Erhvervsudvalget 2023-24
L 122 Bilag 1
Offentligt
2831015_0001.png
HØRINGSNOTAT
19. februar 2024
Forslag til lov om ændring af lov om finansiel virksom-
hed, lov om betalinger, lov om kapitalmarkeder og for-
skellige andre love
(Tilsyn efter forordning om digital operationel modstandsdygtighed i den
finansielle sektor, forordning om markeder for kryptoaktiver, regler for ud-
pegelse af administrationsselskab for Garantifonden samt aflønningsregler
for firmapensionskasser)
1. Indledning
Med lovforslaget gennemføres ændringer af den finansielle lovgivning, der
er nødvendige for at sikre implementering af fælleseuropæisk regulering
på cybersikkerhedsområdet og området for kryptoaktiver. Lovforslaget
gennemfører derudover en række ændringer, der har til formål at højne be-
skyttelsen af forsikringstagere samt styrke tilsynet på det finansielle om-
råde.
Lovudkastet blev sendt i høring den 14. november 2023 med frist for hø-
ringssvar den 20. december 2023. Der er modtaget 9 høringssvar, heraf 9
med bemærkninger.
De væsentligste bemærkninger fra de hørte parter til de enkelte emner i
lovudkastet gennemgås og kommenteres nedenfor.
Enkelte høringssvar har givet anledning til mindre redaktionelle ændringer
og præciseringer i lovteksten og bemærkningerne. Disse ændrer ikke ved
substansen i de pågældende bestemmelser og omtales derfor ikke nærmere
i dette notat.
2. Bemærkninger til konkrete emner
Kommenteringen af høringssvarene tager udgangspunkt i følgende over-
ordnede opdeling:
1.
2.
Indledning
......................................................................................... 1
Bemærkninger til konkrete emner
................................................. 1
2.1.
2.2.
2.3.
Regulering af kryptoaktiver og kryptoaktivtjenester m.v.
... 2
MICA - ikrafttrædelse
.............................................................. 4
Aflønningsregler for firmapensionskasser
............................. 6
2.4. Opgørelse af søjle II-tillæg for det vejledende
kapitalgrundlag
.................................................................................... 7
2.5. Administrationsselskab for Garantifonden for
skadesforsikringsselskaber
................................................................. 8
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2/26
2.5.1. Udnævnelse af et administrationsselskab for
Garantifonden for skadesforsikringsselskaber
............................. 8
2.5.2. Udnævnelse af to eller flere forsikringsselskaber i
forening som administrationsselskab for Fonden
....................... 10
2.5.3. Ændring af krav til årlig bruttopræmieindtægt og
markedsandele
................................................................................ 11
2.5.4.
2.5.5.
2.5.6.
2.6.
Udenlandske forsikringsselskaber
................................. 12
Vederlag............................................................................
12
Outsourcing
...................................................................... 13
Operatører af finansielle digitale infrastrukturer
............... 15
2.6.1. Generelle bemærkninger til regelsættet for operatører
af finansielle digitale infrastrukturer
........................................... 15
2.6.2. Om udpegning af operatører af finansielle digitale
infrastrukturer
............................................................................... 15
2.6.3.
2.6.4.
2.6.5.
Terminologi og definitioner
............................................ 16
Proportionalitetsprincippet
............................................ 17
Strategi for digital operationel modstandsdygtighed
... 18
2.6.6. Adskillelse af risikostyringsfunktionen og
kontrolfunktioner
........................................................................... 18
2.6.7. Dokumentation for operatørens styring af kunders it-og
cyberrisici
........................................................................................ 19
2.6.8.
mv.
2.6.9.
Spørgsmål til identifikation, beskyttelse og detektion
20
Spørgsmål til hændelsesstyring og -rapportering
........ 21
2.6.10. Spørgsmål relateret til tredjepartsrisici
........................ 22
2.6.11. IP-adresser
....................................................................... 23
2.6.12. Straffebestemmelser
........................................................ 24
2.6.13. Begrebet fælles datacentraler
......................................... 24
2.6.14. Outsourcing, herunder MitID
........................................ 24
2.6.15. Ikrafttrædelsestidspunkt
................................................ 25
3.
Oversigt over hørte organisationer, myndigheder m.v.
.............. 26
4. Oversigt over organisationer, myndigheder m.v. som har haft
bemærkninger med indhold
................................................................. 27
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0003.png
3/26
2.1. Regulering af kryptoaktiver og kryptoaktivtjenester m.v.
Dansk Fintech Alliance (DAFINA) bemærker, at det bør præciseres i bilag
1 til lov om finansiel virksomhed eller i lovbemærkningerne, at pengein-
stitutter både kan udstede e-pengetokens og udbyde e-pengetokens som
lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen.
DAFINA anfører desuden, at loven bør tage stilling til, om udstedelse
og/eller udbud af andre kryptoaktiver end e-pengetokens eller aktivbase-
rede tokens udgør lovlig pengeinstitutvirksomhed (eller lovlig accessorisk
virksomhed). DAFINA mener, at udbud af sådanne andre kryptoaktiver er
en del af pengeinstituttilladelsen eller i det mindste accessorisk virksom-
hed.
DAFINA mener derudover, at det bør afklares, hvorvidt udstedelse og/eller
udbud af tokeniserede indskud/indlån udgør lovlig pengeinstitutvirksom-
hed (eller accessorisk virksomhed). DAFINA anfører, at det bør betragtes
som lovlig pengeinstitutvirksomhed i kraft af pengeinstituttilladelsen.
DAFINA fremhæver, at det bør fremgå af bemærkningerne til lov om be-
talinger og/eller lov om finansiel virksomhed, at betalings- og e-pengein-
stitutter kan udbyde kryptoaktivtjenester og udstede e-pengetokens, uden
at dette skal udøves i et særskilt selskab.
Endelig fremhæver DAFINA, at det bør afklares, om et e-pengeinstitut skal
have tilladelse som udbyder af kryptoaktivtjenester, hvis e-pengeinstituttet
påtænker at levere andre kryptoaktivtjenester end deponering og admini-
stration af kryptoaktiver på kunders vegne og tjenester vedrørende over-
førsel af kryptoaktiver på kunders vegne, med hensyn til de e-pengetokens,
som e-pengeinstituttet selv udsteder.
Kommentar
Med forordning (EU) 2023/1114 af 31. maj 2023 om markeder for krypto-
aktiver (MiCA) harmoniseres reguleringen af markedet for kryptoaktiver
på tværs af medlemsstaterne i EU med henblik på at understøtte innovation
samt beskytte forbrugere, investorer og den finansielle stabilitet.
Et kryptoaktiv er en digital repræsentation af et aktiv (f.eks. en aktie eller
valuta) eller en rettighed (f.eks. en forkøbsret til en vare eller en tjeneste-
ydelse), der kan opbevares og handles digitalt ved brug af distribueret ho-
vedbog-teknologi, hvilket betyder at transaktioner kan verificeres decen-
tralt mellem parter i stedet for f.eks. at være afhængig af en bank til at
udføre transaktioner.
Lovforslaget supplerer i nødvendigt omfang MiCA-forordningen. Med lov-
forslaget foreslås det bl.a., at Finanstilsynet bliver udpeget som den kom-
petente myndighed til at påse overholdelsen af MiCA og gives hjemmel til
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0004.png
4/26
at opkræve afgifter fra de nye virksomheder, som kommer under tilsyn som
følge af forordningen.
Lovforslaget går ikke videre end MiCA. De foreslåede ændringer af bilag
1 i lov om finansiel virksomhed gengiver tekstnært ordlyden i artikel 146 i
MiCA. Der er derfor ikke grundlag for at præcisere bilag 1 yderligere eller
foretage ændringer i reglerne om accessorisk virksomhed.
MiCA ændrer ikke i EU-bestemmelser, der vedrører e-pengeinstitutters og
betalingsinstitutters mulighed for at udbyde kryptoaktivtjenester og ud-
stede e-pengetokens, uden at dette skal udøves i et særskilt selskab. Der
foretages derfor heller ikke ændringer i lov om finansiel virksomhed eller
lov om betalinger vedrørende disse regler.
