Erhvervsudvalget 2023-24
L 122 Bilag 1
Offentligt
Høringsliste
Organisationer
Aalborg Universitet
Aarhus BSS
Advokatsamfundet
Akademisk Arkitektforening
Akademikerne
Andelskassen
Arbejderbevægelsens Erhvervsråd
Arbejdsmarkedets Erhvervssikring (AES)
Arbejdsmarkedets Tillægspension (ATP)
Brancheforeningen for Aktive Ejere i Danmark
Capital Law CPH
CBS
CEPOS
Computershare
DAFINA
Danmarks Nationalbank
Danmarks Skibskredit A/S
Dansk Aktionærforening
Dansk Arbejdsgiverforening
Dansk Byggeri
Dansk Ejendomskredit
Dansk Ejendomsmæglerforening
Dansk Energi
Dansk Erhverv
Dansk Forening for International Motorkøretøjsforsikring (DFIM)
Dansk Industri
Dansk Iværksætter forening
Dansk Investor Relations Forening – DIRF
Dansk Kredit Råd
Dansk Metal
Dansk Standard
Danske Advokater
Danske Forsikringsfunktionærers Landsforening
Danske Maritime
Danske Rederier
Danske Regioner
Den Danske Aktuarforening
Den Danske Dommerforening
Den Danske Finansanalytikerforening
Den danske Fondsmæglerforening
Det nationale netværk af virksomhedsledere
Den Sociale Retshjælp
Det økonomiske råds sekretariat (DØRS)
Drivkraft Danmark
e-nettet
14. november 2023
J.nr. 23-009487
FINANSTILSYNET
Strandgade 29
1401 København K
Tlf.
33 55 82 82
CVR-nr. 10 59 81 84
[email protected]
www.finanstilsynet.dk
ERHVERVSMINISTERIET
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2/3
Ejendomsforeningen
Experian
Fagbevægelsens Hovedorganisation
FDFA – Foreningen af Danske Forsikringsmæglere og ForsikringsAgenturer
FDIH – Foreningen for Distance- og Internethandel
FinansDanmark
Finans og Leasing
Finansforbundet
Finanshuset i Fredensborg A/S
Finanssektorens Arbejdsgiverforening
First North
Forbrugerrådet Tænk
Forbrugsforeningen
Foreningen af Forretningsførere for Udenlandske Forsikringsselskaber
Foreningen af Interne Revisorer v/ Jesper Siddique Olsen
Foreningen Danske Revisorer
Foreningen for platformsøkonomi
FOREX
Forsikring & Pension
Forsikringsforbundet
Forsikringsmæglerforeningen, v/ Direktør Flemming Kosakewitsch
FSR – danske revisorer
Garantiformuen
Gode penge
HK
Horesta Arbejdsgiverorganisation
Hvidvasksekretariatet
Håndværksrådet
Indsamlingsorganisationernes Brancheorganisation (ISOBRO)
Intertrust (Denmark)
ISACA Denmark Chapter
IT-branchen
KommuneKredit
Kommunernes Landsforening
Komiteen for god selskabsledelse
Kromann Reumert
Kuratorforeningen
Københavns Universitet
Landbrug & Fødevarer
Landsdækkende banker
Landsforeningen af forsvarsadvokater
Landsforeningen for Bæredygtigt Landbrug
Ledernes Hovedorganisation
Liberale Erhvervs Råd
Lokale Pengeinstitutter
Lønmodtagernes Dyrtidsfond (LD)
Mybanker
Nets A/S
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
3/3
Nokas Kontantservice P/S
Nordic Blockchain Association
Oxfam IBIS
Parcelhusejernes Landsforening
Penneo A/S
Postnord Juridiske afdeling
Revisornævnet
Rigsrevisionen
Roskilde Universitetscenter
Skibs- og Bådebyggeriets Arbejdsgiverforening
Syddansk Universitet
Telekommunikationsindustrien i Danmark
Udbetaling Danmark
VISA
VP Securities A/S
Western Union
Transparency International Danmark
Ældresagen
Ørsted
Færøerne og Grønland
Færøernes Hjemmestyre via Rigsombudsmanden på Færøerne
Naalakkersuisutvia via Rigsombudsmanden i Grønland
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0004.png
Finanstilsynet
Victor Saxlund
Strandgade 29
1401 København K
Sendt pr. e-mail til
[email protected]
med kopi til
[email protected]
20. december 2023
Side 1 af 2
Deres ref. 23-
009487/VIC
Telefon 35 47 47 47
Høringssvar til høring over udkast til lov
om ændring af lov om finansiel
virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love
Finanstilsynet har den 15. november 2023 sendt udkast til lov om ændring af lov
om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og
forskellige andre love i høring.
Indledningsvis vil Alm. Brand Group takke for muligheden for at fremkomme
med bemærkninger til høringen.
Alm. Brand Group kan i det hele i øvrigt kan tilsluttes sig Forsikring & Pensions
høringssvar. Da det kan have en meget betydelig negativ påvirkning på et
selskab at blive udpeget som administrator for Garantifonden, giver høringen
imidlertid anledning til følgende supplerende bemærkninger til lovforslagets § 10
om muligheden for udpegelse af et administrationsselskab for Garantifonden:
En konkurs i et forsikringsselskab udfordrer hele forsikringsbranchen blandt
andet fordi det påvirker hele branchens omdømme. Alm. Brand Group anser det
derfor også for en udfordring for hele branchen at håndtere en sådan konkurs.
Loven bør derfor i langt højere grad afspejle, at det er hele branchen, der skal
være med til at håndtere et konkursramt forsikringsselskab, således at det ikke
– som lovforslaget ellers lægger op til – alene er en opgave for de tre største
forsikringsselskaber.
Hertil kommer, at Alm. Brand Group noterer sig, at lovens regler først vil finde
anvendelse, hvis Garantifonden ikke får et administrationsselskab via et EU-
udbud. Alm. Brand Group tolker de nuværende udbudsbetingelser således, at
relativt mange skadesforsikringsselskaber kan komme i betragtning som
administrator under et udbud - enten selv eller i et samarbejde med andre. Alm.
Brand Group finder, at lovforslaget bedre bør afspejle dette. Loven bør således i
væsentligt større omfang være udformet i overensstemmelse med
udbudsbetingelserne. Dermed vil flere forsikringsselskaber end alene de absolut
største kunne blive udpeget som administrationsselskab for Garantifonden.
Alm. Brand A/S CVR-nr. 77 33 35 17 | Hovedkontor: Midtermolen 7 | 2100 København Ø | Telefon 35 47 47 47
Alm. Brand Forsikring A/S CVR-nr. 10 52 69 49 | Codan Forsikring A/S CVR-nr. 41 963948
Forsikringsselskabet Privatsikring A/S CVR-nr. 25071409 | Erhvervssikring A/S CVR-nr. 25071409
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0005.png
Det er således vigtigt, at kriterierne for, hvem der kan udpeges som
administrator for Garantifonden, ikke fastsættes for snævert. Hvis kriterierne
fastsættes for snævert, vil det give en uhensigtsmæssig skævvridning i
branchen, hvor alene nogle selskaber kan påtage sig arbejdet.
Der bør være mulighed for, at to eller flere forsikringsselskaber i forening
udpeges som administrator, såfremt selskaberne i forening opfylder kriterierne.
En sådan mulighed er efter Alm. Brand Groups opfattelse også tilgængelig under
de nuværende udbudsbetingelser og bør derfor også reflekteres i loven.
Eksempelvis bør det ikke være et krav, at et selskab selv har fx koncession til
klasse 2, såfremt et andet selskab har koncession hertil.
Da garantifondsloven er at betragte som forbrugerregulering bør forslaget
desuden ikke udelukke, at selskaber under tilsyn i udlandet, udpeges som
administrator. Disse selskaber er således ikke i Garantifondens udbudsmateriale
afskåret fra at blive administrationsselskab. Det bemærkes i øvrigt, at
Garantifonden i tilfælde af en konkurs vil være i dækning over for de
pågældende selskabernes danske kunder.
Opgaven med at være administrationsselskab for Garantifonden indebærer en
række omkostninger, herunder til opretholdelse af et beredskab til at kunne
håndtere et andet forsikringsselskabs skadessager med kort varsel. Det er
vigtigt, at vederlaget afspejler samtlige disse omkostninger.
Alm. Brand Group opfordrer til, at det gøres klart, at outsourcingreglerne i lov
om forsikringsvirksomhed ikke omfatter outsourcing af Garantifondens opgaver
ifølge garantifondsloven.
Såfremt der er spørgsmål eller behov for yderligere oplysninger, er
Finanstilsynet velkommen til at kontakte juridisk direktør Tue Rønholt Hansen på
mail
[email protected]
eller telefon 29775657.
17. december 2023
Side 2 af 2
Deres ref. 23-
009487/VIC
Telefon 35 47 47 47
Med venlig hilsen
Tue Rønholt Hansen
Direktør, Jura
Alm. Brand A/S CVR-nr. 77 33 35 17 | Hovedkontor: Midtermolen 7 | 2100 København Ø | Telefon 35 47 47 47
Alm. Brand Forsikring A/S CVR-nr. 10 52 69 49 | Codan Forsikring A/S CVR-nr. 41 963948 |
Forsikringsselskabet Privatsikring A/S CVR-nr. 25071409 | Erhvervssikring A/S CVR-nr. 25071409
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0006.png
Finanstilsynet
Sendt pr. mail til [email protected]
Att.: Victor Saxlund
20. december 2023
Oplys venligst ved
henvendelse
ATP’s svar på høring over udkast til forslag til lov om ændring
af lov om finansiel virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love.
Vi vil indledningsvist takke for muligheden for at afgive bemærkninger til lovforslaget.
I udkastet foreslås blandt andet en række ændringer til lov om forsikringsvirksomhed. I
den forbindelse vil ATP foreslå, at der medtages nogle yderligere ændringer til loven
vedrørende ATP, der ikke kom med ved vedtagelsen af lov om forsikringsvirksomhed i
sommeren 2023. Da loven nu åbnes, kan justeringerne tages med i dette
ændringsforslag.
I lovforslagets § 8 om ændringer til lov om forsikringsvirksomhed foreslår ATP at tilføje
følgende ændringer:
Til § 83 om
Videregivelse af oplysninger til brug for varetagelse af administrative
opgaver
I stk. 2 ændres ”et aktieselskab” til: ”en dattervirksomhed”.
I stk. 3 ændres ”et aktieselskab” til: ”en dattervirksomhed” og ”§ 26 b, stk. 3, og
§ 23, stk. 4 ændres til: ”§ 26 b, stk. 1 og 2, samt stk. 5, nr. 1”.
Justeringerne skal sikre, at ATP får mulighed for at drive sin virksomhed i flere
virksomhedsformer, som fastlagt i ATP-loven.
Til § 335 om
Konsekvensændringer i anden lovgivning
Der indsættes et nyt punkt: I § 118, stk. 2 i lov om finansiel virksomhed ændres
”et aktieselskab” til: ”en dattervirksomhed”.
