Høringsnotat og høringssvar fra erhvervsministeren

HØRINGSNOTAT
Forslag til lov om ændring af lov om finansiel virksom-
hed, lov om betalinger, lov om kapitalmarkeder og for-
skellige andre love
(Tilsyn efter forordning om digital operationel modstandsdygtighed i den
finansielle sektor, forordning om markeder for kryptoaktiver, regler for ud-
pegelse af administrationsselskab for Garantifonden samt aflønningsregler
for firmapensionskasser)
1. Indledning
Med lovforslaget gennemføres ændringer af den finansielle lovgivning, der
er nødvendige for at sikre implementering af fælleseuropæisk regulering
på cybersikkerhedsområdet og området for kryptoaktiver. Lovforslaget
gennemfører derudover en række ændringer, der har til formål at højne be-
skyttelsen af forsikringstagere samt styrke tilsynet på det finansielle om-
råde.
Lovudkastet blev sendt i høring den 14. november 2023 med frist for hø-
ringssvar den 20. december 2023. Der er modtaget 9 høringssvar, heraf 9
med bemærkninger.
De væsentligste bemærkninger fra de hørte parter til de enkelte emner i
lovudkastet gennemgås og kommenteres nedenfor.
Enkelte høringssvar har givet anledning til mindre redaktionelle ændringer
og præciseringer i lovteksten og bemærkningerne. Disse ændrer ikke ved
substansen i de pågældende bestemmelser og omtales derfor ikke nærmere
i dette notat.
2. Bemærkninger til konkrete emner
Kommenteringen af høringssvarene tager udgangspunkt i følgende over-
ordnede opdeling:
1. Indledning......................................................................................... 1
2. Bemærkninger til konkrete emner ................................................. 1
2.1. Regulering af kryptoaktiver og kryptoaktivtjenester m.v.... 2
2.2. MICA - ikrafttrædelse.............................................................. 4
2.3. Aflønningsregler for firmapensionskasser ............................. 6
2.4. Opgørelse af søjle II-tillæg for det vejledende
kapitalgrundlag.................................................................................... 7
2.5. Administrationsselskab for Garantifonden for
skadesforsikringsselskaber ................................................................. 8
19. februar 2024
Offentligt
L 122 - Bilag 1
Erhvervsudvalget 2023-24
2/26
2.5.1. Udnævnelse af et administrationsselskab for
Garantifonden for skadesforsikringsselskaber ............................. 8
2.5.2. Udnævnelse af to eller flere forsikringsselskaber i
forening som administrationsselskab for Fonden ....................... 10
2.5.3. Ændring af krav til årlig bruttopræmieindtægt og
markedsandele................................................................................ 11
2.5.4. Udenlandske forsikringsselskaber ................................. 12
2.5.5. Vederlag............................................................................ 12
2.5.6. Outsourcing...................................................................... 13
2.6. Operatører af finansielle digitale infrastrukturer ............... 15
2.6.1. Generelle bemærkninger til regelsættet for operatører
af finansielle digitale infrastrukturer........................................... 15
2.6.2. Om udpegning af operatører af finansielle digitale
infrastrukturer ............................................................................... 15
2.6.3. Terminologi og definitioner............................................ 16
2.6.4. Proportionalitetsprincippet ............................................ 17
2.6.5. Strategi for digital operationel modstandsdygtighed... 18
2.6.6. Adskillelse af risikostyringsfunktionen og
kontrolfunktioner........................................................................... 18
2.6.7. Dokumentation for operatørens styring af kunders it-og
cyberrisici........................................................................................ 19
2.6.8. Spørgsmål til identifikation, beskyttelse og detektion
mv. 20
2.6.9. Spørgsmål til hændelsesstyring og -rapportering ........ 21
2.6.10. Spørgsmål relateret til tredjepartsrisici ........................ 22
2.6.11. IP-adresser ....................................................................... 23
2.6.12. Straffebestemmelser........................................................ 24
2.6.13. Begrebet fælles datacentraler......................................... 24
2.6.14. Outsourcing, herunder MitID ........................................ 24
2.6.15. Ikrafttrædelsestidspunkt ................................................ 25
3. Oversigt over hørte organisationer, myndigheder m.v............... 26
4. Oversigt over organisationer, myndigheder m.v. som har haft
bemærkninger med indhold ................................................................. 27
3/26
2.1. Regulering af kryptoaktiver og kryptoaktivtjenester m.v.
Dansk Fintech Alliance (DAFINA) bemærker, at det bør præciseres i bilag
1 til lov om finansiel virksomhed eller i lovbemærkningerne, at pengein-
stitutter både kan udstede e-pengetokens og udbyde e-pengetokens som
lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen.
DAFINA anfører desuden, at loven bør tage stilling til, om udstedelse
og/eller udbud af andre kryptoaktiver end e-pengetokens eller aktivbase-
rede tokens udgør lovlig pengeinstitutvirksomhed (eller lovlig accessorisk
virksomhed). DAFINA mener, at udbud af sådanne andre kryptoaktiver er
en del af pengeinstituttilladelsen eller i det mindste accessorisk virksom-
hed.
DAFINA mener derudover, at det bør afklares, hvorvidt udstedelse og/eller
udbud af tokeniserede indskud/indlån udgør lovlig pengeinstitutvirksom-
hed (eller accessorisk virksomhed). DAFINA anfører, at det bør betragtes
som lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen.
DAFINA fremhæver, at det bør fremgå af bemærkningerne til lov om be-
talinger og/eller lov om finansiel virksomhed, at betalings- og e-pengein-
stitutter kan udbyde kryptoaktivtjenester og udstede e-pengetokens, uden
at dette skal udøves i et særskilt selskab.
Endelig fremhæver DAFINA, at det bør afklares, om et e-pengeinstitut skal
have tilladelse som udbyder af kryptoaktivtjenester, hvis e-pengeinstituttet
påtænker at levere andre kryptoaktivtjenester end deponering og admini-
stration af kryptoaktiver på kunders vegne og tjenester vedrørende over-
førsel af kryptoaktiver på kunders vegne, med hensyn til de e-pengetokens,
som e-pengeinstituttet selv udsteder.
Kommentar
Med forordning (EU) 2023/1114 af 31. maj 2023 om markeder for krypto-
aktiver (MiCA) harmoniseres reguleringen af markedet for kryptoaktiver
på tværs af medlemsstaterne i EU med henblik på at understøtte innovation
samt beskytte forbrugere, investorer og den finansielle stabilitet.
Et kryptoaktiv er en digital repræsentation af et aktiv (f.eks. en aktie eller
valuta) eller en rettighed (f.eks. en forkøbsret til en vare eller en tjeneste-
ydelse), der kan opbevares og handles digitalt ved brug af distribueret ho-
vedbog-teknologi, hvilket betyder at transaktioner kan verificeres decen-
tralt mellem parter i stedet for f.eks. at være afhængig af en bank til at
udføre transaktioner.
Lovforslaget supplerer i nødvendigt omfang MiCA-forordningen. Med lov-
forslaget foreslås det bl.a., at Finanstilsynet bliver udpeget som den kom-
petente myndighed til at påse overholdelsen af MiCA og gives hjemmel til
4/26
at opkræve afgifter fra de nye virksomheder, som kommer under tilsyn som
følge af forordningen.
Lovforslaget går ikke videre end MiCA. De foreslåede ændringer af bilag
1 i lov om finansiel virksomhed gengiver tekstnært ordlyden i artikel 146 i
MiCA. Der er derfor ikke grundlag for at præcisere bilag 1 yderligere eller
foretage ændringer i reglerne om accessorisk virksomhed.
MiCA ændrer ikke i EU-bestemmelser, der vedrører e-pengeinstitutters og
betalingsinstitutters mulighed for at udbyde kryptoaktivtjenester og ud-
stede e-pengetokens, uden at dette skal udøves i et særskilt selskab. Der
foretages derfor heller ikke ændringer i lov om finansiel virksomhed eller
lov om betalinger vedrørende disse regler.
DAFINA´s bemærkning om, at loven bør afklare, om et e-pengeinstitut skal
have tilladelse som udbyder af kryptoaktivtjenester, hvis det påtænker at
levere andre kryptoaktivtjenester end de tjenester, der er nævnt i artikel
60, stk. 4, i MiCA, imødekommes. Ordlyden af det foreslåede § 332 b vil
derfor blive ændret så det fremgår, at de i bestemmelsen nævnte virksom-
hedstyper, herunder e-pengeinstitutter, kan udføre aktiviteter som anført i
artikel 60, stk. 1-6, i MiCA under forudsætning af, at de øvrige betingelser
i bestemmelsen er opfyldt. Det præciseres desuden i lovbemærkningerne,
at det kræver særskilt tilladelse fra Finanstilsynet, hvis disse virksomheds-
typer, herunder e-pengeinstitutter, ønsker at udbyde andre tjenester end
dem, der er nævnt i artikel 60, stk. 1-6, i MiCA.
2.2. MICA - ikrafttrædelse
DAFINA bemærker, at lovforslagets ikrafttrædelsesbestemmelser vedrø-
rende supplerende lovgivning til MiCA ikke er i overensstemmelse med
MiCA´s ikrafttrædelsesbestemmelser. Lovforslagets bestemmelser om ud-
stedelse og udbud af aktivbaserede tokens bør således ifølge DAFINA
træde i kraft allerede den 30. juni 2024. Lovens bestemmelser om udste-
delse og udbud af e-pengetokens bør også træde i kraft den 30. juni 2024.
Lovens bestemmelser om udbud af kryptoaktivtjenester bør træde i kraft
den 30. december 2024. DAFINA bemærker, at overgangsordningen i lov-
udkastet er formuleret snævrere end i MiCA.
DAFINA gør herudover gældende, at det bør være muligt for tilladelses-
pligtige virksomheder at klargøre og indsende en ansøgning til Finanstil-
synet inden ikrafttrædelsesdatoerne med henblik på at opnå tilladelse hur-
tigst muligt efter ikrafttrædelsesdatoen af konkurrencemæssige årsager.
Kommentar
For så vidt angår lovforslagets ikrafttrædelsesbestemmelser ændres ikraft-
trædelsesdatoerne, så disse er i overensstemmelse med MiCA. Det betyder,
at:
5/26
• bestemmelser om udstedelse og udbud af aktivbaserede tokens og
e-pengetokens vil træde i kraft den 30. juni 2024, og ikke 30. de-
cember 2024, som hidtil angivet i lovforslaget, og
• bestemmelser om udbud af kryptoaktivtjenester vil træde i kraft den
30. december 2024.
Virksomheder kan tidligst opnå tilladelse på tidspunktet for MiCA´s ikraft-
træden hhv. den 30. juni 2024 og 30. december 2024, afhængig af hvilken
tilladelse, virksomheden ønsker at opnå. Dermed kan virksomheder, der
ønsker at udstede og udbyde af aktivbaserede tokens og e-pengetokens tid-
ligst opnå tilladelse på tidspunktet for samlelovens ikrafttræden den 30.
juni 2024 og 30. december 2024.
DAFINA´s forslag om at tilladelsespligtige virksomheder skal have mulig-
hed for at klargøre og indsende en ansøgning om tilladelse inden ikraft-
trædelsesdatoerne imødekommes. Finanstilsynet vil derfor via deres hjem-
meside vejlede om denne mulighed. Det skal dog understreges, at der først
kan udstedes tilladelse efter reglernes ikrafttræden, hvorfor de rettigheder
og forpligtelser, som følger af forordningen, først finder anvendelse på
ikrafttrædelsestidspunktet.
De europæiske tilsynsmyndigheder skal udarbejde regulatoriske tekniske
standarder, retningslinjer m.v. i medfør af MiCA, som Finanstilsynet bl.a.
skal anvende ved behandlingen af ansøgninger. Finanstilsynets behand-
ling af ansøgninger inden ikrafttrædelsestidspunktet er således under for-
udsætning af, at nødvendige standarder og retningslinjer er udarbejdet.
2.3. Aflønningsregler for firmapensionskasser
F&P bemærker, at lovforslaget samler de væsentligste bestemmelser om
lønpolitik og variabel aflønning af bestyrelsen, direktionen og andre væ-
sentlige risikotagere i firmapensionskasser på lovniveau, som det er tilfæl-
det i den øvrige finansielle lovgivning. F&P bakker op om, at aflønnings-
reglerne skal sikre, at forsikringsselskaber fører en forsvarlig lønpolitik
med ligeløn, som fremmer en forsvarlig virksomhedsledelse.
F&P anfører dog, at der bør arbejdes for at skabe et level playing field for
forsikringsselskaber i EU blandt andet med hensyn til aflønningsreglerne.
F&P bemærker også, at det alene er de mest overordnede bestemmelser i
aflønningsbekendtgørelsen, der videreføres, og at reglerne fremstår meget
forenklede og ikke indeholder den fleksibilitet og de bagatelgrænser, som
findes i den foreliggende aflønningsbekendtgørelse. F&P bemærker i den
forbindelse, at bagatelgrænsen i bekendtgørelsens § 24 og overgangsreglen
i § 30, stk. 4, ikke er taget med i lovudkastet. Fleksibiliteten i den gældende
aflønningsbekendtgørelse er væsentlige for selskaberne, og det er derfor
afgørende, at den videreføres efter lovændringen.
6/26
Kommentar
De danske aflønningsregler er ensartede på tværs af den finansielle sektor,
herunder forsikrings- og pensionssektoren, i overensstemmelse med den
politiske aftale af 31. august 2010 om forsvarlige aflønningspolitikker i
den finansielle sektor1
og den politiske aftale af 10. oktober 2013 (bank-
pakke 6)2
.
Fleksibiliteten i den gældende aflønningsbekendtgørelse bliver videreført
ved en revision af aflønningsbekendtgørelsen, herunder vil bagatelgræn-
sen i § 24 i den gældende aflønningsbekendtgørelse ikke bortfalde. Bestem-
melsen i § 24 i den gældende aflønningsbekendtgørelse tiltænkes fortsat at
skulle indgå i en kommende aflønningsbekendtgørelse, som vil blive ud-
stedt med hjemmel i § 43 i lov om firmapensionskasser. Fleksibiliteten i
reglerne vil derfor være uændret med lovforslaget.
Det forhold, at overgangsreglen i § 30, stk. 4, i den gældende aflønnings-
bekendtgørelse ikke er videreført i lovforslaget, kan medføre en ændret
retstilstand for aftaler indgået før 4. januar 2019, der ikke er tilsigtet. Lov-
forslaget vil derfor blive tilpasset, så retstilstanden ikke ændres for disse
aftaler.
2.4. Opgørelse af søjle II-tillæg for det vejledende kapitalgrundlag
Finans Danmark (FIDA) bemærker, at Finanstilsynets praksis for fastsæt-
telse af et vejledende kapitalgrundlag (P2G) fremover ændres, så det i ud-
gangspunktet alene vil være kapitalbevaringsbufferne, der modregnes i
P2G og ikke, som i dag, samtlige bufferkrav. Det vil bringe implemente-
ringen af P2G i overensstemmelse med de fælles EU-bestemmelser.
FIDA bemærker desuden, at det fremgår af bemærkningerne til lovforsla-
get, at Finanstilsynet agter at fastholde sin gældende danske praksis, hvor
den såkaldte kapitalmålsætning vil være det bindende og dermed det reelle
krav. Anvendelse af kapitalmålsætning som et styrende krav i tilsynspro-
cessen er en dansk særregel, der ikke anvendes tilsvarende i andre EU-
lande. Specifikt bliver det bemærket, at i Danmark har ”kapitalmålsætnin-
gen udgjort et øvre mål, som institutterne har navigeret efter.” Med disse
formuleringer bliver det dermed tydeliggjort, at Finanstilsynet i Danmark
1
Aftale mellem regeringen (Venstre og Det Konservative Folkeparti), Socialdemokra-
terne, Dansk Folkeparti, Socialistisk Folkeparti, Det Radikale Venstre og Liberal Alli-
ance om forsvarlig aflønningspolitik i den finansielle sektor af den 31. august 2010.
2
Aftale mellem regeringen (Socialdemokraterne, Radikale Venstre og Socialistisk Fol-
keparti) og Venstre, Dansk Folkeparti, Liberal Alliance og Det Konservative Folkeparti
om regulering af systemisk vigtige finansielle institutter (SIFI) samt krav til alle banker
og realkreditinstitutter om mere og bedre kapital og højere likviditet af 10. oktober
2013.
7/26
anvender en tilgang, der kan være hårdere end en P2G-tilgang. Hvor insti-
tutter i andre lande kan tære på kapitalbevaringsbufferen, tillades modreg-
ning i kapitalbevaringsbufferen ikke i Danmark.
Dette indebærer, at danske institutter reelt er underlagt krav om at holde
mere kapital end udenlandske institutter, som følge af en dansk særtilgang.
FIDA opfordrer derfor til, at Finanstilsynet justerer sin praksis for anven-
delse af kapitalmålsætningen som det styrende kapitalkrav, så det bringes
i overensstemmelse med P2G-tilgangen samtidigt med, at bottom-up til-
gangen til stresstests fastholdes, inklusiv tilgangen til inddragelse af stress-
effekter indregnet i solvensbehovet (P2R).
Kommentar
Med lovforslaget bringes de danske regler om implementeringen af P2G i
overensstemmelse med de fælles EU-retningslinjer.
For så vidt angår Finanstilsynets praksis vedr. kapitalmålsætning skal det
bemærkes, at brud på det regulatoriske kapitalkrav kan have væsentlige
konsekvenser – ikke alene for den enkelte virksomhed, men potentielt også
for den finansielle stabilitet. Pengeinstitutterne vil derfor almindeligvis op-
stille målsætninger for kapitaliseringen og planlægge, at den faktiske ka-
pitalisering ligger i komfortabel afstand til de regulatoriske krav. Det er
ikke – som FIDA anfører – en dansk særregel, at institutterne har en kapi-
talmålsætning, som de styrer efter. Det gælder bredt i hele Europa. 3
Finanstilsynet fører tilsyn med institutternes styring og forventer, at pen-
geinstitutterne har et tilstrækkeligt højt kapitalmål, der sikrer, at alle ka-
pitalkrav er overholdt – også i en situation, hvor virksomheden bliver udsat
for store negative stød. Formålet er at understøtte den finansielle stabilitet.
Finanstilsynets forventning til kreditinstitutternes kapitalmålsætning af-
spejler således, at brud på regulatoriske kapitalkrav kan have stor betyd-
ning for institutternes adgang til kapitalmarkederne og dermed udlånska-
pacitet - og i værste tilfælde levedygtighed.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
3
Se f.eks. Cyril Couaillier: What are banks’ actual capital targets?
https://www.bankingsupervision.europa.eu/press/conferences/shared/pdf/20230502_re-
search_conference/Couaillier_paper.pdf
8/26
2.5. Administrationsselskab for Garantifonden for skadesforsik-
ringsselskaber
2.5.1. Udnævnelse af et administrationsselskab for Garantifon-
den for skadesforsikringsselskaber
Alm. Brand Group bemærker, at en konkurs i et forsikringsselskab udfor-
drer hele forsikringsbranchen, blandt andet fordi det påvirker hele bran-
chens omdømme. Alm. Brand Group anser det derfor også for en udfor-
dring for hele branchen at håndtere en sådan konkurs. Derfor bør loven
ifølge Alm. Brand Group i langt højere grad afspejle, at det er hele bran-
chen, der skal være med til at håndtere et konkursramt forsikringsselskab,
så det ikke – som lovforslaget ellers lægger op til – alene er en opgave for
de tre største forsikringsselskaber.