DAFINA´s bemærkning om, at loven bør afklare, om et e-pengeinstitut skal
have tilladelse som udbyder af kryptoaktivtjenester, hvis det påtænker at
levere andre kryptoaktivtjenester end de tjenester, der er nævnt i artikel
60, stk. 4, i MiCA, imødekommes. Ordlyden af det foreslåede § 332 b vil
derfor blive ændret så det fremgår, at de i bestemmelsen nævnte virksom-
hedstyper, herunder e-pengeinstitutter, kan udføre aktiviteter som anført i
artikel 60, stk. 1-6, i MiCA under forudsætning af, at de øvrige betingelser
i bestemmelsen er opfyldt. Det præciseres desuden i lovbemærkningerne,
at det kræver særskilt tilladelse fra Finanstilsynet, hvis disse virksomheds-
typer, herunder e-pengeinstitutter, ønsker at udbyde andre tjenester end
dem, der er nævnt i artikel 60, stk. 1-6, i MiCA.
2.2. MICA - ikrafttrædelse
DAFINA bemærker, at lovforslagets ikrafttrædelsesbestemmelser vedrø-
rende supplerende lovgivning til MiCA ikke er i overensstemmelse med
MiCA´s ikrafttrædelsesbestemmelser. Lovforslagets bestemmelser om ud-
stedelse og udbud af aktivbaserede tokens bør således ifølge DAFINA
træde i kraft allerede den 30. juni 2024. Lovens bestemmelser om udste-
delse og udbud af e-pengetokens bør også træde i kraft den 30. juni 2024.
Lovens bestemmelser om udbud af kryptoaktivtjenester bør træde i kraft
den 30. december 2024. DAFINA bemærker, at overgangsordningen i lov-
udkastet er formuleret snævrere end i MiCA.
DAFINA gør herudover gældende, at det bør være muligt for tilladelses-
pligtige virksomheder at klargøre og indsende en ansøgning til Finanstil-
synet inden ikrafttrædelsesdatoerne med henblik på at opnå tilladelse hur-
tigst muligt efter ikrafttrædelsesdatoen af konkurrencemæssige årsager.
Kommentar
For så vidt angår lovforslagets ikrafttrædelsesbestemmelser ændres ikraft-
trædelsesdatoerne, så disse er i overensstemmelse med MiCA. Det betyder,
at:
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0005.png
5/26
bestemmelser om udstedelse og udbud af aktivbaserede tokens og
e-pengetokens vil træde i kraft den 30. juni 2024, og ikke 30. de-
cember 2024, som hidtil angivet i lovforslaget, og
bestemmelser om udbud af kryptoaktivtjenester vil træde i kraft den
30. december 2024.
Virksomheder kan tidligst opnå tilladelse på tidspunktet for MiCA´s ikraft-
træden hhv. den 30. juni 2024 og 30. december 2024, afhængig af hvilken
tilladelse, virksomheden ønsker at opnå. Dermed kan virksomheder, der
ønsker at udstede og udbyde af aktivbaserede tokens og e-pengetokens tid-
ligst opnå tilladelse på tidspunktet for samlelovens ikrafttræden den 30.
juni 2024 og 30. december 2024.
DAFINA´s forslag om at tilladelsespligtige virksomheder skal have mulig-
hed for at klargøre og indsende en ansøgning om tilladelse inden ikraft-
trædelsesdatoerne imødekommes. Finanstilsynet vil derfor via deres hjem-
meside vejlede om denne mulighed. Det skal dog understreges, at der først
kan udstedes tilladelse efter reglernes ikrafttræden, hvorfor de rettigheder
og forpligtelser, som følger af forordningen, først finder anvendelse på
ikrafttrædelsestidspunktet.
De europæiske tilsynsmyndigheder skal udarbejde regulatoriske tekniske
standarder, retningslinjer m.v. i medfør af MiCA, som Finanstilsynet bl.a.
skal anvende ved behandlingen af ansøgninger. Finanstilsynets behand-
ling af ansøgninger inden ikrafttrædelsestidspunktet er således under for-
udsætning af, at nødvendige standarder og retningslinjer er udarbejdet.
2.3. Aflønningsregler for firmapensionskasser
F&P bemærker, at lovforslaget samler de væsentligste bestemmelser om
lønpolitik og variabel aflønning af bestyrelsen, direktionen og andre væ-
sentlige risikotagere i firmapensionskasser på lovniveau, som det er tilfæl-
det i den øvrige finansielle lovgivning. F&P bakker op om, at aflønnings-
reglerne skal sikre, at forsikringsselskaber fører en forsvarlig lønpolitik
med ligeløn, som fremmer en forsvarlig virksomhedsledelse.
F&P anfører dog, at der bør arbejdes for at skabe et level playing field for
forsikringsselskaber i EU blandt andet med hensyn til aflønningsreglerne.
F&P bemærker også, at det alene er de mest overordnede bestemmelser i
aflønningsbekendtgørelsen, der videreføres, og at reglerne fremstår meget
forenklede og ikke indeholder den fleksibilitet og de bagatelgrænser, som
findes i den foreliggende aflønningsbekendtgørelse. F&P bemærker i den
forbindelse, at bagatelgrænsen i bekendtgørelsens § 24 og overgangsreglen
i § 30, stk. 4, ikke er taget med i lovudkastet. Fleksibiliteten i den gældende
aflønningsbekendtgørelse er væsentlige for selskaberne, og det er derfor
afgørende, at den videreføres efter lovændringen.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0006.png
6/26
Kommentar
De danske aflønningsregler er ensartede på tværs af den finansielle sektor,
herunder forsikrings- og pensionssektoren, i overensstemmelse med den
politiske aftale af 31. august 2010 om forsvarlige aflønningspolitikker i
den finansielle sektor
1
og den politiske aftale af 10. oktober 2013 (bank-
pakke 6)
2
.
Fleksibiliteten i den gældende aflønningsbekendtgørelse bliver videreført
ved en revision af aflønningsbekendtgørelsen, herunder vil bagatelgræn-
sen i § 24 i den gældende aflønningsbekendtgørelse ikke bortfalde. Bestem-
melsen i § 24 i den gældende aflønningsbekendtgørelse tiltænkes fortsat at
skulle indgå i en kommende aflønningsbekendtgørelse, som vil blive ud-
stedt med hjemmel i § 43 i lov om firmapensionskasser. Fleksibiliteten i
reglerne vil derfor være uændret med lovforslaget.
Det forhold, at overgangsreglen i § 30, stk. 4, i den gældende aflønnings-
bekendtgørelse ikke er videreført i lovforslaget, kan medføre en ændret
retstilstand for aftaler indgået før 4. januar 2019, der ikke er tilsigtet. Lov-
forslaget vil derfor blive tilpasset, så retstilstanden ikke ændres for disse
aftaler.
2.4. Opgørelse af søjle II-tillæg for det vejledende kapitalgrundlag
Finans Danmark (FIDA) bemærker, at Finanstilsynets praksis for fastsæt-
telse af et vejledende kapitalgrundlag (P2G) fremover ændres, så det i ud-
gangspunktet alene vil være kapitalbevaringsbufferne, der modregnes i
P2G og ikke, som i dag, samtlige bufferkrav. Det vil bringe implemente-
ringen af P2G i overensstemmelse med de fælles EU-bestemmelser.
FIDA bemærker desuden, at det fremgår af bemærkningerne til lovforsla-
get, at Finanstilsynet agter at fastholde sin gældende danske praksis, hvor
den såkaldte kapitalmålsætning vil være det bindende og dermed det reelle
krav. Anvendelse af kapitalmålsætning som et styrende krav i tilsynspro-
cessen er en dansk særregel, der ikke anvendes tilsvarende i andre EU-
lande. Specifikt bliver det bemærket, at i Danmark har ”kapitalmålsætnin-
gen udgjort et øvre mål, som institutterne har navigeret efter.” Med disse
formuleringer bliver det dermed tydeliggjort, at Finanstilsynet i Danmark
1
Aftale mellem regeringen (Venstre og Det Konservative Folkeparti), Socialdemokra-
terne, Dansk Folkeparti, Socialistisk Folkeparti, Det Radikale Venstre og Liberal Alli-
ance om forsvarlig aflønningspolitik i den finansielle sektor af den 31. august 2010.
2
Aftale mellem regeringen (Socialdemokraterne, Radikale Venstre og Socialistisk Fol-
keparti) og Venstre, Dansk Folkeparti, Liberal Alliance og Det Konservative Folkeparti
om regulering af systemisk vigtige finansielle institutter (SIFI) samt krav til alle banker
og realkreditinstitutter om mere og bedre kapital og højere likviditet af 10. oktober
2013.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0007.png
7/26
anvender en tilgang, der kan være hårdere end en P2G-tilgang. Hvor insti-
tutter i andre lande kan tære på kapitalbevaringsbufferen, tillades modreg-
ning i kapitalbevaringsbufferen ikke i Danmark.
Dette indebærer, at danske institutter reelt er underlagt krav om at holde
mere kapital end udenlandske institutter, som følge af en dansk særtilgang.
