B har tillräckligt med information för att fylla i även C-skedets rapportering går det bra att skicka en rapporteringsblankett (B+C). 

Senast granskad: 2020-02-19
Laddar sidan