Alm. Brand Group bemærker videre, at lovens regler først vil finde anven-
delse, hvis Garantifonden ikke får et administrationsselskab via et EU-
udbud. Alm. Brand Group tolker de nuværende udbudsbetingelser således,
at relativt mange skadesforsikringsselskaber kan komme i betragtning som
administrationsselskab under et udbud – enten selv eller i et samarbejde
med andre. Alm. Brand Group finder, at lovforslaget bedre bør afspejle
dette. Loven bør således i væsentlig større omfang være udformet i over-
ensstemmelse med udbudsbetingelserne. Dermed vil flere forsikringssel-
skaber end alene de absolut største kunne blive udpeget som administrati-
onsselskab for Garantifonden.
I forlængelse heraf bemærker Alm. Brand Group, at det er vigtigt, at krite-
rierne for, hvem der kan udpeges som administrationsselskab for Garanti-
fonden, ikke fastsættes for snævert. Hvis kriterierne fastsættes for snævert,
vil det give en uhensigtsmæssig skævvridning, hvor alene nogle selskaber
kan påtage sig arbejdet.
F&P bemærker, at F&P er enige i, at Fonden ved en konkurs i et forsik-
ringsselskab bør have adgang til forsikringsekspertise i et administrations-
selskab. F&P anfører i den forbindelse, at F&P finder, at branchen bredt
bør bidrage til løsningen af dette. Det er derfor vigtigt for F&P, at flere
selskaber end de absolut største skadesforsikringsselskaber kan komme i
spil som administrationsselskab for Fonden.
Garantifonden for skadesforsikringsselskaber (Fonden) bemærker, at det
er vigtigt, at Fondens nuværende muligheder i forbindelse med udbudspro-
cessen ikke ændres med lovforslaget. Fonden vurderer, at en del skades-
forsikringsselskaber vil kunne udfylde rollen som administrationsselskab
for Fonden. Fonden anfører i forlængelse heraf, at Fonden f.eks. gerne vil
kunne indgå aftale med store udenlandske aktører på det danske marked,
og Fonden vil heller ikke udelukke større selskaber, der ikke har tilladelse
til alle forsikringsklasser.
9/26
Kommentar
Muligheden for at Finanstilsynet udnævner et administrationsselskab vil
først blive anvendt, hvis der ikke er egnede forsikringsselskaber, der i for-
bindelse med et EU-udbud byder på opgaven som administrationsselskab
for Fonden.
Det er således ikke hensigten, at den foreslåede ordning skal træde i stedet
for Fondens egne EU-udbud.
Lovforslaget skal derimod sikre, at Fonden ikke står uden et administrati-
onsselskab, hvis det ikke lykkedes for Fonden at indgå aftale med et forsik-
ringsselskab som administrationsselskab i forbindelse med et EU-udbud.
Lovforslaget medfører ikke, at Fonden kun kan indgå aftale med et forsik-
ringsselskab, der opfylder kriterierne for udnævnelse i lovforslaget. Fon-
den kan derfor vælge at indgå aftale med et forsikringsselskab, der ikke
opfylder kriterierne for at blive udnævnt af Finanstilsynet efter de foreslå-
ede regler.
Opgaven som administrationsselskab for Fonden kan være en byrdefuld
opgave, hvis der opstår en konkurs i et forsikringsselskab. Det kræver der-
for en vis størrelse, erfaring med en række forskellige forsikringsklasser,
samt økonomisk robusthed at være administrationsselskab for Fonden.
Derfor skal det kun være større forsikringsselskaber, der skal kunne ud-
nævnes af Finanstilsynet som administrationsselskab for Fonden. Derfor
foreslås det, at kun de største og økonomisk mest robuste forsikringssel-
skaber med erfaringen inden for en række forskellige forsikringsklasser,
skal kunne udnævnes af Finanstilsynet som administrationsselskab for
Fonden.
Det vurderes imidlertid, at både risikoen for at blive udnævnt og byrden
ved at blive udnævnt som administrationsselskab, bør kunne spredes på
flere forsikringsselskaber, end den gruppe af forsikringsselskaber som ef-
ter lovforslagets udformning på nuværende tidspunkt vil være omfattede.
Lovforslaget er derfor på baggrund af bemærkningerne justeret, så lov-
forslaget ikke stiller krav om, at forsikringsselskabets tilladelse til at drive
forsikringsvirksomhed skal være uden begrænsninger i de oplistede forsik-
ringsklasser, samt at der ikke stilles krav om tilladelse til forsikringsklasse
2 (sygdom). Dette vil medføre, at yderligere to forsikringsselskaber d.d.
kan udnævnes som administrationsselskab for Fonden af Finanstilsynet i
tilfælde af, at det ikke lykkes for Fonden at indgå aftale med et forsikrings-
selskab som administrationsselskab i forbindelse med et EU-udbud.
10/26
2.5.2.Udnævnelse af to eller flere forsikringsselskaber i forening som
administrationsselskab for Fonden
Alm. Brand Group bemærker, at der bør være mulighed for, at to eller flere
forsikringsselskaber i forening udpeges som administrationsselskab for
Fonden, hvis selskaberne i forening opfylder kriterierne. En sådan mulig-
hed er efter Alm. Brand Groups vurdering også tilgængelig under de nu-
værende udbudsbetingelser og bør derfor også reflekteres i loven. Alm.
Brand Group anfører, at det eksempelvis ikke bør være et krav, at et selskab
selv har koncession til f.eks. forsikringsklasse 2, såfremt et andet selskab
har koncession hertil.
F&P bemærker, at lovens regler først finder anvendelse, hvis Fonden ikke
får et administrationsselskab via et EU-udbud. F&P bemærker, at ved ud-
buddet vil en række skadesforsikringsselskaber kunne komme i betragt-
ning som administrationsselskab for Fonden – enten selv eller i et samar-
bejde med andre. F&P finder, at lovforslaget bør afspejle dette, så flere
skadesforsikringsselskaber kan udnævnes som administrationsselskab for
Fonden.
Kommentar
Med lovforslaget er det kun muligt for Finanstilsynet at udnævne ét forsik-
ringsselskab som administrationsselskab for Fonden på baggrund af de
objektive kriterier i lovforslaget.
Finanstilsynets pligt til at udnævne et administrationsselskab for Fonden
efter lovforslaget vil alene indtræde, hvis Fondens bestyrelse ikke selv kan
indgå aftale med et eller flere administrationsselskaber for Fonden. Fon-
den kan i henhold til lovforslaget indgå aftale med to eller flere forsik-
ringsselskaber, der i fællesskab ønsker at varetage opgaven som admini-
strationsselskab for Fonden. I denne situation må de forventes, at de sel-
skaber, der ønsker at samarbejde om opgaven, er enige om arbejdsforde-
lingen og har organiseret sig, så opgaven kan løftes.
I en situation, hvor Finanstilsynet skal udnævne et administrationsselskab,
fordi det ikke er lykkedes at finde et administrationsselskab gennem den
normale udbudsproces, vil der ikke som i en udbudssituation være tale om,
at to eller flere selskaber på forhånd er blevet enige om arbejdsfordeling
og organisering af opgaven. Hvis der er mulighed for at udnævne to eller
flere selskaber i fællesskab, kan der dermed kunne opstå en situation, hvor
der er uklarhed om, hvilket selskab der har ansvar for hvilke opgaver.
Dette vil i givet fald skulle specificeres af Finanstilsynet, hvilket ikke vur-
deres hensigtsmæssigt.
Det vurderes på den baggrund hensigtsmæssigt, at det selskab, som Fi-
nanstilsynet skal udnævne, selvstændigt skal kunne løfte opgaven som ad-
11/26
ministrationsselskab. Det bemærkes, at dette ikke er til hinder for, at ad-
ministrationsselskabet videreoutsourcer visse opgaver forbundet med at
være administrationsselskab.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.5.3.Ændring af krav til årlig bruttopræmieindtægt og markedsan-
dele
F&P foreslår, at kravet om en årlig bruttopræmieindtægt på minimum 2
mia. kr. sænkes til minimum 1,5 mia. kr., samt at markedsandelen sænkes
til 2 pct. målt på bruttopræmie.
Kommentar
Opgaven som administrationsselskab for Fonden kan være en byrdefuld
opgave, hvis der indtræder en konkurs i et forsikringsselskab. Derfor bør
alene de største og mest økonomisk robuste forsikringsselskaber med erfa-
ringen inden for en række forskellige forsikringsklasser kunne udnævnes
som administrationsselskab for Fonden.
Kriterierne i lovforslaget er fastsat for at sikre, at det er denne type forsik-
ringsselskaber, der kan udnævnes som administrationsselskab for Fonden.
En ændring af de foreslåede kriterier i lovforslaget til årlig bruttopræmie-
indtægt og markedsandel vil ikke medføre, at flere forsikringsselskaber på
nuværende tidspunkt vil kunne udnævnes som administrationsselskab for
Fonden og dermed indgå i ordningen.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.5.4.Udenlandske forsikringsselskaber
Alm. Brand Group og F&P bemærker, at da garantifondsloven er at be-
tragte som forbrugerregulering, bør forslaget ikke udelukke selskaber un-
der tilsyn i udlandet, hvis de i øvrigt lever op til kriterierne. Disse selskaber
er ikke afskåret fra at blive administrationsselskab i forbindelse med Fon-
dens udbud. Det bemærkes ligeledes, at Fonden i tilfælde af en konkurs vil
være i dækning over for de pågældende selskabers danske kunder.
Kommentar
Finanstilsynet kan efter lovforslaget ikke udnævne udenlandske forsik-
ringsselskaber som administrationsselskab for Fonden.
12/26
Lovforslaget forhindrer dog ikke Fonden i at indgå aftale med et eller flere
udenlandske forsikringsselskaber som administrationsselskab i forbin-
delse med et udbud. Dette fremgår ligeledes af lovforslagets bemærknin-
ger.
Det vil blive søgt afklaret, om også udenlandske forsikringsselskaber, der
opfylder kriterierne i lovforslaget, kan udnævnes som administrationssel-
skab for Fonden. Såfremt det viser sig muligt, vil dette blive justeret ved en
senere ændring af lov om en garantifond for skadesforsikringsselskaber.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.5.5. Vederlag
Alm. Brand Group bemærker, at opgaven som administrationsselskab for
Garantifonden indebærer en række omkostninger, herunder til oprethol-
delse af et beredskab til at kunne håndtere et andet forsikringsselskabs ska-
desager med kort varsel. Som følge heraf bemærker Alm. Brand Group, at
det er vigtigt, at vederlaget afspejler samtlige disse omkostninger.
F&P bemærker, at det bør fremgå af lovforslagets bemærkninger, at det
pågældende selskab vil blive honoreret for arbejdet som administrations-
selskab på kommercielle markedsvilkår. F&P anfører videre, at admini-
strationsselskabet således ikke vil blive påført omkostninger, der ikke vil
kunne faktureres Fonden, herunder omkostninger til at opretholde et be-
redskab til at kunne håndtere et andet forsikringsselskabs skadesager med
kort varsel. Det bør ifølge F&P tillige fremgå af lovforslagets bemærknin-
ger, at rollen som administrationsselskab ikke påfører selskabet kapital-
eller solvenskrav.
Kommentar
Det følger af lovforslaget, at Fonden skal betale vederlag til et administra-
tionsselskab udnævnt af Finanstilsynet, samt at vederlaget fastlægges efter
vilkårene i Fondens udbudsmateriale eller andet dokument, der indeholder
en specificering af opgaverne. Det følger videre af de specielle bemærk-
ninger til lovforslaget, at det foreslåede vil medføre, at vederlagets stør-
relse er til forhandling mellem parterne.
Med lovforslaget er det således op til parterne at forhandle et vederlag,
som af begge parter vurderes rimeligt for at varetage opgaven som admi-
nistrationsselskab.
Kapital- og solvensreglerne er selvstændige regler, der følger af Solvens
II-reguleringen, og disse gælder for forsikringsselskaber uagtet reglerne i
lov om en garantifond for skadesforsikringsselskaber.
13/26
Rollen som administrationsselskab for Fonden, vil ikke umiddelbart påføre
det pågældende forsikringsselskab kapital- eller solvenskrav, hvis selska-
bet er udnævnt af Finanstilsynet efter de foreslåede bestemmelser.
Lovforslaget er på baggrund af F&P’s bemærkninger blevet justeret, så
det fremgår af bemærkningerne til lovforslaget, at det pågældende selskab
vil blive honoreret for arbejdet som administrationsselskab på kommerci-
elle markedsvilkår, samt at administrationsselskabet ikke vil blive påført
omkostninger, der ikke vil kunne faktureres Fonden. Dette kan også inklu-
dere kompensation for omkostninger, som følge af en yderligere belastning
af administrationsselskabets kapital- eller solvenskrav, som følge af ud-
nævnelsen, såfremt en sådan aktualiseres.
2.5.6.Outsourcing
Alm. Brand Group opfordrer til, at det bør gøres klart, at outsourcingreg-
lerne i lov om forsikringsvirksomhed ikke omfatter outsourcing af Garan-
tifondens opgaver ifølge garantifondsloven.
F&P bemærker, at det har vist sig at være en stor udfordring for forsik-
ringsselskaber, der overvejer at byde på ordningen, at der er usikkerhed
om, hvorvidt et forsikringsselskab, der agerer som administrationsselskab
for Fonden, er omfattet af outsourcingreglerne i lov om forsikringsvirk-
somhed. F&P opfordrer derfor til, at det gøres helt klart, at outsourcingreg-
lerne i lov om forsikringsvirksomhed ikke omfatter outsourcing af Fondens
opgaver ifølge garantifondsloven. Der er i denne lov ingen regler om out-
sourcing, fordi der er tale om varetagelse af helt andre hensyn, og fordi
Fonden ikke er et forsikringsselskab. F&P anfører, at alternativet kan be-
tyde en betydelig ekstra omkostning for Fonden til skade for forbrugerne,
der finansierer ordningen.
Garantifonden for skadesforsikringsselskaber (Fonden) bemærker, at Fon-
den ikke har glæde af, at administrationsselskabet er omfattet af outsour-
cingreglerne i lov om forsikringsvirksomhed (LFV).
Fonden anfører videre, at Fonden ikke er omfattet af reglerne, og at det
som udgangspunkt er Fonden, der outsourcer opgaver til administrations-
selskabet. Administrationsselskabet vil sommetider videreoutsource opga-
ver, men dette vil – medmindre der er tale om småopgaver – ske med Fon-
dens vidende. Da outsourcingreglerne har vist sig at være medvirkende til,
at selskaber ikke byder på opgaven og samtidig kan være mærkbart fordy-
rende for Fonden, bør det fremgå, at outsourcingreglerne i LFV ikke finder
anvendelse, når administrationsselskabet arbejder for Fonden.
14/26
Kommentar
Outsourcingreglerne i Solvens II-forordningen og lov om forsikringsvirk-
somhed er et selvstændigt regelsæt, der gælder ved siden af lov om en ga-
rantifond for skadesforsikringsselskaber, hvorfor disse ikke berøres af
nærværende lovforslag om ændring af lov om en garantifond for skades-
forsikringsselskaber.
Det bemærkes, at outsourcingreglerne i Solvens II-forordningen og lov om
forsikringsvirksomhed ikke finder anvendelse på Fondens outsourcing til
administrationsselskabet.
Det bemærkes i forlængelse af ovenstående, at forsikringsselskabet, der
varetager opgaven som administrationsselskab for Fonden, kan være om-
fattet af outsourcingreglerne, hvis forsikringsselskabet vælger at videre-
outsource opgaver til for eksempel et andet forsikringsselskab.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6. Operatører af finansielle digitale infrastrukturer
2.6.1.Generelle bemærkninger til regelsættet for operatører af finan-
sielle digitale infrastrukturer
BEC er overordnet meget tilfredse med forslaget til håndtering af det lov-
mæssige skisma, der ligger i, at datacentraler og finansielle virksomheder
er underlagt forskellig lovgivning.
Mastercard anerkender hensynene bag lovforslaget, dvs. implementering
af NIS 2-direktivet for it-operatører af detailbetalingssystemer med afsæt
i DORA-forordningen.
Kommentar
De gældende regler indeholder en række IT- og cybersikkerhedskrav til
finansielle virksomheder, fælles datacentraler og it-operatører af detailbe-
talingssystemer.
DORA-forordningen erstatter de hidtil gældende IT- og cybersikkerheds-
regler for mange virksomheder i den finansielle sektor, men ikke for de
fælles datacentraler og it-operatører af detailbetalingssystemer. Disse
virksomheder er underlagt NIS 2-direktivet, hvis regler er mindre omfat-
tende end de eksisterende danske regler og DORA-forordningen.
For at opretholde høj beskyttelse i den finansielle sektor bør de fælles da-
tacentraler og it-operatører af detailbetalingssystemer være underlagt lig-
nende krav som de øvrige virksomheder i den finansielle sektor. Lovforsla-
get fastsætter derfor nye regler for fælles datacentraler og it-operatører af
detailbetalingssystemer, der implementerer NIS 2-direktivet og fastsætter
regler, der ligner DORA-forordningens regler.
15/26
2.6.2.Om udpegning af operatører af finansielle digitale infrastruktu-
rer
F&P bemærker, at overgangen til en udpegningsmekanisme skaber usik-
kerhed om, hvilke virksomheder der vil blive udpeget.
Kommentar
En virksomhed, der bliver udpeget som operatør af finansiel digital infra-
struktur, vil blive underlagt kravene i det foreslåede regelsæt for operatø-
rer af finansielle digitale infrastrukturer og komme under tilsyn af Finans-
tilsynet. Det er derfor vigtigt for, at der er klarhed om hvilke virksomheder,
der bliver udpeget.
Kriterierne for udpegning er fastsat, så de udpegede virksomheder, er de
virksomheder, der varetager de kritiske og vigtigste opgaver for den finan-
sielle sektor. Disse kriterier har ikke kunnet udformes således, at de alene
beror på objektivt konstaterbare faktorer, da sådanne faktorer ikke i til-
strækkelig grad afspejler virksomhedens varetagelse af kritiske og vigtige
opgaver for den finansielle sektor.
Reglerne om operatører af finansielle digitale infrastrukturer erstatter
reglerne om fælles datacentraler i lov om finansiel virksomhed, men de
foreslåede regler vil indebære, at der kan ske ændringer i hvilke virksom-
heder, der fremover bliver omfattet af det finansielle tilsyn.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.3.Terminologi og definitioner
BEC nævner, at det generelt i lovforslaget varierer, om terminologi lægger
sig tekstnært op ad NIS2 og/eller DORA. Der henstilles til ensartet anven-
delse af terminologi – f.eks. at der konsekvent henvises til ”tredjeparter” i
stedet for ”leverandører”.
Ved genanvendelse af NIS2’s terminologi indføres i nogle tilfælde helt nye
termer, der er synonyme med tidligere anvendte og dermed velkendte ter-
mer fra outsourcingbekendtgørelsen. Eksempel herpå er § 333 h, stk. 6,
hvor der under litra 2) tales om tilsynsmæssige betingelser for ”udlicite-
ring”. Hvis der med ”udlicitering” menes ”outsourcing” bør dette udtryk
anvendes. Alternativt bør betydningen af ”udlicitering” og andre NIS2-
afledte begreber præciseres i bemærkningerne med henvisning til velkendt
terminologi.
e-nettet foreslår, at der i bemærkningerne til § 333 j, stk. 2, nr. 3, præcise-
res, hvad forskellen er på autenticitet og integritet.