FIDA opfordrer derfor til, at Finanstilsynet justerer sin praksis for anven-
delse af kapitalmålsætningen som det styrende kapitalkrav, så det bringes
i overensstemmelse med P2G-tilgangen samtidigt med, at bottom-up til-
gangen til stresstests fastholdes, inklusiv tilgangen til inddragelse af stress-
effekter indregnet i solvensbehovet (P2R).
Kommentar
Med lovforslaget bringes de danske regler om implementeringen af P2G i
overensstemmelse med de fælles EU-retningslinjer.
For så vidt angår Finanstilsynets praksis vedr. kapitalmålsætning skal det
bemærkes, at brud på det regulatoriske kapitalkrav kan have væsentlige
konsekvenser – ikke alene for den enkelte virksomhed, men potentielt også
for den finansielle stabilitet. Pengeinstitutterne vil derfor almindeligvis op-
stille målsætninger for kapitaliseringen og planlægge, at den faktiske ka-
pitalisering ligger i komfortabel afstand til de regulatoriske krav. Det er
ikke – som FIDA anfører – en dansk særregel, at institutterne har en kapi-
talmålsætning, som de styrer efter. Det gælder bredt i hele Europa.
3
Finanstilsynet fører tilsyn med institutternes styring og forventer, at pen-
geinstitutterne har et tilstrækkeligt højt kapitalmål, der sikrer, at alle ka-
pitalkrav er overholdt – også i en situation, hvor virksomheden bliver udsat
for store negative stød. Formålet er at understøtte den finansielle stabilitet.
Finanstilsynets forventning til kreditinstitutternes kapitalmålsætning af-
spejler således, at brud på regulatoriske kapitalkrav kan have stor betyd-
ning for institutternes adgang til kapitalmarkederne og dermed udlånska-
pacitet - og i værste tilfælde levedygtighed.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
Se f.eks. Cyril Couaillier: What are banks’ actual capital targets?
https://www.bankingsupervision.europa.eu/press/conferences/shared/pdf/20230502_re-
search_conference/Couaillier_paper.pdf
3
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0008.png
8/26
2.5. Administrationsselskab for Garantifonden for skadesforsik-
ringsselskaber
2.5.1.
Udnævnelse af et administrationsselskab for Garantifon-
den for skadesforsikringsselskaber
Alm. Brand Group bemærker, at en konkurs i et forsikringsselskab udfor-
drer hele forsikringsbranchen, blandt andet fordi det påvirker hele bran-
chens omdømme. Alm. Brand Group anser det derfor også for en udfor-
dring for hele branchen at håndtere en sådan konkurs. Derfor bør loven
ifølge Alm. Brand Group i langt højere grad afspejle, at det er hele bran-
chen, der skal være med til at håndtere et konkursramt forsikringsselskab,
så det ikke – som lovforslaget ellers lægger op til – alene er en opgave for
de tre største forsikringsselskaber.
Alm. Brand Group bemærker videre, at lovens regler først vil finde anven-
delse, hvis Garantifonden ikke får et administrationsselskab via et EU-
udbud. Alm. Brand Group tolker de nuværende udbudsbetingelser således,
at relativt mange skadesforsikringsselskaber kan komme i betragtning som
administrationsselskab under et udbud – enten selv eller i et samarbejde
med andre. Alm. Brand Group finder, at lovforslaget bedre bør afspejle
dette. Loven bør således i væsentlig større omfang være udformet i over-
ensstemmelse med udbudsbetingelserne. Dermed vil flere forsikringssel-
skaber end alene de absolut største kunne blive udpeget som administrati-
onsselskab for Garantifonden.
I forlængelse heraf bemærker Alm. Brand Group, at det er vigtigt, at krite-
rierne for, hvem der kan udpeges som administrationsselskab for Garanti-
fonden, ikke fastsættes for snævert. Hvis kriterierne fastsættes for snævert,
vil det give en uhensigtsmæssig skævvridning, hvor alene nogle selskaber
kan påtage sig arbejdet.
F&P bemærker, at F&P er enige i, at Fonden ved en konkurs i et forsik-
ringsselskab bør have adgang til forsikringsekspertise i et administrations-
selskab. F&P anfører i den forbindelse, at F&P finder, at branchen bredt
bør bidrage til løsningen af dette. Det er derfor vigtigt for F&P, at flere
selskaber end de absolut største skadesforsikringsselskaber kan komme i
spil som administrationsselskab for Fonden.
Garantifonden for skadesforsikringsselskaber (Fonden) bemærker, at det
er vigtigt, at Fondens nuværende muligheder i forbindelse med udbudspro-
cessen ikke ændres med lovforslaget. Fonden vurderer, at en del skades-
forsikringsselskaber vil kunne udfylde rollen som administrationsselskab
for Fonden. Fonden anfører i forlængelse heraf, at Fonden f.eks. gerne vil
kunne indgå aftale med store udenlandske aktører på det danske marked,
og Fonden vil heller ikke udelukke større selskaber, der ikke har tilladelse
til alle forsikringsklasser.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
9/26
Kommentar
Muligheden for at Finanstilsynet udnævner et administrationsselskab vil
først blive anvendt, hvis der ikke er egnede forsikringsselskaber, der i for-
bindelse med et EU-udbud byder på opgaven som administrationsselskab
for Fonden.
Det er således ikke hensigten, at den foreslåede ordning skal træde i stedet
for Fondens egne EU-udbud.
Lovforslaget skal derimod sikre, at Fonden ikke står uden et administrati-
onsselskab, hvis det ikke lykkedes for Fonden at indgå aftale med et forsik-
ringsselskab som administrationsselskab i forbindelse med et EU-udbud.
Lovforslaget medfører ikke, at Fonden kun kan indgå aftale med et forsik-
ringsselskab, der opfylder kriterierne for udnævnelse i lovforslaget. Fon-
den kan derfor vælge at indgå aftale med et forsikringsselskab, der ikke
opfylder kriterierne for at blive udnævnt af Finanstilsynet efter de foreslå-
ede regler.
Opgaven som administrationsselskab for Fonden kan være en byrdefuld
opgave, hvis der opstår en konkurs i et forsikringsselskab. Det kræver der-
for en vis størrelse, erfaring med en række forskellige forsikringsklasser,
samt økonomisk robusthed at være administrationsselskab for Fonden.
Derfor skal det kun være større forsikringsselskaber, der skal kunne ud-
nævnes af Finanstilsynet som administrationsselskab for Fonden. Derfor
foreslås det, at kun de største og økonomisk mest robuste forsikringssel-
skaber med erfaringen inden for en række forskellige forsikringsklasser,
skal kunne udnævnes af Finanstilsynet som administrationsselskab for
Fonden.
Det vurderes imidlertid, at både risikoen for at blive udnævnt og byrden
ved at blive udnævnt som administrationsselskab, bør kunne spredes på
flere forsikringsselskaber, end den gruppe af forsikringsselskaber som ef-
ter lovforslagets udformning på nuværende tidspunkt vil være omfattede.
Lovforslaget er derfor på baggrund af bemærkningerne justeret, så lov-
forslaget ikke stiller krav om, at forsikringsselskabets tilladelse til at drive
forsikringsvirksomhed skal være uden begrænsninger i de oplistede forsik-
ringsklasser, samt at der ikke stilles krav om tilladelse til forsikringsklasse
2 (sygdom). Dette vil medføre, at yderligere to forsikringsselskaber d.d.
kan udnævnes som administrationsselskab for Fonden af Finanstilsynet i
tilfælde af, at det ikke lykkes for Fonden at indgå aftale med et forsikrings-
selskab som administrationsselskab i forbindelse med et EU-udbud.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0010.png
10/26
2.5.2. Udnævnelse af to eller flere forsikringsselskaber i forening som
administrationsselskab for Fonden
Alm. Brand Group bemærker, at der bør være mulighed for, at to eller flere
forsikringsselskaber i forening udpeges som administrationsselskab for
Fonden, hvis selskaberne i forening opfylder kriterierne. En sådan mulig-
hed er efter Alm. Brand Groups vurdering også tilgængelig under de nu-
værende udbudsbetingelser og bør derfor også reflekteres i loven. Alm.
Brand Group anfører, at det eksempelvis ikke bør være et krav, at et selskab
selv har koncession til f.eks. forsikringsklasse 2, såfremt et andet selskab
har koncession hertil.