ATP
Kongens Vænge 8,
3400 Hillerød
Tlf.: 70 11 12 13
Fax: 48 20 48 02
www.atp.dk
CVR-nr.: 43405810
Telefontid:
Mandag-Torsdag: 8.00-16.00
Fredag: 8.00-15.30
Der er tale om en konsekvensrettelse i medfør af justeringen nævnt ovenfor.
ATP står naturligvis til rådighed, hvis høringssvaret giver anledning til spørgsmål.
Venlig hilsen
Mona Frandsen
Chefjurist
1
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0007.png
Finanstilsynet
Strandgade 29
1401 København K
per email: [email protected]
19. december 2023
HØRINGSINPUT TIL “HØRING OVER UDKAST TIL FORSLAG TIL LOV OM ÆNDRING AF
LOV OM FINANSIEL VIRKSOMHED MFL.” –
BEC FINANCIAL SERVICES A.M.B.A.
Med henvisning til Finanstilsynets udsendte høring af ”Udkast til forslag til lov om ændring af lov om
finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og forskellige andre love (Tilsyn efter
forordning om digital operationel modstandsdygtighed i den finansielle sektor og forordning om
markeder for kryptoaktiver)” af 14. november 2023 (herefter ”FIL-ændringslov”), fremsendes
BEC
Financial Technologies’ (herefter ”BEC’s”)
høringssvar.
Som
bilag 1
vedlægges et dokument med bemærkninger til de respektive bestemmelser, som BEC
har vurderet mest relevante at kommentere på
primært bestemmelserne i det foreslåede nye af-
snit IXc. I bilaget sondres mellem specifikke forslag til ændringer i bestemmelserne og øvrige be-
mærkninger, evt. med forslag til præcisering eller ønske om nærmere vejledning i enten lovtekst el-
ler lovbemærkninger.
Nedenfor fremhæves nogle overordnede og/eller essentielle bemærkninger.
Overordnede bemærkninger
Helt overordnet set er vi meget tilfredse med Erhvervsministeriets/Finanstilsynets forslag til at hånd-
tere det lovmæssige skisma, som er relateret til, at datacentraler og finansielle virksomheder er un-
derlagt forskellig lovgivning. Det hilses således velkommen, at forslaget til FIL-ændringsloven indfø-
rer et afsnit for datacentraler, som i videst muligt omfang følger DORA-forordningens krav. Særligt
hilses det velkomment, at det tydeliggøres, at en datacentrals kunder kan bero sig på dokumenta-
tion modtaget fra datacentralen, herunder på baggrund af datacentralens kontroller, om end BEC
opfordrer til, at selve ordlyden af § 333c, stk. beskriver dette mere eksplicit.
På en række områder er der behov for yderligere detaljering af, hvordan kravene skal efterleves. BEC
anerkender, at dette pt. kan være vanskeligt, fordi
udstedelsen af de bebudede ”gennemførelsesrets-
akter” til DORA
ikke er sket. BEC opfordrer dog Finanstilsynet til at forberede udkast til relevante be-
kendtgørelser, jf. FIL-ændringslovens forslag til § 333p, snarest muligt, så disse kan udstedes umid-
delbart efter EU-Parlamentets vedtagelse af endelige gennemførelsesretsakter
alt med henblik på,
at etablere retssikkerhed og klarhed omkring datacentralernes forpligtelser inden ikrafttræden af
afsnit IXc i FIL-ændringsloven den 18. oktober 2024. BEC deltager gerne i en evt. forudgående hø-
ring af bekendtgørelserne.
Vi har jf. kommunikation fra Finanstilsynet på konferencer mv. fået forståelsen af, at (kun) bilag 5 til
bekendtgørelse nr. 1103/2022 om ledelse og styring af pengeinstitutter mv. (”Ledelsesbekendtgø-
relsen”) udgår ved ikrafttræden af DORA. I bemærkningerne til lovforslaget (side 189) gives dog ud-
tryk for, at hele Ledelsesbekendtgørelsen ophører ift. "datacentraler" med ophævelsen af nuværende
afsnit Xc i lov om finansiel virksomhed. Vi ønsker mere klarhed over ledelsesbekendtgørelsens frem-
tidige anvendelse ift. datacentralen men også ift. vores kunder.
BEC Financial Technologies a.m.b.a.
Havsteensvej 4
4000 Roskilde, Danmark
CVR/VAT: DK13088810
+45 46 38 24 00
www.bec.dk
[email protected]
#1/2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0008.png
Endelig skal fremhæves, at den måde hvorpå afsnit IXc er opbygget - med overlappende bestem-
melser (som vi forstår og anerkender er sket for at dokumentere implementeringen af NIS2) - efterla-
der en usikkerhed omkring, hvor der reelt er tale om ens/overlappende forpligtelser, og hvor der
måtte være et ”merkrav” som følge af DORA
- særligt fordi der i mange bestemmelser anvendes for-
skellig terminologi. Henset til at der er tale om strafbelagte bestemmelser, henstiller BEC til, at der
gives mest mulig klarhed over datacentralens forpligtelser i lovteksten, suppleret af uddybning og
vejledning i bemærkningerne.
Afskaffelse af begrebet ”fællesejede datacentraler”
Vi forstår, at den foreslåede navngivning af aktører, som omfattes af det nye Afsnit IX c, har rod i
NIS2-direktivet. Vi har dog et stærkt ønske om,
at begrebet ”datacentraler” bevares som en gængs
betegnelse også fremadrettet, idet dette begreb vil være både lettere at omtale men også vil bevirke,
at BEC og andre datacentraler i den generelle kommunikation med omverden ikke er nødsaget til at
ændre benævnelse, herunder forklare baggrunden herfor. Endelig bemærkes, at begrebet datacen-
traler ligeledes fremgår af systemrevisionsbekendtgørelsen, som vi forstår, at Erhvervsministeriet
ikke påtænker at ændre.
Exitstrategi mv.
Det er uklart, om nugældende outsourcingbekendtgørelses krav til etablering af exit-strategier og
planer videreføres uændret
eller om der ved § 333h sker tilsigtede ændringer, herunder indføres
skærpede krav,
idet der tillige skal etableres transitionsplaner (jf. benævnelsen af ”overgangsplaner”).
I fald sidstnævnte er hensigten, ønsker BEC, at det præciseres, at transitionsplanerne først skal etab-
leres, når en exitsituation aktualiseres, idet etablering af transitionsplaner allerede, når en aftale med
tredjepartsleverandøren indgås, vil være unødigt bebyrdende, ligesom planernes effektivitet næppe
vil være proportional med indsatsen.
Tekstnær implementering af EU-retsakternes ordlyd eller ej
Det varierer generelt i lovforslaget, om terminologi lægger sig tekstnært op ad NIS2 og/eller DORA.
Der henstilles til ensartet anvendelse af terminologi
f.eks.
at der konsekvent henvises til ”tredjepar-
ter” i stedet for ”leverandører”.
Ved genanvendelse af NIS2’s terminologi
indføres i nogle tilfælde helt nye termer, der er synonyme
med tidligere særdeles velkendte termer fra outsourcingbekendtgørelsen. Eksempel herpå er §
333h, stk. 6, hvor der under litra 2) tales om tilsynsmæssige betingelser for ”udlicitering”. I fald der
med
”udlicitering” menes ”outsourcing”
bør dette udtryk anvendes. Alternativt bør betydningen af
”udlicitering” og andre NIS2-afledte
begreber præciseres i bemærkningerne med henvisning til vel-
kendt terminologi.
BEC står naturligvis til rådighed for evt. uddybende spørgsmål til ovennævnte samt bilag 1.
Bilag
Bilag 1
Høringssvar til FIL-ændringslov
BEC
Med venlig hilsen
BEC Financial Technologies a.m.b.a.
Jannie Noer Mortensen
Chief Information Security Officer
Malene Cederlund
Manager, Outsourcing Compliance
19. december 2023
#2/2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
Høringssvar fra Bankdata – 13. december 2023
Overordnet betragtninger og spørgsmål
Lovforslaget virker til at indbygge proportionalitetsprincippet ved at lægge op til individuel vurdering. Det
havde i stedet været at foretrække, hvis lovgivningen havde været mere konkret. Dette kunne f.eks. være
opnået på samme måde som i DORA, hvor der både er et ICT risk management framework og et simplificeret
framework.
På høringsmødet d. 12/12-2023 blev bilag 7 omtalt, og så vidt vi forstod, så udgår bilag 7, og dermed også
krav om risikostyringsfunktion og risikoansvarlig. Naturligvis skal § 333 b stk. 2 stadigt overholdes. Bekræft
venligst.
Specifikke spørgsmål
§ 333 b. Stk. 2. En operatør af finansiel digital infrastrukturs tilsyn med styring af sine it- og cyberrisici skal
placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og
cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre
forsvarslinjer eller en intern model for risikostyring og kontrol.
Skal dette tolkes således, at it- og cyberrisikostyringsfunktionerne er placeret i 1st line, kontrolfunktioner i
2nd line og intern revision i 3rd line, hvis man følger modellen for tre forsvarslinjer? Spørgsmålet baserer sig
på, at I de fleste fortolkninger af tre forsvarslinjer placeres risiko i anden forsvarslinje. De nuværende krav fra
ledelsesbekendtgørelsen, stiller ligeledes krav om monitorering og rapportering, hvilket harmonerer med
anden forsvarslinje?
§ 333 c. En operatør af finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring
af it- og cyberrisici i forhold til leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, som
er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital
operationel modstandsdygtighed i den finansielle sektor.
Dette lader til at være det eneste lovgivningsmæssige krav, hvor operatører af finansiel digital infrastruktur
pålægges at skulle understøtte deres kunder, der er underlagt DORA. Vi har svært ved at se samspillet mellem
denne og så kravene der stilles i DORA. Hvis en operatør af finansiel digital infrastruktur dokumenterer sin
ramme for styring af it- og cyberrisici i forhold til kritiske og vigtige funktioner hos deres kunder, så er dette
vel alene ud fra de krav der stilles i dette lovforslag. Lovforslaget indeholder dog ikke direkte krav om mange
af de foranstaltninger der kræves i DORA. Hvis en operatør af finansiel digital infrastruktur derfor ikke
implementerer de samme foranstaltninger der kræves i DORA, hvordan kan deres kunder så dokumenterer
deres efterlevelse?
§ 333 e stk. 8
En operatør af finansiel digital infrastruktur skal gennemføre politikken for it-driftsstabilitet, jf.
stk. 7, ved hjælp af dokumenterede beredskabsplaner, ordninger, procedurer mv., med henblik på
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
4) at anslå foreløbige virkninger, skader og tab, og
Finanstilsynets foreløbige model herfor i cyberstresstesten medtog en række tidskrævende
vurderingsparametre, der ikke alle i praksis bidrog væsentligt til at anslå virkninger, skader og tab. Det
bemærkes derfor at virksomhederne bør have frihed til at vælge egne modeller, der mest effektivt kan
anvendes til opgørelser.
§ 333 e Stk. 11. En operatør af finansiel digital infrastruktur skal udvikle politikker for en systematisk læring på
baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring,
trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en
årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.
Hvilke testresultater refereres der til? Er det kun de omtalte tests i § 333 e stk. 10 eller er det alle tests og
derfor også f.eks. også § 333 g og § 333 g stk. 2?
