Incidentrapportering

Med Finansinspektionens allmänna råd om rapportering av händelser av väsentlig betydelse vill FI verka för att företag som står under myndighetens tillsyn rapporterar sådana händelser i verksamheten som kan äventyra företagens stabilitet eller skyddet av kundernas tillgångar.  

Företaget bör rapportera sådana händelser som kan medföra att dess ekonomiska förutsättningar ändras, så att det inte kan uppfylla sina åtaganden mot kunder.

Företaget bör rapportera händelser som kan medföra

• att ett större antal kunder orsakas betydande ekonomisk skada, eller
• en väsentlig ryktesförlust för företaget.

De händelser som avses är till exempel att

• information som lämnas vid kundtransaktioner är felaktig eller bristfällig,
• kundtransaktioner hanteras på ett felaktigt eller bristfälligt sätt,
• fel uppstår i tekniska system, eller
• interna eller externa regler överträds.

Om en revisor vidtar åtgärder enligt 9 kap. 43 och 44 §§ aktiebolagslagen (2005:551), bör företaget genast informera Finansinspektionen om detta.

Företagets regelansvariga funktion bör lämna rapporten som bör innehålla följande uppgifter i enlighet med bilagan i det allmänna rådet FFFS 2024:22;

1. Ange företagets namn och adress.
2. Ange företagets kontaktperson med namn och telefonnummer.
3. Beskriv händelsen och omständigheterna kring hur händelsen upptäcktes.
4. Beskriv vilka åtgärder som företaget vidtar med anledning av händelsen.
5. Om det är möjligt, ange om rapporteringen avser en sådan händelse som
6. beskrivs i det allmänna rådet FFFS 2024:22 och i så fall vilken.
7. Ange datum och underteckna dokumentet med uppgifterna (vid elektronisk försändelse kan underskrift utelämnas och ersättas med namn på uppgiftslämnaren).

Uppgifterna kan skickas in med krypterat mejl till: incidentrapportering@fi.se.

För att mejla krypterat till incidentrapportering@fi.se behöver du hämta FI:s nyckel: incidentrapportering.zip. Mer information om kryptering av mejl finns på sidan Så mejlar du krypterat.

Undvik att ta med personuppgifter i rapporten.

Ange endast sådana uppgifter som är nödvändiga för att beskriva händelsen. Rapporten ska inte innehålla information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information.

Av de nio verksamhetstyper som anges i tabellen ovan omfattas endast företag inom verksamhetstypen bank- eller finansieringsrörelse – och som har identifierat och anmält sig som en leverantör av en samhällsviktig tjänst – av rapporteringskraven (MSBFS 2021:10).

Definition av leverantör och samhällsviktig tjänst

MCF:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2021:9) redogör för vad som avses med leverantör och samhällsviktig tjänst:

Med samhällsviktiga tjänster rörande bankverksamhet där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses betaltjänster enligt 1 kap. 2 § 1–6 p. lagen (2010:751) om betaltjänster som tillhandahålls av:

1. kreditinstitut enligt 1 kap. 5 § 10 p. lagen (2004:297) om bank- och finansieringsrörelse som enligt Finansinspektionens årliga tillsynskategorisering tillhör kategori 1 eller 2, eller
2. utländska kreditinstitut som driver finansieringsrörelse i Sverige genom en filial med en balansomslutning om minst 500 miljarder kronor.

De betaltjänster som avses enligt 1 kap. 2 § 1–6 p. lagen (2010:751) om betaltjänster är:

1. tjänster som gör det möjligt att sätta in kontanter på ett betalkonto samt de åtgärder som krävs för förvaltning av kontot,
2. tjänster som gör det möjligt att ta ut kontanter från ett betalkonto samt de åtgärder som krävs för förvaltning av kontot,
3. genomförande av betalningstransaktioner, inklusive överföring av medel på ett betalkonto, genom
   1. autogiro,
   2. kontokort eller andra betalningsinstrument, eller
   3. kontobaserade betalningar,
4. genomförande av betalningstransaktioner, när medlen täcks av ett kreditutrymme, genom
   1. autogiro,
   2. kontokort eller andra betalningsinstrument, eller
   3. kontobaserade betalningar,
5. utgivning av betalningsinstrument eller inlösen av transaktionsbelopp där ett betalningsinstrument har använts,
6. penningöverföring.

Rapporteringspliktiga incidenter

Rapporteringspliktiga incidenter regleras i 5 kap. 1 § Myndigheten för civilt försvars föreskrifter om incidentrapportering för leverantörer av samhällsviktiga tjänster (MSBFS 2018:9).

Enligt bestämmelsen ska leverantörer inom bankverksamhet rapportera incidenter som orsakat störningar i den samhällsviktiga tjänsten som:

1. innebär att transaktioner inte kan eller sannolikt inte kommer att kunna initieras eller behandlas för
1. minst 25 % av leverantörens normala antal transaktioner, eller
2. minst 25 % av leverantörens användare, eller
2. pågår sammanlagt minst tre timmar under en 24-timmars period.

Angivna tröskelvärden gäller enligt nuvarande NIS1-baserat regelverk.

Rapportering ska ske i enlighet med MSBFS 2021:10.

Mer information om hur incidenter i samhällsviktiga tjänster ska rapporteras finns på MCF:S webbplats, se Incidentrapportering för NIS-leverantörer (MCF).