F&P bemærker, at lovens regler først finder anvendelse, hvis Fonden ikke
får et administrationsselskab via et EU-udbud. F&P bemærker, at ved ud-
buddet vil en række skadesforsikringsselskaber kunne komme i betragt-
ning som administrationsselskab for Fonden – enten selv eller i et samar-
bejde med andre. F&P finder, at lovforslaget bør afspejle dette, så flere
skadesforsikringsselskaber kan udnævnes som administrationsselskab for
Fonden.
Kommentar
Med lovforslaget er det kun muligt for Finanstilsynet at udnævne ét forsik-
ringsselskab som administrationsselskab for Fonden på baggrund af de
objektive kriterier i lovforslaget.
Finanstilsynets pligt til at udnævne et administrationsselskab for Fonden
efter lovforslaget vil alene indtræde, hvis Fondens bestyrelse ikke selv kan
indgå aftale med et eller flere administrationsselskaber for Fonden. Fon-
den kan i henhold til lovforslaget indgå aftale med to eller flere forsik-
ringsselskaber, der i fællesskab ønsker at varetage opgaven som admini-
strationsselskab for Fonden. I denne situation må de forventes, at de sel-
skaber, der ønsker at samarbejde om opgaven, er enige om arbejdsforde-
lingen og har organiseret sig, så opgaven kan løftes.
I en situation, hvor Finanstilsynet skal udnævne et administrationsselskab,
fordi det ikke er lykkedes at finde et administrationsselskab gennem den
normale udbudsproces, vil der ikke som i en udbudssituation være tale om,
at to eller flere selskaber på forhånd er blevet enige om arbejdsfordeling
og organisering af opgaven. Hvis der er mulighed for at udnævne to eller
flere selskaber i fællesskab, kan der dermed kunne opstå en situation, hvor
der er uklarhed om, hvilket selskab der har ansvar for hvilke opgaver.
Dette vil i givet fald skulle specificeres af Finanstilsynet, hvilket ikke vur-
deres hensigtsmæssigt.
Det vurderes på den baggrund hensigtsmæssigt, at det selskab, som Fi-
nanstilsynet skal udnævne, selvstændigt skal kunne løfte opgaven som ad-
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0011.png
11/26
ministrationsselskab. Det bemærkes, at dette ikke er til hinder for, at ad-
ministrationsselskabet videreoutsourcer visse opgaver forbundet med at
være administrationsselskab.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.5.3. Ændring af krav til årlig bruttopræmieindtægt og markedsan-
dele
F&P foreslår, at kravet om en årlig bruttopræmieindtægt på minimum 2
mia. kr. sænkes til minimum 1,5 mia. kr., samt at markedsandelen sænkes
til 2 pct. målt på bruttopræmie.
Kommentar
Opgaven som administrationsselskab for Fonden kan være en byrdefuld
opgave, hvis der indtræder en konkurs i et forsikringsselskab. Derfor bør
alene de største og mest økonomisk robuste forsikringsselskaber med erfa-
ringen inden for en række forskellige forsikringsklasser kunne udnævnes
som administrationsselskab for Fonden.
Kriterierne i lovforslaget er fastsat for at sikre, at det er denne type forsik-
ringsselskaber, der kan udnævnes som administrationsselskab for Fonden.
En ændring af de foreslåede kriterier i lovforslaget til årlig bruttopræmie-
indtægt og markedsandel vil ikke medføre, at flere forsikringsselskaber på
nuværende tidspunkt vil kunne udnævnes som administrationsselskab for
Fonden og dermed indgå i ordningen.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.5.4. Udenlandske forsikringsselskaber
Alm. Brand Group og F&P bemærker, at da garantifondsloven er at be-
tragte som forbrugerregulering, bør forslaget ikke udelukke selskaber un-
der tilsyn i udlandet, hvis de i øvrigt lever op til kriterierne. Disse selskaber
er ikke afskåret fra at blive administrationsselskab i forbindelse med Fon-
dens udbud. Det bemærkes ligeledes, at Fonden i tilfælde af en konkurs vil
være i dækning over for de pågældende selskabers danske kunder.
Kommentar
Finanstilsynet kan efter lovforslaget ikke udnævne udenlandske forsik-
ringsselskaber som administrationsselskab for Fonden.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0012.png
12/26
Lovforslaget forhindrer dog ikke Fonden i at indgå aftale med et eller flere
udenlandske forsikringsselskaber som administrationsselskab i forbin-
delse med et udbud. Dette fremgår ligeledes af lovforslagets bemærknin-
ger.
Det vil blive søgt afklaret, om også udenlandske forsikringsselskaber, der
opfylder kriterierne i lovforslaget, kan udnævnes som administrationssel-
skab for Fonden. Såfremt det viser sig muligt, vil dette blive justeret ved en
senere ændring af lov om en garantifond for skadesforsikringsselskaber.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.5.5.
Vederlag
Alm. Brand Group bemærker, at opgaven som administrationsselskab for
Garantifonden indebærer en række omkostninger, herunder til oprethol-
delse af et beredskab til at kunne håndtere et andet forsikringsselskabs ska-
desager med kort varsel. Som følge heraf bemærker Alm. Brand Group, at
det er vigtigt, at vederlaget afspejler samtlige disse omkostninger.
F&P bemærker, at det bør fremgå af lovforslagets bemærkninger, at det
pågældende selskab vil blive honoreret for arbejdet som administrations-
selskab på kommercielle markedsvilkår. F&P anfører videre, at admini-
strationsselskabet således ikke vil blive påført omkostninger, der ikke vil
kunne faktureres Fonden, herunder omkostninger til at opretholde et be-
redskab til at kunne håndtere et andet forsikringsselskabs skadesager med
kort varsel. Det bør ifølge F&P tillige fremgå af lovforslagets bemærknin-
ger, at rollen som administrationsselskab ikke påfører selskabet kapital-
eller solvenskrav.
Kommentar
Det følger af lovforslaget, at Fonden skal betale vederlag til et administra-
tionsselskab udnævnt af Finanstilsynet, samt at vederlaget fastlægges efter
vilkårene i Fondens udbudsmateriale eller andet dokument, der indeholder
en specificering af opgaverne. Det følger videre af de specielle bemærk-
ninger til lovforslaget, at det foreslåede vil medføre, at vederlagets stør-
relse er til forhandling mellem parterne.
Med lovforslaget er det således op til parterne at forhandle et vederlag,
som af begge parter vurderes rimeligt for at varetage opgaven som admi-
nistrationsselskab.
Kapital- og solvensreglerne er selvstændige regler, der følger af Solvens
II-reguleringen, og disse gælder for forsikringsselskaber uagtet reglerne i
lov om en garantifond for skadesforsikringsselskaber.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0013.png
13/26
Rollen som administrationsselskab for Fonden, vil ikke umiddelbart påføre
det pågældende forsikringsselskab kapital- eller solvenskrav, hvis selska-
bet er udnævnt af Finanstilsynet efter de foreslåede bestemmelser.
Lovforslaget er på baggrund af F&P’s bemærkninger blevet justeret, så
det fremgår af bemærkningerne til lovforslaget, at det pågældende selskab
vil blive honoreret for arbejdet som administrationsselskab på kommerci-
elle markedsvilkår, samt at administrationsselskabet ikke vil blive påført
omkostninger, der ikke vil kunne faktureres Fonden. Dette kan også inklu-
dere kompensation for omkostninger, som følge af en yderligere belastning
af administrationsselskabets kapital- eller solvenskrav, som følge af ud-
nævnelsen, såfremt en sådan aktualiseres.
2.5.6. Outsourcing
Alm. Brand Group opfordrer til, at det bør gøres klart, at outsourcingreg-
lerne i lov om forsikringsvirksomhed ikke omfatter outsourcing af Garan-
tifondens opgaver ifølge garantifondsloven.
F&P bemærker, at det har vist sig at være en stor udfordring for forsik-
ringsselskaber, der overvejer at byde på ordningen, at der er usikkerhed
om, hvorvidt et forsikringsselskab, der agerer som administrationsselskab
for Fonden, er omfattet af outsourcingreglerne i lov om forsikringsvirk-
somhed. F&P opfordrer derfor til, at det gøres helt klart, at outsourcingreg-
lerne i lov om forsikringsvirksomhed ikke omfatter outsourcing af Fondens
opgaver ifølge garantifondsloven. Der er i denne lov ingen regler om out-
sourcing, fordi der er tale om varetagelse af helt andre hensyn, og fordi
Fonden ikke er et forsikringsselskab. F&P anfører, at alternativet kan be-
tyde en betydelig ekstra omkostning for Fonden til skade for forbrugerne,
der finansierer ordningen.