16/26
JN Data bemærker, at lovforslagets §§ 333 h-j anvender begrebet it-tjene-
ster, men at omfanget af dette begrebet ikke er tilstrækkeligt beskrevet,
herunder særligt om det afgrænser sig leverancer som leveres som en tje-
neste og således ikke omfatter softwarelicensaftaler og hardware.
Kommentar
En del af høringssvarene udtrykker ønske om præcisering af en række de-
finitioner af begreber og ordvalg i lovforslaget. Lovforslaget anvender som
alt overvejende hovedregel og kun med få undtagelser begreber fra DORA
forordningen og NIS 2-direktivet. Definitionerne af disse begreber skal
derfor forstås i overensstemmelse med deres betydning i EU-retten. Dette
gælder f.eks. begrebet ”it-tjeneste”, som i henhold til NIS 2-direktivet og
DORA-forordningen forstås i overensstemmelse med definitionen heraf i
Europa-Parlamentets og Rådets forordning (EU) 2019/881, der handler
om cybersikkerhedscertificering af informations- og kommunikationstek-
nologi.
Kommentarer om brug af begreber fra EU-retten er med to undtagelser
nedenfor ikke behandlet særskilt i nærværende notat, men noteret med hen-
blik på om muligt at justere terminologien uden at miste konsistensen med
de relevante EU-retsakter.
Med hensyn til begrebet ”ledelsesorgan” og ”bestyrelse” er det fundet
hensigtsmæssigt at disse betegnelser erstattes med ”det øverste ledelses-
organ”. Dette er for at fjerne tvivl om, at det er det øverste ledelsesorgan,
uanset selskabsstruktur, der er forpligtet i henhold en række af lovforsla-
gets bestemmelser, herunder § 333 h, stk. 4.
2.6.4.Proportionalitetsprincippet
e-nettet bemærker, at proportionalitetsprincippet i artikel 4 i DORA ikke
er nævnt i lovforslaget. E-nettet bemærker videre, at der ønskes en genta-
gelse af proportionalitetsprincippet direkte i lovteksten, så det kan anven-
des af datacentralerne, præcis som det i dag fremgår af bilag 5 i bekendt-
gørelse om ledelse og styring af pengeinstitutter m.fl.
Bankdata bemærker, at lovforslaget indebærer anvendelse af proportiona-
litetsprincippet ved at lægge op til individuel vurdering. Bankdata ville fo-
retrække, hvis lovgivningen havde været mere konkret. Dette kunne f.eks.
være opnået på samme måde som i DORA, hvor der både er et ICT risk
management framework og et simplificeret framework (artikel 16 i
DORA-forordningen).
Kommentar
Det er vigtigt, at der er proportionalitet i reguleringen. Proportionalitets-
princippet i DORA-forordningens artikel 4 er derfor også reflekteret i re-
gelsættet. Udpegningen som operatør af finansiel digital infrastruktur be-
ror således på, at den udpegede virksomhed understøtter flere finansielle
17/26
enheder, som tilsammen anses for at have væsentlig eller systemisk betyd-
ning. Hensynet til proportionalitetsprincippet varetages derved overordnet
i forbindelse med udpegningen af virksomheder, der skal være omfattet af
regelsættet.
Derudover anvender dele af regelsættet en mere principbaseret tilgang end
DORA-forordningen, hvilket gør det muligt at tage hensyn til bl.a. forskelle
i niveauet for efterlevelsen af forordningen hos operatørernes tilsluttede
virksomheder. Dette kommer f.eks. til udtryk i den foreslåede § 333 d, stk.
2, hvor virksomheden har mulighed for at vælge passende mellemrum for
deres identifikation og vurderinger af alle væsentlige it- og cyberrisici,
som de er eksponeret for. Tilsvarende fastsættes det i stk. 4, at virksomhe-
derne skal indføre passende strategier, politikker, procedurer og foran-
staltninger til at modvirke de potentielle virkninger af deres it- og cyberri-
sici.
Endelig bemærkes, at DORA-forordningens ordning for små virksomhe-
der, som skal følge et simplificeret regelsæt, jf. forordningens artikel 16,
kun forventes at komme til at omfatte relativt få og meget små finansielle
enheder, som ikke bliver omfattet af regelsættet for finansielle digitale in-
frastrukturer.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.5.Strategi for digital operationel modstandsdygtighed
e-nettet ønsker, at det i lovforslaget adresseres, om kravene til den strategi,
der er nævnt i § 333 b, stk. 1, er overensstemmende med kravene i DORA
artikel 6, nr. 8. Der ønskes ligeledes en bekræftelse af, hvorvidt der er tale
om en ny strategi eller en revurdering af bilag 5.
Kommentar
Datacentraler, der udpeges som operatører af digitale finansielle infra-
strukturer vil skulle udarbejde en strategi for digital operationel mod-
standsdygtighed, jf. det foreslåede § 333 b, stk. 1.
Omfanget af strategien skal forstås i overensstemmelse med DORA-
forordningens artikel 6, stk. 8, jf. betragtning 45. Strategien skal således
fastsætte, hvordan virksomhedens ramme for styring af it- og cyberrisici
gennemføres. Dette vil blive præciseret i bemærkningerne til bestemmel-
sen.
Denne strategi er således forskellig fra f.eks. it-strategier der hidtil er ud-
arbejdet i henhold til bilag 5 til ledelsesbekendtgørelsen for pengeinstitut-
ter mv. Bilag 5 til ledelsesbekendtgørelsen ophæves i forbindelse med lov-
forslagets gennemførelse.
18/26
2.6.6.Adskillelse af risikostyringsfunktionen og kontrolfunktioner
e-nettet foreslår, at bemærkningerne til lovforslaget uddybes, så det er klart
i hvilket omfang bestemmelsen medfører en ændring af pligten til at ud-
pege en risikoansvarlig og den risikoansvarliges og risikostyringsfunktio-
nens opgaver, jf. ledelsesbekendtgørelsens § 16 og bilag 5, nr. 106-108 og
bilag 7.
Bankdata rejser spørgsmål om, hvorvidt § 333 b, stk. 2, skal forstås således,
at it- og cyberrisikostyringsfunktion er placeret i 1. forsvarslinje, kontrol-
funktioner i 2. forsvarslinje og intern revision i 3. forsvarslinje.
Kommentar
Det bemærkes indledningsvist, at lovforslaget vil blive ændret, således at
»bestyrelsen« erstattes med begrebet »det øverste ledelsesorgan«, jf. oven-
for under 2.6.3. Det for at undgå tvivl om, hvordan kravene, der påfalder
bestyrelsen skal håndteres i et selskab, der ikke har en bestyrelse.
Lovforslagets regelsæt om operatører af finansiel digital infrastruktur æn-
drer pligten til at udpege en risikoansvarlig, idet det øverste ledelsesorgan
fremover har ansvar for risikostyringen, og at risikostyringen skal vareta-
ges af en funktion oprettet med dette formål. Regelsættet er dog ikke til
hinder for at udpege en eller flere risikoansvarlige under det øverste ledel-
sesorgan, men ledelsesorganets ansvar vil ikke kunne uddelegeres.
I forhold til spørgsmålet om tre forsvarslinjer bemærkes det, at lovforsla-
gets § 333 b, stk. 2, ikke fastsætter, om funktionerne placeres i hhv. 1., 2.,
eller 3. forsvarslinje, hvis modellen med tre forsvarslinjer anvendes. Funk-
tionerne skal blot være adskilt.
Virksomhederne kan også anvende en anden model i henhold til § 333 b,
stk. 2.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.7.Dokumentation for operatørens styring af kunders it-og cyber-
risici
Bankdata rejser spørgsmål om, hvorvidt der er forskel på de krav der stilles
til operatørerne af finansielle digitale infrastrukturer og de krav der stilles
til deres kunder efter DORA, jf. § 333 c.
Mastercard bemærker, at de kritiske eller vigtige funktioner hos en opera-
tør, som udøver virksomhed som datacentral, også vil omfatte leverancer
af kritiske eller vigtige funktioner hos de tilsluttede virksomheder, men at
dette ikke er relevant for it-operatører af detailbetalingssystemer. Derfor
foreslås det at affatte bestemmelsen uden specifikt at nævne kunderne.
19/26
Kommentar
Bestemmelsen i § 333 c finder alene anvendelse, hvis en operatør af finan-
siel digital infrastruktur leverer drift, administration eller udvikling af it
m.v. til kunder, der er omfattet af kravene i DORA-forordningen. Derfor
vil bestemmelsen finde anvendelse på fælles datacentraler og tilsvarende
it-udbydere i den finansielle sektor.
De foreslåede regler lægger op til, at operatører, der udøver virksomhed
som datacentral for kunder omfattet af DORA-forordningen, sammen med
de pågældende kunder skal identificere hvilke af operatørens leverancer,
der understøtter kritiske eller vigtige funktioner hos kunden.
Opgaver, der kræver tilladelse som it-operatør af et detailbetalingssystem,
og som varetages for en større kreds af virksomheder i den finansielle sek-
tor skal ikke anses for at udgøre et kundeforhold i lovforslagets forstand.
Opgaver af denne karakter anses heller ikke i den nugældende regulering
for at udgøre outsourcing, da der ikke er tale om en opgave som de finan-
sielle virksomheder ellers selv ville eller kunne udføre.
Lovforslaget ændres, så det fremgår af § 333 c, at operatørens styring af
kunders it- og cyberrisici alene finder anvendelse, på kunder, der er om-
fattet af DORA-forordningen.
2.6.8.Spørgsmål til identifikation, beskyttelse og detektion mv.
Bankdata rejser spørgsmål om, hvorvidt virksomhederne bør have frihed
til at vælge egne modeller og selv at fastsætte parametre til at anslå om-
kostninger, jf. § 333 e, stk. 8.
Bankdata spørger endvidere til, hvilke testresultater der refereres til i §
333 e, stk. 11, der forpligter virksomhederne til at udvikle politikker for
læring på baggrund af viden opnået ved bl.a. test.
F&P bemærker, at det synes problematisk, at afrapportering om læring og
anbefalinger til forbedringer skal rettes til bestyrelsen. Kravet om en politik
for at opsamle omtalte viden, samt at denne viden skal lede til anbefalinger
til forbedringer til ledelsesorganet, er ifølge F&P fornuftig. F&P finder det
imidlertid problematisk, når det i bemærkningerne til § 333 e, stk. 11, frem-
går, at ledelsesorganet skal forstås som operatørens bestyrelse. Der er tale
om forhold, der ligger inden for direktionens ansvarsområde, hvorfor af-
rapporteringen bør henledes hertil.
Kommentar
Det bemærkes, at spørgsmålet om parametre til vurdering af omkostnin-
ger relaterer sig til cyberstresstest, der ikke er en del af lovforslagets del
20/26
om finansielle digitale operatører, og dermed bestemmelsen i § 333 e,
stk. 8.
De testresultater, som § 333 e, stk. 11, forpligter virksomhederne til at have
politikker for læring på baggrund af, er alle relevante testresultater, som
operatøren råder over.
Kravet for afrapporteringen i forbindelse med læring m.v. afspejler kravet
i DORA-forordningens artikel 13, stk. 5. Efter forordningen er bestyrelsen
eller det øverste ledelsesorgan, hvis der ikke er en bestyrelse, tiltænkt en
mere aktiv rolle i virksomhedernes styring af it- og cyberrisici, end tilfæl-
det er i dag.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.9.Spørgsmål til hændelsesstyring og -rapportering
Bankdata bemærker, at det er uklart hvad Finanstilsynet og CSIRT’en (det
centrale computer security incident response team) har brug for, til at
kunne fastslå eventuelle grænseoverskridende virkninger, jf. § 333 f, stk.
3.
Bankdata bemærker endvidere, at der mangler en uddybende vejledning i
hvad et økonomisk tab i praksis betyder, eksempelvis kan det være et mi-
nimalt økonomisk tab, jf. § 333 f, stk. 4.
Kommentar
Den nærmere afklaring af, hvad der er nødvendigt for at fastslå eventuelle
grænseoverskridende virkninger vil bero på en konkret vurdering, som
operatøren af den finansielle digitale infrastruktur skal foretage.
Kravet følger af NIS 2-direktivets artikel 23, stk. 1.
Kriterierne for opgørelse af tab relaterer sig til væsentlige hændelser. En
hændelse anses for væsentlig, hvis den forårsager en alvorlig driftsforstyr-
relse eller et økonomisk tab, jf. NIS 2-direktivet artikel 23. Ofte forekom-
mende ikke-væsentlige hændelser, som hver især medfører mindre tab skal
anses for en omkostning, der ikke falder ind under begrebet et økonomisk
tab.
De delegerede retsakter, som udstedes i medfør af DORA-forordningen
forventes at indeholde nærmere regler for beregningen af tab, herunder i
de kommende fælles retningslinjer for overslaget over de samlede årlige
omkostninger og tab, der opstår som følge af større it-relaterede hændel-
ser, jf. DORA-forordningens artikel 11, stk. 11.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
21/26
2.6.10. Spørgsmål relateret til tredjepartsrisici
e-nettet foreslår, at det uddybes, evt. i bemærkningerne, om strategien i §
333 h, stk. 4, skal godkendes af bestyrelsen, og hvorvidt den kan være en
del af den under § 333 b, stk. 2, nævnte strategi for operationel robusthed,
henset til at den skal være en integreret del af risikostyringsrammerne.
Bankdata rejser spørgsmål om, hvilke tilsynsmæssige betingelser, der re-
fereres til i § 333 h, stk. 6, nr.2, hvorefter en operatør skal vurdere om de
tilsynsmæssige betingelser for udlicitering er opfyldt, inden operatøren
indgår en kontraktlig ordning for brugen af it-tjenester.
Bankdata henviser til ordlyden af § 333 h, stk. 9, der oplister hvilke opera-
tører skal tage højde for ved fastsættelse af strategier for brug af en tredje-
partsudbyders tjenester. I den sammenhæng bemærker Bankdata, at alene
§ 333 h, stk. 9, nr. 4, forpligter operatøren til at højde for væsentlige risici,
og mener, at dette ligeledes bør fremgå af de andre litra.
F&P bemærker, at det fremstår uklart, hvad ”testet i tilstrækkeligt omfang”
indebærer. F&P foreslår at det kommer til at fremgå, at der kun kan være
tale om ”skrivebordstest”
BEC finder det uklart, om den nugældende outsourcingbekendtgørelses
krav til etablering af exit-strategier og planer videreføres uændret, eller om
der ved § 333 h indføres skærpede krav om transitionsplaner (jf. benæv-
nelsen af ”overgangsplaner”). BEC ønsker det præciseret, at transitionspla-
nerne først skal etableres, når en exitsituation aktualiseres.
JN Data foreslår, at der fastsættes en ”graceperiode” på 36 måneder for
implementering af reglerne om tredjepartsrisici, der relaterer til kontrakter
m.v.
Kommentar
Det er det øverste ledelsesorgan, som har kompetencen til at vedtage ope-
ratørens strategi for it-tredjepartsrisici. Denne strategi kan være en inte-
greret del af strategien for digital operationel modstandsdygtighed.
De tilsynsmæssige betingelser, der refereres til i § 333 h, stk. 6, som skal
være opfyldt inden indgåelsen af en kontraktretlig ordning med en tredje-
part om brug af tredjepartens it-tjenester, er de betingelser, der fremgår
af hele det foreslåede afsnit IX c.
Det forhold, at virksomheden alene skal vurdere væsentlige risici i forbin-
delse med passende og løbende anvendelse af tredjepartens it-tjenester, jf.
§ 333 h, stk. 6, reflekterer artikel 28, stk. 8, DORA-forordningen, hvorfor
det ikke foreslås ændret.
22/26
Tilstrækkeligheden af test af exitstrategier beror på en konkret vurdering.
Bestemmelsen om test af exitstrategier indebærer ikke en forpligtelse til at
gennemføre en praktisk overførsel eller hjemtagning af funktioner, men at
det afklares hvorvidt, hvordan og hvor hurtigt en exit vil kunne gennemfø-
res. I mange tilfælde vil betingelsen kunne opfyldes med en underbygget
analyse, som en ”skrivebords-øvelse”.
Der er ikke mulighed for nationalt at fastsætte en særlig overgangsperiode
for kontrakter, som er omfattet af DORA forordningen. Det betyder dog
ikke, at alle kontrakter skal leve op til samtlige krav når forordningen fin-
der anvendelse, da mange af forordningens krav alene vedrører kontrakter
indgået efter forordningens ikrafttræden.
2.6.11. IP-adresser
Bankdata rejser spørgsmål om, hvorfor § 333 i, stk. 1, nr. 4, fastsætter, at
virksomhederne skal oplyse Finanstilsynet om IP-adresser og ikke domæ-
neadresser.
Kommentar
Ordlyden i lovforslaget implementerer NIS 2-direktivets artikel 27, stk. 2.
Kravet kan ikke fraviges.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.12. Straffebestemmelser
F&P bemærker, at bestemmelsen til § 333 b om ledelse og organisation, er
uklart formuleret. Eksempelvis fremgår det af § 333 b, stk. 5, at der skal
udpeges et direktionsmedlem, som er ansvarlig for tilsyn og dokumenta-
tion i forbindelse med eksponering for it- og cyberrisici fra tredjepartsud-
bydere. Det er imidlertid ikke tydeligt, hvilket specifikt ansvar, som skal
løftes af pågældende direktionsmedlem, hvilket er yderst problematisk i
lyset af, at overtrædelse af § 333 b, stk. 5, er strafbelagt.
F&P bemærker derudover, at straffebestemmelserne i Afsnit IX c generelt
er uklare.
Kommentar
Det bemærkes, at strafansvar for overtrædelse af § 333 b, stk. 5, angår
operatørens manglende udpegelse af et direktionsmedlem i henhold til be-
stemmelsen. Strafansvaret er derfor operatørens, altså den juridiske per-
son. Dette følger af bestemmelsens ordlyd, da pligten påhviler operatøren,
ligesom dette fremgår af bemærkningerne til strafbestemmelsen.
23/26
Strafbestemmelse angår således ikke det pågældende direktionsmedlems,
eller medarbejderne i den pågældende funktions, varetagelse af opgaven.
2.6.13. Begrebet fælles datacentraler
BEC bemærker, at lovforslaget ikke anvender begrebet fællesejede data-
centraler og foreslår, at bruge benævnelsen, evt. som alternativ betegnelse
for operatører af finansielle digitale infrastrukturer.
Kommentar
Begrebet operatør af finansielle digitale infrastruktur dækker andet og
mere end begrebet fælles datacentral, f.eks. andre it-udbydere i den finan-
sielle sektor og it-operatører af detailbetalingssystemer. Sondringen mel-
lem disse typer af aktører præciseres i bemærkningerne til lovforslaget.
2.6.14. Outsourcing, herunder MitID
F&P bemærker, at bestemmelsen om undtagelsen af MitID i lov om for-
sikringsvirksomhed § 134, stk. 7, ikke foreslås ændret, selvom samme be-
stemmelse i lov om finansiel virksomhed foreslås ændret.