§ 333 f Stk. 3.
En operatør af finansiel digital infrastruktur skal indberette væsentlige it- og cyberhændelser til
Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10, i Europa-Parlamentets og Rådets direktiv (EU)
2022/2555 af 14. december 2022. Indberetningen skal indeholde alle oplysninger, der er nødvendige for
Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.
Det er uklart hvad præcist I har brug for til at kunne fastslå eventuelle grænseoverskridende virkninger.
§ 333 f Stk. 4
En hændelse, jf. stk. 3, anses for væsentlig, hvis
1) den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller
økonomiske tab for operatøren, eller
Økonomiske tab er beskrevet i NIS2 med samme ordlyd. Der mangler en uddybende vejledning i hvad et
økonomisk tab i praksis betyder, eksempelvis kan det være et minimalt økonomisk tab. Der er risiko for at
hændelser hos operatører primært registreres som væsentlige, hvis de forårsager alvorlige driftsforstyrrelser.
§ 333 h stk 6 Inden en operatør af finansiel digital infrastruktur indgår en kontraktlig ordning for brugen af it-
tjenester, skal operatøren
2) vurdere om de tilsynsmæssige betingelser for udlicitering er opfyldt,
Hvilke tilsynsmæssige betingelser refereres der til her?
4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under
udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet og
Hvilke kriterier skal benyttes til at vurdere om en tredjepartsudbyder er egnet?
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
§ 333 h stk. 9
En operatør af finansiel digital infrastruktur skal indføre exitstrategier for it-tjenester, der
understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos
tredjepartsudbydere af it-tjenester, herunder
Exitstrategierne bør tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder
væsentligheden af risiciene. Dette er allerede taget med i stk. 9 litra 4, og bør også dække de øvrige litra.
§ 333 l 4) Ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på
operatøren.
Hvad er formålet med IP-adresser? Vil det ikke give bedre mening med f.eks. domæneadresser?
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0012.png
Victor Saxlund (FT)
Fra:
Sendt:
Til:
Cc:
Emne:
Michael Camphausen <[email protected]>
20. december 2023 11:16
Høringer
Victor Saxlund (FT); Danny Dehghani (FT); Jon Hasling Kyed (FT)
SV: DAFINA høringssvar vedrørende lovudkast til ændring af lov om finansiel
virksomhed, lov om betalinger mv. vedrørende MICA og DORA
23-013111
1048085
Sag:
Sagsdokument:
På vegne af
Dansk Fintech Alliance (DAFINA)
fremsendes hermed nedenstående
supplerende
høringssvar
vedrørende Finanstilsynets ovennævnte udkast til finansielt samlelovforslag, hvad angår
lovudkastets forslag til ændring af
lov om finansiel virksomhed
og
lov om betalinger
i anledning
af
MICA
forordningen og
DORA
forordningen.
Det fremgår som bekendt af betalingslovens § 10, at Finanstilsynet kan beslutte i de situationer, hvor
et betalingsinstitut (PSP) eller et e-pengeinstitut (EMI) udøver andre aktiviteter i lovens forstand (jf.
lovens § 18), at betalingstjenestevirksomheden skal udøves i et særskilt (koncern)selskab, hvis de
andre aktiviteter efter tilsynets vurdering forringer eller skønnes at kunne forringe instituttets soliditet
eller Finanstilsynets mulighed for at føre tilsyn med instituttet.
Vi skal i denne forbindelse
opfordre
til, at det i lovbemærkningerne til betalingsloven og/eller lov om
finansiel virksomhed (fx den nye påtænkte bestemmelse i FIL § 332 b) medtages, at det er det klare
lovmæssige udgangspunkt, at et betalingsinstitut og et e-pengeinstitut (med supplerende tilladelse
som CASP) som
andre aktiviteter
kan
udbyde kryptoaktivtjenester,
og et e-pengeinstitut (i kraft
af EMI-licensen) kan
udstede e-pengetokens,
uden at selve betalingstjenestevirksomheden som
PSP/EMI (eller omvendt kryptoaktivtjenesterne eller e-pengetokenudstedelsen) skal udøves i et
særskilt (koncern)selskab.
Med andre ord er det afgørende for betalingsinstitutter og e-pengeinstitutter, at de på samme måde
som kreditinstitutter (som lovlig pengeinstitutvirksomhed) kan udbyde kryptoaktivtjenesterne mv. i
selve instituttet, hvilket også synes at være formålet med og hensigten i MICA. Der bør således af
konkurrencemæssige grunde ikke være forskel på betalingsinstitutter/e-pengeinstitutter og
kreditinstitutter/pengeinstitutter i så henseende.
DAFINA står meget gerne til rådighed for uddybning af og dialog om ovenstående og nedenstående.
Med venlig hilsen
Dansk Fintech Alliance (DAFINA)
Fra:
Michael Camphausen
Sendt:
12. december 2023 12:14
Til:
Høringer <[email protected]>
Cc:
Victor Saxlund (FT) <[email protected]>; [email protected]; Jon Hasling Kyed <[email protected]>
Emne:
DAFINA høringssvar vedrørende lovudkast til ændring af lov om finansiel virksomhed, lov om betalinger mv.
vedrørende MICA og DORA
På vegne af
Dansk Fintech Alliance (DAFINA)
fremsendes hermed nedenstående
høringssvar
vedrørende Finanstilsynets ovennævnte udkast til finansielt samlelovforslag, hvad angår lovudkastets
forslag til ændring af
lov om finansiel virksomhed
og
lov om betalinger
i anledning af
MICA
forordningen og
DORA
forordningen.
1
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0013.png
DAFINA takker på denne vis for muligheden for at afgive nærværende høringssvar og skal således
fremkomme med følgende konkrete bemærkninger og input i forhold til de foreslåede lovændringer
forbundet med MICA og DORA:
Ad lov om finansiel virksomhed (lovudkastets § 1 vedr. FIL §§ 332ff og bilag 1)
Det indføres udtrykkeligt i FIL bilag 1, nr. 13, at ”udstedelse af elektroniske pengetokens” som
defineret i MICA udgør pengeinstitutvirksomhed. Der bør rettelig være tale om både ”udstedelse af
elektroniske pengetokens” og ”udbud til offentligheden eller optagelse til handel af elektroniske
pengetokens”. Den endelige vedtagne version af MICA (i modsætning til det oprindelige forslag)
sondrer således mellem
udstedelse af e-pengetokens
og
udbud af e-pengetokens
som værende
forskellige aktiviteter, og en udbyder af e-pengetokens er nødvendigvis ikke i alle tilfælde den samme
som en udsteder af e-pengetokens. Det bør således præciseres i lovens bilag 1 eller i det mindste i
lovbemærkningerne, at pengeinstitutterne både kan udstede e-pengetokens og udbyde e-pengetokens
som lovlig
pengeinstitutvirksomhed
i kraft af pengeinstituttilladelsen.
Det indføres udtrykkeligt i FIL bilag 1, nr. 14, at ”udstedelse af aktivbaserede tokens” som defineret i
MICA udgør pengeinstitutvirksomhed. Der bør rettelig være tale om både ”udstedelse af aktivbaserede
tokens” og ”udbud til offentligheden eller optagelse til handel af aktivbaserede tokens”. Den endelige
vedtagne version af MICA (i modsætning til det oprindelige forslag) sondrer således mellem
udstedelse af aktivbaserede tokens
og
udbud af aktivbaserede tokens
som værende forskellige
aktiviteter, og en udbyder af aktivbaserede tokens er nødvendigvis ikke i alle tilfælde den samme som
en udsteder af aktiv baserede tokens. Det bør således præciseres i lovens bilag 1 eller i det mindste i
lovbemærkningerne, at pengeinstitutterne både kan udstede aktivbaserede tokens og udbyde
aktivbaserede tokens som lovlig
pengeinstitutvirksomhed
i kraft af pengeinstituttilladelsen.
Loven eller i det mindste lovbemærkningerne bør herudover tage stilling til, hvorvidt
udstedelse
og/eller udbud af andre kryptoaktiver/tokens end elektroniske pengetokens eller
aktivbaserede tokens
udgør lovlig pengeinstitutvirksomhed (eller i det mindste lovlig accessorisk
virksomhed). Det indføres udtrykkeligt i FIL bilag 1, nr. 15, at udbud af kryptoaktivtjenester som
defineret i MICA udgør pengeinstitutvirksomhed, hvilket således omfatter levering af
kryptoaktivtjenester vedrørende både elektroniske pengetokens, aktivbaserede tokens og andre
kryptoaktiver/tokens end elektroniske pengetokens eller aktivbaserede tokens, dvs. ethvert
kryptoaktiv/token. Hermed er der dog ikke taget stilling til, hvorvidt selve udstedelsen og/eller
udbuddet af andre kryptoaktiver/tokens end elektroniske pengetokens eller aktivbaserede tokens
udgør lovlig pengeinstitutvirksomhed (eller accessorisk virksomhed) i kraft af pengeinstituttilladelsen,
hvilket derfor bør afklares (i det mindste i lovbemærkningerne). I denne forbindelse synes det
hensigtsmæssigt at sondre mellem utility tokens i MICA’s forstand og øvrige kryptoaktiver/tokens (fx
kryptovaluta), der ikke udgør elektroniske pengetokens eller aktivbaserede tokens, idet udbud af
sådanne øvrige kryptoaktiver/tokens (fx kryptovaluta), der ikke udgør elektroniske pengetokens eller
aktivbaserede tokens, og heller ikke udgør utility tokens i MICA’s forstand, alt andet lige bør betragtes
som lovlig
pengeinstitutvirksomhed
(eller i det mindste
accessorisk virksomhed)
i kraft af
pengeinstituttilladelsen.
Det følger udtrykkeligt af MICA, at MICA ikke finder anvendelse på kryptoaktiver/tokens, der betragtes
som finansielle instrumenter eller indskud, herunder strukturerede indlån. Tokeniserede finansielle
instrumenter omfattes således af MIFID reguleringen, herunder i forhold til pengeinstitutternes
mulighed for at udbyde aktiviteter/services forbundet med sådanne tokeniserede finansielle
instrumenter. Derimod omfattes
tokeniserede indskud/indlån
(endnu) ikke af finansiel regulering i
EU, og det bør således i loven eller i det mindste i lovbemærkningerne afklares, hvorvidt udstedelse
og/eller udbud af tokeniserede indskud/indlån udgør lovlig pengeinstitutvirksomhed (eller i det mindste
accessorisk virksomhed). Udstedelse og/eller udbud af tokeniserede indskud/indlån bør således
betragtes som lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen, dvs.
indlånsvirksomhed udgør i alle tilfælde
pengeinstitutvirksomhed
(omfattet af pengeinstitutternes
eneret), uanset om der er tale om almindelige indlån/indskud eller tokeniserede indlån/indskud (jf. FIL
bilag 1, nr. 1).
Det indføres udtrykkeligt i FIL § 332 b og angives udtrykkeligt i lovbemærkningerne, at kravet om
tilladelse efter MICA til at levere
kryptoaktivtjenester
ikke gælder for
e-pengeinstitutter
(som
giver Finanstilsynet meddelelse/notifikation i henhold til proceduren herom i MICA). MICA (art. 59, stk.