Garantifonden for skadesforsikringsselskaber (Fonden) bemærker, at Fon-
den ikke har glæde af, at administrationsselskabet er omfattet af outsour-
cingreglerne i lov om forsikringsvirksomhed (LFV).
Fonden anfører videre, at Fonden ikke er omfattet af reglerne, og at det
som udgangspunkt er Fonden, der outsourcer opgaver til administrations-
selskabet. Administrationsselskabet vil sommetider videreoutsource opga-
ver, men dette vil – medmindre der er tale om småopgaver – ske med Fon-
dens vidende. Da outsourcingreglerne har vist sig at være medvirkende til,
at selskaber ikke byder på opgaven og samtidig kan være mærkbart fordy-
rende for Fonden, bør det fremgå, at outsourcingreglerne i LFV ikke finder
anvendelse, når administrationsselskabet arbejder for Fonden.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0014.png
14/26
Kommentar
Outsourcingreglerne i Solvens II-forordningen og lov om forsikringsvirk-
somhed er et selvstændigt regelsæt, der gælder ved siden af lov om en ga-
rantifond for skadesforsikringsselskaber, hvorfor disse ikke berøres af
nærværende lovforslag om ændring af lov om en garantifond for skades-
forsikringsselskaber.
Det bemærkes, at outsourcingreglerne i Solvens II-forordningen og lov om
forsikringsvirksomhed ikke finder anvendelse på Fondens outsourcing til
administrationsselskabet.
Det bemærkes i forlængelse af ovenstående, at forsikringsselskabet, der
varetager opgaven som administrationsselskab for Fonden, kan være om-
fattet af outsourcingreglerne, hvis forsikringsselskabet vælger at videre-
outsource opgaver til for eksempel et andet forsikringsselskab.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6. Operatører af finansielle digitale infrastrukturer
2.6.1. Generelle bemærkninger til regelsættet for operatører af finan-
sielle digitale infrastrukturer
BEC er overordnet meget tilfredse med forslaget til håndtering af det lov-
mæssige skisma, der ligger i, at datacentraler og finansielle virksomheder
er underlagt forskellig lovgivning.
Mastercard anerkender hensynene bag lovforslaget, dvs. implementering
af NIS 2-direktivet for it-operatører af detailbetalingssystemer med afsæt
i DORA-forordningen.
Kommentar
De gældende regler indeholder en række IT- og cybersikkerhedskrav til
finansielle virksomheder, fælles datacentraler og it-operatører af detailbe-
talingssystemer.
DORA-forordningen erstatter de hidtil gældende IT- og cybersikkerheds-
regler for mange virksomheder i den finansielle sektor, men ikke for de
fælles datacentraler og it-operatører af detailbetalingssystemer. Disse
virksomheder er underlagt NIS 2-direktivet, hvis regler er mindre omfat-
tende end de eksisterende danske regler og DORA-forordningen.
For at opretholde høj beskyttelse i den finansielle sektor bør de fælles da-
tacentraler og it-operatører af detailbetalingssystemer være underlagt lig-
nende krav som de øvrige virksomheder i den finansielle sektor. Lovforsla-
get fastsætter derfor nye regler for fælles datacentraler og it-operatører af
detailbetalingssystemer, der implementerer NIS 2-direktivet og fastsætter
regler, der ligner DORA-forordningens regler.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0015.png
15/26
2.6.2. Om udpegning af operatører af finansielle digitale infrastruktu-
rer
F&P bemærker, at overgangen til en udpegningsmekanisme skaber usik-
kerhed om, hvilke virksomheder der vil blive udpeget.
Kommentar
En virksomhed, der bliver udpeget som operatør af finansiel digital infra-
struktur, vil blive underlagt kravene i det foreslåede regelsæt for operatø-
rer af finansielle digitale infrastrukturer og komme under tilsyn af Finans-
tilsynet. Det er derfor vigtigt for, at der er klarhed om hvilke virksomheder,
der bliver udpeget.
Kriterierne for udpegning er fastsat, så de udpegede virksomheder, er de
virksomheder, der varetager de kritiske og vigtigste opgaver for den finan-
sielle sektor. Disse kriterier har ikke kunnet udformes således, at de alene
beror på objektivt konstaterbare faktorer, da sådanne faktorer ikke i til-
strækkelig grad afspejler virksomhedens varetagelse af kritiske og vigtige
opgaver for den finansielle sektor.
Reglerne om operatører af finansielle digitale infrastrukturer erstatter
reglerne om fælles datacentraler i lov om finansiel virksomhed, men de
foreslåede regler vil indebære, at der kan ske ændringer i hvilke virksom-
heder, der fremover bliver omfattet af det finansielle tilsyn.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.3. Terminologi og definitioner
BEC nævner, at det generelt i lovforslaget varierer, om terminologi lægger
sig tekstnært op ad NIS2 og/eller DORA. Der henstilles til ensartet anven-
delse af terminologi – f.eks. at der konsekvent henvises til ”tredjeparter” i
stedet for ”leverandører”.
Ved genanvendelse af NIS2’s terminologi indføres i nogle tilfælde helt nye
termer, der er synonyme med tidligere anvendte og dermed velkendte ter-
mer fra outsourcingbekendtgørelsen. Eksempel herpå er § 333 h, stk. 6,
hvor der under litra 2) tales om tilsynsmæssige betingelser for ”udlicite-
ring”. Hvis der med ”udlicitering” menes ”outsourcing” bør dette udtryk
anvendes. Alternativt bør betydningen af ”udlicitering” og andre NIS2-
afledte begreber præciseres i bemærkningerne med henvisning til velkendt
terminologi.
e-nettet foreslår, at der i bemærkningerne til § 333 j, stk. 2, nr. 3, præcise-
res, hvad forskellen er på autenticitet og integritet.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0016.png
16/26
JN Data bemærker, at lovforslagets §§ 333 h-j anvender begrebet it-tjene-
ster, men at omfanget af dette begrebet ikke er tilstrækkeligt beskrevet,
herunder særligt om det afgrænser sig leverancer som leveres som en tje-
neste og således ikke omfatter softwarelicensaftaler og hardware.
Kommentar
En del af høringssvarene udtrykker ønske om præcisering af en række de-
finitioner af begreber og ordvalg i lovforslaget. Lovforslaget anvender som
alt overvejende hovedregel og kun med få undtagelser begreber fra DORA
forordningen og NIS 2-direktivet. Definitionerne af disse begreber skal
derfor forstås i overensstemmelse med deres betydning i EU-retten. Dette
gælder f.eks. begrebet ”it-tjeneste”, som i henhold til NIS 2-direktivet og
DORA-forordningen forstås i overensstemmelse med definitionen heraf i
Europa-Parlamentets og Rådets forordning (EU) 2019/881, der handler
om cybersikkerhedscertificering af informations- og kommunikationstek-
nologi.
Kommentarer om brug af begreber fra EU-retten er med to undtagelser
nedenfor ikke behandlet særskilt i nærværende notat, men noteret med hen-
blik på om muligt at justere terminologien uden at miste konsistensen med
de relevante EU-retsakter.
Med hensyn til begrebet ”ledelsesorgan” og ”bestyrelse” er det fundet
hensigtsmæssigt at disse betegnelser erstattes med ”det øverste ledelses-
organ”. Dette er for at fjerne tvivl om, at det er det øverste ledelsesorgan,
uanset selskabsstruktur, der er forpligtet i henhold en række af lovforsla-
gets bestemmelser, herunder § 333 h, stk. 4.
2.6.4. Proportionalitetsprincippet
e-nettet bemærker, at proportionalitetsprincippet i artikel 4 i DORA ikke
er nævnt i lovforslaget. E-nettet bemærker videre, at der ønskes en genta-
gelse af proportionalitetsprincippet direkte i lovteksten, så det kan anven-
des af datacentralerne, præcis som det i dag fremgår af bilag 5 i bekendt-
gørelse om ledelse og styring af pengeinstitutter m.fl.
Bankdata bemærker, at lovforslaget indebærer anvendelse af proportiona-
litetsprincippet ved at lægge op til individuel vurdering. Bankdata ville fo-
retrække, hvis lovgivningen havde været mere konkret. Dette kunne f.eks.
være opnået på samme måde som i DORA, hvor der både er et ICT risk
management framework og et simplificeret framework (artikel 16 i
DORA-forordningen).
Kommentar
Det er vigtigt, at der er proportionalitet i reguleringen. Proportionalitets-
princippet i DORA-forordningens artikel 4 er derfor også reflekteret i re-
gelsættet. Udpegningen som operatør af finansiel digital infrastruktur be-
ror således på, at den udpegede virksomhed understøtter flere finansielle
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0017.png
17/26
enheder, som tilsammen anses for at have væsentlig eller systemisk betyd-
ning. Hensynet til proportionalitetsprincippet varetages derved overordnet
i forbindelse med udpegningen af virksomheder, der skal være omfattet af
regelsættet.
