Hvordan blir bankenes arbeid med sikkerhet og beredskap preget av endret

Prinsippene for samfunnssikkerhets- og beredskapsarbeid er hensiktsmessig for vurdering av hvordan nye aktører i betalingsformidlingen påvirker foretakenes sikkerhetsarbeid. Herunder vil prinsippene påvirkes ulikt grunnet deres veiledende funksjon. Generelt kan en si at aktører introdusert via outsourcing preger foretakenes beredskaps- og sikkerhetsarbeid, mer enn hva nye aktører introdusert gjennom PSD2 eller open banking.

Økende integrering av nye aktører inn i og som tillegg i verdikjeden vil ha innvirkning på arbeidet med sikkerhet, deriblant skape utfordringer. Eksempelvis vil ansvarsprinsippet som peker på at ansvarshaver i normalsituasjon også vil være ansvarsbærende i ekstraordinære situasjoner (Justis- og politidepartmentet, 2002, s. 4) utfordres. Knyttet til betalingsformidling og konsesjonen som er nødvendig for å yte betalingstjenester (Finansforetaksloven, 2015, kapittel 2), vil ansvaret for funksjon på konsesjonsbelagte tjenester falle på bankene.

Ansvarsprinsippet tilsier også at ansvaret inkluderer forberedelser knyttet til

88 beredskapsarbeid, inkludert opprettholdelse under og gjenopprettelse av funksjon etter en hendelse (Engen et al., 2016, s. 282; Justis- og beredskapsdepartementet, 2012, s. 39).

Aktørene som yter betalingstjenester, banker inkludert, vil derfor ha ansvaret for å sikre planer, løsninger og generelle forberedelser for å være godt rustet i stressituasjoner. Prinsippet om ansvar er også tydeliggjort i ansvaret bankene har i grensesnittet som gis ut i sammenheng med PSD2, bankene må søre for at sikkerheten i løsningen er tilstrekkelig (Finanstilsynet, 2019, s. 49).

Outsourcing og open banking kan innvirke på ansvarsprinsippet ved at flere ansvarsbærere i verdikjeden kan komplisere forholdene. Foretakenes manglende kompetanse knyttet til bestilling og avtaleinngåelse gjør ansvarsavklaring mer pressende (Finanstilsynet, 2019, s.

31). Særlig ved outsourcing kan ansvarsprinsippet utfordret, ettersom underleverandører overtar leveranse av tjenesten (Power et al., 2006, s. 3). En avklaring ved avtaleinngåelse blir derfor nødvendig for å avklare ansvarsforholdet aktørene imellom. Problemet med

ansvarsprinsippet og ansvarshaver blir ytterligere prekært ved offshoring. Tjenesten driftes da av en underleverandør som ikke er underlagt norsk regulering og reglement. Foretaket sitter ergo med ansvaret for tjenestens funksjonalitet, men ikke nødvendigvis med ansvaret for at aktiviteter underlagt funksjonen opprettholdes i stressituasjoner. En vil da oppleve problemer med å være ansvarlig for arbeidet med opprettholdelse, gjenopprettelse og beredskapsarbeid tilknyttet funksjonen (Norges Bank, 2018a, s. 7).

Likhetsprinsippet som underbygger ansvarsprinsippet kan ved outsourcing virke mot sin opprinnelige hensikt. Om prinsippet følges slavisk vil det innebære at foretakene må belage seg på underleverandørers evne til å håndtere hendelse, da organisasjonen skal i krisesituasjon operere så likt som mulig organisasjon i daglig drift (Justis- og beredskapsdepartementet, 2012, s. 39; Justis- og politidepartmentet, 2002, s. 4). Dette innebærer at foretakene i norsk betalingsformidling i vesentlig grad vil være avhengig av tjenester fra utlandet.

Problematikken ved håndtering av hendelser blir videre tydelig ved nye aktører introdusert gjennom PSD2 og open banking i henhold til nærhetsprinsippet. Her vil det da være nye aktører med ansvaret for forberedelse og håndtering av hendelser.