1, og art. 60, stk. 4) synes dog at foreskrive, at e-pengeinstitutter alene er undtaget fra kravet om
tilladelse efter MICA til at levere kryptoaktivtjenester, for så vidt angår deponering og administration
2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0014.png
af kryptoaktiver på kunders vegne og tjenester vedrørende overførsel af kryptoaktiver på kunders
vegne med hensyn til de e-pengetokens, som e-pengeinstituttet selv udsteder (hvis e-pengeinstituttet
giver tilsynet meddelelse/notifikation i henhold til proceduren herom i MICA). Det bør derfor afklares
og præciseres i både lovbestemmelsen og i lovbemærkningerne, hvorvidt et e-pengeinstitut (foruden
tilladelsen som netop e-pengeinstitut) skal have tilladelse (som CASP), hvis det påtænker at levere
andre kryptoaktivtjenester end de nævnte af slagsen i forhold til egne udstedte e-pengetokens, dvs.
hvis e-pengeinstituttet i almindelighed påtænker at fungere som
CASP.
Ad lov om betalinger (lovudkastets § 2 vedr. BET §§ 5, 11, 54, 60)
Som følge af DORA og det tilknyttede ændringsdirektiv til bl.a. PSD2 indeholder lovudkastet en række
konsekvensændringer og stramninger af de forskellige
tilladelsesbestemmelser
og
tilladelsesbetingelser
i betalingsloven, hvad angår betalingsinstitutter, e-pengeinstitutter, udbydere
af betalingstjenester mv. med begrænset tilladelse og udbydere af kontooplysningstjenester. For flere
af disse institutter/udbydere på betalingsområdet gælder forenklede krav til it-sikkerhed og it-
risikostyring i medfør af DORA.
Det er i denne forbindelse væsentligt at sikre, at de nævnte
forenklede krav til it-sikkerhed og it-
risikostyring
for de pågældende institutter/udbydere på betalingsområdet også slår igennem i selve
tilladelsesbestemmelserne og tilladelsesbetingelserne i betalingsloven og i tilsynspraksis, således at
det ikke bliver vanskeligere for nye danske udbydere på netop betalingsområdet at ansøge om og
opnå tilladelse fra Finanstilsynet sammenholdt med konkurrerende udenlandske betalingsudbydere fra
andre EU-lande.
Det skal derfor sikres, at den danske implementeringslovgivning i så henseende ikke går videre end
hvad nødvendigt er, og at der således ikke sker dansk overimplementering på området, der kan gøre
tilladelsesbetingelserne
for stramme og
tilladelsesprocessen
for tung for nye danske udbydere på
betalingsområdet, herunder især nye innovative fintechs, som alene skal ansøge om begrænset
tilladelse på betalingsområdet eller om tilladelse som kontooplysningstjenesteudbyder (AISP).
I det omfang DORA og PSD2 (som konsekvensændret ved følgedirektivet til DORA) således giver
mulighed for at fravige eller minimere indgribende krav, herunder tilladelseskrav, vedrørende it-
sikkerhed og it-risikostyring for sådanne nye, mindre betalingsudbydere, AISP’er mv., bør dette slå
fuldt ud igennem i betalingsloven, herunder i lovens
tilladelsesbestemmelser
og
tilladelsesbetingelser,
og i så fald bør lovudkastet alt andet lige tilpasses og justeres i så henseende
(hvad angår ændringerne til betalingslovens § 10 og § 11 og især § 52, § 54 og § 60).
Lovudkastet synes i øvrigt at indeholde en teknisk ændring af betalingslovens definition af og
anvendelse på en udbyder af tekniske tjenester (dvs. en
TSP
i modsætning til en PSP /
betalingsudbyder), hvor den reelle ændring består i lovbemærkningerne til bestemmelsen (som følge
af DORA) og ikke i selve lovbestemmelsen (§ 5, stk. 1, nr. 10). Hvis dette er korrekt forstået, dvs.
hvis det blot handler om at udvide og præcisere lovbemærkningerne, idet selve lovbestemmelsen i
grunden ikke indholdsmæssigt ændres som sådan, bør dette alt andet lige forklares i netop
lovbemærkningerne.
Ad ændringslovens ikrafttræden (lovudkastets § 15)
Lovudkastets
ikrafttrædelsesbestemmelser
synes umiddelbart ikke at være i overensstemmelse
med MICA’s ikrafttrædelsesbestemmelser. Lovens bestemmelser om udstedelse og udbud af
aktivbaserede tokens bør således træde i kraft allerede 30. juni 2024 (og ikke 30. december 2024 som
angivet i lovudkastet). Lovens bestemmelser om udstedelse og udbud af e-pengetokens bør således
også træde i kraft allerede 30. juni 2024 (og ikke 30. december 2024 som angivet i lovudkastet).
Lovens bestemmelser om udbud af kryptoaktivtjenester bør således træde i kraft 30. december 2024
(og ikke 30. juli 2024 som angivet i lovudkastet), hvorved ikrafttrædelsesdatoen også vil harmonere
med overgangsordningen for netop udbydere af kryptoaktivtjenester. I øvrigt synes selve
overgangsordningen
i lovudkastet at være formuleret mere snæver end hvad følger af MICA.
Derudover bør det i lovbemærkningerne medtages, at tilladelsespligtige virksomheder/udbydere efter
Finanstilsynets nærmere orientering herom har mulighed for at klargøre og indgive
tilladelsesansøgning
til tilsynet i en vis periode inden de ovennævnte ikrafttrædelsesdatoer med
henblik på tilsynets meddelelse af tilladelser umiddelbart fra de ovennævnte ikrafttrædelsesdatoer.
Med andre ord bør der i praksis åbnes op for klargøring og indgivelse af tilladelsesansøgninger (og for
3
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0015.png
meddelelser/notifikationer i henhold til proceduren herom) fx 3 eller 6 måneder inden de nævnte
ikrafttrædelsesdatoer, således at danske virksomheder/udbydere af konkurrencemæssige årsager kan
opnå tilladelse lige så hurtigt som udenlandske virksomheder/udbydere fra andre EU-lande.
DAFINA står meget gerne til rådighed for uddybning af og dialog om ovenstående.
Med venlig hilsen
Dansk Fintech Alliance (DAFINA)
Fra:
Victor Saxlund (FT) <[email protected]>
Sendt:
14. november 2023 16:18
Til:
Victor Saxlund (FT) <[email protected]>; Høringer <[email protected]>
Emne:
Høring over udkast til lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love
Til høringsparterne
Herved udkast l lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og
forskellige andre love (Tilsyn e er forordning om digital opera onel modstandsdyg ghed i den finansielle sektor og
forordning om markeder for kryptoak ver) i høring.
Se venligst vedhæ ede høringsbrev, høringsliste og udkast l lovforslag.
Finans lsynet skal bede om at modtage eventuelle bemærkninger l lovforslaget senest onsdag den 20. december
2023.
Bemærkninger bedes sendt pr. e-mail l
hoeringer@ net.dk
med kopi l
vic@ net.dk.
Eventuelle spørgsmål l lovforslaget kan re es l Victor Saxlund på tlf. 33 55 83 37.
Med venlig hilsen
Victor Saxlund
Fuldmægtig, cand. jur
Juridisk kontor
__________________________________________________
Strandgade 29, 1401 København K
Direkte tlf.: +45 33 55 83 37
mailto:vic@ net.dk
www.finans lsynet.dk
_________________________________________________
Finanstilsynet er ansvarlig for behandlingen af de personoplysninger, vi modtager om dig. Du kan læse mere om, hvordan vi behandler dine
personoplysninger på vores hjemmeside
https://www.finanstilsynet.dk/Kontakt/Privatlivspolitik
Finanstilsynet gør opmærksom på, at denne e-mail og eventuelle vedhæftede filer er fortrolige. Hvis du har modtaget denne mail ved en fejl, bedes
du straks oplyse Finanstilsynet herom ved at besvare denne e-mail og derefter slette e-mailen. Vi gør opmærksom på, at hvis du har modtaget
denne e-mail ved en fejl, kan enhver form for kopiering, offentliggørelse eller distribution af denne e-mail være ulovlig.
4
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0016.png
Victor Saxlund (FT)
Fra:
Sendt:
Til:
Cc:
Emne:
Christian Stade <[email protected]>
20. december 2023 13:56
Høringer
Cecilie Langberg Jessen; Birgitte Germann Skytte; Victor Saxlund (FT); Maria Ljørring
Rasmussen (FT)
SV: Høring over udkast til lov om ændring af lov om finansiel virksomhed, lov om
betalinger, lov om kapitalmarkeder og forskellige andre love
23-013111
1048623
Sag:
Sagsdokument:
Til rette vedkommende,
e-nettet har forberedt følgende bemærkninger til lovforslaget, som vi finder relevant ift. vores egen
gennemgang af forslaget:
1) Proportionalitetsprincippet i Art. 4, i DORA er ikke nævnt i lovforslaget.
a. Vi mener, at det er en god idé at gentage proportionalitetsprincippet fra DORA art. 4
direkte i lovteksten, så det kan anvendes af datacentralerne, præcis som det i dag
fremgår af LBKG Bilag 5.
Dette kunne uddybes i bemærkninger, særligt hvis det ikke skrives direkte ind i loven,
gerne med nærmere bemærkning om hvorfor det ikke er fundet nødvendigt at skrive det
direkte i lovteksten, da vi forstod på mødet, at proportionalitetsprincippet implicit er
indarbejdet i bl.a. udvælgelseskriterier for, hvem der udpeges som OFDI.
2) Jf. § 333 b, stk. 1, Strategi for operationel modstandsdygtighed
a. Er der her tale om en ny strategi, eller en revurdering af den pt. under Bilag 5
eksisterende IT-strategi?
I bekræftende tilfælde, hvordan skal den nye strategi adskille sig for den gamle? Det ville være
fint, hvis bemærkningerne til lovforslaget forholdt sig hertil, herunder om kravene til strategien
i DORA art. 6, nr. 8, finder anvendelse for de fælles datacentraler.
3) Jf. § 333 b. stk. 2, adskillelse af risikostyringsfunktion og kontrolfunktioner
a. Vi ser gerne at bemærkningerne til lovforslaget uddybes, så det er klart i hvilket omfang
bestemmelsen medfører en ændring af pligten til at udpege en risikoansvarlig og den
risikoansvarliges og risikostyringsfunktionens opgaver, jf. ledelsesbekendtgørelsens § 16
og bilag 5, nr. 106-108 og bilag 7. Som vi forstod på mødet, vil de fælles datacentraler
efter den nye lovgivning ikke længere være omfattet af Ledelsesbekendtgørelsen i sin
helhed, og dermed vil pligten til at udpege en risikoansvarlig, jf.
ledelsesbekendtgørelsens § 16 bortfalde. Det vil være fint, hvis bemærkningerne til
lovforslaget behandler dette.
4) Jf. § 333 h, stk. 4, Strategi for IT-tredjepartsrisici
a. Vi foreslår, at det uddybes, evt. i bemærkningerne, om strategien skal godkendes af
bestyrelsen og hvorvidt den kan være en del af den under § 333 b, stk. 2 nævnte
strategi for operationel robusthed, henset til at den skal være en integreret del af
risikostyringsrammerne.