F&P bemærker, at det ikke er muligt at se, at der i nærværende lovforslag,
eller i den nye lov om forsikringsvirksomhed (§ 134), er indsat tilsvarende
bestemmelse for forsikringsselskaber, hvilket skaber uklarhed om, hvor-
vidt reglerne om outsourcing i lov om finansiel virksomhed § 72 b og lov
om forsikringsvirksomhed § 134 fortsat skal gælde for det digitale opera-
tionelle område.
Kommentar
DORA-forordningen medfører, at al outsourcing på det digitale operatio-
nelle område, fremover vil været omfattet af reglerne i DORA-
forordningen.
Det er ikke meningen, at lovforslaget skal skabe uklarhed om det. Lov-
forslaget vil derfor blive ændret, så reglerne om outsourcing i lov om for-
sikringsvirksomhed ikke finder anvendelse på det digitale operationelle
område.
2.6.15. Ikrafttrædelsestidspunkt
F&P bemærker, at bestemmelser om lovforslagets ikrafttrædelsestidspunkt
giver anledning til tvivl.
F&P bemærker, at lovforslagets bemærkninger forudsætter, at bestemmel-
ser, der supplerer DORA, træder i kraft den 17. januar 2025, men at lov-
forslaget indeholder en række bestemmelser, der henviser til DORA, som
dog træder i kraft allerede den 18. oktober 2024.
24/26
F&P bemærker ligeledes, at lovforslaget vil ophæve reglerne om fælles
datacentraler i lov om forsikringsvirksomhed måneder før, at lovforslagets
regelsæt om operatører af finansielle digitale infrastrukturer træder i kraft.
Dette vil medføre en periode, hvor der ikke gælder regler for de fælles da-
tacentraler iht. lov om forsikringsvirksomhed.
Kommentar
Regelsættet for operatører af finansielle digitale infrastrukturer træder i
kraft den 18. oktober 2024. Enkelte af bestemmelserne i regelsættet vil dog
ikke finde anvendelse før DORA-forordningens anvendelsestidspunkt, dvs.
den 17. januar 2025. Det gælder f.eks. § 333 g, stk. 3, om operatørens ud-
førelse af trusselsbaserede penetrationstest, der følger af DORA-
forordningen og § 333 k, stk. 1, 2. pkt., om ordninger for informationsud-
veksling iht. DORA-forordningen.
Som F&P anfører, er dette ikke tilstrækkeligt klart i lovforslaget. Derfor
tilpasses lovforslagets ikrafttrædelsesbestemmelse for at sikre klarhed
over, hvornår de af lovforslagets bestemmelser, der knytter sig til DORA-
forordningen, træder i kraft.
Det har ikke været hensigten, at regelsættet om fælles datacentraler i lov
om forsikringsvirksomheder skulle ophæves før det nye regelsæt om ope-
ratører af finansielle digitale infrastrukturer træder i kraft. Lovforslagets
ikrafttrædelsesbestemmelse vil derfor blive ændret, så regler om fælles da-
tacentraler i lov om forsikringsvirksomhed ophæves den 18. oktober 2024.
2.7. Tilpasninger til ATP-loven
Arbejdsmarkedets Tillægspension (ATP) bemærker, at der i udkastet til
lovforslaget bl.a. foreslås en række ændringer til lov om forsikringsvirk-
somhed. ATP foreslår derfor, at der medtages yderligere ændringer til lov
om forsikringsvirksomhed vedrørende ATP.
ATP foreslår, at § 83, stk. 2 og 3, i lov om forsikringsvirksomhed, der re-
gulerer forsikringsselskabers videregivelse af oplysninger til ATP eller ak-
tieselskaber, der er ejet fuldt ud af ATP, ændres. Ændringen skal sikre, at
videregivelse kan ske til datterselskaber ejet fuldt ud af ATP, hvilket vil
understøtte ATPs mulighed for at drive sin virksomhed i flere virksom-
hedsformer som fastlagt i ATP-loven.
ATP foreslår i den sammenhæng ligeledes, at der foretages samme ændring
til § 118, stk. 2, i lov om finansiel virksomhed, der regulerer finansielle
virksomheders adgang til at videregive oplysninger til ATP.
Kommentar:
ATPs kommentarer angår forslag til ændringer af bestemmelser, som lig-
ger ud over nærværende lovforslag. Forslagene skal derfor undersøges
25/26
nærmere. Såfremt undersøgelsen giver anledning til at tilpasse bestemmel-
serne i overensstemmelse med ATP’s kommentarer, vil tilpasningerne blive
foretaget ved et senere lovforslag, og efter dialog med Beskæftigelsesmini-
steriet.
3. Oversigt over hørte organisationer, myndigheder m.v.
Aalborg Universitet, Aarhus BSS, Advokatsamfundet, Akademisk Arki-
tektforening, Akademikerne, Andelskassen, Arbejderbevægelsens Er-
hvervsråd, Arbejdsmarkedets Erhvervssikring (AES), Arbejdsmarkedets
Tillægspension (ATP), Brancheforeningen for Aktive Ejere i Danmark,
Capital Law CPH, CBS, CEPOS, Computershare, DAFINA, Danmarks
Nationalbank, Danmarks Skibskredit A/S, Dansk Aktionærforening,
Dansk Arbejdsgiverforening, Dansk Byggeri, Dansk Ejendomskredit,
Dansk Ejendomsmæglerforening, Dansk Energi, Dansk Erhverv, Dansk
Forening for International Motorkøretøjsforsikring (DFIM), Dansk Indu-
stri, Dansk Iværksætter forening, Dansk Investor Relations Forening –
DIRF, Dansk Kredit Råd, Dansk Metal, Dansk Standard, Danske Advoka-
ter, Danske Forsikringsfunktionærers Landsforening, Danske Maritime,
Danske Rederier, Danske Regioner, Den Danske Aktuarforening, Den
Danske Dommerforening, Den Danske Finansanalytikerforening, Den
danske Fondsmæglerforening, Det nationale netværk af virksomhedsle-
dere, Den Sociale Retshjælp, Det økonomiske råds sekretariat (DØRS),
Drivkraft Danmark, e-nettet, Ejendomsforeningen, Experian, Fagbevægel-
sens Hovedorganisation, FDFA – Foreningen af Danske Forsikringsmæg-
lere og ForsikringsAgenturer, FDIH – Foreningen for Distance- og Inter-
nethandel, FinansDanmark, Finans og Leasing, Finansforbundet, Finans-
huset i Fredensborg A/S, Finanssektorens Arbejdsgiverforening, First
North, Forbrugerrådet Tænk, Forbrugsforeningen, Foreningen af Forret-
ningsførere for Udenlandske Forsikringsselskaber, Foreningen af Interne
Revisorer v/ Jesper Siddique Olsen, Foreningen Danske Revisorer, For-
eningen for platformsøkonomi, FOREX, Forsikring & Pension, Forsik-
ringsforbundet, Forsikringsmæglerforeningen, v/ Direktør Flemming Ko-
sakewitsch, FSR – danske revisorer, Garantiformuen, Gode penge, HK,
Horesta Arbejdsgiverorganisation, Hvidvasksekretariatet, Håndværksrå-
det, Indsamlingsorganisationernes Brancheorganisation (ISOBRO), Inter-
trust (Denmark), ISACA Denmark Chapter, IT-branchen, JN Data, Kom-
muneKredit, Kommunernes Landsforening, Komiteen for god selskabsle-
delse, Kromann Reumert, Kuratorforeningen, Københavns Universitet,
Landbrug & Fødevarer, Landsdækkende banker, Landsforeningen af for-
svarsadvokater, Landsforeningen for Bæredygtigt Landbrug, Ledernes Ho-
vedorganisation, Liberale Erhvervs Råd, Lokale Pengeinstitutter, Lønmod-
tagernes Dyrtidsfond (LD), MasterCard, Mybanker, Nets A/S, Nokas Kon-
tantservice P/S, Nordic Blockchain Association, Oxfam IBIS, Parcelhus-
ejernes Landsforening, Penneo A/S, Postnord Juridiske afdeling, Revisor-
nævnet, Rigsrevisionen, Roskilde Universitetscenter, Skibs- og Bådebyg-
geriets Arbejdsgiverforening, Syddansk Universitet, Telekommunikati-
onsindustrien i Danmark, Udbetaling Danmark, VISA, VP Securities A/S,
Western Union, Transparency International Danmark, Ældresagen, Ørsted,
26/26
Færøernes Hjemmestyre via Rigsombudsmanden på Færøerne, Naalak-
kersuisut via Rigsombudsmanden i Grønland.
4. Oversigt over organisationer, myndigheder m.v. som har haft be-
mærkninger med indhold
Følgende organisationer, myndigheder m.v. har haft bemærkninger med
indhold:
Alm. Brand Group, ATP, BEC, DAFINA, e-nettet, Forsikring & Pension,
Finans Danmark, Garantifonden for skadesforsikringsselskaber, JN Data
og Mastercard.


Organisationer
Aalborg Universitet
Aarhus BSS
Advokatsamfundet
Akademisk Arkitektforening
Akademikerne
Andelskassen
Arbejderbevægelsens Erhvervsråd
Arbejdsmarkedets Erhvervssikring (AES)
Arbejdsmarkedets Tillægspension (ATP)
Brancheforeningen for Aktive Ejere i Danmark
Capital Law CPH
CBS
CEPOS
Computershare
DAFINA
Danmarks Nationalbank
Danmarks Skibskredit A/S
Dansk Aktionærforening
Dansk Arbejdsgiverforening
Dansk Byggeri
Dansk Ejendomskredit
Dansk Ejendomsmæglerforening
Dansk Energi
Dansk Erhverv
Dansk Forening for International Motorkøretøjsforsikring (DFIM)
Dansk Industri
Dansk Iværksætter forening
Dansk Investor Relations Forening – DIRF
Dansk Kredit Råd
Dansk Metal
Dansk Standard
Danske Advokater
Danske Forsikringsfunktionærers Landsforening
Danske Maritime
Danske Rederier
Danske Regioner
Den Danske Aktuarforening
Den Danske Dommerforening
Den Danske Finansanalytikerforening
Den danske Fondsmæglerforening
Det nationale netværk af virksomhedsledere
Den Sociale Retshjælp
Det økonomiske råds sekretariat (DØRS)
Drivkraft Danmark
e-nettet
14. november 2023
J.nr. 23-009487
FINANSTILSYNET
Strandgade 29
1401 København K
Tlf. 33 55 82 82
CVR-nr. 10 59 81 84
finanstilsynet@ftnet.dk
www.finanstilsynet.dk
ERHVERVSMINISTERIET
Høringsliste
Offentligt
L 122 - Bilag 1
Erhvervsudvalget 2023-24
2/3
Ejendomsforeningen
Experian
Fagbevægelsens Hovedorganisation
FDFA – Foreningen af Danske Forsikringsmæglere og ForsikringsAgenturer
FDIH – Foreningen for Distance- og Internethandel
FinansDanmark
Finans og Leasing
Finansforbundet
Finanshuset i Fredensborg A/S
Finanssektorens Arbejdsgiverforening
First North
Forbrugerrådet Tænk
Forbrugsforeningen
Foreningen af Forretningsførere for Udenlandske Forsikringsselskaber
Foreningen af Interne Revisorer v/ Jesper Siddique Olsen
Foreningen Danske Revisorer
Foreningen for platformsøkonomi
FOREX
Forsikring & Pension
Forsikringsforbundet
Forsikringsmæglerforeningen, v/ Direktør Flemming Kosakewitsch
FSR – danske revisorer
Garantiformuen
Gode penge
HK
Horesta Arbejdsgiverorganisation
Hvidvasksekretariatet
Håndværksrådet
Indsamlingsorganisationernes Brancheorganisation (ISOBRO)
Intertrust (Denmark)
ISACA Denmark Chapter
IT-branchen
KommuneKredit
Kommunernes Landsforening
Komiteen for god selskabsledelse
Kromann Reumert
Kuratorforeningen
Københavns Universitet
Landbrug & Fødevarer
Landsdækkende banker
Landsforeningen af forsvarsadvokater
Landsforeningen for Bæredygtigt Landbrug
Ledernes Hovedorganisation
Liberale Erhvervs Råd
Lokale Pengeinstitutter
Lønmodtagernes Dyrtidsfond (LD)
Mybanker
Nets A/S
3/3
Nokas Kontantservice P/S
Nordic Blockchain Association
Oxfam IBIS
Parcelhusejernes Landsforening
Penneo A/S
Postnord Juridiske afdeling
Revisornævnet
Rigsrevisionen
Roskilde Universitetscenter
Skibs- og Bådebyggeriets Arbejdsgiverforening
Syddansk Universitet
Telekommunikationsindustrien i Danmark
Udbetaling Danmark
VISA
VP Securities A/S
Western Union
Transparency International Danmark
Ældresagen
Ørsted
Færøerne og Grønland
Færøernes Hjemmestyre via Rigsombudsmanden på Færøerne
Naalakkersuisutvia via Rigsombudsmanden i Grønland
Alm. Brand A/S CVR-nr. 77 33 35 17 | Hovedkontor: Midtermolen 7 | 2100 København Ø | Telefon 35 47 47 47
Alm. Brand Forsikring A/S CVR-nr. 10 52 69 49 | Codan Forsikring A/S CVR-nr. 41 963948
Forsikringsselskabet Privatsikring A/S CVR-nr. 25071409 | Erhvervssikring A/S CVR-nr. 25071409
Finanstilsynet
Victor Saxlund
Strandgade 29
1401 København K
Sendt pr. e-mail til hoeringer@ftnet.dk med kopi til vic@ftnet.dk
20. december 2023
Side 1 af 2
Deres ref. 23-
009487/VIC
Telefon 35 47 47 47
Høringssvar til høring over udkast til lov
om ændring af lov om finansiel
virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love
Finanstilsynet har den 15. november 2023 sendt udkast til lov om ændring af lov
om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og
forskellige andre love i høring.
Indledningsvis vil Alm. Brand Group takke for muligheden for at fremkomme
med bemærkninger til høringen.
Alm. Brand Group kan i det hele i øvrigt kan tilsluttes sig Forsikring & Pensions
høringssvar. Da det kan have en meget betydelig negativ påvirkning på et
selskab at blive udpeget som administrator for Garantifonden, giver høringen
imidlertid anledning til følgende supplerende bemærkninger til lovforslagets § 10
om muligheden for udpegelse af et administrationsselskab for Garantifonden:
En konkurs i et forsikringsselskab udfordrer hele forsikringsbranchen blandt
andet fordi det påvirker hele branchens omdømme. Alm. Brand Group anser det
derfor også for en udfordring for hele branchen at håndtere en sådan konkurs.
Loven bør derfor i langt højere grad afspejle, at det er hele branchen, der skal
være med til at håndtere et konkursramt forsikringsselskab, således at det ikke
– som lovforslaget ellers lægger op til – alene er en opgave for de tre største
forsikringsselskaber.
Hertil kommer, at Alm. Brand Group noterer sig, at lovens regler først vil finde
anvendelse, hvis Garantifonden ikke får et administrationsselskab via et EU-
udbud. Alm. Brand Group tolker de nuværende udbudsbetingelser således, at
relativt mange skadesforsikringsselskaber kan komme i betragtning som
administrator under et udbud - enten selv eller i et samarbejde med andre. Alm.
Brand Group finder, at lovforslaget bedre bør afspejle dette. Loven bør således i
væsentligt større omfang være udformet i overensstemmelse med
udbudsbetingelserne. Dermed vil flere forsikringsselskaber end alene de absolut
største kunne blive udpeget som administrationsselskab for Garantifonden.
Alm. Brand A/S CVR-nr. 77 33 35 17 | Hovedkontor: Midtermolen 7 | 2100 København Ø | Telefon 35 47 47 47
Alm. Brand Forsikring A/S CVR-nr. 10 52 69 49 | Codan Forsikring A/S CVR-nr. 41 963948 |
Forsikringsselskabet Privatsikring A/S CVR-nr. 25071409 | Erhvervssikring A/S CVR-nr. 25071409
17. december 2023
Side 2 af 2
Deres ref. 23-
009487/VIC
Telefon 35 47 47 47
Det er således vigtigt, at kriterierne for, hvem der kan udpeges som
administrator for Garantifonden, ikke fastsættes for snævert. Hvis kriterierne
fastsættes for snævert, vil det give en uhensigtsmæssig skævvridning i
branchen, hvor alene nogle selskaber kan påtage sig arbejdet.
Der bør være mulighed for, at to eller flere forsikringsselskaber i forening
udpeges som administrator, såfremt selskaberne i forening opfylder kriterierne.
En sådan mulighed er efter Alm. Brand Groups opfattelse også tilgængelig under
de nuværende udbudsbetingelser og bør derfor også reflekteres i loven.
Eksempelvis bør det ikke være et krav, at et selskab selv har fx koncession til
klasse 2, såfremt et andet selskab har koncession hertil.
Da garantifondsloven er at betragte som forbrugerregulering bør forslaget
desuden ikke udelukke, at selskaber under tilsyn i udlandet, udpeges som
administrator. Disse selskaber er således ikke i Garantifondens udbudsmateriale
afskåret fra at blive administrationsselskab. Det bemærkes i øvrigt, at
Garantifonden i tilfælde af en konkurs vil være i dækning over for de
pågældende selskabernes danske kunder.
Opgaven med at være administrationsselskab for Garantifonden indebærer en
række omkostninger, herunder til opretholdelse af et beredskab til at kunne
håndtere et andet forsikringsselskabs skadessager med kort varsel. Det er
vigtigt, at vederlaget afspejler samtlige disse omkostninger.
Alm. Brand Group opfordrer til, at det gøres klart, at outsourcingreglerne i lov
om forsikringsvirksomhed ikke omfatter outsourcing af Garantifondens opgaver
ifølge garantifondsloven.
Såfremt der er spørgsmål eller behov for yderligere oplysninger, er
Finanstilsynet velkommen til at kontakte juridisk direktør Tue Rønholt Hansen på
mail tuhn@abgroup.dk eller telefon 29775657.
Med venlig hilsen
Tue Rønholt Hansen
Direktør, Jura
ATP
Kongens Vænge 8,
3400 Hillerød
Tlf.: 70 11 12 13
Fax: 48 20 48 02
www.atp.dk
CVR-nr.: 43405810
Telefontid:
Mandag-Torsdag: 8.00-16.00
Fredag: 8.00-15.30
1
Finanstilsynet
Sendt pr. mail til hoeringer@ftnet.dk
Att.: Victor Saxlund
20. december 2023
Oplys venligst ved
henvendelse
ATP’s svar på høring over udkast til forslag til lov om ændring
af lov om finansiel virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love.
Vi vil indledningsvist takke for muligheden for at afgive bemærkninger til lovforslaget.
I udkastet foreslås blandt andet en række ændringer til lov om forsikringsvirksomhed. I
den forbindelse vil ATP foreslå, at der medtages nogle yderligere ændringer til loven
vedrørende ATP, der ikke kom med ved vedtagelsen af lov om forsikringsvirksomhed i
sommeren 2023. Da loven nu åbnes, kan justeringerne tages med i dette
ændringsforslag.
I lovforslagets § 8 om ændringer til lov om forsikringsvirksomhed foreslår ATP at tilføje
følgende ændringer:
Til § 83 om Videregivelse af oplysninger til brug for varetagelse af administrative
opgaver
• I stk. 2 ændres ”et aktieselskab” til: ”en dattervirksomhed”.