Derudover anvender dele af regelsættet en mere principbaseret tilgang end
DORA-forordningen, hvilket gør det muligt at tage hensyn til bl.a. forskelle
i niveauet for efterlevelsen af forordningen hos operatørernes tilsluttede
virksomheder. Dette kommer f.eks. til udtryk i den foreslåede § 333 d, stk.
2, hvor virksomheden har mulighed for at vælge passende mellemrum for
deres identifikation og vurderinger af alle væsentlige it- og cyberrisici,
som de er eksponeret for. Tilsvarende fastsættes det i stk. 4, at virksomhe-
derne skal indføre passende strategier, politikker, procedurer og foran-
staltninger til at modvirke de potentielle virkninger af deres it- og cyberri-
sici.
Endelig bemærkes, at DORA-forordningens ordning for små virksomhe-
der, som skal følge et simplificeret regelsæt, jf. forordningens artikel 16,
kun forventes at komme til at omfatte relativt få og meget små finansielle
enheder, som ikke bliver omfattet af regelsættet for finansielle digitale in-
frastrukturer.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.5. Strategi for digital operationel modstandsdygtighed
e-nettet ønsker, at det i lovforslaget adresseres, om kravene til den strategi,
der er nævnt i § 333 b, stk. 1, er overensstemmende med kravene i DORA
artikel 6, nr. 8. Der ønskes ligeledes en bekræftelse af, hvorvidt der er tale
om en ny strategi eller en revurdering af bilag 5.
Kommentar
Datacentraler, der udpeges som operatører af digitale finansielle infra-
strukturer vil skulle udarbejde en strategi for digital operationel mod-
standsdygtighed, jf. det foreslåede § 333 b, stk. 1.
Omfanget af strategien skal forstås i overensstemmelse med DORA-
forordningens artikel 6, stk. 8, jf. betragtning 45. Strategien skal således
fastsætte, hvordan virksomhedens ramme for styring af it- og cyberrisici
gennemføres. Dette vil blive præciseret i bemærkningerne til bestemmel-
sen.
Denne strategi er således forskellig fra f.eks. it-strategier der hidtil er ud-
arbejdet i henhold til bilag 5 til ledelsesbekendtgørelsen for pengeinstitut-
ter mv. Bilag 5 til ledelsesbekendtgørelsen ophæves i forbindelse med lov-
forslagets gennemførelse.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0018.png
18/26
2.6.6. Adskillelse af risikostyringsfunktionen og kontrolfunktioner
e-nettet foreslår, at bemærkningerne til lovforslaget uddybes, så det er klart
i hvilket omfang bestemmelsen medfører en ændring af pligten til at ud-
pege en risikoansvarlig og den risikoansvarliges og risikostyringsfunktio-
nens opgaver, jf. ledelsesbekendtgørelsens § 16 og bilag 5, nr. 106-108 og
bilag 7.
Bankdata rejser spørgsmål om, hvorvidt § 333 b, stk. 2, skal forstås således,
at it- og cyberrisikostyringsfunktion er placeret i 1. forsvarslinje, kontrol-
funktioner i 2. forsvarslinje og intern revision i 3. forsvarslinje.
Kommentar
Det bemærkes indledningsvist, at lovforslaget vil blive ændret, således at
»bestyrelsen« erstattes med begrebet »det øverste ledelsesorgan«, jf. oven-
for under 2.6.3. Det for at undgå tvivl om, hvordan kravene, der påfalder
bestyrelsen skal håndteres i et selskab, der ikke har en bestyrelse.
Lovforslagets regelsæt om operatører af finansiel digital infrastruktur æn-
drer pligten til at udpege en risikoansvarlig, idet det øverste ledelsesorgan
fremover har ansvar for risikostyringen, og at risikostyringen skal vareta-
ges af en funktion oprettet med dette formål. Regelsættet er dog ikke til
hinder for at udpege en eller flere risikoansvarlige under det øverste ledel-
sesorgan, men ledelsesorganets ansvar vil ikke kunne uddelegeres.
I forhold til spørgsmålet om tre forsvarslinjer bemærkes det, at lovforsla-
gets § 333 b, stk. 2, ikke fastsætter, om funktionerne placeres i hhv. 1., 2.,
eller 3. forsvarslinje, hvis modellen med tre forsvarslinjer anvendes. Funk-
tionerne skal blot være adskilt.
Virksomhederne kan også anvende en anden model i henhold til § 333 b,
stk. 2.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.7. Dokumentation for operatørens styring af kunders it-og cyber-
risici
Bankdata rejser spørgsmål om, hvorvidt der er forskel på de krav der stilles
til operatørerne af finansielle digitale infrastrukturer og de krav der stilles
til deres kunder efter DORA, jf. § 333 c.
Mastercard bemærker, at de kritiske eller vigtige funktioner hos en opera-
tør, som udøver virksomhed som datacentral, også vil omfatte leverancer
af kritiske eller vigtige funktioner hos de tilsluttede virksomheder, men at
dette ikke er relevant for it-operatører af detailbetalingssystemer. Derfor
foreslås det at affatte bestemmelsen uden specifikt at nævne kunderne.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0019.png
19/26
Kommentar
Bestemmelsen i § 333 c finder alene anvendelse, hvis en operatør af finan-
siel digital infrastruktur leverer drift, administration eller udvikling af it
m.v. til kunder, der er omfattet af kravene i DORA-forordningen. Derfor
vil bestemmelsen finde anvendelse på fælles datacentraler og tilsvarende
it-udbydere i den finansielle sektor.
De foreslåede regler lægger op til, at operatører, der udøver virksomhed
som datacentral for kunder omfattet af DORA-forordningen, sammen med
de pågældende kunder skal identificere hvilke af operatørens leverancer,
der understøtter kritiske eller vigtige funktioner hos kunden.
Opgaver, der kræver tilladelse som it-operatør af et detailbetalingssystem,
og som varetages for en større kreds af virksomheder i den finansielle sek-
tor skal ikke anses for at udgøre et kundeforhold i lovforslagets forstand.
Opgaver af denne karakter anses heller ikke i den nugældende regulering
for at udgøre outsourcing, da der ikke er tale om en opgave som de finan-
sielle virksomheder ellers selv ville eller kunne udføre.
Lovforslaget ændres, så det fremgår af § 333 c, at operatørens styring af
kunders it- og cyberrisici alene finder anvendelse, på kunder, der er om-
fattet af DORA-forordningen.
2.6.8. Spørgsmål til identifikation, beskyttelse og detektion mv.
Bankdata rejser spørgsmål om, hvorvidt virksomhederne bør have frihed
til at vælge egne modeller og selv at fastsætte parametre til at anslå om-
kostninger, jf. § 333 e, stk. 8.
Bankdata spørger endvidere til, hvilke testresultater der refereres til i §
333 e, stk. 11, der forpligter virksomhederne til at udvikle politikker for
læring på baggrund af viden opnået ved bl.a. test.
F&P bemærker, at det synes problematisk, at afrapportering om læring og
anbefalinger til forbedringer skal rettes til bestyrelsen. Kravet om en politik
for at opsamle omtalte viden, samt at denne viden skal lede til anbefalinger
til forbedringer til ledelsesorganet, er ifølge F&P fornuftig. F&P finder det
imidlertid problematisk, når det i bemærkningerne til § 333 e, stk. 11, frem-
går, at ledelsesorganet skal forstås som operatørens bestyrelse. Der er tale
om forhold, der ligger inden for direktionens ansvarsområde, hvorfor af-
rapporteringen bør henledes hertil.
Kommentar
Det bemærkes, at spørgsmålet om parametre til vurdering af omkostnin-
ger relaterer sig til cyberstresstest, der ikke er en del af lovforslagets del
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0020.png
20/26
om finansielle digitale operatører, og dermed bestemmelsen i § 333 e,
stk. 8.
De testresultater, som § 333 e, stk. 11, forpligter virksomhederne til at have
politikker for læring på baggrund af, er alle relevante testresultater, som
operatøren råder over.