5) Jf. § 333 j, stk. 2, nr. 3
a. Vi foreslår, at det præciseres i bemærkningerne, hvad forskellen er på autenticitet og
integritet.
Med venlig hilsen
Christian Stade
Compliance Officer
Tlf.: 23848946
E-mail: [email protected]
1
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0017.png
Finanstilsynet
Att.: Victor Saxlund
Afsendt pr. mail til
[email protected] og til [email protected]
20.12.2023
Høringssvar fra F&P til forslag om ændring af Lov om fi-
nansiel virksomhed, Lov om betalinger, Lov om kapital-
markeder m.fl.
F&P takker for muligheden for at komme med bemærkninger til lovforsla-
get. Bemærkningerne relaterer sig primært til ændringerne for implemente-
ring af DORA-forordningen og NIS2 direktivet, samt rammerne for udpeg-
ning af et administrationsselskab for Garantifonden for Skadesforsikrings-
selskaber. F&Ps har følgende hovedbudskaber:
For så vidt angår ændringer for implementeringen af DORA-forordnin-
gen og NIS2
Vi finder det problematisk, at reglerne ikke er tilstrækkeligt præcise til
at det klart kan fastslås direkte fra loven dels hvilke virksomheder som
vil falde under kategorien ”operatører af finansielle digitale infrastruk-
turer” og dels omfanget af de konkrete forpligtelser sådanne operatører
underlægges.
Der er behov for klarhed om reguleringen af datacentraler, der ikke ud-
peges som operatører af finansiel digital infrastruktur (typisk de forsik-
ringsrelaterede), og som med lovforslaget umiddelbart skrives ud af de
eksisterende finansielle regelsæt.
For så vidt angår forslag til ændring af Lov om Skadesgarantifonden
Det bør sikres, at flere selskaber end de absolut største skadesforsik-
ringselskaber kan komme i spil som administrationsselskab for Garan-
tifonden.
F&P
Philip Heymans Allé 1
2900 Hellerup
Tlf.:
41 91 91 91
[email protected]
www.fogp.dk
Karen Gjølbo
Senior legal consultant
Dir.
41919045
[email protected]
Sagsnr.
DokID
GES-2023-00416
475889
Brancheorganisation
for forsikringsselskaber
og pensionskasser
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
F&Ps bemærkninger til lovforslaget:
For så vidt angår ændringsforslagene der relaterer sig til implementerin-
gen af NIS2, jf. særligt lovforslaget § 1, nr. 24 om tilføjelse af afsnit IX c
om ”Operatører af finansielle digitale infrastrukturer” i Lov om finansiel
virksomhed.
-
Uklare kriterier for udpegelsen af operatører af finansielle digitale in-
frastrukturer og krav i lovgivningen
F&P
Sagsnr.
DokID
GES-2023-00416
475889
F&P har flere bemærkninger til afsnit IX c, som foreslås tilføjet i Lov om Fi-
nansiel Virksomhed (FIL) og som retter sig mod
operatører af finan-
sielle digitale infrastrukturer,
der pålægges særlige forpligtelser efter
loven.
Det er uklart præcis hvilke aktører der bliver omfattet af reglerne, idet krite-
rierne for udpegning af disse aktører er noget løst og overordnet formuleret,
hvilket ligeledes gælder de indholdsmæssige krav til sådanne operatører.
Det efterlader et betydeligt rum for fortolkning og tilsvarende retsusikker-
hed. Med introduktionen af reglerne i afsnit IX c ophæves samtidig den
gældende regulering af ”datacentraler” i den finansielle lovgivning, herun-
der også § 8 i Lov om forsikringsvirksomhed, jf. Lovforslagets § 1, nr. 25 og
§ 8, nr. 3.
Dette skaber særlig usikkerhed for visse virksomheder på forsikringsområ-
det, herunder særligt datacentraler, der understøtter forsikrings- og pensi-
onsbranchen, som ellers ikke umiddelbart vurderes at falde under NIS 2.
Det er vores forståelse, at Finanstilsynet vil udpege og liste de virksomhe-
der, der anses for operatører af finansielle digitale infrastrukturer. Det vil
imidlertid først ske, når denne lovgivning er trådt i kraft, hvilken giver me-
get kort tid til de omfattede virksomheder til at indrette sig.
Forsikrings- og pensionsselskaberne navigerer umiddelbart efter at skulle
efterleve reglerne i DORA fra januar 2025. Det er allerede en omkostnings-
tung proces, der tilmed er presset af manglende klarhed omkring regulerin-
gen, der fortsat er under udfoldelse i level 2 reguleringen på EU-plan. Det
skaber således ekstra usikkerhed og pres på virksomhederne, hvis det viser
sig, at der er forsikrings- eller pensionsselskaber, der bliver omfattet reg-
lerne idet de karakteriseres som ”operatører af finansielle digitale infra-
strukturer)
Særligt vedrørende lovforslagets § 8 og forslag om ophævelse af reglerne
om fælles datacentraler
Med lovforslagets § 1, nr. 24, foreslås det, at Finanstilsynet efter FIL § 333
kan udpege ”operatører af finansielle digitale infrastrukturer”. Ifølge de
specielle bemærkninger til bestemmelsen betyder det, at ”for f.eks. fælles
Side 2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
datacentraler, der udpeges, vil bestemmelsen betyde, at disse fortsat vil
være omfattet af Finanstilsynets tilsyn”.
Efter den foreslåede FIL § 333, stk. 1, kan Finanstilsynet udpege virksomhe-
der, der udbyder digital infrastruktur eller forvalter IT-tjenester, og hvis
væsentligste aktiviteter består i at drive, administrere eller udvikle tjene-
ster, der er nødvendige for kritiske og vigtige forretningsfunktioner i virk-
somheder omfattet af DORA-forordningen, som ”operatører af finansielle
digitale infrastrukturer”.
Kriterierne for udpegning af operatører af finansielle digitale infrastruk-
turer
Ved udpegningen af operatører af finansielle digitale infrastrukturer skal
Finanstilsynet ifølge § 333, stk. 2, lægge vægt på:
1) omfanget og antallet af finansielle virksomheder, som operatøren vareta-
ger kritiske og vigtige funktioner for,
2) karakteren af de kritiske og vigtige funktioner, som er afhængige af ope-
ratørens leverancer,
3) betydningen af operatørens leverancer for den finansielle stabilitet,
4) operatørens tilknytning til de virksomheder i den finansielle sektor, som
modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.
Lovforslagets § 1, nr. 24, indeholder derudover en række materielle bestem-
melser, der dels implementerer NIS 2-direktivet (ny FIL §§ 333 a) og dels
harmoniserer kravene til operatører af finansiel digital infrastruktur med
DORA-forordningen, idet det er forudsat i lovforslaget, at fælles datacentra-
ler ikke er direkte omfattet af DORA-forordningen (ny FIL § 333 b-k).
Blandt andet bliver operatører af finansiel digital infrastruktur pålagt regler
om tredjepartsrisici i FIL § 333 h, der stiller en række krav til brugen af
tredjeparter til levering af IT-tjenester, herunder navnlig til kritiske eller
vigtige funktioner. Der stilles i FIL § 333i også krav om risikovurdering ved
indgåelse af sådanne kontrakter, ligesom kontrakter med tredjepartsudby-
dere af IT-tjenester skal opfylde de indholdsmæssige krav i FIL § 333 j.
Dermed bliver operatører af finansiel digital infrastruktur pålagt de samme
forpligtelser ved IT-outsourcing, som forsikringsselskaberne bliver pålagt
ved DORA-forordningen.
Endvidere bemærkes lovforslagets § 1, nr. 7, hvor der i § 72a indsættes nyt
stk. 4 som vil indebære, at reglerne om outsourcing for
pengeinstitutter,
F&P
Sagsnr.
DokID
GES-2023-00416
475889
Side 3
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
sparevirksomheder, realkreditinstitutter og investeringsforvaltningssel-
skaber
i § 72 a, stk. 1 og 2, samt bemyndigelsesbestemmelsen til at er-
hvervsministeren kan fastsætte nærmere regler i medfør af stk. 3, ikke læn-
gere vil omfatte outsourcing på det digitale operationelle område.
Vi kan imidlertid ikke se, at der i ændringslovforslaget, eller i den nye lov
om forsikringsvirksomhed (§ 134), er indsat tilsvarende bestemmelse for
forsikringsselskaber, hvilket skaber uklarhed om, hvorvidt reglerne om out-
sourcing i §72b/LFV § 134 fortsat skal gælde for det digitale operationelle
område.
Umiddelbart vil betydningen i princippet være, at outsourcing-reglerne sta-
dig gælder, selvom en anskaffelse er omfattet af DORA, hvilket vil være i
strid med ”single source” formålet med DORA. Vi formoder, at der er tale
om en fejl.
Samlet set ser vi flere mulige problemer ved lovforslaget:
Anvendelsesområdet
Det synes forudsat i lovforslaget, at de fælles datacentraler vil blive omfattet
af de foreslåede regler i FIL afsnit IX c (se f.eks. lovforslagets s. 602-603).
Som vi læser kriterierne for Finanstilsynets udpegelse af ”operatører af fi-
nansiel digital infrastruktur” er det imidlertid ikke nødvendigvis givet, at
alle fælles datacentraler vil blive udpeget som en sådan operatør og dermed
omfattet af reglerne i bl.a. FIL § 333 h-j.
De fælles datacentraler defineres i LFV (i grove træk) som virksomheder,
hvis væsentligste aktiviteter omfatter IT-drifts- eller udviklingsopgaver for
flere forsikringsselskaber, og som overvejende er ejet af 1) et eller flere for-
sikringsselskaber i forening eller b) en eller flere foreninger, hvis medlem-
mer er forsikringsselskaber. Der er således tale om to objektive kriterier
vedrørende virksomhedens opgaver og ejerforhold.
Derimod er udpegningen af ”operatører af finansiel digital infrastruktur”
baseret på en skønsmæssig vurdering, hvor blandt andet virksomhedens be-
tydning for den finansielle stabilitet indgår som et element blandt flere.
Man kunne derfor godt forestille sig, at f.eks. en datacentral, som alene le-
verer IT-ydelser til en række mindre forsikringsselskaber, ikke i praksis vil
blive vurderet som så vigtig for den finansielle stabilitet, at datacentralen vil
blive udpeget som ”operatør af finansiel digital infrastruktur” efter FIL §
333, stk. 2.
I så fald opstår der reelt et hul i lovgivningen for disse fælles datacentralers
brug af outsourcing, idet fælles datacentraler, som ikke er udpeget som ope-
ratører af finansiel digital infrastruktur, ikke er omfattet af de nye regler i
F&P
Sagsnr.
DokID
GES-2023-00416
475889
Side 4
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
FIL §§ 333 h-j, ligesom outsourcingreglerne for de fælles datacentraler i
LFV § 8, stk. 1, nr. 2, vil blive ophævet med lovforslaget.