• I stk. 3 ændres ”et aktieselskab” til: ”en dattervirksomhed” og ”§ 26 b, stk. 3, og
§ 23, stk. 4 ændres til: ”§ 26 b, stk. 1 og 2, samt stk. 5, nr. 1”.
Justeringerne skal sikre, at ATP får mulighed for at drive sin virksomhed i flere
virksomhedsformer, som fastlagt i ATP-loven.
Til § 335 om Konsekvensændringer i anden lovgivning
• Der indsættes et nyt punkt: I § 118, stk. 2 i lov om finansiel virksomhed ændres
”et aktieselskab” til: ”en dattervirksomhed”.
Der er tale om en konsekvensrettelse i medfør af justeringen nævnt ovenfor.
ATP står naturligvis til rådighed, hvis høringssvaret giver anledning til spørgsmål.
Venlig hilsen
Mona Frandsen
Chefjurist
BEC Financial Technologies a.m.b.a.
Havsteensvej 4
4000 Roskilde, Danmark
CVR/VAT: DK13088810
+45 46 38 24 00
www.bec.dk
bec@bec.dk # 1 / 2
Finanstilsynet
Strandgade 29
1401 København K
per email: hoeringer@ftnet.dk
19. december 2023
HØRINGSINPUT TIL “HØRING OVER UDKAST TIL FORSLAG TIL LOV OM ÆNDRING AF
LOV OM FINANSIEL VIRKSOMHED MFL.” – BEC FINANCIAL SERVICES A.M.B.A.
Med henvisning til Finanstilsynets udsendte høring af ”Udkast til forslag til lov om ændring af lov om
finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og forskellige andre love (Tilsyn efter
forordning om digital operationel modstandsdygtighed i den finansielle sektor og forordning om
markeder for kryptoaktiver)” af 14. november 2023 (herefter ”FIL-ændringslov”), fremsendes BEC
Financial Technologies’ (herefter ”BEC’s”) høringssvar.
Som bilag 1 vedlægges et dokument med bemærkninger til de respektive bestemmelser, som BEC
har vurderet mest relevante at kommentere på – primært bestemmelserne i det foreslåede nye af-
snit IXc. I bilaget sondres mellem specifikke forslag til ændringer i bestemmelserne og øvrige be-
mærkninger, evt. med forslag til præcisering eller ønske om nærmere vejledning i enten lovtekst el-
ler lovbemærkninger.
Nedenfor fremhæves nogle overordnede og/eller essentielle bemærkninger.
Overordnede bemærkninger
Helt overordnet set er vi meget tilfredse med Erhvervsministeriets/Finanstilsynets forslag til at hånd-
tere det lovmæssige skisma, som er relateret til, at datacentraler og finansielle virksomheder er un-
derlagt forskellig lovgivning. Det hilses således velkommen, at forslaget til FIL-ændringsloven indfø-
rer et afsnit for datacentraler, som i videst muligt omfang følger DORA-forordningens krav. Særligt
hilses det velkomment, at det tydeliggøres, at en datacentrals kunder kan bero sig på dokumenta-
tion modtaget fra datacentralen, herunder på baggrund af datacentralens kontroller, om end BEC
opfordrer til, at selve ordlyden af § 333c, stk. beskriver dette mere eksplicit.
På en række områder er der behov for yderligere detaljering af, hvordan kravene skal efterleves. BEC
anerkender, at dette pt. kan være vanskeligt, fordi udstedelsen af de bebudede ”gennemførelsesrets-
akter” til DORA ikke er sket. BEC opfordrer dog Finanstilsynet til at forberede udkast til relevante be-
kendtgørelser, jf. FIL-ændringslovens forslag til § 333p, snarest muligt, så disse kan udstedes umid-
delbart efter EU-Parlamentets vedtagelse af endelige gennemførelsesretsakter – alt med henblik på,
at etablere retssikkerhed og klarhed omkring datacentralernes forpligtelser inden ikrafttræden af
afsnit IXc i FIL-ændringsloven den 18. oktober 2024. BEC deltager gerne i en evt. forudgående hø-
ring af bekendtgørelserne.
Vi har jf. kommunikation fra Finanstilsynet på konferencer mv. fået forståelsen af, at (kun) bilag 5 til
bekendtgørelse nr. 1103/2022 om ledelse og styring af pengeinstitutter mv. (”Ledelsesbekendtgø-
relsen”) udgår ved ikrafttræden af DORA. I bemærkningerne til lovforslaget (side 189) gives dog ud-
tryk for, at hele Ledelsesbekendtgørelsen ophører ift. "datacentraler" med ophævelsen af nuværende
afsnit Xc i lov om finansiel virksomhed. Vi ønsker mere klarhed over ledelsesbekendtgørelsens frem-
tidige anvendelse ift. datacentralen men også ift. vores kunder.
19. december 2023 # 2 / 2
Endelig skal fremhæves, at den måde hvorpå afsnit IXc er opbygget - med overlappende bestem-
melser (som vi forstår og anerkender er sket for at dokumentere implementeringen af NIS2) - efterla-
der en usikkerhed omkring, hvor der reelt er tale om ens/overlappende forpligtelser, og hvor der
måtte være et ”merkrav” som følge af DORA - særligt fordi der i mange bestemmelser anvendes for-
skellig terminologi. Henset til at der er tale om strafbelagte bestemmelser, henstiller BEC til, at der
gives mest mulig klarhed over datacentralens forpligtelser i lovteksten, suppleret af uddybning og
vejledning i bemærkningerne.
Afskaffelse af begrebet ”fællesejede datacentraler”
Vi forstår, at den foreslåede navngivning af aktører, som omfattes af det nye Afsnit IX c, har rod i
NIS2-direktivet. Vi har dog et stærkt ønske om, at begrebet ”datacentraler” bevares som en gængs
betegnelse også fremadrettet, idet dette begreb vil være både lettere at omtale men også vil bevirke,
at BEC og andre datacentraler i den generelle kommunikation med omverden ikke er nødsaget til at
ændre benævnelse, herunder forklare baggrunden herfor. Endelig bemærkes, at begrebet datacen-
traler ligeledes fremgår af systemrevisionsbekendtgørelsen, som vi forstår, at Erhvervsministeriet
ikke påtænker at ændre.
Exitstrategi mv.
Det er uklart, om nugældende outsourcingbekendtgørelses krav til etablering af exit-strategier og
planer videreføres uændret – eller om der ved § 333h sker tilsigtede ændringer, herunder indføres
skærpede krav, idet der tillige skal etableres transitionsplaner (jf. benævnelsen af ”overgangsplaner”).
I fald sidstnævnte er hensigten, ønsker BEC, at det præciseres, at transitionsplanerne først skal etab-
leres, når en exitsituation aktualiseres, idet etablering af transitionsplaner allerede, når en aftale med
tredjepartsleverandøren indgås, vil være unødigt bebyrdende, ligesom planernes effektivitet næppe
vil være proportional med indsatsen.
Tekstnær implementering af EU-retsakternes ordlyd eller ej
Det varierer generelt i lovforslaget, om terminologi lægger sig tekstnært op ad NIS2 og/eller DORA.
Der henstilles til ensartet anvendelse af terminologi – f.eks. at der konsekvent henvises til ”tredjepar-
ter” i stedet for ”leverandører”.
Ved genanvendelse af NIS2’s terminologi indføres i nogle tilfælde helt nye termer, der er synonyme
med tidligere særdeles velkendte termer fra outsourcingbekendtgørelsen. Eksempel herpå er §
333h, stk. 6, hvor der under litra 2) tales om tilsynsmæssige betingelser for ”udlicitering”. I fald der
med ”udlicitering” menes ”outsourcing” bør dette udtryk anvendes. Alternativt bør betydningen af
”udlicitering” og andre NIS2-afledte begreber præciseres i bemærkningerne med henvisning til vel-
kendt terminologi.
BEC står naturligvis til rådighed for evt. uddybende spørgsmål til ovennævnte samt bilag 1.
Bilag
Bilag 1 Høringssvar til FIL-ændringslov – BEC
Med venlig hilsen
BEC Financial Technologies a.m.b.a.
Jannie Noer Mortensen Malene Cederlund
Chief Information Security Officer Manager, Outsourcing Compliance
Høringssvar fra Bankdata – 13. december 2023
Overordnet betragtninger og spørgsmål
Lovforslaget virker til at indbygge proportionalitetsprincippet ved at lægge op til individuel vurdering. Det
havde i stedet været at foretrække, hvis lovgivningen havde været mere konkret. Dette kunne f.eks. være
opnået på samme måde som i DORA, hvor der både er et ICT risk management framework og et simplificeret
framework.
På høringsmødet d. 12/12-2023 blev bilag 7 omtalt, og så vidt vi forstod, så udgår bilag 7, og dermed også
krav om risikostyringsfunktion og risikoansvarlig. Naturligvis skal § 333 b stk. 2 stadigt overholdes. Bekræft
venligst.
Specifikke spørgsmål
§ 333 b. Stk. 2. En operatør af finansiel digital infrastrukturs tilsyn med styring af sine it- og cyberrisici skal
placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og
cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre
forsvarslinjer eller en intern model for risikostyring og kontrol.
Skal dette tolkes således, at it- og cyberrisikostyringsfunktionerne er placeret i 1st line, kontrolfunktioner i
2nd line og intern revision i 3rd line, hvis man følger modellen for tre forsvarslinjer? Spørgsmålet baserer sig
på, at I de fleste fortolkninger af tre forsvarslinjer placeres risiko i anden forsvarslinje. De nuværende krav fra
ledelsesbekendtgørelsen, stiller ligeledes krav om monitorering og rapportering, hvilket harmonerer med
anden forsvarslinje?
§ 333 c. En operatør af finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring
af it- og cyberrisici i forhold til leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, som
er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital
operationel modstandsdygtighed i den finansielle sektor.
Dette lader til at være det eneste lovgivningsmæssige krav, hvor operatører af finansiel digital infrastruktur
pålægges at skulle understøtte deres kunder, der er underlagt DORA. Vi har svært ved at se samspillet mellem
denne og så kravene der stilles i DORA. Hvis en operatør af finansiel digital infrastruktur dokumenterer sin
ramme for styring af it- og cyberrisici i forhold til kritiske og vigtige funktioner hos deres kunder, så er dette
vel alene ud fra de krav der stilles i dette lovforslag. Lovforslaget indeholder dog ikke direkte krav om mange
af de foranstaltninger der kræves i DORA. Hvis en operatør af finansiel digital infrastruktur derfor ikke
implementerer de samme foranstaltninger der kræves i DORA, hvordan kan deres kunder så dokumenterer
deres efterlevelse?
§ 333 e stk. 8 En operatør af finansiel digital infrastruktur skal gennemføre politikken for it-driftsstabilitet, jf.
stk. 7, ved hjælp af dokumenterede beredskabsplaner, ordninger, procedurer mv., med henblik på
4) at anslå foreløbige virkninger, skader og tab, og
Finanstilsynets foreløbige model herfor i cyberstresstesten medtog en række tidskrævende
vurderingsparametre, der ikke alle i praksis bidrog væsentligt til at anslå virkninger, skader og tab. Det
bemærkes derfor at virksomhederne bør have frihed til at vælge egne modeller, der mest effektivt kan
anvendes til opgørelser.
§ 333 e Stk. 11. En operatør af finansiel digital infrastruktur skal udvikle politikker for en systematisk læring på
baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring,
trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en
årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.
Hvilke testresultater refereres der til? Er det kun de omtalte tests i § 333 e stk. 10 eller er det alle tests og
derfor også f.eks. også § 333 g og § 333 g stk. 2?
§ 333 f Stk. 3. En operatør af finansiel digital infrastruktur skal indberette væsentlige it- og cyberhændelser til
Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10, i Europa-Parlamentets og Rådets direktiv (EU)
2022/2555 af 14. december 2022. Indberetningen skal indeholde alle oplysninger, der er nødvendige for
Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.
Det er uklart hvad præcist I har brug for til at kunne fastslå eventuelle grænseoverskridende virkninger.
§ 333 f Stk. 4 En hændelse, jf. stk. 3, anses for væsentlig, hvis
1) den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller
økonomiske tab for operatøren, eller
Økonomiske tab er beskrevet i NIS2 med samme ordlyd. Der mangler en uddybende vejledning i hvad et
økonomisk tab i praksis betyder, eksempelvis kan det være et minimalt økonomisk tab. Der er risiko for at
hændelser hos operatører primært registreres som væsentlige, hvis de forårsager alvorlige driftsforstyrrelser.
§ 333 h stk 6 Inden en operatør af finansiel digital infrastruktur indgår en kontraktlig ordning for brugen af it-
tjenester, skal operatøren
2) vurdere om de tilsynsmæssige betingelser for udlicitering er opfyldt,
Hvilke tilsynsmæssige betingelser refereres der til her?
4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under
udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet og
Hvilke kriterier skal benyttes til at vurdere om en tredjepartsudbyder er egnet?
§ 333 h stk. 9 En operatør af finansiel digital infrastruktur skal indføre exitstrategier for it-tjenester, der
understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos
tredjepartsudbydere af it-tjenester, herunder
Exitstrategierne bør tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder
væsentligheden af risiciene. Dette er allerede taget med i stk. 9 litra 4, og bør også dække de øvrige litra.
§ 333 l 4) Ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på
operatøren.
Hvad er formålet med IP-adresser? Vil det ikke give bedre mening med f.eks. domæneadresser?
1
Victor Saxlund (FT)
Fra: Michael Camphausen <mca@camphausen.dk>
Sendt: 20. december 2023 11:16
Til: Høringer
Cc: Victor Saxlund (FT); Danny Dehghani (FT); Jon Hasling Kyed (FT)
Emne: SV: DAFINA høringssvar vedrørende lovudkast til ændring af lov om finansiel
virksomhed, lov om betalinger mv. vedrørende MICA og DORA
Sag: 23-013111
Sagsdokument: 1048085
På vegne af Dansk Fintech Alliance (DAFINA) fremsendes hermed nedenstående supplerende
høringssvar vedrørende Finanstilsynets ovennævnte udkast til finansielt samlelovforslag, hvad angår
lovudkastets forslag til ændring af lov om finansiel virksomhed og lov om betalinger i anledning
af MICA forordningen og DORA forordningen.
Det fremgår som bekendt af betalingslovens § 10, at Finanstilsynet kan beslutte i de situationer, hvor
et betalingsinstitut (PSP) eller et e-pengeinstitut (EMI) udøver andre aktiviteter i lovens forstand (jf.
lovens § 18), at betalingstjenestevirksomheden skal udøves i et særskilt (koncern)selskab, hvis de
andre aktiviteter efter tilsynets vurdering forringer eller skønnes at kunne forringe instituttets soliditet
eller Finanstilsynets mulighed for at føre tilsyn med instituttet.
Vi skal i denne forbindelse opfordre til, at det i lovbemærkningerne til betalingsloven og/eller lov om
finansiel virksomhed (fx den nye påtænkte bestemmelse i FIL § 332 b) medtages, at det er det klare
lovmæssige udgangspunkt, at et betalingsinstitut og et e-pengeinstitut (med supplerende tilladelse
som CASP) som andre aktiviteter kan udbyde kryptoaktivtjenester, og et e-pengeinstitut (i kraft
af EMI-licensen) kan udstede e-pengetokens, uden at selve betalingstjenestevirksomheden som
PSP/EMI (eller omvendt kryptoaktivtjenesterne eller e-pengetokenudstedelsen) skal udøves i et
særskilt (koncern)selskab.
Med andre ord er det afgørende for betalingsinstitutter og e-pengeinstitutter, at de på samme måde
som kreditinstitutter (som lovlig pengeinstitutvirksomhed) kan udbyde kryptoaktivtjenesterne mv. i
selve instituttet, hvilket også synes at være formålet med og hensigten i MICA. Der bør således af
konkurrencemæssige grunde ikke være forskel på betalingsinstitutter/e-pengeinstitutter og
kreditinstitutter/pengeinstitutter i så henseende.
DAFINA står meget gerne til rådighed for uddybning af og dialog om ovenstående og nedenstående.
Med venlig hilsen
Dansk Fintech Alliance (DAFINA)
Fra: Michael Camphausen
Sendt: 12. december 2023 12:14
Til: Høringer <Hoeringer@FTNET.DK>
Cc: Victor Saxlund (FT) <VIC@ftnet.dk>; dad@ftnet.dk; Jon Hasling Kyed <JKY@FTNET.DK>
Emne: DAFINA høringssvar vedrørende lovudkast til ændring af lov om finansiel virksomhed, lov om betalinger mv.
vedrørende MICA og DORA
På vegne af Dansk Fintech Alliance (DAFINA) fremsendes hermed nedenstående høringssvar
vedrørende Finanstilsynets ovennævnte udkast til finansielt samlelovforslag, hvad angår lovudkastets
forslag til ændring af lov om finansiel virksomhed og lov om betalinger i anledning af MICA
forordningen og DORA forordningen.
2
DAFINA takker på denne vis for muligheden for at afgive nærværende høringssvar og skal således
fremkomme med følgende konkrete bemærkninger og input i forhold til de foreslåede lovændringer
forbundet med MICA og DORA:
Ad lov om finansiel virksomhed (lovudkastets § 1 vedr. FIL §§ 332ff og bilag 1)
Det indføres udtrykkeligt i FIL bilag 1, nr. 13, at ”udstedelse af elektroniske pengetokens” som
defineret i MICA udgør pengeinstitutvirksomhed. Der bør rettelig være tale om både ”udstedelse af
elektroniske pengetokens” og ”udbud til offentligheden eller optagelse til handel af elektroniske
pengetokens”. Den endelige vedtagne version af MICA (i modsætning til det oprindelige forslag)
sondrer således mellem udstedelse af e-pengetokens og udbud af e-pengetokens som værende
forskellige aktiviteter, og en udbyder af e-pengetokens er nødvendigvis ikke i alle tilfælde den samme
som en udsteder af e-pengetokens. Det bør således præciseres i lovens bilag 1 eller i det mindste i
lovbemærkningerne, at pengeinstitutterne både kan udstede e-pengetokens og udbyde e-pengetokens
som lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen.
Det indføres udtrykkeligt i FIL bilag 1, nr. 14, at ”udstedelse af aktivbaserede tokens” som defineret i
MICA udgør pengeinstitutvirksomhed. Der bør rettelig være tale om både ”udstedelse af aktivbaserede
tokens” og ”udbud til offentligheden eller optagelse til handel af aktivbaserede tokens”. Den endelige
vedtagne version af MICA (i modsætning til det oprindelige forslag) sondrer således mellem
udstedelse af aktivbaserede tokens og udbud af aktivbaserede tokens som værende forskellige
aktiviteter, og en udbyder af aktivbaserede tokens er nødvendigvis ikke i alle tilfælde den samme som
en udsteder af aktiv baserede tokens. Det bør således præciseres i lovens bilag 1 eller i det mindste i
lovbemærkningerne, at pengeinstitutterne både kan udstede aktivbaserede tokens og udbyde
aktivbaserede tokens som lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen.