Kravet for afrapporteringen i forbindelse med læring m.v. afspejler kravet
i DORA-forordningens artikel 13, stk. 5. Efter forordningen er bestyrelsen
eller det øverste ledelsesorgan, hvis der ikke er en bestyrelse, tiltænkt en
mere aktiv rolle i virksomhedernes styring af it- og cyberrisici, end tilfæl-
det er i dag.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.9. Spørgsmål til hændelsesstyring og -rapportering
Bankdata bemærker, at det er uklart hvad Finanstilsynet og CSIRT’en (det
centrale computer security incident response team) har brug for, til at
kunne fastslå eventuelle grænseoverskridende virkninger, jf. § 333 f, stk.
3.
Bankdata bemærker endvidere, at der mangler en uddybende vejledning i
hvad et økonomisk tab i praksis betyder, eksempelvis kan det være et mi-
nimalt økonomisk tab, jf. § 333 f, stk. 4.
Kommentar
Den nærmere afklaring af, hvad der er nødvendigt for at fastslå eventuelle
grænseoverskridende virkninger vil bero på en konkret vurdering, som
operatøren af den finansielle digitale infrastruktur skal foretage.
Kravet følger af NIS 2-direktivets artikel 23, stk. 1.
Kriterierne for opgørelse af tab relaterer sig til væsentlige hændelser. En
hændelse anses for væsentlig, hvis den forårsager en alvorlig driftsforstyr-
relse eller et økonomisk tab, jf. NIS 2-direktivet artikel 23. Ofte forekom-
mende ikke-væsentlige hændelser, som hver især medfører mindre tab skal
anses for en omkostning, der ikke falder ind under begrebet et økonomisk
tab.
De delegerede retsakter, som udstedes i medfør af DORA-forordningen
forventes at indeholde nærmere regler for beregningen af tab, herunder i
de kommende fælles retningslinjer for overslaget over de samlede årlige
omkostninger og tab, der opstår som følge af større it-relaterede hændel-
ser, jf. DORA-forordningens artikel 11, stk. 11.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0021.png
21/26
2.6.10.
Spørgsmål relateret til tredjepartsrisici
e-nettet foreslår, at det uddybes, evt. i bemærkningerne, om strategien i §
333 h, stk. 4, skal godkendes af bestyrelsen, og hvorvidt den kan være en
del af den under § 333 b, stk. 2, nævnte strategi for operationel robusthed,
henset til at den skal være en integreret del af risikostyringsrammerne.
Bankdata rejser spørgsmål om, hvilke tilsynsmæssige betingelser, der re-
fereres til i § 333 h, stk. 6, nr.2, hvorefter en operatør skal vurdere om de
tilsynsmæssige betingelser for udlicitering er opfyldt, inden operatøren
indgår en kontraktlig ordning for brugen af it-tjenester.
Bankdata henviser til ordlyden af § 333 h, stk. 9, der oplister hvilke opera-
tører skal tage højde for ved fastsættelse af strategier for brug af en tredje-
partsudbyders tjenester. I den sammenhæng bemærker Bankdata, at alene
§ 333 h, stk. 9, nr. 4, forpligter operatøren til at højde for væsentlige risici,
og mener, at dette ligeledes bør fremgå af de andre litra.
F&P bemærker, at det fremstår uklart, hvad ”testet i tilstrækkeligt omfang”
indebærer. F&P foreslår at det kommer til at fremgå, at der kun kan være
tale om ”skrivebordstest”
BEC finder det uklart, om den nugældende outsourcingbekendtgørelses
krav til etablering af exit-strategier og planer videreføres uændret, eller om
der ved § 333 h indføres skærpede krav om transitionsplaner (jf. benæv-
nelsen af ”overgangsplaner”). BEC ønsker det præciseret, at transitionspla-
nerne først skal etableres, når en exitsituation aktualiseres.
JN Data foreslår, at der fastsættes en ”graceperiode” på 36 måneder for
implementering af reglerne om tredjepartsrisici, der relaterer til kontrakter
m.v.
Kommentar
Det er det øverste ledelsesorgan, som har kompetencen til at vedtage ope-
ratørens strategi for it-tredjepartsrisici. Denne strategi kan være en inte-
greret del af strategien for digital operationel modstandsdygtighed.
De tilsynsmæssige betingelser, der refereres til i § 333 h, stk. 6, som skal
være opfyldt inden indgåelsen af en kontraktretlig ordning med en tredje-
part om brug af tredjepartens it-tjenester, er de betingelser, der fremgår
af hele det foreslåede afsnit IX c.
Det forhold, at virksomheden alene skal vurdere væsentlige risici i forbin-
delse med passende og løbende anvendelse af tredjepartens it-tjenester, jf.
§ 333 h, stk. 6, reflekterer artikel 28, stk. 8, DORA-forordningen, hvorfor
det ikke foreslås ændret.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0022.png
22/26
Tilstrækkeligheden af test af exitstrategier beror på en konkret vurdering.
Bestemmelsen om test af exitstrategier indebærer ikke en forpligtelse til at
gennemføre en praktisk overførsel eller hjemtagning af funktioner, men at
det afklares hvorvidt, hvordan og hvor hurtigt en exit vil kunne gennemfø-
res. I mange tilfælde vil betingelsen kunne opfyldes med en underbygget
analyse, som en ”skrivebords-øvelse”.
Der er ikke mulighed for nationalt at fastsætte en særlig overgangsperiode
for kontrakter, som er omfattet af DORA forordningen. Det betyder dog
ikke, at alle kontrakter skal leve op til samtlige krav når forordningen fin-
der anvendelse, da mange af forordningens krav alene vedrører kontrakter
indgået efter forordningens ikrafttræden.
2.6.11. IP-adresser
Bankdata rejser spørgsmål om, hvorfor § 333 i, stk. 1, nr. 4, fastsætter, at
virksomhederne skal oplyse Finanstilsynet om IP-adresser og ikke domæ-
neadresser.
Kommentar
Ordlyden i lovforslaget implementerer NIS 2-direktivets artikel 27, stk. 2.
Kravet kan ikke fraviges.
Bemærkningerne giver ikke anledning til ændringer i lovforslaget.
2.6.12. Straffebestemmelser
F&P bemærker, at bestemmelsen til § 333 b om ledelse og organisation, er
uklart formuleret. Eksempelvis fremgår det af § 333 b, stk. 5, at der skal
udpeges et direktionsmedlem, som er
ansvarlig for tilsyn og dokumenta-
tion i forbindelse med eksponering for it- og cyberrisici fra tredjepartsud-
bydere.
Det er imidlertid ikke tydeligt, hvilket specifikt ansvar, som skal
løftes af pågældende direktionsmedlem, hvilket er yderst problematisk i
lyset af, at overtrædelse af § 333 b, stk. 5, er strafbelagt.
F&P bemærker derudover, at straffebestemmelserne i Afsnit IX c generelt
er uklare.
Kommentar
Det bemærkes, at strafansvar for overtrædelse af § 333 b, stk. 5, angår
operatørens manglende udpegelse af et direktionsmedlem i henhold til be-
stemmelsen. Strafansvaret er derfor operatørens, altså den juridiske per-
son. Dette følger af bestemmelsens ordlyd, da pligten påhviler operatøren,
ligesom dette fremgår af bemærkningerne til strafbestemmelsen.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0023.png
23/26
Strafbestemmelse angår således ikke det pågældende direktionsmedlems,
eller medarbejderne i den pågældende funktions, varetagelse af opgaven.
2.6.13. Begrebet fælles datacentraler
BEC bemærker, at lovforslaget ikke anvender begrebet fællesejede data-
centraler og foreslår, at bruge benævnelsen, evt. som alternativ betegnelse
for operatører af finansielle digitale infrastrukturer.
Kommentar
Begrebet operatør af finansielle digitale infrastruktur dækker andet og
mere end begrebet fælles datacentral, f.eks. andre it-udbydere i den finan-
sielle sektor og it-operatører af detailbetalingssystemer. Sondringen mel-
lem disse typer af aktører præciseres i bemærkningerne til lovforslaget.
2.6.14. Outsourcing, herunder MitID
F&P bemærker, at bestemmelsen om undtagelsen af MitID i lov om for-
sikringsvirksomhed § 134, stk. 7, ikke foreslås ændret, selvom samme be-
stemmelse i lov om finansiel virksomhed foreslås ændret.
F&P bemærker, at det ikke er muligt at se, at der i nærværende lovforslag,
eller i den nye lov om forsikringsvirksomhed (§ 134), er indsat tilsvarende
bestemmelse for forsikringsselskaber, hvilket skaber uklarhed om, hvor-
vidt reglerne om outsourcing i lov om finansiel virksomhed § 72 b og lov
om forsikringsvirksomhed § 134 fortsat skal gælde for det digitale opera-
tionelle område.