Det bemærkes i den forbindelse, at det som nævnt er forudsat i lovforslaget,
at de fælles datacentraler ikke er omfattet direkte af DORA-forordningen,
hvilket er årsagen til, at der er fremsat forslag om at indføre lignende regler
for disse virksomheder i FIL § 333 b-k (se lovforslagets s. 60 + s. 68).
For at undgå dette mulige hul i lovgivningen på outsourcingområdet, skal
man beholde reglerne for de fælles datacentraler i LFV som tilbagefaldsreg-
ler for de fælles datacentraler, som ikke vurderes at være ”operatører af fi-
nansiel digital infrastruktur” medmindre det er intentionen, at omtalte da-
tacentraler skal falde ud af tilsynet.
Det bemærkes, at det i forarbejderne synes forudsat, at alle fælles datacen-
traler vil blive anset som ”operatører af finansiel digital infrastruktur” (se s.
602-603). Når der imidlertid er lagt op til en skønsmæssig vurdering med
den foreslåede § 333, stk. 2, vil det være at sætte skøn under regel, hvis man
opererer ud fra en praksis om, at fælles datacentraler for finansielle virk-
somheder automatisk opfylder kriterierne i FIL § 333, stk. 2, for at blive ud-
peget som operatør af finansiel digital infrastruktur.
Uklare strafbestemmelser
Det bemærkes endvidere, at § 333 b, vedr. ledelse og organisation, ligeledes
er uklart formuleret. Eksempelvis fremgår det af § 333 b, stk. 5, at der skal
udpeges et direktionsmedlem, som er
ansvarlig for tilsyn og dokumenta-
tion i forbindelse med eksponering for it- og cyberrisici fra tredjepartsud-
bydere.
Det er imidlertid ikke tydeligt hvilket specifikt ansvar, som skal løf-
tes af pågældende direktionsmedlem, hvilket er yderst problematisk i lyset
af, at overtrædelse af § 333, stk. 5 er strafbelagt.
Generelt gælder det, at straffebestemmelserne i Afsnit IX c er uklare. F.eks.
medfører § 333 d, stk. 3, at det er strafbart ikke at overholde minimumskra-
vene til indholdet af risikostyringsrammen, men det er uklart, hvad omtalte
minimumskrav dækker over.
Et andet eksempel på uklare straffebestemmelser er knyttet til § 333 b, stk.
4 om intern revision af rammen for it- og cyberrisici. Det fremgår af be-
mærkningerne, at det skal det være strafbart ikke at foretage regelmæssig
intern revision af rammerne for styring af it- og cyberrisici. Det er imidler-
tid uklart, hvad der menes med ”regelmæssig”.
Overordnet er det yderst problematisk, at beskrivelserne af de forpligtelser,
som operatørerne af finansielle digitale infrastrukturer skal leve op til, er
F&P
Sagsnr.
DokID
GES-2023-00416
475889
Side 5
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
uklart formuleret. Særligt utilfredsstillende er det, at i tilfælde hvor et for-
hold er strafbart, at fortolkningsrummet er så stort, som det er tilfældet for
flere af straffebestemmelserne i afsnit IX c.
Formuleringer som ”tilstrækkelig” og ”regelmæssigt” er ikke passende til at
beskrive et forhold, som er strafbelagt, og forpligtelser beskrevet i disse
vendinger bør omformuleres i den endelige lov, så det bliver tydeligt, hvad
der forventes af operatørerne.
Endelig bemærkes det, at det i bemærkningerne til samlelovforslaget (s.
610) anføres, at bødeniveauet tiltænkes fastsat i overensstemmelse med §
372, stk. 12 i FIL. Umiddelbart bør den reference være til § 373, stk. 12.
Direktionens ansvarsområde
Et andet problematisk forhold, som bør fremhæves, er § 333 e, stk. 11, der
medfører, at en operatør af finansiel digital infrastruktur skal udvikle poli-
tikker for en systematisk læring på baggrund af den viden, som operatøren
opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning,
testresultater og it- og cyberhændelser. Viden der skal afrapporteres til le-
delsesorganet med anbefalinger til forbedringer.
Kravet om en politik for at opsamle omtalte viden, samt at denne viden skal
lede til anbefalinger til forbedringer til ledelsesorganet, er fornuftig. Det er
imidlertid problematisk, når det i bemærkningerne til § 333 e, stk. 11 frem-
går, at ledelsesorganet skal forstås som operatørens bestyrelse. Der er tale
om forhold, der ligger inden for direktionen ansvarsområde, hvorfor afrap-
porteringen bør henledes hertil.
Exit strategier
Endelig påpeges det, at det i § 333 h, stk. 11 fremgår, at exitstrategier skal
være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gen-
nemgået regelmæssigt. Det er imidlertid uklart, hvad ”testet i tilstrækkeligt
omfang” indebærer. F&P opfordrer til, at det gøres mere tydeligt, at test af
exitplaner kun kan gennemføres som ”skrivebordsøvelser”, da det ikke er
muligt at gennemføre en fuldstændig test af exit strategi uden en reel mod-
part, som data skal overføres til.
Autentifikation af brugere ved anvendelse af MitID-løsningen
Endelig bemærkes det, at samlelovforslagets § 1, nr. 8, medfører, at FIL §
72, c ophæves, og DORA herefter også vil gælde for
”autentifikation af bru-
gere ved anvendelse af MitID-løsningen”.
Dette er dog ikke blevet afspejlet
i lov om forsikringsvirksomheds § 134, stk. 7, hvilket vi formoder må være
en fejl.
F&P
Sagsnr.
DokID
GES-2023-00416
475889
Side 6
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0023.png
Ikrafttrædelsestidspunkt
Vi kan ikke umiddelbart få ikrafttrædelsesbestemmelserne til at hænge
sammen. Efter lovforslagets § 15, stk. 1, træder loven i kraft den 1. juli 2024,
jf. dog stk. 2-5. Efter stk. 4 træder FIL afsnit IX c i kraft den 18. oktober
2024. (I de specielle bemærkninger til § 15, stk. 5, er det forudsat, at be-
stemmelserne, som supplerer DORA-forordningen, først træder i kraft den
17. januar 2025. Som nævnt ovenfor drejer det sig om FIL §§ 333 b-k, men
vi kan ikke i ordlyden af § 15, stk. 5 finde støtte for, at disse bestemmelser
skulle være omfattet af § 15, stk. 5, med den virkning, at bestemmelserne
først træder i kraft den 17. januar 2025.)
Ophævelsen af reglerne om de fælles datacentraler i LFV træder i kraft den
1. juli 2024, da lovforslagets § 8 ikke ses nævnt i undtagelsesbestemmel-
serne i § 15, stk. 2-5. Uanset om de nye regler i FIL afsnit IX c træder i kraft
den 18. oktober 2024 (stk. 4) eller den 17. januar 2025 (stk. 5), vil der såle-
des være en periode, hvor der hverken i LFV eller FIL gælder regler for de
fælles datacentraler, herunder om outsourcing på IT-området, hvilket vel
næppe har været hensigten.
Ovennævnte to problemstillinger vil kunne give forsikringsselskaberne en
række praktiske vanskeligheder, fordi det er uhensigtsmæssigt, at der ikke
gælder de samme regler for forsikringsselskabernes outsourcing af IT-ydel-
ser til de fælles datacentraler og disses videreoutsourcing af IT-opgaver til
underleverandører.
Lovforslagets § 6 - Aflønning i firmapensionskasser:
Med lovforslaget samles de væsentligste bestemmelser om lønpolitik og va-
riabel aflønning af bestyrelsen, direktionen og andre væsentlige risikotagere
i firmapensionskasser på lovniveau, som det er tilfældet i den øvrige finan-
sielle lovgivning.
Som også anført i vores bemærkninger til de tilsvarende bestemmelser, som
blev indført for andre selskaber med Lov om forsikringsvirksomhed, bakker
F&P selvfølgelig op om, at aflønningsreglerne skal sikre, at forsikringssel-
skaber fører en forsvarlig lønpolitik med ligeløn, som fremmer en forsvarlig
virksomhedsledelse. F&P finder dog igen anledning til at påpege, at Finans-
tilsynet bør arbejde for et level playing field for forsikringsselskaber i EU,
herunder også for så vidt angår aflønningsregler.
I lighed med vores bemærkninger til forslaget til Lov om forsikringsvirk-
somhed (L88) har vi også her noteret, at det alene er de mest overordnede
bestemmelser i aflønningsbekendtgørelsen, der videreføres. Reglerne frem-
står meget forenklede og indeholder ikke den fleksibilitet og de bagatel-
grænser, som findes i den foreliggende aflønningsbekendtgørelse. Den gæl-
dende aflønningsbekendtgørelse § 24 bagatelgrænse er f.eks. ikke taget med
F&P
Sagsnr.
DokID
GES-2023-00416
475889
Side 7
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0024.png
i lovudkastet. Heller ikke overgangsreglen for firmapensionskasserne i af-
lønningsbekendtgørelsens § 30, stk. 4 er medtaget i dette lovudkast. Fleksi-
biliteten i den gældende aflønningsbekendtgørelse er væsentlige for selska-
berne, og det er derfor afgørende, at den videreføres efter lovændringen.
Lovforslagets § 8 – Ændring af Lov om forsikringsvirksomhed
I lov om Forsikringsvirksomhed (LFV) foretages ligeledes rettelser relateret
til DORA, primært konsekvens- og henvisningsrettelser. F&P har ikke yder-
ligere bemærkninger til de foreslåede ændringer, udover hvad der allerede
er anført ovenfor under bemærkningerne til § 1 i ændringsloven vedrørende
LFV § 134 der regulerer datacentraler.
For så vidt angår lovforslagets § 8, nr. 5 vedrørende forslag til ændring af
teksten i LFV § 107, stk. 2 vil F&P gerne kvittere for opfølgning på den kon-
staterede fejl i teksten, der medførte at flere selskaber end tilsigtet ville blive
omfattet af reglen om bestyrelsens kollektive egnethed.
Samtidig vil vi dog her, med henvisning til vores tidligere bemærkninger til
bestemmelsen i forbindelse udarbejdelsen af loven, igen anføre ønsket om en
generel opblødning af kompetencekravene til bestyrelsen således, at det ikke
alene er finansiel ledelseserfaring fra anden forsikringsvirksomhed, der an-
erkendes, men også ledelseserfaring fra andre relevante finansielle virksom-
heder. I den forbindelse finder F&P anledning til at bemærke, at formulerin-
gen ”bør” er anvendt i det omhandlede afsnit fra vejledningen fra 2021 og at
det således, reelt er en skærpelse, når lovbestemmelsen bruger ordet ”skal”,
selvom det fremgår af bemærkningerne til bestemmelsen, at der ikke er til-
sigtet en sådan skærpelse.
F&P vil ligeledes gerne her kvittere for den gode dialog med Finanstilsynet
omkring problemstillinger, som er drøftet i forbindelse med tilblivelsen af
den nye lov og tilsynets åbenhed i relation til yderligere tilretningerne af den
nye lov, og vi ser frem til fortsat samarbejde herom.
Lovforslagets § 10 – Garantifondens administrationsselskab:
F&P er enig i, at Garantifonden for skadesforsikringsselskaber ved en kon-
kurs i et forsikringsselskab bør have adgang til forsikringsekspertise i et ad-
ministrationsselskab.