Loven eller i det mindste lovbemærkningerne bør herudover tage stilling til, hvorvidt udstedelse
og/eller udbud af andre kryptoaktiver/tokens end elektroniske pengetokens eller
aktivbaserede tokens udgør lovlig pengeinstitutvirksomhed (eller i det mindste lovlig accessorisk
virksomhed). Det indføres udtrykkeligt i FIL bilag 1, nr. 15, at udbud af kryptoaktivtjenester som
defineret i MICA udgør pengeinstitutvirksomhed, hvilket således omfatter levering af
kryptoaktivtjenester vedrørende både elektroniske pengetokens, aktivbaserede tokens og andre
kryptoaktiver/tokens end elektroniske pengetokens eller aktivbaserede tokens, dvs. ethvert
kryptoaktiv/token. Hermed er der dog ikke taget stilling til, hvorvidt selve udstedelsen og/eller
udbuddet af andre kryptoaktiver/tokens end elektroniske pengetokens eller aktivbaserede tokens
udgør lovlig pengeinstitutvirksomhed (eller accessorisk virksomhed) i kraft af pengeinstituttilladelsen,
hvilket derfor bør afklares (i det mindste i lovbemærkningerne). I denne forbindelse synes det
hensigtsmæssigt at sondre mellem utility tokens i MICA’s forstand og øvrige kryptoaktiver/tokens (fx
kryptovaluta), der ikke udgør elektroniske pengetokens eller aktivbaserede tokens, idet udbud af
sådanne øvrige kryptoaktiver/tokens (fx kryptovaluta), der ikke udgør elektroniske pengetokens eller
aktivbaserede tokens, og heller ikke udgør utility tokens i MICA’s forstand, alt andet lige bør betragtes
som lovlig pengeinstitutvirksomhed (eller i det mindste accessorisk virksomhed) i kraft af
pengeinstituttilladelsen.
Det følger udtrykkeligt af MICA, at MICA ikke finder anvendelse på kryptoaktiver/tokens, der betragtes
som finansielle instrumenter eller indskud, herunder strukturerede indlån. Tokeniserede finansielle
instrumenter omfattes således af MIFID reguleringen, herunder i forhold til pengeinstitutternes
mulighed for at udbyde aktiviteter/services forbundet med sådanne tokeniserede finansielle
instrumenter. Derimod omfattes tokeniserede indskud/indlån (endnu) ikke af finansiel regulering i
EU, og det bør således i loven eller i det mindste i lovbemærkningerne afklares, hvorvidt udstedelse
og/eller udbud af tokeniserede indskud/indlån udgør lovlig pengeinstitutvirksomhed (eller i det mindste
accessorisk virksomhed). Udstedelse og/eller udbud af tokeniserede indskud/indlån bør således
betragtes som lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen, dvs.
indlånsvirksomhed udgør i alle tilfælde pengeinstitutvirksomhed (omfattet af pengeinstitutternes
eneret), uanset om der er tale om almindelige indlån/indskud eller tokeniserede indlån/indskud (jf. FIL
bilag 1, nr. 1).
Det indføres udtrykkeligt i FIL § 332 b og angives udtrykkeligt i lovbemærkningerne, at kravet om
tilladelse efter MICA til at levere kryptoaktivtjenester ikke gælder for e-pengeinstitutter (som
giver Finanstilsynet meddelelse/notifikation i henhold til proceduren herom i MICA). MICA (art. 59, stk.
1, og art. 60, stk. 4) synes dog at foreskrive, at e-pengeinstitutter alene er undtaget fra kravet om
tilladelse efter MICA til at levere kryptoaktivtjenester, for så vidt angår deponering og administration
3
af kryptoaktiver på kunders vegne og tjenester vedrørende overførsel af kryptoaktiver på kunders
vegne med hensyn til de e-pengetokens, som e-pengeinstituttet selv udsteder (hvis e-pengeinstituttet
giver tilsynet meddelelse/notifikation i henhold til proceduren herom i MICA). Det bør derfor afklares
og præciseres i både lovbestemmelsen og i lovbemærkningerne, hvorvidt et e-pengeinstitut (foruden
tilladelsen som netop e-pengeinstitut) skal have tilladelse (som CASP), hvis det påtænker at levere
andre kryptoaktivtjenester end de nævnte af slagsen i forhold til egne udstedte e-pengetokens, dvs.
hvis e-pengeinstituttet i almindelighed påtænker at fungere som CASP.
Ad lov om betalinger (lovudkastets § 2 vedr. BET §§ 5, 11, 54, 60)
Som følge af DORA og det tilknyttede ændringsdirektiv til bl.a. PSD2 indeholder lovudkastet en række
konsekvensændringer og stramninger af de forskellige tilladelsesbestemmelser og
tilladelsesbetingelser i betalingsloven, hvad angår betalingsinstitutter, e-pengeinstitutter, udbydere
af betalingstjenester mv. med begrænset tilladelse og udbydere af kontooplysningstjenester. For flere
af disse institutter/udbydere på betalingsområdet gælder forenklede krav til it-sikkerhed og it-
risikostyring i medfør af DORA.
Det er i denne forbindelse væsentligt at sikre, at de nævnte forenklede krav til it-sikkerhed og it-
risikostyring for de pågældende institutter/udbydere på betalingsområdet også slår igennem i selve
tilladelsesbestemmelserne og tilladelsesbetingelserne i betalingsloven og i tilsynspraksis, således at
det ikke bliver vanskeligere for nye danske udbydere på netop betalingsområdet at ansøge om og
opnå tilladelse fra Finanstilsynet sammenholdt med konkurrerende udenlandske betalingsudbydere fra
andre EU-lande.
Det skal derfor sikres, at den danske implementeringslovgivning i så henseende ikke går videre end
hvad nødvendigt er, og at der således ikke sker dansk overimplementering på området, der kan gøre
tilladelsesbetingelserne for stramme og tilladelsesprocessen for tung for nye danske udbydere på
betalingsområdet, herunder især nye innovative fintechs, som alene skal ansøge om begrænset
tilladelse på betalingsområdet eller om tilladelse som kontooplysningstjenesteudbyder (AISP).
I det omfang DORA og PSD2 (som konsekvensændret ved følgedirektivet til DORA) således giver
mulighed for at fravige eller minimere indgribende krav, herunder tilladelseskrav, vedrørende it-
sikkerhed og it-risikostyring for sådanne nye, mindre betalingsudbydere, AISP’er mv., bør dette slå
fuldt ud igennem i betalingsloven, herunder i lovens tilladelsesbestemmelser og
tilladelsesbetingelser, og i så fald bør lovudkastet alt andet lige tilpasses og justeres i så henseende
(hvad angår ændringerne til betalingslovens § 10 og § 11 og især § 52, § 54 og § 60).
Lovudkastet synes i øvrigt at indeholde en teknisk ændring af betalingslovens definition af og
anvendelse på en udbyder af tekniske tjenester (dvs. en TSP i modsætning til en PSP /
betalingsudbyder), hvor den reelle ændring består i lovbemærkningerne til bestemmelsen (som følge
af DORA) og ikke i selve lovbestemmelsen (§ 5, stk. 1, nr. 10). Hvis dette er korrekt forstået, dvs.
hvis det blot handler om at udvide og præcisere lovbemærkningerne, idet selve lovbestemmelsen i
grunden ikke indholdsmæssigt ændres som sådan, bør dette alt andet lige forklares i netop
lovbemærkningerne.
Ad ændringslovens ikrafttræden (lovudkastets § 15)
Lovudkastets ikrafttrædelsesbestemmelser synes umiddelbart ikke at være i overensstemmelse
med MICA’s ikrafttrædelsesbestemmelser. Lovens bestemmelser om udstedelse og udbud af
aktivbaserede tokens bør således træde i kraft allerede 30. juni 2024 (og ikke 30. december 2024 som
angivet i lovudkastet). Lovens bestemmelser om udstedelse og udbud af e-pengetokens bør således
også træde i kraft allerede 30. juni 2024 (og ikke 30. december 2024 som angivet i lovudkastet).
Lovens bestemmelser om udbud af kryptoaktivtjenester bør således træde i kraft 30. december 2024
(og ikke 30. juli 2024 som angivet i lovudkastet), hvorved ikrafttrædelsesdatoen også vil harmonere
med overgangsordningen for netop udbydere af kryptoaktivtjenester. I øvrigt synes selve
overgangsordningen i lovudkastet at være formuleret mere snæver end hvad følger af MICA.
Derudover bør det i lovbemærkningerne medtages, at tilladelsespligtige virksomheder/udbydere efter
Finanstilsynets nærmere orientering herom har mulighed for at klargøre og indgive
tilladelsesansøgning til tilsynet i en vis periode inden de ovennævnte ikrafttrædelsesdatoer med
henblik på tilsynets meddelelse af tilladelser umiddelbart fra de ovennævnte ikrafttrædelsesdatoer.
Med andre ord bør der i praksis åbnes op for klargøring og indgivelse af tilladelsesansøgninger (og for
4
meddelelser/notifikationer i henhold til proceduren herom) fx 3 eller 6 måneder inden de nævnte
ikrafttrædelsesdatoer, således at danske virksomheder/udbydere af konkurrencemæssige årsager kan
opnå tilladelse lige så hurtigt som udenlandske virksomheder/udbydere fra andre EU-lande.
DAFINA står meget gerne til rådighed for uddybning af og dialog om ovenstående.
Med venlig hilsen
Dansk Fintech Alliance (DAFINA)
Fra: Victor Saxlund (FT) <VIC@ftnet.dk>
Sendt: 14. november 2023 16:18
Til: Victor Saxlund (FT) <VIC@ftnet.dk>; Høringer <Hoeringer@FTNET.DK>
Emne: Høring over udkast til lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love
Til høringsparterne
Herved udkast l lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og
forskellige andre love (Tilsyn e er forordning om digital opera onel modstandsdyg ghed i den finansielle sektor og
forordning om markeder for kryptoak ver) i høring.
Se venligst vedhæ ede høringsbrev, høringsliste og udkast l lovforslag.
Finans lsynet skal bede om at modtage eventuelle bemærkninger l lovforslaget senest onsdag den 20. december
2023.
Bemærkninger bedes sendt pr. e-mail l hoeringer@ net.dk med kopi l vic@ net.dk.
Eventuelle spørgsmål l lovforslaget kan re es l Victor Saxlund på tlf. 33 55 83 37.
Med venlig hilsen
Victor Saxlund
Fuldmægtig, cand. jur
Juridisk kontor
__________________________________________________
Strandgade 29, 1401 København K
Direkte tlf.: +45 33 55 83 37
mailto:vic@ net.dk
www.finans lsynet.dk
_________________________________________________
Finanstilsynet er ansvarlig for behandlingen af de personoplysninger, vi modtager om dig. Du kan læse mere om, hvordan vi behandler dine
personoplysninger på vores hjemmeside https://www.finanstilsynet.dk/Kontakt/Privatlivspolitik
Finanstilsynet gør opmærksom på, at denne e-mail og eventuelle vedhæftede filer er fortrolige. Hvis du har modtaget denne mail ved en fejl, bedes
du straks oplyse Finanstilsynet herom ved at besvare denne e-mail og derefter slette e-mailen. Vi gør opmærksom på, at hvis du har modtaget
denne e-mail ved en fejl, kan enhver form for kopiering, offentliggørelse eller distribution af denne e-mail være ulovlig.
1
Victor Saxlund (FT)
Fra: Christian Stade <CST@e-nettet.dk>
Sendt: 20. december 2023 13:56
Til: Høringer
Cc: Cecilie Langberg Jessen; Birgitte Germann Skytte; Victor Saxlund (FT); Maria Ljørring
Rasmussen (FT)
Emne: SV: Høring over udkast til lov om ændring af lov om finansiel virksomhed, lov om
betalinger, lov om kapitalmarkeder og forskellige andre love
Sag: 23-013111
Sagsdokument: 1048623
Til rette vedkommende,
e-nettet har forberedt følgende bemærkninger til lovforslaget, som vi finder relevant ift. vores egen
gennemgang af forslaget:
1) Proportionalitetsprincippet i Art. 4, i DORA er ikke nævnt i lovforslaget.
a. Vi mener, at det er en god idé at gentage proportionalitetsprincippet fra DORA art. 4
direkte i lovteksten, så det kan anvendes af datacentralerne, præcis som det i dag
fremgår af LBKG Bilag 5.
Dette kunne uddybes i bemærkninger, særligt hvis det ikke skrives direkte ind i loven,
gerne med nærmere bemærkning om hvorfor det ikke er fundet nødvendigt at skrive det
direkte i lovteksten, da vi forstod på mødet, at proportionalitetsprincippet implicit er
indarbejdet i bl.a. udvælgelseskriterier for, hvem der udpeges som OFDI.
2) Jf. § 333 b, stk. 1, Strategi for operationel modstandsdygtighed
a. Er der her tale om en ny strategi, eller en revurdering af den pt. under Bilag 5
eksisterende IT-strategi?
I bekræftende tilfælde, hvordan skal den nye strategi adskille sig for den gamle? Det ville være
fint, hvis bemærkningerne til lovforslaget forholdt sig hertil, herunder om kravene til strategien
i DORA art. 6, nr. 8, finder anvendelse for de fælles datacentraler.
3) Jf. § 333 b. stk. 2, adskillelse af risikostyringsfunktion og kontrolfunktioner
a. Vi ser gerne at bemærkningerne til lovforslaget uddybes, så det er klart i hvilket omfang
bestemmelsen medfører en ændring af pligten til at udpege en risikoansvarlig og den
risikoansvarliges og risikostyringsfunktionens opgaver, jf. ledelsesbekendtgørelsens § 16
og bilag 5, nr. 106-108 og bilag 7. Som vi forstod på mødet, vil de fælles datacentraler
efter den nye lovgivning ikke længere være omfattet af Ledelsesbekendtgørelsen i sin
helhed, og dermed vil pligten til at udpege en risikoansvarlig, jf.
ledelsesbekendtgørelsens § 16 bortfalde. Det vil være fint, hvis bemærkningerne til
lovforslaget behandler dette.
4) Jf. § 333 h, stk. 4, Strategi for IT-tredjepartsrisici
a. Vi foreslår, at det uddybes, evt. i bemærkningerne, om strategien skal godkendes af
bestyrelsen og hvorvidt den kan være en del af den under § 333 b, stk. 2 nævnte
strategi for operationel robusthed, henset til at den skal være en integreret del af
risikostyringsrammerne.
5) Jf. § 333 j, stk. 2, nr. 3
a. Vi foreslår, at det præciseres i bemærkningerne, hvad forskellen er på autenticitet og
integritet.
Med venlig hilsen
Christian Stade
Compliance Officer
Tlf.: 23848946
E-mail: cst@e-nettet.dk
20.12.2023
F&P
Philip Heymans Allé 1
2900 Hellerup
Tlf.: 41 91 91 91
fp@fogp.dk
www.fogp.dk
Karen Gjølbo
Senior legal consultant
Dir. 41919045
kgj@fogp.dk
Sagsnr. GES-2023-00416
DokID 475889
Brancheorganisation
for forsikringsselskaber
og pensionskasser
Finanstilsynet
Att.: Victor Saxlund
Afsendt pr. mail til
hoeringer@ftnet.dk og til vic@ftnet.dk
Høringssvar fra F&P til forslag om ændring af Lov om fi-
nansiel virksomhed, Lov om betalinger, Lov om kapital-
markeder m.fl.
F&P takker for muligheden for at komme med bemærkninger til lovforsla-
get. Bemærkningerne relaterer sig primært til ændringerne for implemente-
ring af DORA-forordningen og NIS2 direktivet, samt rammerne for udpeg-
ning af et administrationsselskab for Garantifonden for Skadesforsikrings-
selskaber. F&Ps har følgende hovedbudskaber:
For så vidt angår ændringer for implementeringen af DORA-forordnin-
gen og NIS2
• Vi finder det problematisk, at reglerne ikke er tilstrækkeligt præcise til
at det klart kan fastslås direkte fra loven dels hvilke virksomheder som
vil falde under kategorien ”operatører af finansielle digitale infrastruk-
turer” og dels omfanget af de konkrete forpligtelser sådanne operatører
underlægges.
• Der er behov for klarhed om reguleringen af datacentraler, der ikke ud-
peges som operatører af finansiel digital infrastruktur (typisk de forsik-
ringsrelaterede), og som med lovforslaget umiddelbart skrives ud af de
eksisterende finansielle regelsæt.
For så vidt angår forslag til ændring af Lov om Skadesgarantifonden
• Det bør sikres, at flere selskaber end de absolut største skadesforsik-
ringselskaber kan komme i spil som administrationsselskab for Garan-
tifonden.
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 2
F&Ps bemærkninger til lovforslaget:
For så vidt angår ændringsforslagene der relaterer sig til implementerin-
gen af NIS2, jf. særligt lovforslaget § 1, nr. 24 om tilføjelse af afsnit IX c
om ”Operatører af finansielle digitale infrastrukturer” i Lov om finansiel
virksomhed.
- Uklare kriterier for udpegelsen af operatører af finansielle digitale in-
frastrukturer og krav i lovgivningen
F&P har flere bemærkninger til afsnit IX c, som foreslås tilføjet i Lov om Fi-
nansiel Virksomhed (FIL) og som retter sig mod operatører af finan-
sielle digitale infrastrukturer, der pålægges særlige forpligtelser efter
loven.
Det er uklart præcis hvilke aktører der bliver omfattet af reglerne, idet krite-
rierne for udpegning af disse aktører er noget løst og overordnet formuleret,
hvilket ligeledes gælder de indholdsmæssige krav til sådanne operatører.
Det efterlader et betydeligt rum for fortolkning og tilsvarende retsusikker-
hed. Med introduktionen af reglerne i afsnit IX c ophæves samtidig den
gældende regulering af ”datacentraler” i den finansielle lovgivning, herun-
der også § 8 i Lov om forsikringsvirksomhed, jf. Lovforslagets § 1, nr. 25 og
§ 8, nr. 3.
Dette skaber særlig usikkerhed for visse virksomheder på forsikringsområ-
det, herunder særligt datacentraler, der understøtter forsikrings- og pensi-
onsbranchen, som ellers ikke umiddelbart vurderes at falde under NIS 2.
Det er vores forståelse, at Finanstilsynet vil udpege og liste de virksomhe-
der, der anses for operatører af finansielle digitale infrastrukturer. Det vil
imidlertid først ske, når denne lovgivning er trådt i kraft, hvilken giver me-
get kort tid til de omfattede virksomheder til at indrette sig.
Forsikrings- og pensionsselskaberne navigerer umiddelbart efter at skulle
efterleve reglerne i DORA fra januar 2025. Det er allerede en omkostnings-
tung proces, der tilmed er presset af manglende klarhed omkring regulerin-
gen, der fortsat er under udfoldelse i level 2 reguleringen på EU-plan. Det
skaber således ekstra usikkerhed og pres på virksomhederne, hvis det viser
sig, at der er forsikrings- eller pensionsselskaber, der bliver omfattet reg-
lerne idet de karakteriseres som ”operatører af finansielle digitale infra-
strukturer)
Særligt vedrørende lovforslagets § 8 og forslag om ophævelse af reglerne
om fælles datacentraler
Med lovforslagets § 1, nr. 24, foreslås det, at Finanstilsynet efter FIL § 333
kan udpege ”operatører af finansielle digitale infrastrukturer”. Ifølge de
specielle bemærkninger til bestemmelsen betyder det, at ”for f.eks. fælles
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 3
datacentraler, der udpeges, vil bestemmelsen betyde, at disse fortsat vil
være omfattet af Finanstilsynets tilsyn”.