Kommentar
DORA-forordningen medfører, at al outsourcing på det digitale operatio-
nelle område, fremover vil været omfattet af reglerne i DORA-
forordningen.
Det er ikke meningen, at lovforslaget skal skabe uklarhed om det. Lov-
forslaget vil derfor blive ændret, så reglerne om outsourcing i lov om for-
sikringsvirksomhed ikke finder anvendelse på det digitale operationelle
område.
2.6.15. Ikrafttrædelsestidspunkt
F&P bemærker, at bestemmelser om lovforslagets ikrafttrædelsestidspunkt
giver anledning til tvivl.
F&P bemærker, at lovforslagets bemærkninger forudsætter, at bestemmel-
ser, der supplerer DORA, træder i kraft den 17. januar 2025, men at lov-
forslaget indeholder en række bestemmelser, der henviser til DORA, som
dog træder i kraft allerede den 18. oktober 2024.
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
2831015_0024.png
24/26
F&P bemærker ligeledes, at lovforslaget vil ophæve reglerne om fælles
datacentraler i lov om forsikringsvirksomhed måneder før, at lovforslagets
regelsæt om operatører af finansielle digitale infrastrukturer træder i kraft.
Dette vil medføre en periode, hvor der ikke gælder regler for de fælles da-
tacentraler iht. lov om forsikringsvirksomhed.
Kommentar
Regelsættet for operatører af finansielle digitale infrastrukturer træder i
kraft den 18. oktober 2024. Enkelte af bestemmelserne i regelsættet vil dog
ikke finde anvendelse før DORA-forordningens anvendelsestidspunkt, dvs.
den 17. januar 2025. Det gælder f.eks. § 333 g, stk. 3, om operatørens ud-
førelse af trusselsbaserede penetrationstest, der følger af DORA-
forordningen og § 333 k, stk. 1, 2. pkt., om ordninger for informationsud-
veksling iht. DORA-forordningen.
Som F&P anfører, er dette ikke tilstrækkeligt klart i lovforslaget. Derfor
tilpasses lovforslagets ikrafttrædelsesbestemmelse for at sikre klarhed
over, hvornår de af lovforslagets bestemmelser, der knytter sig til DORA-
forordningen, træder i kraft.
Det har ikke været hensigten, at regelsættet om fælles datacentraler i lov
om forsikringsvirksomheder skulle ophæves før det nye regelsæt om ope-
ratører af finansielle digitale infrastrukturer træder i kraft. Lovforslagets
ikrafttrædelsesbestemmelse vil derfor blive ændret, så regler om fælles da-
tacentraler i lov om forsikringsvirksomhed ophæves den 18. oktober 2024.
2.7. Tilpasninger til ATP-loven
Arbejdsmarkedets Tillægspension (ATP) bemærker, at der i udkastet til
lovforslaget bl.a. foreslås en række ændringer til lov om forsikringsvirk-
somhed. ATP foreslår derfor, at der medtages yderligere ændringer til lov
om forsikringsvirksomhed vedrørende ATP.
ATP foreslår, at § 83, stk. 2 og 3, i lov om forsikringsvirksomhed, der re-
gulerer forsikringsselskabers videregivelse af oplysninger til ATP eller ak-
tieselskaber, der er ejet fuldt ud af ATP, ændres. Ændringen skal sikre, at
videregivelse kan ske til datterselskaber ejet fuldt ud af ATP, hvilket vil
understøtte ATPs mulighed for at drive sin virksomhed i flere virksom-
hedsformer som fastlagt i ATP-loven.
ATP foreslår i den sammenhæng ligeledes, at der foretages samme ændring
til § 118, stk. 2, i lov om finansiel virksomhed, der regulerer finansielle
virksomheders adgang til at videregive oplysninger til ATP.
Kommentar:
ATPs kommentarer angår forslag til ændringer af bestemmelser, som lig-
ger ud over nærværende lovforslag. Forslagene skal derfor undersøges
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
25/26
nærmere. Såfremt undersøgelsen giver anledning til at tilpasse bestemmel-
serne i overensstemmelse med ATP’s kommentarer, vil tilpasningerne blive
foretaget ved et senere lovforslag, og efter dialog med Beskæftigelsesmini-
steriet.
3. Oversigt over hørte organisationer, myndigheder m.v.
Aalborg Universitet, Aarhus BSS, Advokatsamfundet, Akademisk Arki-
tektforening, Akademikerne, Andelskassen, Arbejderbevægelsens Er-
hvervsråd, Arbejdsmarkedets Erhvervssikring (AES), Arbejdsmarkedets
Tillægspension (ATP), Brancheforeningen for Aktive Ejere i Danmark,
Capital Law CPH, CBS, CEPOS, Computershare, DAFINA, Danmarks
Nationalbank, Danmarks Skibskredit A/S, Dansk Aktionærforening,
Dansk Arbejdsgiverforening, Dansk Byggeri, Dansk Ejendomskredit,
Dansk Ejendomsmæglerforening, Dansk Energi, Dansk Erhverv, Dansk
Forening for International Motorkøretøjsforsikring (DFIM), Dansk Indu-
stri, Dansk Iværksætter forening, Dansk Investor Relations Forening –
DIRF, Dansk Kredit Råd, Dansk Metal, Dansk Standard, Danske Advoka-
ter, Danske Forsikringsfunktionærers Landsforening, Danske Maritime,
Danske Rederier, Danske Regioner, Den Danske Aktuarforening, Den
Danske Dommerforening, Den Danske Finansanalytikerforening, Den
danske Fondsmæglerforening, Det nationale netværk af virksomhedsle-
dere, Den Sociale Retshjælp, Det økonomiske råds sekretariat (DØRS),
Drivkraft Danmark, e-nettet, Ejendomsforeningen, Experian, Fagbevægel-
sens Hovedorganisation, FDFA – Foreningen af Danske Forsikringsmæg-
lere og ForsikringsAgenturer, FDIH – Foreningen for Distance- og Inter-
nethandel, FinansDanmark, Finans og Leasing, Finansforbundet, Finans-
huset i Fredensborg A/S, Finanssektorens Arbejdsgiverforening, First
North, Forbrugerrådet Tænk, Forbrugsforeningen, Foreningen af Forret-
ningsførere for Udenlandske Forsikringsselskaber, Foreningen af Interne
Revisorer v/ Jesper Siddique Olsen, Foreningen Danske Revisorer, For-
eningen for platformsøkonomi, FOREX, Forsikring & Pension, Forsik-
ringsforbundet, Forsikringsmæglerforeningen, v/ Direktør Flemming Ko-
sakewitsch, FSR – danske revisorer, Garantiformuen, Gode penge, HK,
Horesta Arbejdsgiverorganisation, Hvidvasksekretariatet, Håndværksrå-
det, Indsamlingsorganisationernes Brancheorganisation (ISOBRO), Inter-
trust (Denmark), ISACA Denmark Chapter, IT-branchen, JN Data, Kom-
muneKredit, Kommunernes Landsforening, Komiteen for god selskabsle-
delse, Kromann Reumert, Kuratorforeningen, Københavns Universitet,
Landbrug & Fødevarer, Landsdækkende banker, Landsforeningen af for-
svarsadvokater, Landsforeningen for Bæredygtigt Landbrug, Ledernes Ho-
vedorganisation, Liberale Erhvervs Råd, Lokale Pengeinstitutter, Lønmod-
tagernes Dyrtidsfond (LD), MasterCard, Mybanker, Nets A/S, Nokas Kon-
tantservice P/S, Nordic Blockchain Association, Oxfam IBIS, Parcelhus-
ejernes Landsforening, Penneo A/S, Postnord Juridiske afdeling, Revisor-
nævnet, Rigsrevisionen, Roskilde Universitetscenter, Skibs- og Bådebyg-
geriets Arbejdsgiverforening, Syddansk Universitet, Telekommunikati-
onsindustrien i Danmark, Udbetaling Danmark, VISA, VP Securities A/S,
Western Union, Transparency International Danmark, Ældresagen, Ørsted,
L 122 - 2023-24 - Bilag 1: Høringsnotat og høringssvar fra erhvervsministeren
26/26
Færøernes Hjemmestyre via Rigsombudsmanden på Færøerne, Naalak-
kersuisut via Rigsombudsmanden i Grønland.
Oversigt over organisationer, myndigheder m.v. som har haft be-
mærkninger med indhold
Følgende organisationer, myndigheder m.v. har haft bemærkninger med
indhold:
Alm. Brand Group, ATP, BEC, DAFINA, e-nettet, Forsikring & Pension,
Finans Danmark, Garantifonden for skadesforsikringsselskaber, JN Data
og Mastercard.
4.