F&P finder, at branchen bredt bør bidrage til løsningen af dette. Det er derfor
vigtigt for F&P, at flere selskaber end de absolut største skadesforsikringssel-
skaber kan komme i spil som administrationsselskab for Garantifonden.
Lovens regler finder først anvendelse, hvis Garantifonden ikke får et admini-
strationsselskab via et EU-udbud. Ved udbuddet vil en række skadesforsik-
ringsselskaber kunne komme i betragtning som administrationsselskab for
F&P
Sagsnr.
DokID
GES-2023-00416
475889
Side 8
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
Garantifonden - enten selv eller i et samarbejde med andre. F&P finder, at
lovforslaget bør afspejle dette, så flere skadesforsikringsselskaber kan udpe-
ges som administrationsselskab for Garantifonden.
F&P foreslår, at kravet om en årlig bruttopræmieindtægt på minimum 2 mia.
kr. sænkes til minimum 1,5 mia. kr., samt at markedsandelen sænkes til 2
pct. målt på bruttopræmie.
Da garantifondsloven er at betragte som forbrugerregulering, så bør forslaget
desuden ikke udelukke selskaber under tilsyn i udlandet, hvis de i øvrigt lever
op til kriterierne. Disse selskaber er ikke afskåret fra at blive administrati-
onsselskab i forbindelse med Garantifondens udbud. Det bemærkes i øvrigt,
at Garantifonden i tilfælde af en konkurs vil være i dækning over for de på-
gældende selskabernes danske kunder.
F&P finder, at det bør fremgå af lovforslagets bemærkninger, at det pågæl-
dende selskab vil blive honoreret for arbejdet som administrationsselskab på
kommercielle markedsvilkår. Administrationsselskabet vil således ikke blive
påført omkostninger, der ikke vil kunne faktureres Garantifonden herunder
omkostninger til at opretholde et beredskab til at kunne håndtere et andet
forsikringsselskabs skadessager med kort varsel. Det bør tillige fremgå af lov-
forslagets bemærkninger, at rollen som administrationsselskab ikke påfører
selskabet kapital- eller solvenskrav.
Det har vist sig at være en stor udfordring for forsikringsselskaber, der over-
vejer at byde på ordningen, at der er usikkerhed om, hvorvidt et forsikrings-
selskab, der agerer som administrationsselskab for Garantifonden, er omfat-
tet af outsourcingreglerne i lov om forsikringsvirksomhed. F&P skal derfor
stærkt opfordre til, at det gøres helt klart, at outsourcingreglerne i lov om
forsikringsvirksomhed
ikke
omfatter outsourcing af garantifondens opgaver
ifølge garantifondsloven. Der er i denne lov ingen regler om outsourcing,
fordi der er tale om varetagelse af helt andre hensyn, og fordi Garantifonden
ikke er et forsikringsselskab. Alternativet kan være en betydelig ekstraom-
kostning for Garantifonden til skade for forbrugerne, der finansierer ordnin-
gen.
F&P har ikke yderligere bemærkninger til lovforslaget. Vi står naturligvis til
rådighed for uddybning af ovenstående.
Med venlig hilsen
F&P
Sagsnr.
DokID
GES-2023-00416
475889
Karen Gjølbo
Side 9
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0026.png
Finanstilsynet
Strandgade 29
1401 København K
Att.: Victor Saxlund
Sendt til:
[email protected],
cc: [email protected]
Finans Danmarks høringssvar til udkast til
forslag til lov om ændring af lov om fi-
nansiel virksomhed, lov om betalinger,
lov om kapitalmarkeder og forskellige
andre love
Finans Danmark takker for muligheden for at kommentere udkastet til lovforslag.
Finans Danmark har alene bemærkninger til udkastet til lovbemærkningerne til
punkt nr. 12 i udkastet til lovforslaget om ændring af lov om finansiel virksomhed
vedrørende ny praksis for fastsættelse af et vejledende kapitalgrundlag og Fi-
nanstilsynets praksis for anvendelse af kapitalmålsætningen som det styrende
krav i tilsynsprocessen.
Det fremgår af bemærkningerne til punkt nr. 12 i udkastet til lovforslaget om æn-
dring af lov om finansiel virksomhed, at Finanstilsynets praksis for fastsættelse af et
vejledende kapitalgrundlag (P2G) fremover ændres, således at det i udgangs-
punktet alene vil være kapitalbevaringsbufferne, der modregnes i P2G og ikke
som i dag, samtlige bufferkrav. Det vil bringe den implementering af P2G i over-
ensstemmelse med de fælles EU-bestemmelser.
Det fremgår imidlertid videre af bemærkningerne til lovforslaget, at Finanstilsynet
agter at fastholde sin gældende danske praksis, hvor den såkaldte kapitalmål-
sætning vil være det bindende og dermed det reelle krav. Anvendelse af kapi-
talmålsætning som et styrende krav i tilsynsprocessen, er en dansk særregel, der
ikke anvendes tilsvarende i andre EU-lande.
Specifikt bliver det bemærket, at i
Danmark har ”kapitalmålsætningen udgjort et øvre mål, som institutterne har na-
vigeret efter.” Med disse formuleringer bliver det dermed tydeliggjort, at Finanstil-
synet i Danmark anvender en tilgang, der kan være hårdere end en P2G-tilgang.
Hvor institutter i andre lande kan tære på kapitalbevaringsbufferen, tillades mod-
regning i kapitalbevaringsbufferen ikke i Danmark.
Høringssvar
20. december 2023
Dok: FIDA-237005067-685238-v1
Finans Danmark
|
Amaliegade 7
|
1256 København K
|
www.finansdanmark.dk
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0027.png
Dette indebærer, at danske institutter reelt er underlagt krav om at holde mere
kapital end udenlandske institutter, som følge af en dansk særtilgang.
Finans Danmark skal derfor opfordre til, at Finanstilsynet justerer sin praksis for an-
vendelse af kapitalmålsætningen som det styrende kapitalkrav, således at det
bringes i overensstemmelse med P2G-tilgangen samtidigt med, at
bottom-up til-
gangen til stresstests fastholdes,
inklusiv
tilgangen til inddragelse af
stresseffek-
ter indregnet i solvensbehovet (P2R).
I er velkomne til at kontakte mig eller Michael Friis ([email protected]), hvis ovenstå-
ende giver anledning til spørgsmål.
Høringssvar
Med venlig hilsen
Anders Schou
Direktør, Kapital og Markedsregulering
Direkte: + 45 2064 6425
[email protected]
20. december 2023
Dok. nr.:
FIDA-237005067-685238-v1
Finans Danmark
|
Amaliegade 7
|
1256 København K
|
www.finansdanmark.dk
2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0028.png
Finanstilsynet
Att.: Victor Saxlund
Sendt pr. mail til
[email protected]
og
[email protected]
Høringssvar vedr. udkast til forslag til lov om ændring af
lov om finansiel virksomhed lov om betalinger lov om ka-
pitalmarkeder og forskellige andre love
Finanstilsynet har den 15. november 2023 sendt udkast til lov om æn-
dring af lov om finansiel virksomhed, lov om betalinger, lov om kapi-
talmarkeder og forskellige andre love i høring.
Garantifonden for skadesforsikringsselskaber er meget tilfreds med, at
det med lovforslaget sikres, at Garantifonden får et administrations-
selskab, der kan bidrage med forsikringsekspertise mv.
Garantifonden mener, at det er vigtigt, at Garantifondens nuværende
muligheder i forbindelse med udbudsprocessen ikke ændres med lov-
forslaget. Efter Garantifondens opfattelse vil en del skadesforsikrings-
selskaber kunne udfylde rollen som administrationsselskab for Garan-
tifonden. Garantifonden vil f.eks. gerne indgå aftale med store uden-
landske aktører på det danske marked, og Garantifonden vil heller ikke
udelukke større selskaber, der ikke har tilladelse til alle forsikrings-
klasser.
Det kan desuden oplyses, at Garantifonden ingen glæde har af, at ad-
ministrationsselskabet er omfattet af outsourcingreglerne i lov om for-
sikringsvirksomhed (LFV).
Garantifonden er ikke omfattet af reglerne, og det er som udgangs-
punkt Garantifonden, der outsourcer opgaver til administrationssel-
skabet. Administrationsselskabet vil sommetider videreoutsource op-
gaver, men dette vil - medmindre der er tale om småopgaver - ske med
Garantifondens vidende. Da outsourcingreglerne har vist sig at være
medvirkende til, at selskaber ikke byder på opgaven og samtidig kan
være mærkbart fordyrende for Garantifonden, så bør det fremgå, at
20.12.2023
Garantifonden for
skadesforsikringsselskaber
Philip Heymans Allé 1
2900 Hellerup
Tlf.:
41 91 91 91
[email protected]
www.skadesgarantifonden.dk
Danske Bank 30014001060279
IBAN DK58 30004001060279
SWIFT-BIC DABADKKK
Pernille Gram
Sekretariatschef
Dir.
+4541919095
[email protected]
Sagsnr.
DokID
GES-2023-00064
475967
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
outsourcingreglerne i LFV ikke finder anvendelse når administrations-
selskabet arbejder for Garantifonden.
Med venlig hilsen
Pernille Gram
Garantifonden for
skadesforsikringsselskaber
Sagsnr.
DokID
GES-2023-00064
475967
Side 2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0030.png
Victor Saxlund (FT)
Fra:
Sendt:
Til:
Cc:
Emne:
Thomas Søgaard <[email protected]>
20. december 2023 15:49
Høringer
Victor Saxlund (FT); Martin Gøbel Kjellberg
Udkast til lov om ændring af lov om finansiel virksomhed, lov, om betalinger, lov
om kapitalmarkeder og forskellige andre love - JN Datas bemærkninger
23-013111
1050295
Sag:
Sagsdokument:
Kære Victor
JN Data har gennemgået lovforslaget ”Udkast l lov om ændring af lov om finansiel virksomhed, lov, om betalinger,
lov om kapitalmarkeder og forskellige andre love”, der har l formål at gennemføre de ændringer af den finansielle
lovgivning, der er nødvendige for at sikre implementering af fælleseuropæisk regulering i form af hhv. EU-direk vet
2022/2555 af 14. december 2022 (NIS2) og EU-forordningen 2022/2254 af 14. december 2022 (DORA).
På den baggrund har JN Data følgende overordnede og specifikke bemærkninger l lovforslagets afsnit IX c
”Operatører af finansielle digitale infrastrukturer”, der regulerer fælles datacentraler:
Overordnede bemærkninger
Det er JN Datas vurdering, at lovforslaget er rela vt overordnet, og lovforslagets bemærkninger har en mere
beskrivende end vejledende karakter. Sammenholdt med det forhold, at det af § 333 p fremgår, at Finans lsynet
kan fastsæ e nærmere bindende regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger, er det
vanskeligt for JN Data på nuværende dspunkt at vurdere det mere præcise omfang og konsekvenser af
ændringerne i forhold l den nuværende rets lstand. Det anbefales, at Finans lsynet tager højde herfor i
forbindelse med fastlæggelse af overgangsbestemmelser.