Observera att allvarliga operativa incidenter i betaltjänster som avses enligt 1 kap. 2 § 1–6 p (2010:751) om betaltjänster även omfattas av rapporteringskrav enligt FFFS 2018:4. Om företaget bedömer att en incident i en betaltjänst föranleder rapportering till Myndigheten för civilt försvar enligt MSBFS 2021:10 ska samma incident även rapporteras direkt till Finansinspektionen i enlighet med rapporteringskraven i FFFS 2018:4.

Vissa typer av händelser enligt punkt 1-3 ovan som anses särskilt allvarliga bör, utöver den vanliga rapporteringsrutinen, genast meddelas till Finansinspektionen genom ett telefonsamtal. En sådan initial rapportering kallas G-Rapport. Telefonsamtalet görs till Finansinspektionens Tjänsteman i Beredskap (TiB). Denna går även att nå via SOS Alarm, be då om att bli kopplad till Finansinspektionens tjänsteman i beredskap. Funktionen har jourberedskap dygnet runt hela året.

G-rapporter bör göras enbart för sådana ärenden som uppfyller samtliga tre nedanstående kriterier:

1. Företaget tillhör tillsynskategori 1 samt 2 enligt Finansinspektionens vid var tid gällande tillsynskategorisering för kreditinstitut.
2. Företaget anser att händelsen är särskilt allvarlig (se exempel enligt nedan).
3. Företaget anser att det finns en tidskritisk komponent som föranleder att Finansinspektionen skyndsamt får information om händelsen.

Följande exempel kan fungera som vägledning för att bedöma om en händelse ska betraktas som särskilt allvarlig.

• Händelsen medför en betydande störning av en samhällsviktig tjänst och/eller påverkar fler marknader än den svenska.
• Företagets aktiekurs kan komma att påverkas.
• Allmänhetens förtroende för företaget eller den finansiella sektorn kan påverkas.
• Händelsen är av sådan natur att den kan leda till fokus i media eller frågor från media till FI.
• Händelsen kan få en akut effekt på företagets finansiella stabilitet.
• Händelsen har lett till att banken aktiverat sitt krishanteringsteam.

Följande exempel kan användas som vägledning för att bedöma om det finns en tidskritisk komponent.

• Händelsen är av sådan karaktär att det kan antas finnas skäl för FI att inom den egna myndigheten skyndsamt informera om och hantera händelsen eller skyndsamt informera andra myndigheter om händelsen.
• Händelsen är av sådan karaktär att den kan antas få stort medialt intresse och det kan antas att FI kan komma att bemöta frågor från media med relativt kort varsel.

Vid ett samtal till FI:s jourtelefon för incidentrapportering ska inte information som omfattas av sekretess för skydd av Sveriges säkerhet eller annan säkerhetsskyddsklassad information lämnas.

Hur ska rapporterna krypteras när de skickas via mejl?

Rapporterna ska skickas krypterat. Företaget har möjlighet att använda både TLS och PGP. För mer information om hur man mejlar krypterat till oss, se sidan Så mejlar du krypterat.

Finns FI:s föreskrifter i engelsk översättning?

Ja, det finns engelska översättningar av till exempel FFFS 2024:22. Det finns två vägar att hitta dem:

1. Söka på den engelska delen av FI:s webbplats (Search FFFS).
2. Gå till föreskriften på den svenska delen av webbplatsen och sen klicka på ordet "English" i toppen på sidan.

• FFFS 2024:22
  

Kan FI ge ytterligare vägledning om vilka händelser som bör betraktas vara av väsentlig betydelse?

Det allmänna rådet ger ett antal exempel på händelser som bör betraktas vara av väsentlig betydelse. FI har bedömt det vara svårt att lämna en så uttömmande vägledning att den täcker upp för alla slags händelser och för alla slags företag. Därför är det företaget själv som behöver göra en egen bedömning av om händelsen är av väsentlig betydelse eller inte.

Får det rapporterande företagen en kvittens på den inskickade rapporten?

Ja, vi kvitterar mottagandet av samtliga inskickade mejl. Meddela oss via incidentrapportering@fi.se om ni inte fått någon kvittens.

Har FI något önskemål om hur rapporterna ska namnges?

FI är tacksam för om rapporterna namnges enligt följande:

• TYP_Skede_Företag_ÅÅMMDD_ID.xls
• TYP=VHR för en 2024:22 rapport
• TYP=ÖVR för övrigt
• Skede=A, B eller C för respektive skede
• Företag=Rapporterande företag
• ÅÅMMDD=Datum (6 siffror)
• ID= Händelsens av företaget angivna incidentnummer
  
  

Bör de företag som omfattas av G-rapportering ringa och meddela FI om den särskilt allvarliga händelsen även om det gått flera timmar sedan händelsen inträffade och A-rapporten är redo att skickas in?

Ja. Även om det gått en tid sedan den särskilt allvarliga händelsen inträffade och det rapporterande företaget avser att skicka en A-rapport inom kort bör händelsen också genast ringas in till jourfunktionen. Detta gäller enbart sådana särskilt allvarliga händelser som företaget bedömer även har en tidskritisk faktor. Se mer information under vägledningsavsnittet för "G-rapportering".