Efter den foreslåede FIL § 333, stk. 1, kan Finanstilsynet udpege virksomhe-
der, der udbyder digital infrastruktur eller forvalter IT-tjenester, og hvis
væsentligste aktiviteter består i at drive, administrere eller udvikle tjene-
ster, der er nødvendige for kritiske og vigtige forretningsfunktioner i virk-
somheder omfattet af DORA-forordningen, som ”operatører af finansielle
digitale infrastrukturer”.
Kriterierne for udpegning af operatører af finansielle digitale infrastruk-
turer
Ved udpegningen af operatører af finansielle digitale infrastrukturer skal
Finanstilsynet ifølge § 333, stk. 2, lægge vægt på:
1) omfanget og antallet af finansielle virksomheder, som operatøren vareta-
ger kritiske og vigtige funktioner for,
2) karakteren af de kritiske og vigtige funktioner, som er afhængige af ope-
ratørens leverancer,
3) betydningen af operatørens leverancer for den finansielle stabilitet,
4) operatørens tilknytning til de virksomheder i den finansielle sektor, som
modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.
Lovforslagets § 1, nr. 24, indeholder derudover en række materielle bestem-
melser, der dels implementerer NIS 2-direktivet (ny FIL §§ 333 a) og dels
harmoniserer kravene til operatører af finansiel digital infrastruktur med
DORA-forordningen, idet det er forudsat i lovforslaget, at fælles datacentra-
ler ikke er direkte omfattet af DORA-forordningen (ny FIL § 333 b-k).
Blandt andet bliver operatører af finansiel digital infrastruktur pålagt regler
om tredjepartsrisici i FIL § 333 h, der stiller en række krav til brugen af
tredjeparter til levering af IT-tjenester, herunder navnlig til kritiske eller
vigtige funktioner. Der stilles i FIL § 333i også krav om risikovurdering ved
indgåelse af sådanne kontrakter, ligesom kontrakter med tredjepartsudby-
dere af IT-tjenester skal opfylde de indholdsmæssige krav i FIL § 333 j.
Dermed bliver operatører af finansiel digital infrastruktur pålagt de samme
forpligtelser ved IT-outsourcing, som forsikringsselskaberne bliver pålagt
ved DORA-forordningen.
Endvidere bemærkes lovforslagets § 1, nr. 7, hvor der i § 72a indsættes nyt
stk. 4 som vil indebære, at reglerne om outsourcing for pengeinstitutter,
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 4
sparevirksomheder, realkreditinstitutter og investeringsforvaltningssel-
skaber i § 72 a, stk. 1 og 2, samt bemyndigelsesbestemmelsen til at er-
hvervsministeren kan fastsætte nærmere regler i medfør af stk. 3, ikke læn-
gere vil omfatte outsourcing på det digitale operationelle område.
Vi kan imidlertid ikke se, at der i ændringslovforslaget, eller i den nye lov
om forsikringsvirksomhed (§ 134), er indsat tilsvarende bestemmelse for
forsikringsselskaber, hvilket skaber uklarhed om, hvorvidt reglerne om out-
sourcing i §72b/LFV § 134 fortsat skal gælde for det digitale operationelle
område.
Umiddelbart vil betydningen i princippet være, at outsourcing-reglerne sta-
dig gælder, selvom en anskaffelse er omfattet af DORA, hvilket vil være i
strid med ”single source” formålet med DORA. Vi formoder, at der er tale
om en fejl.
Samlet set ser vi flere mulige problemer ved lovforslaget:
Anvendelsesområdet
Det synes forudsat i lovforslaget, at de fælles datacentraler vil blive omfattet
af de foreslåede regler i FIL afsnit IX c (se f.eks. lovforslagets s. 602-603).
Som vi læser kriterierne for Finanstilsynets udpegelse af ”operatører af fi-
nansiel digital infrastruktur” er det imidlertid ikke nødvendigvis givet, at
alle fælles datacentraler vil blive udpeget som en sådan operatør og dermed
omfattet af reglerne i bl.a. FIL § 333 h-j.
De fælles datacentraler defineres i LFV (i grove træk) som virksomheder,
hvis væsentligste aktiviteter omfatter IT-drifts- eller udviklingsopgaver for
flere forsikringsselskaber, og som overvejende er ejet af 1) et eller flere for-
sikringsselskaber i forening eller b) en eller flere foreninger, hvis medlem-
mer er forsikringsselskaber. Der er således tale om to objektive kriterier
vedrørende virksomhedens opgaver og ejerforhold.
Derimod er udpegningen af ”operatører af finansiel digital infrastruktur”
baseret på en skønsmæssig vurdering, hvor blandt andet virksomhedens be-
tydning for den finansielle stabilitet indgår som et element blandt flere.
Man kunne derfor godt forestille sig, at f.eks. en datacentral, som alene le-
verer IT-ydelser til en række mindre forsikringsselskaber, ikke i praksis vil
blive vurderet som så vigtig for den finansielle stabilitet, at datacentralen vil
blive udpeget som ”operatør af finansiel digital infrastruktur” efter FIL §
333, stk. 2.
I så fald opstår der reelt et hul i lovgivningen for disse fælles datacentralers
brug af outsourcing, idet fælles datacentraler, som ikke er udpeget som ope-
ratører af finansiel digital infrastruktur, ikke er omfattet af de nye regler i
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 5
FIL §§ 333 h-j, ligesom outsourcingreglerne for de fælles datacentraler i
LFV § 8, stk. 1, nr. 2, vil blive ophævet med lovforslaget.
Det bemærkes i den forbindelse, at det som nævnt er forudsat i lovforslaget,
at de fælles datacentraler ikke er omfattet direkte af DORA-forordningen,
hvilket er årsagen til, at der er fremsat forslag om at indføre lignende regler
for disse virksomheder i FIL § 333 b-k (se lovforslagets s. 60 + s. 68).
For at undgå dette mulige hul i lovgivningen på outsourcingområdet, skal
man beholde reglerne for de fælles datacentraler i LFV som tilbagefaldsreg-
ler for de fælles datacentraler, som ikke vurderes at være ”operatører af fi-
nansiel digital infrastruktur” medmindre det er intentionen, at omtalte da-
tacentraler skal falde ud af tilsynet.
Det bemærkes, at det i forarbejderne synes forudsat, at alle fælles datacen-
traler vil blive anset som ”operatører af finansiel digital infrastruktur” (se s.
602-603). Når der imidlertid er lagt op til en skønsmæssig vurdering med
den foreslåede § 333, stk. 2, vil det være at sætte skøn under regel, hvis man
opererer ud fra en praksis om, at fælles datacentraler for finansielle virk-
somheder automatisk opfylder kriterierne i FIL § 333, stk. 2, for at blive ud-
peget som operatør af finansiel digital infrastruktur.
Uklare strafbestemmelser
Det bemærkes endvidere, at § 333 b, vedr. ledelse og organisation, ligeledes
er uklart formuleret. Eksempelvis fremgår det af § 333 b, stk. 5, at der skal
udpeges et direktionsmedlem, som er ansvarlig for tilsyn og dokumenta-
tion i forbindelse med eksponering for it- og cyberrisici fra tredjepartsud-
bydere. Det er imidlertid ikke tydeligt hvilket specifikt ansvar, som skal løf-
tes af pågældende direktionsmedlem, hvilket er yderst problematisk i lyset
af, at overtrædelse af § 333, stk. 5 er strafbelagt.
Generelt gælder det, at straffebestemmelserne i Afsnit IX c er uklare. F.eks.
medfører § 333 d, stk. 3, at det er strafbart ikke at overholde minimumskra-
vene til indholdet af risikostyringsrammen, men det er uklart, hvad omtalte
minimumskrav dækker over.
Et andet eksempel på uklare straffebestemmelser er knyttet til § 333 b, stk.
4 om intern revision af rammen for it- og cyberrisici. Det fremgår af be-
mærkningerne, at det skal det være strafbart ikke at foretage regelmæssig
intern revision af rammerne for styring af it- og cyberrisici. Det er imidler-
tid uklart, hvad der menes med ”regelmæssig”.
Overordnet er det yderst problematisk, at beskrivelserne af de forpligtelser,
som operatørerne af finansielle digitale infrastrukturer skal leve op til, er
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 6
uklart formuleret. Særligt utilfredsstillende er det, at i tilfælde hvor et for-
hold er strafbart, at fortolkningsrummet er så stort, som det er tilfældet for
flere af straffebestemmelserne i afsnit IX c.
Formuleringer som ”tilstrækkelig” og ”regelmæssigt” er ikke passende til at
beskrive et forhold, som er strafbelagt, og forpligtelser beskrevet i disse
vendinger bør omformuleres i den endelige lov, så det bliver tydeligt, hvad
der forventes af operatørerne.
Endelig bemærkes det, at det i bemærkningerne til samlelovforslaget (s.
610) anføres, at bødeniveauet tiltænkes fastsat i overensstemmelse med §
372, stk. 12 i FIL. Umiddelbart bør den reference være til § 373, stk. 12.
Direktionens ansvarsområde
Et andet problematisk forhold, som bør fremhæves, er § 333 e, stk. 11, der
medfører, at en operatør af finansiel digital infrastruktur skal udvikle poli-
tikker for en systematisk læring på baggrund af den viden, som operatøren
opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning,
testresultater og it- og cyberhændelser. Viden der skal afrapporteres til le-
delsesorganet med anbefalinger til forbedringer.
Kravet om en politik for at opsamle omtalte viden, samt at denne viden skal
lede til anbefalinger til forbedringer til ledelsesorganet, er fornuftig. Det er
imidlertid problematisk, når det i bemærkningerne til § 333 e, stk. 11 frem-
går, at ledelsesorganet skal forstås som operatørens bestyrelse. Der er tale
om forhold, der ligger inden for direktionen ansvarsområde, hvorfor afrap-
porteringen bør henledes hertil.
Exit strategier
Endelig påpeges det, at det i § 333 h, stk. 11 fremgår, at exitstrategier skal
være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gen-
nemgået regelmæssigt. Det er imidlertid uklart, hvad ”testet i tilstrækkeligt
omfang” indebærer. F&P opfordrer til, at det gøres mere tydeligt, at test af
exitplaner kun kan gennemføres som ”skrivebordsøvelser”, da det ikke er
muligt at gennemføre en fuldstændig test af exit strategi uden en reel mod-
part, som data skal overføres til.
Autentifikation af brugere ved anvendelse af MitID-løsningen
Endelig bemærkes det, at samlelovforslagets § 1, nr. 8, medfører, at FIL §
72, c ophæves, og DORA herefter også vil gælde for ”autentifikation af bru-
gere ved anvendelse af MitID-løsningen”. Dette er dog ikke blevet afspejlet
i lov om forsikringsvirksomheds § 134, stk. 7, hvilket vi formoder må være
en fejl.
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 7
Ikrafttrædelsestidspunkt
Vi kan ikke umiddelbart få ikrafttrædelsesbestemmelserne til at hænge
sammen. Efter lovforslagets § 15, stk. 1, træder loven i kraft den 1. juli 2024,
jf. dog stk. 2-5. Efter stk. 4 træder FIL afsnit IX c i kraft den 18. oktober
2024. (I de specielle bemærkninger til § 15, stk. 5, er det forudsat, at be-
stemmelserne, som supplerer DORA-forordningen, først træder i kraft den
17. januar 2025. Som nævnt ovenfor drejer det sig om FIL §§ 333 b-k, men
vi kan ikke i ordlyden af § 15, stk. 5 finde støtte for, at disse bestemmelser
skulle være omfattet af § 15, stk. 5, med den virkning, at bestemmelserne
først træder i kraft den 17. januar 2025.)
Ophævelsen af reglerne om de fælles datacentraler i LFV træder i kraft den
1. juli 2024, da lovforslagets § 8 ikke ses nævnt i undtagelsesbestemmel-
serne i § 15, stk. 2-5. Uanset om de nye regler i FIL afsnit IX c træder i kraft
den 18. oktober 2024 (stk. 4) eller den 17. januar 2025 (stk. 5), vil der såle-
des være en periode, hvor der hverken i LFV eller FIL gælder regler for de
fælles datacentraler, herunder om outsourcing på IT-området, hvilket vel
næppe har været hensigten.
Ovennævnte to problemstillinger vil kunne give forsikringsselskaberne en
række praktiske vanskeligheder, fordi det er uhensigtsmæssigt, at der ikke
gælder de samme regler for forsikringsselskabernes outsourcing af IT-ydel-
ser til de fælles datacentraler og disses videreoutsourcing af IT-opgaver til
underleverandører.
Lovforslagets § 6 - Aflønning i firmapensionskasser:
Med lovforslaget samles de væsentligste bestemmelser om lønpolitik og va-
riabel aflønning af bestyrelsen, direktionen og andre væsentlige risikotagere
i firmapensionskasser på lovniveau, som det er tilfældet i den øvrige finan-
sielle lovgivning.
Som også anført i vores bemærkninger til de tilsvarende bestemmelser, som
blev indført for andre selskaber med Lov om forsikringsvirksomhed, bakker
F&P selvfølgelig op om, at aflønningsreglerne skal sikre, at forsikringssel-
skaber fører en forsvarlig lønpolitik med ligeløn, som fremmer en forsvarlig
virksomhedsledelse. F&P finder dog igen anledning til at påpege, at Finans-
tilsynet bør arbejde for et level playing field for forsikringsselskaber i EU,
herunder også for så vidt angår aflønningsregler.
I lighed med vores bemærkninger til forslaget til Lov om forsikringsvirk-
somhed (L88) har vi også her noteret, at det alene er de mest overordnede
bestemmelser i aflønningsbekendtgørelsen, der videreføres. Reglerne frem-
står meget forenklede og indeholder ikke den fleksibilitet og de bagatel-
grænser, som findes i den foreliggende aflønningsbekendtgørelse. Den gæl-
dende aflønningsbekendtgørelse § 24 bagatelgrænse er f.eks. ikke taget med
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 8
i lovudkastet. Heller ikke overgangsreglen for firmapensionskasserne i af-
lønningsbekendtgørelsens § 30, stk. 4 er medtaget i dette lovudkast. Fleksi-
biliteten i den gældende aflønningsbekendtgørelse er væsentlige for selska-
berne, og det er derfor afgørende, at den videreføres efter lovændringen.
Lovforslagets § 8 – Ændring af Lov om forsikringsvirksomhed
I lov om Forsikringsvirksomhed (LFV) foretages ligeledes rettelser relateret
til DORA, primært konsekvens- og henvisningsrettelser. F&P har ikke yder-
ligere bemærkninger til de foreslåede ændringer, udover hvad der allerede
er anført ovenfor under bemærkningerne til § 1 i ændringsloven vedrørende
LFV § 134 der regulerer datacentraler.
For så vidt angår lovforslagets § 8, nr. 5 vedrørende forslag til ændring af
teksten i LFV § 107, stk. 2 vil F&P gerne kvittere for opfølgning på den kon-
staterede fejl i teksten, der medførte at flere selskaber end tilsigtet ville blive
omfattet af reglen om bestyrelsens kollektive egnethed.
Samtidig vil vi dog her, med henvisning til vores tidligere bemærkninger til
bestemmelsen i forbindelse udarbejdelsen af loven, igen anføre ønsket om en
generel opblødning af kompetencekravene til bestyrelsen således, at det ikke
alene er finansiel ledelseserfaring fra anden forsikringsvirksomhed, der an-
erkendes, men også ledelseserfaring fra andre relevante finansielle virksom-
heder. I den forbindelse finder F&P anledning til at bemærke, at formulerin-
gen ”bør” er anvendt i det omhandlede afsnit fra vejledningen fra 2021 og at
det således, reelt er en skærpelse, når lovbestemmelsen bruger ordet ”skal”,
selvom det fremgår af bemærkningerne til bestemmelsen, at der ikke er til-
sigtet en sådan skærpelse.
F&P vil ligeledes gerne her kvittere for den gode dialog med Finanstilsynet
omkring problemstillinger, som er drøftet i forbindelse med tilblivelsen af
den nye lov og tilsynets åbenhed i relation til yderligere tilretningerne af den
nye lov, og vi ser frem til fortsat samarbejde herom.
Lovforslagets § 10 – Garantifondens administrationsselskab:
F&P er enig i, at Garantifonden for skadesforsikringsselskaber ved en kon-
kurs i et forsikringsselskab bør have adgang til forsikringsekspertise i et ad-
ministrationsselskab.
F&P finder, at branchen bredt bør bidrage til løsningen af dette. Det er derfor
vigtigt for F&P, at flere selskaber end de absolut største skadesforsikringssel-
skaber kan komme i spil som administrationsselskab for Garantifonden.
Lovens regler finder først anvendelse, hvis Garantifonden ikke får et admini-
strationsselskab via et EU-udbud. Ved udbuddet vil en række skadesforsik-
ringsselskaber kunne komme i betragtning som administrationsselskab for
F&P
Sagsnr. GES-2023-00416
DokID 475889
Side 9
Garantifonden - enten selv eller i et samarbejde med andre. F&P finder, at
lovforslaget bør afspejle dette, så flere skadesforsikringsselskaber kan udpe-
ges som administrationsselskab for Garantifonden.
F&P foreslår, at kravet om en årlig bruttopræmieindtægt på minimum 2 mia.
kr. sænkes til minimum 1,5 mia. kr., samt at markedsandelen sænkes til 2
pct. målt på bruttopræmie.
Da garantifondsloven er at betragte som forbrugerregulering, så bør forslaget
desuden ikke udelukke selskaber under tilsyn i udlandet, hvis de i øvrigt lever
op til kriterierne. Disse selskaber er ikke afskåret fra at blive administrati-
onsselskab i forbindelse med Garantifondens udbud. Det bemærkes i øvrigt,
at Garantifonden i tilfælde af en konkurs vil være i dækning over for de på-
gældende selskabernes danske kunder.
F&P finder, at det bør fremgå af lovforslagets bemærkninger, at det pågæl-
dende selskab vil blive honoreret for arbejdet som administrationsselskab på
kommercielle markedsvilkår. Administrationsselskabet vil således ikke blive
påført omkostninger, der ikke vil kunne faktureres Garantifonden herunder
omkostninger til at opretholde et beredskab til at kunne håndtere et andet
forsikringsselskabs skadessager med kort varsel. Det bør tillige fremgå af lov-
forslagets bemærkninger, at rollen som administrationsselskab ikke påfører
selskabet kapital- eller solvenskrav.
Det har vist sig at være en stor udfordring for forsikringsselskaber, der over-
vejer at byde på ordningen, at der er usikkerhed om, hvorvidt et forsikrings-
selskab, der agerer som administrationsselskab for Garantifonden, er omfat-
tet af outsourcingreglerne i lov om forsikringsvirksomhed. F&P skal derfor
stærkt opfordre til, at det gøres helt klart, at outsourcingreglerne i lov om
forsikringsvirksomhed ikke omfatter outsourcing af garantifondens opgaver
ifølge garantifondsloven. Der er i denne lov ingen regler om outsourcing,
fordi der er tale om varetagelse af helt andre hensyn, og fordi Garantifonden
ikke er et forsikringsselskab. Alternativet kan være en betydelig ekstraom-
kostning for Garantifonden til skade for forbrugerne, der finansierer ordnin-
gen.
F&P har ikke yderligere bemærkninger til lovforslaget. Vi står naturligvis til
rådighed for uddybning af ovenstående.