Nærhetsprinsippet tilsier at hendelser skal håndteres på som lavt nivå som mulig (Justis- og beredskapsdepartementet, 2012, s. 39; Justis- og politidepartmentet, 2002, s. 4). Her vil hendelsen i henhold til prinsippet håndteres av aktører som inngår i verdikjeden for betalingsformidling, men samtidig ikke har overordnet ansvar for tjenestens funksjon og virke. Derfor vil igjen foretaket måtte belage seg på underleverandører eller andre aktører som

89 inngår i verdikjeden for betalingsformidling. Dog bør det poengteres at ved PSD2 foreligger ansvaret for håndtering av hendelser i større grad hos aktørene som har konsesjon til å knytte seg opp mot grensesnittet. Outsourcing er dog en noe som utfordrer denne problematikken, samtidig kan et ytterligere problem tillegges dersom foretaket har kompetansebortfall, noe som preger enkelte foretak (Finanstilsynet, 2019, s. 39). Kompetansebortfall kan bidra til at bankene ikke nødvendigvis besitter tilstrekkelige kunnskap eller ressurser til å håndtere eller planlegge for en hendelse (Finanstilsynet, 2019, s. 55). Logikken om nærhet som prinsippet bygger på (Engen et al., 2016, s. 283), vil da bortfalle og de som best håndterer hendelsen er utenfor foretaket. Det oppstår her et gap mellom prinsippet om ansvar, nærhetsprinsippet og ansvaret til konsesjonsbelagte tjenester da disse ikke nødvendigvis ikke tar høyde for bortfall av kunnskap i foretaket som har konsesjon for tjenesten. En løsning på problematikken kan være kunnskapsoverføring mellom foretak og underleverandør, selv om dette kan være en krevende prosess (Gottschalk, 2013, s. 26).

Prinsippet om samvirke blir også utfordret av nye aktører i verdikjeden for

betalingsformidling, særlig dersom foretaket har en uoversiktlig verdikjede. I tilfeller hvor foretaket operer med en kompleks verdikjede som inkluderer flere underleverandører og vanskelig å se i en lineær rekke (Gottschalk, 2013, s. 17), vil samordning bli komplekst. En kan derfor vurdere hvordan banker kan etterleve samvirkeprinsippet, som etterspør at ansvarshavende aktør sikrer samvirke med relevante aktører (Justis- og

beredskapsdepartementet, 2012, s. 39). Uttømmende outsourcing kan skape problemer for foretakene i å styre, sikre kommunikasjon og rolleavklaring for beredskap og i

krisesituasjoner (Finanstilsynet, 2018, s. 8). Prinsippet tydeliggjør videre behovet aktører har i å kartlegge avhengigheter av deler på alle nivå og hvilke aktører som er nødvendige for forebyggende arbeid (Justis- og beredskapsdepartementet, 2012, s. 39). Verdikjedens økende kompleksitet kan gjøre denne prosessen vanskeligere og i så måte hemme foretakenes arbeid knyttet til sikkerhet og beredskap. Problemet med å sikre samvirke oppleves som mer

problematisk i tilfeller ved offshoring, her vil faktorer som språk, kulturelle forskjeller og geografisk avstand også innvirke på avtaleforholdet (Gottschalk, 2013, s. 26). Ergo, kan det være vanskelig for foretaket å opprettholde eller gjenopprette funksjoner ved eller etter en stressituasjon (Finanstilsynet, 2019, s. 55).

Myndighetene har ved flere tilfeller oppfattet at foretakene i betalingsformidling ikke har tilstrekkelig beredskapsløsninger i sine løsninger (Finanstilsynet, 2019, s. 22). Om dette skyldes bankenes manglende oversikt over egne verdikjeder, manglende kompetanse eller

90 mangelfulle avtaler med underleverandører er vanskelig å si noe om. En kan derimot vurdere at nye aktører inkludert inn i verdikjeden, gjennom PSD2 og open banking til i en viss grad innvirke på beredskaps- og samfunnssikkerhetsarbeidet. Outsourcing har vært en aktivitet foretakene har bedrevet i lengre tid, og har derfor større innvirkning i dag og mest sannsynlig.

En kan derimot vurdere foretakenes kompetanse til å bestille og følge opp tjenester de har outsourcet som en aktivitet som i større grad vil behjelpe de i å etterleve prinsippene om samfunnssikkerhet- og beredskapsarbeid. Utfordringene knyttet til arbeid med sikkerhet og beredskap er ventet å være størst knyttet til ansvars- og samvirkeprinsippet. Problematikken knyttet til foretakenes manglende bestiller-kompetanse (ibid., s. 31) vil innvirke på flere faktorer enn tjenesteleveranse utover sikkerhet- og beredskapsarbeid.