Derudover har JN Data iden ficeret, at lovforslaget flere steder taler om strategi, poli k, proces, procedurer og
protokoller, fx i §§ 333 a samt d-f. JN Data vil anbefale, at Finans lsynet i stedet for disse eksplici e detaljerede krav
s ller krav om ”dokumenterede forretningsgange” og lader det være op l den enkelte virksomhed at beslu e,
hvilke typer forretningsgange der er relevante for at sikre implementering og opera onel effek vitet. Det kan i den
forbindelse overvejes at definere og eksemplificere begrebet ”ramme” i forarbejderne.
Slu elig bemærker JN Data, at både begrebet ”kri sk og vig g” og begrebet ”kri sk eller vig g” anvendes. Det er
uklart, om sondringen er lsigtet og i bekræ ende fald, hvori den materielle forskel består. Umiddelbart kan JN Data
ikke iden ficere begrebet ”kri sk og vig g” i DORA-forordningen.
Specifikke bemærkninger
§§ 333 h-j
§§ 333 h-j regulerer forhold vedr. tredjepartsrisici samt risikovurdering og centrale kontraktbestemmelser. JN Data
søger i den forbindelse forgæves vejledning l at fastslå omfanget af, hvad der er dækket af begrebet it-tjenester,
herunder særligt om det afgrænser sig l leverancer som leveres som en tjeneste og således ikke omfa er
so warelicensa aler og hardware.
Det synes klart, at tredjepartsa aler, der indgås e er ikra trædelsesdatoen den 18. oktober 2024, jf. § 15, stk.4,
skal opfylde de angivne be ngelser. Det er imidler d uklart for JN Data, hvornår tredjepartsa aler indgået før
ikra trædelsesdatoen den 18. oktober 2024 skal opfylde be ngelserne.
Genforhandling af eksisterende tredjepartsa aler er en meget omfa ende og dkrævende opgave. JN Data vil
derfor kra igt opfordre l, at Finans lsynet som for implementeringen af Outsourcingbekendtgørelsen giver
virksomhederne en ”graceperiode” på 36 måneder l genforhandling af eksisterende tredjepartsa aler, således at
der er større sandsynlig for, at der ikke skal ske ekstraordinære genforhandlinger.
1
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0031.png
§ 333 p
Det fremgår af § 333 p, at Finans lsynet kan fastsæ e nærmere bindende regler om it- og cyberrisikostyring og
kontrol- og sikringsforanstaltninger, der udspringer af NIS2-direkteivet og/eller delegerede retsakter l DORA-
forordningen.
Som anført under generelle bemærkninger ovenfor er det en udfordring i forhold l implementering, at de nærmere
bindende regler endnu ikke er på plads eller som minimum i udkast, idet det medfører risiko for forsinket
implementering a ængig af overgangsbestemmelserne.
JN Data vil derudover opfordre Finans lsynet l at sikre, at grundlaget for de nærmere bindende regler understø er
både en risikobaseret lgang og propor onalitetsprincippet, og sam dig sikrer, at der ikke fastsæ es strengere krav
end hjemlen i NIS2-direk vet og/eller DORA-forordningen.
§ 15, stk. 8
Det fremgår af bemærkningerne l § 15, stk. 8, at ”Det
foreslåede vil sikre, at bekendtgørelser udstedt i medfør af §
119, stk. 12, 2. pkt., i lov om finansiel virksomhed forbliver i kra , selvom bestemmelsen ophæves, som følge af
denne lovs § 1, nr. 16.”
JN Data lægger l grund, at henvisningen skulle have været l § 199 og ikke § 119.
Venlig hilsen / Best regards
Thomas Søgaard
Manager
Regulatory Compliance
Direct +4563639246
Mobile +4541881129
[email protected]
JN Data A/S | Havsteensvej 4 | 4000 Roskilde
+4563636363 |
www.jndata.dk
|
2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0032.png
Mastercard Payment Services Denmark A/S
Arne Jacobsens Allé 13
2300 Copenhagen S
Denmark
CVR no. 40695869
mastercardpaymentservices.com
Finanstilsynet
Strandgade 29
1401 København K
Sendt per e-mail: [email protected]; [email protected]
20. december 2023
Høringssvar
Forslag til lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love
Vi fremsender hermed vores kommentarer til forslag til lov om ændring af lov om finansiel virksomhed, lov om
betalinger, lov om kapitalmarkeder og forskellige andre love, som Finanstilsynet har sendt i høring den 14.
november 2023 (lovforslaget). Dette høringssvar indgives på vegne af Mastercard Payment Services Denmark
A/S (Mastercard). Vores bemærkninger angår primært lovforslagets § 1, nr. 24, dvs. det foreslåede nye afsnit IX
c (Operatører af finansielle digitale infrastrukturer).
Mastercard er leverandør af kerneinfrastruktur til de nuværende danske detailbetalingssystemer, som opereres
af Finans Danmark og har således en nøglerolle i forhold til at sikre, at IT-sikkerheden og driften af den danske
betalingsinfrastruktur er i overensstemmelse med højeste og internationalt anerkendte standarder for
informationssikkerhed, risikostyring, operationel robusthed, m.v. Mastercard leverer disse services i medfør af
tilladelsen som IT-operatør af detailbetalingssystemer, jf. § 180 a i lov om kapitalmarkeder.
Vi anerkender hensynene bag lovforslaget, dvs. implementering af NIS2 direktivet
1
for It-operatører af
detailbetalingssystemer med afsæt i DORA-forordningen.
2
Mastercard har kun få bemærkninger til den
foreslåede implementering heraf:
1. Symmetri med DORA-forordningen
Mastercard ventes at blive omfattet af de forelåede regelændringer som operatør af finansiel digital
infrastruktur. Samtidig er Mastercard dog underlagt DORA-forordningen i medfør af sin tilladelse som
betalingsinstitut. De nuværende regler om IT-risikostyring m.v. er i dag stort set ens på tværs af Mastercards
aktiviteter, idet ledelsesbekendtgørelsens bilag 5 er næsten sammenfattende med EBA Guidelines on ICT and
Security Risk Management, som finder anvendelse for betalingsinstitutter.
Vi forstår, at der ville være praktiske udfordringer ved en tilsvarende ordret implementering af ordlyden i DORA-
forordningen og tilhørende sekundære retsakter fra ESA’erne.
Lovforslaget indebærer således på nogle punkter
en ordret gengivelse af forordningens tekst, mens der på andre punkter er tale om en mere overordnet gengivelse
af principper.
Europa-Parlamentets og Rådets Direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt
fælles cybersikkerhedsniveau i hele Unionen
2
Europa-Parlamentets og Rådets Forordning (EU) 2022/2554 af 14. december 2022 om digital operationel
modstandsdygtighed i den finansielle sektor
1
1
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0033.png
Mastercard Payment Services Denmark A/S
Arne Jacobsens Allé 13
2300 Copenhagen S
Denmark
CVR no. 40695869
mastercardpaymentservices.com
Det er Mastercards forståelse, at Finanstilsynet som tilsynsmyndighed vil anvende DORA-forordningen og
tilhørende retsakter som væsentlige fortolkningsbidrag ved udførelse af tilsyn med overholdelsen af det
foreslåede afsnit IX c i lov om finansiel virksomhed. Mastercard så gerne, at dette stod klarere i
lovbemærkningerne. Herved vil det præciseres, at Mastercard kan bibeholde én forvaltnings- og kontrolramme på
tværs af sine aktiviteter, hvilket også understøtter DORA-forordningens mål om harmonisering af digital
operationel modstandsdygtighed på tværs af finansielle enheder i Europa og muliggøre, at finansielle enheder
med flere typer af tilladelser kan imødegå IKT-risiko og afbøde negative virkninger af IKT-hændelser på egen
hånd og på en sammenhængende omkostningseffektiv måde.
3
2. Identifikation af forretningsfunktioner og processer, mv. hos leverandørens kunder
Den foreslåede § 133 e, stk. 2 og 3. har følgende ordlyd:
Stk. 2. En operatør af finansiel digital infrastruktur skal løbende identificere alle kritiske forretningsfunktioner og it-
aktiver, herunder it-aktiver, der understøtter kritiske og vigtige forretningsfunktioner for operatørens kunder.
Stk. 3. En operatør af finansiel digital infrastruktur skal identificere alle kritiske eller vigtige forretningsprocesser og
tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra
underleverandører.
Bestemmelserne er taget fra DORA artikel 8(1) og 8(5). De går dog længere end forordningen ved også at kræve
dokumentation for den regulerede enheds kunders afhængigheder af underleverandører. Mastercard anser det
for unødvendigt at udvidde den regulerede enheds forpligtelser på denne måde. Bestemmelserne angår
ligesom
de nævnte artikler i DORA-forordingen
identifikation af kritiske eller vigtige funktioner hos regulerede enheder.
Den iboende karakter af de tjenester, der leveres af en operatør af en finansiel digital infrastruktur, og
identifikationen og klassificeringen af kritiske og vigtige funktioner vil naturligt afspejle indvirkningen på dennes
kunder i denne klassificeringsproces. Ved at anvende denne terminologi som afspejlet i DORA-forordningen sikres
der overensstemmelse med tilgangen i DORA-forordningen, og man undgår en problematisk tilgang med at
pålægge operatører af finansiel digital infrastruktur en forpligtelse til at identificere, hvilken funktion
hos kunden
der betragtes som kritisk og vigtig. Mastercard foreslår, at bestemmelserne ændres, så de svarer til de nævnte
artikler i DORA gennem følgende ændringer:
Stk. 2. En operatør af finansiel digital infrastruktur skal løbende identificere
og dokumentere
alle kritiske
forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske og vigtige forretningsfunktioner for
operatørens kunder.
Stk. 3. En operatør af finansiel digital infrastruktur skal identificere
og dokumentere
alle kritiske eller vigtige
forretningsprocesser og tjenester, der er afhængige af eksterne leverandører,
som udbyder tjenester, som
understøtter kritiske eller vigtige funktioner
og dokumentere egne og kunders afhængigheder af ydelser fra
underleverandører.
3
Se punkt 10 og 11 i præampelen til DORA-forordningen
2
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831016_0034.png
Mastercard Payment Services Denmark A/S
Arne Jacobsens Allé 13
2300 Copenhagen S
Denmark
CVR no. 40695869
mastercardpaymentservices.com
3. Øvrige bemærkninger
a. I bemærkningerne til den foreslåede § 133 f, stk. 2, står der følgende:
Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling består i at operatøren ikke i
relevant omfang registrerer operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, jf. DORA-
forordningens artikel 23.
Henvisningen til DORA-forordningen bør så vidt ses være til den foreslåede bestemmelse i lov om finansiel
virksomhed.
b. Lovforslagets § 3, nr. 14 og 15 indeholder en henvisning til ”§ 333, stk. 3”. Der bør så vidt ses stå ”§ 333, stk. 3,
i lov om finansiel virksomhed”.
***
Mastercard Payment Services Denmark A/S står til rådighed for en eventuel yderligere dialog med Finanstilsynet
om lovforslaget.
Med venlig hilsen
Mastercard Payment Services Denmark A/S
Andrias Helmsdal, Director, Regulatory Affairs
3