Med venlig hilsen
Karen Gjølbo
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk
Høringssvar
20. december 2023
Dok: FIDA-237005067-685238-v1
Finanstilsynet
Strandgade 29
1401 København K
Att.: Victor Saxlund
Sendt til: hoeringer@ftnet.dk, cc: vic@ftnet.dk
Finans Danmarks høringssvar til udkast til
forslag til lov om ændring af lov om fi-
nansiel virksomhed, lov om betalinger,
lov om kapitalmarkeder og forskellige
andre love
Finans Danmark takker for muligheden for at kommentere udkastet til lovforslag.
Finans Danmark har alene bemærkninger til udkastet til lovbemærkningerne til
punkt nr. 12 i udkastet til lovforslaget om ændring af lov om finansiel virksomhed
vedrørende ny praksis for fastsættelse af et vejledende kapitalgrundlag og Fi-
nanstilsynets praksis for anvendelse af kapitalmålsætningen som det styrende
krav i tilsynsprocessen.
Det fremgår af bemærkningerne til punkt nr. 12 i udkastet til lovforslaget om æn-
dring af lov om finansiel virksomhed, at Finanstilsynets praksis for fastsættelse af et
vejledende kapitalgrundlag (P2G) fremover ændres, således at det i udgangs-
punktet alene vil være kapitalbevaringsbufferne, der modregnes i P2G og ikke
som i dag, samtlige bufferkrav. Det vil bringe den implementering af P2G i over-
ensstemmelse med de fælles EU-bestemmelser.
Det fremgår imidlertid videre af bemærkningerne til lovforslaget, at Finanstilsynet
agter at fastholde sin gældende danske praksis, hvor den såkaldte kapitalmål-
sætning vil være det bindende og dermed det reelle krav. Anvendelse af kapi-
talmålsætning som et styrende krav i tilsynsprocessen, er en dansk særregel, der
ikke anvendes tilsvarende i andre EU-lande. Specifikt bliver det bemærket, at i
Danmark har ”kapitalmålsætningen udgjort et øvre mål, som institutterne har na-
vigeret efter.” Med disse formuleringer bliver det dermed tydeliggjort, at Finanstil-
synet i Danmark anvender en tilgang, der kan være hårdere end en P2G-tilgang.
Hvor institutter i andre lande kan tære på kapitalbevaringsbufferen, tillades mod-
regning i kapitalbevaringsbufferen ikke i Danmark.
Finans Danmark | Amaliegade 7 | 1256 København K | www.finansdanmark.dk 2
Høringssvar
20. december 2023
Dok. nr.:
FIDA-237005067-685238-v1
Dette indebærer, at danske institutter reelt er underlagt krav om at holde mere
kapital end udenlandske institutter, som følge af en dansk særtilgang.
Finans Danmark skal derfor opfordre til, at Finanstilsynet justerer sin praksis for an-
vendelse af kapitalmålsætningen som det styrende kapitalkrav, således at det
bringes i overensstemmelse med P2G-tilgangen samtidigt med, at bottom-up til-
gangen til stresstests fastholdes, inklusiv tilgangen til inddragelse af stresseffek-
ter indregnet i solvensbehovet (P2R).
I er velkomne til at kontakte mig eller Michael Friis (mfr@fida.dk), hvis ovenstå-
ende giver anledning til spørgsmål.
Med venlig hilsen
Anders Schou
Direktør, Kapital og Markedsregulering
Direkte: + 45 2064 6425
ans@fida.dk
20.12.2023
Garantifonden for
skadesforsikringsselskaber
Philip Heymans Allé 1
2900 Hellerup
Tlf.: 41 91 91 91
info@skadesgarantifonden.dk
www.skadesgarantifonden.dk
Danske Bank 30014001060279
IBAN DK58 30004001060279
SWIFT-BIC DABADKKK
Pernille Gram
Sekretariatschef
Dir. +4541919095
pgc@fogp.dk
Sagsnr. GES-2023-00064
DokID 475967
Finanstilsynet
Att.: Victor Saxlund
Sendt pr. mail til
hoeringer@ftnet.dk og vic@ftnet.dk
Høringssvar vedr. udkast til forslag til lov om ændring af
lov om finansiel virksomhed lov om betalinger lov om ka-
pitalmarkeder og forskellige andre love
Finanstilsynet har den 15. november 2023 sendt udkast til lov om æn-
dring af lov om finansiel virksomhed, lov om betalinger, lov om kapi-
talmarkeder og forskellige andre love i høring.
Garantifonden for skadesforsikringsselskaber er meget tilfreds med, at
det med lovforslaget sikres, at Garantifonden får et administrations-
selskab, der kan bidrage med forsikringsekspertise mv.
Garantifonden mener, at det er vigtigt, at Garantifondens nuværende
muligheder i forbindelse med udbudsprocessen ikke ændres med lov-
forslaget. Efter Garantifondens opfattelse vil en del skadesforsikrings-
selskaber kunne udfylde rollen som administrationsselskab for Garan-
tifonden. Garantifonden vil f.eks. gerne indgå aftale med store uden-
landske aktører på det danske marked, og Garantifonden vil heller ikke
udelukke større selskaber, der ikke har tilladelse til alle forsikrings-
klasser.
Det kan desuden oplyses, at Garantifonden ingen glæde har af, at ad-
ministrationsselskabet er omfattet af outsourcingreglerne i lov om for-
sikringsvirksomhed (LFV).
Garantifonden er ikke omfattet af reglerne, og det er som udgangs-
punkt Garantifonden, der outsourcer opgaver til administrationssel-
skabet. Administrationsselskabet vil sommetider videreoutsource op-
gaver, men dette vil - medmindre der er tale om småopgaver - ske med
Garantifondens vidende. Da outsourcingreglerne har vist sig at være
medvirkende til, at selskaber ikke byder på opgaven og samtidig kan
være mærkbart fordyrende for Garantifonden, så bør det fremgå, at
Garantifonden for
skadesforsikringsselskaber
Sagsnr. GES-2023-00064
DokID 475967
Side 2
outsourcingreglerne i LFV ikke finder anvendelse når administrations-
selskabet arbejder for Garantifonden.
Med venlig hilsen
Pernille Gram
1
Victor Saxlund (FT)
Fra: Thomas Søgaard <tsh@jndata.dk>
Sendt: 20. december 2023 15:49
Til: Høringer
Cc: Victor Saxlund (FT); Martin Gøbel Kjellberg
Emne: Udkast til lov om ændring af lov om finansiel virksomhed, lov, om betalinger, lov
om kapitalmarkeder og forskellige andre love - JN Datas bemærkninger
Sag: 23-013111
Sagsdokument: 1050295
Kære Victor
JN Data har gennemgået lovforslaget ”Udkast l lov om ændring af lov om finansiel virksomhed, lov, om betalinger,
lov om kapitalmarkeder og forskellige andre love”, der har l formål at gennemføre de ændringer af den finansielle
lovgivning, der er nødvendige for at sikre implementering af fælleseuropæisk regulering i form af hhv. EU-direk vet
2022/2555 af 14. december 2022 (NIS2) og EU-forordningen 2022/2254 af 14. december 2022 (DORA).
På den baggrund har JN Data følgende overordnede og specifikke bemærkninger l lovforslagets afsnit IX c
”Operatører af finansielle digitale infrastrukturer”, der regulerer fælles datacentraler:
Overordnede bemærkninger
Det er JN Datas vurdering, at lovforslaget er rela vt overordnet, og lovforslagets bemærkninger har en mere
beskrivende end vejledende karakter. Sammenholdt med det forhold, at det af § 333 p fremgår, at Finans lsynet
kan fastsæ e nærmere bindende regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger, er det
vanskeligt for JN Data på nuværende dspunkt at vurdere det mere præcise omfang og konsekvenser af
ændringerne i forhold l den nuværende rets lstand. Det anbefales, at Finans lsynet tager højde herfor i
forbindelse med fastlæggelse af overgangsbestemmelser.
Derudover har JN Data iden ficeret, at lovforslaget flere steder taler om strategi, poli k, proces, procedurer og
protokoller, fx i §§ 333 a samt d-f. JN Data vil anbefale, at Finans lsynet i stedet for disse eksplici e detaljerede krav
s ller krav om ”dokumenterede forretningsgange” og lader det være op l den enkelte virksomhed at beslu e,
hvilke typer forretningsgange der er relevante for at sikre implementering og opera onel effek vitet. Det kan i den
forbindelse overvejes at definere og eksemplificere begrebet ”ramme” i forarbejderne.
Slu elig bemærker JN Data, at både begrebet ”kri sk og vig g” og begrebet ”kri sk eller vig g” anvendes. Det er
uklart, om sondringen er lsigtet og i bekræ ende fald, hvori den materielle forskel består. Umiddelbart kan JN Data
ikke iden ficere begrebet ”kri sk og vig g” i DORA-forordningen.
Specifikke bemærkninger
§§ 333 h-j
§§ 333 h-j regulerer forhold vedr. tredjepartsrisici samt risikovurdering og centrale kontraktbestemmelser. JN Data
søger i den forbindelse forgæves vejledning l at fastslå omfanget af, hvad der er dækket af begrebet it-tjenester,
herunder særligt om det afgrænser sig l leverancer som leveres som en tjeneste og således ikke omfa er
so warelicensa aler og hardware.
Det synes klart, at tredjepartsa aler, der indgås e er ikra trædelsesdatoen den 18. oktober 2024, jf. § 15, stk.4,
skal opfylde de angivne be ngelser. Det er imidler d uklart for JN Data, hvornår tredjepartsa aler indgået før
ikra trædelsesdatoen den 18. oktober 2024 skal opfylde be ngelserne.
Genforhandling af eksisterende tredjepartsa aler er en meget omfa ende og dkrævende opgave. JN Data vil
derfor kra igt opfordre l, at Finans lsynet som for implementeringen af Outsourcingbekendtgørelsen giver
virksomhederne en ”graceperiode” på 36 måneder l genforhandling af eksisterende tredjepartsa aler, således at
der er større sandsynlig for, at der ikke skal ske ekstraordinære genforhandlinger.
2
§ 333 p
Det fremgår af § 333 p, at Finans lsynet kan fastsæ e nærmere bindende regler om it- og cyberrisikostyring og
kontrol- og sikringsforanstaltninger, der udspringer af NIS2-direkteivet og/eller delegerede retsakter l DORA-
forordningen.
Som anført under generelle bemærkninger ovenfor er det en udfordring i forhold l implementering, at de nærmere
bindende regler endnu ikke er på plads eller som minimum i udkast, idet det medfører risiko for forsinket
implementering a ængig af overgangsbestemmelserne.
JN Data vil derudover opfordre Finans lsynet l at sikre, at grundlaget for de nærmere bindende regler understø er
både en risikobaseret lgang og propor onalitetsprincippet, og sam dig sikrer, at der ikke fastsæ es strengere krav
end hjemlen i NIS2-direk vet og/eller DORA-forordningen.
§ 15, stk. 8
Det fremgår af bemærkningerne l § 15, stk. 8, at ”Det foreslåede vil sikre, at bekendtgørelser udstedt i medfør af §
119, stk. 12, 2. pkt., i lov om finansiel virksomhed forbliver i kra , selvom bestemmelsen ophæves, som følge af
denne lovs § 1, nr. 16.” JN Data lægger l grund, at henvisningen skulle have været l § 199 og ikke § 119.
Venlig hilsen / Best regards
Thomas Søgaard
Manager
Regulatory Compliance
Direct +4563639246
Mobile +4541881129
tsh@jndata.dk
JN Data A/S | Havsteensvej 4 | 4000 Roskilde
+4563636363 | www.jndata.dk|
Mastercard Payment Services Denmark A/S
Arne Jacobsens Allé 13
2300 Copenhagen S
Denmark
CVR no. 40695869
mastercardpaymentservices.com
1
Finanstilsynet
Strandgade 29
1401 København K
Sendt per e-mail: hoeringer@ftnet.dk; vic@ftnet.dk
20. december 2023
Høringssvar – Forslag til lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om
kapitalmarkeder og forskellige andre love
Vi fremsender hermed vores kommentarer til forslag til lov om ændring af lov om finansiel virksomhed, lov om
betalinger, lov om kapitalmarkeder og forskellige andre love, som Finanstilsynet har sendt i høring den 14.
november 2023 (lovforslaget). Dette høringssvar indgives på vegne af Mastercard Payment Services Denmark
A/S (Mastercard). Vores bemærkninger angår primært lovforslagets § 1, nr. 24, dvs. det foreslåede nye afsnit IX
c (Operatører af finansielle digitale infrastrukturer).
Mastercard er leverandør af kerneinfrastruktur til de nuværende danske detailbetalingssystemer, som opereres
af Finans Danmark og har således en nøglerolle i forhold til at sikre, at IT-sikkerheden og driften af den danske
betalingsinfrastruktur er i overensstemmelse med højeste og internationalt anerkendte standarder for
informationssikkerhed, risikostyring, operationel robusthed, m.v. Mastercard leverer disse services i medfør af
tilladelsen som IT-operatør af detailbetalingssystemer, jf. § 180 a i lov om kapitalmarkeder.
Vi anerkender hensynene bag lovforslaget, dvs. implementering af NIS2 direktivet1
for It-operatører af
detailbetalingssystemer med afsæt i DORA-forordningen.2
Mastercard har kun få bemærkninger til den
foreslåede implementering heraf:
1. Symmetri med DORA-forordningen
Mastercard ventes at blive omfattet af de forelåede regelændringer som operatør af finansiel digital
infrastruktur. Samtidig er Mastercard dog underlagt DORA-forordningen i medfør af sin tilladelse som
betalingsinstitut. De nuværende regler om IT-risikostyring m.v. er i dag stort set ens på tværs af Mastercards
aktiviteter, idet ledelsesbekendtgørelsens bilag 5 er næsten sammenfattende med EBA Guidelines on ICT and
Security Risk Management, som finder anvendelse for betalingsinstitutter.
Vi forstår, at der ville være praktiske udfordringer ved en tilsvarende ordret implementering af ordlyden i DORA-
forordningen og tilhørende sekundære retsakter fra ESA’erne. Lovforslaget indebærer således på nogle punkter
en ordret gengivelse af forordningens tekst, mens der på andre punkter er tale om en mere overordnet gengivelse
af principper.
1
Europa-Parlamentets og Rådets Direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt
fælles cybersikkerhedsniveau i hele Unionen
2
Europa-Parlamentets og Rådets Forordning (EU) 2022/2554 af 14. december 2022 om digital operationel
modstandsdygtighed i den finansielle sektor
Mastercard Payment Services Denmark A/S
Arne Jacobsens Allé 13
2300 Copenhagen S
Denmark
CVR no. 40695869
mastercardpaymentservices.com
2
Det er Mastercards forståelse, at Finanstilsynet som tilsynsmyndighed vil anvende DORA-forordningen og
tilhørende retsakter som væsentlige fortolkningsbidrag ved udførelse af tilsyn med overholdelsen af det
foreslåede afsnit IX c i lov om finansiel virksomhed. Mastercard så gerne, at dette stod klarere i
lovbemærkningerne. Herved vil det præciseres, at Mastercard kan bibeholde én forvaltnings- og kontrolramme på
tværs af sine aktiviteter, hvilket også understøtter DORA-forordningens mål om harmonisering af digital
operationel modstandsdygtighed på tværs af finansielle enheder i Europa og muliggøre, at finansielle enheder
med flere typer af tilladelser kan imødegå IKT-risiko og afbøde negative virkninger af IKT-hændelser på egen
hånd og på en sammenhængende omkostningseffektiv måde.3
2. Identifikation af forretningsfunktioner og processer, mv. hos leverandørens kunder
Den foreslåede § 133 e, stk. 2 og 3. har følgende ordlyd:
Stk. 2. En operatør af finansiel digital infrastruktur skal løbende identificere alle kritiske forretningsfunktioner og it-
aktiver, herunder it-aktiver, der understøtter kritiske og vigtige forretningsfunktioner for operatørens kunder.
Stk. 3. En operatør af finansiel digital infrastruktur skal identificere alle kritiske eller vigtige forretningsprocesser og
tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra
underleverandører.
Bestemmelserne er taget fra DORA artikel 8(1) og 8(5). De går dog længere end forordningen ved også at kræve
dokumentation for den regulerede enheds kunders afhængigheder af underleverandører. Mastercard anser det
for unødvendigt at udvidde den regulerede enheds forpligtelser på denne måde. Bestemmelserne angår – ligesom
de nævnte artikler i DORA-forordingen – identifikation af kritiske eller vigtige funktioner hos regulerede enheder.
Den iboende karakter af de tjenester, der leveres af en operatør af en finansiel digital infrastruktur, og
identifikationen og klassificeringen af kritiske og vigtige funktioner vil naturligt afspejle indvirkningen på dennes
kunder i denne klassificeringsproces. Ved at anvende denne terminologi som afspejlet i DORA-forordningen sikres
der overensstemmelse med tilgangen i DORA-forordningen, og man undgår en problematisk tilgang med at
pålægge operatører af finansiel digital infrastruktur en forpligtelse til at identificere, hvilken funktion hos kunden
der betragtes som kritisk og vigtig. Mastercard foreslår, at bestemmelserne ændres, så de svarer til de nævnte
artikler i DORA gennem følgende ændringer:
Stk. 2. En operatør af finansiel digital infrastruktur skal løbende identificere og dokumentere alle kritiske
forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske og vigtige forretningsfunktioner for
operatørens kunder.
Stk. 3. En operatør af finansiel digital infrastruktur skal identificere og dokumentere alle kritiske eller vigtige
forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, som udbyder tjenester, som
understøtter kritiske eller vigtige funktioner og dokumentere egne og kunders afhængigheder af ydelser fra
underleverandører.
3
Se punkt 10 og 11 i præampelen til DORA-forordningen
Mastercard Payment Services Denmark A/S
Arne Jacobsens Allé 13
2300 Copenhagen S
Denmark
CVR no. 40695869
mastercardpaymentservices.com
3
3. Øvrige bemærkninger
a. I bemærkningerne til den foreslåede § 133 f, stk. 2, står der følgende:
Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling består i at operatøren ikke i
relevant omfang registrerer operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, jf. DORA-
forordningens artikel 23.
Henvisningen til DORA-forordningen bør så vidt ses være til den foreslåede bestemmelse i lov om finansiel
virksomhed.
b. Lovforslagets § 3, nr. 14 og 15 indeholder en henvisning til ”§ 333, stk. 3”. Der bør så vidt ses stå ”§ 333, stk. 3,
i lov om finansiel virksomhed”.
***
Mastercard Payment Services Denmark A/S står til rådighed for en eventuel yderligere dialog med Finanstilsynet
om lovforslaget.
Med venlig hilsen
Mastercard Payment Services Denmark A/S
Andrias Helmsdal, Director, Regulatory Affairs


28. februar 2023
Folketingets Erhvervsudvalg
Vedlagt fremsender jeg til udvalgets orientering forslag til lov om ændring
af lov om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder
og forskellige andre love (Tilsyn efter forordning om digital operationel
modstandsdygtighed i den finansielle sektor, forordning om markeder for
kryptoaktiver, regler for udpegelse af administrationsselskab for Garanti-
fonden samt aflønningsregler for firmapensionskasser), som fremsat for
Folketinget i dag den 28. februar 2024.
Med venlig hilsen
Morten Bødskov
Offentligt
L 122 - Bilag 1
Erhvervsudvalget 2023-24