Finansinspektionen (FI) har i ett nyligt remissvar uttalat sig för att clearingbolagen, som spelar en central roll i finansmarknadens infrastruktur för betalningar, bör följa de strängare cybersäkerhetskraven som ställs i EU:s Dora-förordning. Denna ståndpunkt framkommer i samband med regeringens utredning om anpassningar av svensk lagstiftning för att implementera EU:s direktiv om cybersäkerhet och kritiska entiteters motståndskraft, även känt som NIS2- och CER-direktiven.
Clearingbolag, som ansvarar för att klara och avveckla betalningstransaktioner, är för närvarande inte täckta av de omfattande regleringar som Dora-förordningen innehåller, vilket träder i kraft den 17 januari 2025. Dessa regler inkluderar strikt riskhantering och krav på incidentrapportering. Då clearingbolag är avgörande för den finansiella stabiliteten, menar FI att det är essentiellt att dessa institutioner omfattas av liknande regleringar för att säkerställa en hög säkerhetsnivå mot cyberhot.
Den 23 februari 2023 initierade regeringen en utredning ledd av en särskild utredare med syfte att föreslå nödvändiga lagändringar för att stärka cybersäkerheten inom EU. Utredningen förlängdes den 11 januari 2024 för att ytterligare adressera anpassningarna krävda av CER-direktivet. FI har nu tillstyrkt utredningens förslag men anmärkt att clearingbolagens nuvarande reglering inte möter Dora-förordningens standarder.
Enligt FI bör ett undantag för verksamhetsutövare som redan täcks av Dora-förordningen integreras tydligare i den nya lagen för att skapa överskådlighet och konsistens i tillämpningen. Myndigheten föreslår att detta undantag hanteras direkt i den föreslagna cybersäkerhetslagen istället för separat, för att undvika osäkerheter och ge större flexibilitet i regleringen.
Den nya lagstiftningen, som inkluderar en uppdaterad lag om clearing och avveckling av betalningar och träder i kraft den 1 juli 2024, innehåller visserligen bestämmelser om informations-, IT- och cybersäkerhet. Trots detta anser FI att dessa inte är tillräckligt stränga jämfört med kraven i Dora-förordningen, vilket kan leda till brister i skyddet mot cyberattacker och operativa risker.
FI understryker att även om den föreslagna lagen om cybersäkerhet och NIS2-direktivet inte exakt överensstämmer med Dora-förordningen, bör en lösning som gör det möjligt för clearingbolagen att uppfylla dessa krav övervägas. Denna synpunkt speglar en växande förståelse för att den finansiella sektorns digitala tjänster är särskilt sårbara och kräver högt ställda säkerhetsåtgärder.
Sammantaget markerar FI:s remissvar en viktig del i den pågående dialogen om hur Sverige ska implementera EU:s cybersäkerhetsdirektiv. Förslagen och de diskuterade anpassningarna kommer att spela en avgörande roll för att säkerställa att den svenska finanssektorns infrastruktur förblir robust i en allt mer digitaliserad och osäker global miljö.
